Icon Compliance
Compliance

Künstliche Intelligenz (KI) und Datenschutz – Lösbarer Widerspruch?!

Rodney Wiedemann
Verfasst von: Rodney Wiedemann
Berater für Datenschutz und IT-Sicherheit

Machine Learning, Deep Learning, Algorithmen und die Black Box

Künstliche Intelligenz (KI) gilt als Schlüsseltechnologie der Zukunft und erlebt aufgrund der zunehmenden Leistungsstärke von Computern und dem Aufkommen hoher Datenmengen (Big Data) eine immense Bedeutung. Dabei den Schutz personenbezogener Daten sicherzustellen ist keine leichte Aufgabe.

KI beruht auf Algorithmen. Algorithmen dienen der Lösung eines Problems und arbeiten mit (oft) deterministischen, stringente, eindeutigen und endlichen Handlungsvorschriften. KI nutzt diese Handlungsvorschriften, geht aber weiter – sie soll möglichst menschliches Handeln simulieren. Wo beim reinen Machine Learning (ML) die Lernfähigkeit noch mittels menschlichen Einflusses erfolgt, lernt das System beim Deep Learning ohne menschliche Eingriffe. Die KI trainiert und verbessert sich dabei mithilfe großer Datenmengen. Dieser Lernprozess führt dazu, dass die KI immer komplexere Entscheidungen fällen kann.

Allerdings führt ein solches System dazu, dass getroffene Ergebnisse der KI von außen nicht mehr nachvollziehbar sind. Es funktioniert, ohne zu wissen, wie es funktioniert. Die getroffene Entscheidung wird zu einer „Black Box“ für die Betroffenen.

Die entstehenden Probleme beim Einsatz von KI werden plastisch, wenn eine KI beispielsweise Bewerbungen vorsortiert oder Mitarbeiterinnen und Mitarbeiter bewertet – und es wird deutlich, dass hier Handlungsbedarf durch den Gesetzgeber besteht.

KI und die DSGVO

Selbstverständlich muss die DSGVO auch bei der Entwicklung von KI berücksichtigt werden. Die betroffene Person MUSS in klarer und verständlicher Sprache Auskunft über Verarbeitungszwecke und verarbeitete Daten informiert werden. Und zudem über die zugrundeliegende Technik und den Zweck der Verarbeitung. Schlussfolgernd muss der Verantwortliche in der Lage sein, die Datenverarbeitung nachzuvollziehen – nur dann kann er den beschriebenen Verpflichtungen nachkommen. Demgegenüber stehen Geschäftsgeheimnisse, Wettbewerbsvorteile, ein aufwendig entwickelter Algorithmus, den man als Unternehmen nicht offenlegen möchte.

Anhand des beschriebenen Konflikts – und es gibt derlei zahlreiche – wird deutlich, dass der Datenschutzbeauftrage frühestmöglich in KI- oder ML-Projekte einbezogen werden sollte.

Datenschutzbeauftragte frühzeitig einbinden

Unter Umständen kann jedoch durch frühzeitige Anonymisierung aller personenbezogenen Daten die DSGVO vernachlässigt werden. Frühzeitig bedeutet: Anonymisierung bereits vor Übertrag in das ML-System.

Falls man die DSGVO nicht verlassen kann, dann ist eine Datenschutzfolgeabschätzung ein probates Mittel, um bereits während der Planungsphase des KI-Projektes den Vorgaben der DSGVO bezüglich der Technikgestaltung (Privacy by Design) oder geeigneter Voreinstellungen (Privacy by Default) Rechnung zu tragen.

Auch der Dokumentations- und Rechenschaftspflicht muss bei der Planung solcher Projekte Rechenschaft getragen werden. Dies kann bis zu einem gewissen Punkt durch geeignetes Monitoring sichergestellt werden.

Neben den oben genannten Themen benötig man unter Umständen den passenden Dienstleister mit geeigneten Rechnerkapazitäten. Auch dies muss in die Projektüberlegungen einfließen.

Empfehlung

Beziehen Sie einen Datenschutzbeauftragten frühzeitig in das geplante KI-Projekt ein – so sichern Sie das Vorhaben mit einem Datennutzungs- und Datenschutzkonzept nachhaltig ab. Die frühzeitige Berücksichtigung der Compliance-Anforderungen schafft einen Wettbewerbsvorsprung.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.