Der Einsatz künstlicher Intelligenz (KI) bietet neben der Schaffung neuer Wertschöpfungsketten in der Wirtschaft und der Gesellschaft auch das Potential interne und externe Prozesse in weiten Teilen aller Unternehmensbereiche neu zu gestalten. 1 ...continue Im Rahmen dieser Prozