KI beruht auf Algorithmen. Algorithmen dienen der Lösung eines Problems und arbeiten mit (oft) deterministischen, stringente, eindeutigen und endlichen Handlungsvorschriften. KI nutzt diese Handlungsvorschriften, geht aber weiter – sie soll möglichst menschliches Handeln simulieren. Wo beim reinen Machine Learning (ML) die Lernfähigkeit noch mittels menschlichen Einflusses erfolgt, lernt das System beim Deep Learning ohne menschliche Eingriffe. Die KI trainiert und verbessert sich dabei mithilfe großer Datenmengen. Dieser Lernprozess führt dazu, dass die KI immer komplexere Entscheidungen fällen kann.
Allerdings führt ein solches System dazu, dass getroffene Ergebnisse der KI von außen nicht mehr nachvollziehbar sind. Es funktioniert, ohne zu wissen, wie es funktioniert. Die getroffene Entscheidung wird zu einer „Black Box“ für die Betroffenen.
Die entstehenden Probleme beim Einsatz von KI werden plastisch, wenn eine KI beispielsweise Bewerbungen vorsortiert oder Mitarbeiterinnen und Mitarbeiter bewertet – und es wird deutlich, dass hier Handlungsbedarf durch den Gesetzgeber besteht.
KI und die DSGVO
Selbstverständlich muss die DSGVO auch bei der Entwicklung von KI berücksichtigt werden. Die betroffene Person MUSS in klarer und verständlicher Sprache Auskunft über Verarbeitungszwecke und verarbeitete Daten informiert werden. Und zudem über die zugrundeliegende Technik und den Zweck der Verarbeitung. Schlussfolgernd muss der Verantwortliche in der Lage sein, die Datenverarbeitung nachzuvollziehen – nur dann kann er den beschriebenen Verpflichtungen nachkommen. Demgegenüber stehen Geschäftsgeheimnisse, Wettbewerbsvorteile, ein aufwendig entwickelter Algorithmus, den man als Unternehmen nicht offenlegen möchte.
Anhand des beschriebenen Konflikts – und es gibt derlei zahlreiche – wird deutlich, dass der Datenschutzbeauftrage frühestmöglich in KI- oder ML-Projekte einbezogen werden sollte.
Datenschutzbeauftragte frühzeitig einbinden
Unter Umständen kann jedoch durch frühzeitige Anonymisierung aller personenbezogenen Daten die DSGVO vernachlässigt werden. Frühzeitig bedeutet: Anonymisierung bereits vor Übertrag in das ML-System.
Falls man die DSGVO nicht verlassen kann, dann ist eine Datenschutzfolgeabschätzung ein probates Mittel, um bereits während der Planungsphase des KI-Projektes den Vorgaben der DSGVO bezüglich der Technikgestaltung (Privacy by Design) oder geeigneter Voreinstellungen (Privacy by Default) Rechnung zu tragen.
Auch der Dokumentations- und Rechenschaftspflicht muss bei der Planung solcher Projekte Rechenschaft getragen werden. Dies kann bis zu einem gewissen Punkt durch geeignetes Monitoring sichergestellt werden.
Neben den oben genannten Themen benötig man unter Umständen den passenden Dienstleister mit geeigneten Rechnerkapazitäten. Auch dies muss in die Projektüberlegungen einfließen.
Empfehlung
Beziehen Sie einen Datenschutzbeauftragten frühzeitig in das geplante KI-Projekt ein – so sichern Sie das Vorhaben mit einem Datennutzungs- und Datenschutzkonzept nachhaltig ab. Die frühzeitige Berücksichtigung der Compliance-Anforderungen schafft einen Wettbewerbsvorsprung.