Der Einsatz künstlicher Intelligenz (KI) bietet neben der Schaffung neuer Wertschöpfungsketten in der Wirtschaft und der Gesellschaft auch das Potential interne und externe Prozesse in weiten Teilen aller Unternehmensbereiche neu zu gestalten.[1] Im Rahmen dieser Prozesse werden täglich große Mengen an personenbezogenen Daten verarbeitet, ohne dass hinreichende Vorkehrungen getroffen werden, um diese ausreichend zu schützen. Aufgrund dieses Umstands haben die Datenschutzaufsichtsbehörden des Bundes und der Länder auf ihrer 97. Konferenz, am 03. und 04. April 2019, die sog. „Hambacher Erklärung“ zum Thema – datenschutzrechtliche Anforderungen beim Einsatz von künstlicher Intelligenz – verfasst.
Was bedeutet künstliche Intelligenz?
Der Begriff der künstlichen Intelligenz wird im allgemeinen Sprachgebrauch häufig inflationär gebraucht. So stellen einfache Bilderkennungssoftwares und Chatbots, die lediglich die Auswertung von Daten vornehmen noch keine KI dar. Hierzu bedarf es vielmehr der eigenen Lernfähigkeit des Systems oder der eigenständigen Weiterentwicklung durch das System selbst.[2] Derzeit kommen in deutschen Unternehmen nahezu alle Arten von KI- Technologie zum Einsatz, wie zum Beispiel regelbasierte Systeme, Process Robotics, Natural Language Processing und Machine Learning.[3] Demnach erscheint eine Einordnung dieser Technologie in das geltende Recht sinnvoll und notwendig.
Welche datenschutzrechtlichen Anforderungen gelten?
Aufgrund der vielfältigen Einsatzmöglichkeiten von künstlicher Intelligenz sind umfassende rechtliche Regelungen nötig. Diese finden sich seit dem 25.05.18 in der Datenschutz- Grundverordnung (DSGVO).
Keine „Verobjektivierung“ des Betroffenen
Eine grundlegende Voraussetzung für den legalen Einsatz von künstlicher Intelligenz in einem Unternehmen ist, dass diese keine reine „Verobjektivierung“ des betroffenen Menschen bezwecken darf. Hierzu sieht Art. 22 Abs. 1 DSGVO vor, dass eine Entscheidung, die gegenüber dem Betroffenen rechtliche Wirkung entfaltet, nicht ausschließlich auf einer automatisierten Verarbeitung oder auf Profiling beruhen darf.[4] Unter den Begriff der Verarbeitung fällt nach Art. 4 Nr. 2 DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Ordnen, Speichern, Verändern, Auslesen etc. Zu beachten ist dabei allerdings, dass erst ein Verstoß gegen Art. 22 Abs. 1 DSGVO vorliegt, wenn die automatisierte Verarbeitung die alleinige Grundlage für die Entscheidung darstellt. Sofern es sich im Ergebnis nur um eine programmunterstützte Entscheidung handelt, ist dies aus Unternehmersicht unbedenklich. Gleiches gilt, soweit es sich lediglich um eine Entscheidung formaler Art handelt und nicht um eine Entscheidung inhaltlicher Art, bei der es für die Zurechnung der Verantwortlichkeit einer natürlichen Person bedarf.[5] Zudem sind an dieser Stelle die Ausnahmen des Art. 22 Abs. 2, Abs. 3 DSGVO zu beachten, die das Verbot einer automatisierten Entscheidung weiter relativieren.
Prinzip der Zweckbindung
In den Fällen, in welchen der Schutzbereich des Art. 22 DSGVO nicht eröffnet ist, sind jedoch die allgemein für die Verarbeitung von personenbezogenen Daten geltenden Grundsätze zu beachten. So postuliert Art. 5 Abs. 1 lit. a) DSGVO, dass die Datenverarbeitung rechtmäßig geschehen muss. Eine rechtmäßige Datenverarbeitung liegt vor, wenn der Betroffene in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat oder wenn für die Verarbeitung eine anderweite Rechtsgrundlage, beispielsweise ein Vertrag, vorhanden ist.[6] Weiter ist der Verarbeiter an das Prinzip der Zweckbindung gebunden. Danach ist schon bei Erhebung der personenbezogenen Daten der Zweck festzulegen, zu dem die Daten später gebraucht werden sollen.[7] Hierdurch sollen zum einen die Verarbeitungsmöglichkeiten begrenzt werden und zum anderen auch andere Akteure, die diese Daten ebenfalls verarbeiten möchten, an diesen Zweck gebunden werden.[8] Dieses Prinzip wird zusätzlich durch den Grundsatz der Datenminimierung und den Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. c) und lit. e) DSGVO abgesichert.
Transparenz und Nachvollziehbarkeit der Verarbeitung
Der Unternehmer ist beim Einsatz künstlicher Intelligenz weiterhin dazu verpflichtet (Art. 5 Abs. 2 DSGVO) eine heimliche Verarbeitung von personenbezogenen Daten zu unterlassen und dem Betroffenen über die Verarbeitung umfassende Informationen bereit zu stellen.[9] Dieses Erfordernis der transparenten Verarbeitung i.S.v. Art. 12 i.V.m. 5 Abs. 1 lit. a) DSGVO verlangt, dass Entscheidungen, die von der KI getroffen werden, nachvollziehbar und erklärbar sein müssen. Hierzu ist erforderlich, dass bereits das Zustandekommen der Entscheidung, sprich die einzelnen Prozesse, die zum Ergebnis führen, erklärbar und nachvollziehbar dargestellt werden und nicht nur das konkrete Ergebnis selbst.[10] Die praktische Umsetzung des Erfordernisses der Transparenz kann dabei insbesondere im Wege des Datenschutzes durch Technik[11] (data protection by design), durch datenschutzfreundliche Voreinstellungen[12] (data protection by default), durch besondere Zertifizierungsverfahren oder durch Datenschutzprüfzeichen erreicht werden.[13]
Vermeidung von Diskriminierung
Sofern es künstlicher Intelligenz ermöglicht wird eigenständige Deutungen und Entscheidungen vorzunehmen, hat der die KI einsetzende Unternehmer dafür Sorge zu tragen, dass daraus keine Diskriminierungen entstehen. Im Einsatzbereich von KI sind Diskriminierungen häufig erst auf dem zweiten Blick sichtbar: So kann eine Diskriminierung bereits entstehen, wenn die KI nur mit bestimmten Trainingsdaten gespeist wird, sodass ihre Entscheidungsfindung bereits vor Beginn der Verarbeitung diskriminierend indiziert wird (sog. Daten- Diskriminierung[14]). Weiter kann eine Diskriminierung vorliegen, wenn der eingesetzte Algorithmus voreingestellte Applikationen, wie beispielsweise das Geschlecht, benutzt (sog. Algorithmus- Diskriminierung[15]). Ein dritter Fall einer Diskriminierung kann auftreten, sofern die Programmierer, die die KI entwickeln, eine streng homogene Gruppe bilden. Hierdurch besteht die Gefahr, dass einzelne Minderheiten nicht repräsentiert werden, wodurch die KI von vorherein diskriminierend erschaffen wird (sog. Team-Diskriminierung[16]).Um der Gefahr vor einer derartigen Diskriminierung auf Betroffenenseite vorzubeugen, ist es erforderlich, dass Unternehmen, die KI einsetzten, diese mit einer quantitativ ausreichenden Menge an Daten versorgen und diese Daten zugleich in qualitativer Sicht so divers sind, dass die KI Sachverhalte vollumfänglich und diskriminierungsfrei erfassen kann.[17]
Ausblick
Aufgrund der vielfältigen Einsatzbereiche und der hohen Dynamik in der Forschung und Entwicklung von künstlicher Intelligenz ist eine abschließende rechtliche Einordnung derzeit (noch) nicht möglich. Allerdings ist bereits zu diesem Zeitpunkt die Tendenz erkennbar, dass die Datenschutzbehörden des Bundes und der Länder die datenschutzrechtlichen Pflichten, die die DSGVO für die Verarbeitung von (personenbezogenen) Daten vorsieht, auch vollumfänglich beim Einsatz komplexer KI- Systeme durchgreifen lassen werden. Daher erscheint es auf Unternehmerseite ratsam, bereits bei der Entwicklung von KI- Systemen darauf zu achten, dass sämtliche Prozesse transparent und nachvollziehbar aufgezeichnet werden, um späteren Beweispflichten nachkommen zu können.
[1] Deloitte, KI-Studie 2019: Wie nutzen Unternehmen Künstliche Intelligenz?, zuletzt abgerufen am 29.04.2019.
[2] Heinzelmann, Regulierungen für Künstliche Intelligenz in Europa, Haufe, 03.04.2019, zuletzt abgerufen am 30.04.2019.
[3] Deloitte, KI-Studie 2019: Wie nutzen Unternehmen Künstliche Intelligenz?, zuletzt abgerufen am 29.04.2019.
[4] Buchner, in: DS-GVO – BDSG, S. 514 Rn. 23.
[5] Buchner in: DS-GVO – BDSG, S. 512 Rn. 15.
[6] Herbst, in: DS-GVO – BDSG, S. 215 Rn. 8 ff.
[7] Vgl. Heckmann/Scheurer, in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 192 ff.
[8] Herbst, in: DS-GVO – BDSG, S. 218 f. Rn. 21 ff.
[9] Herbst, in: DS-GVO – BDSG, S. 217 f. Rn. 18 ff.
[10] BayLfD, 97. Hambacher Erklärung zur Künstlichen Intelligenz, zuletzt abgerufen am 29.04.2019.
[11] Vgl. Heckmann/Scheurer, in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 423 ff.
[12] Vgl. Heckmann/Scheurer in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 426 ff.
[13] Herbst, in: DS-GVO – BDSG, S. 218. Rn. 19.
[14] Zentrum für Digitalen Fortschritt, Der Einfluss Künstlicher Intelligenz auf Freiheit, Gerechtigkeit und Solidarität (PDF), zuletzt abgerufen am 29.04.2019.
[15] Zentrum für Digitalen Fortschritt, Der Einfluss Künstlicher Intelligenz auf Freiheit, Gerechtigkeit und Solidarität (PDF), zuletzt abgerufen am 29.04.2019.
[16] Zentrum für Digitalen Fortschritt, Der Einfluss Künstlicher Intelligenz auf Freiheit, Gerechtigkeit und Solidarität (PDF), zuletzt abgerufen am 29.04.2019.
[17] Zentrum für Digitalen Fortschritt, Der Einfluss Künstlicher Intelligenz auf Freiheit, Gerechtigkeit und Solidarität (PDF), zuletzt abgerufen am 29.04.2019.
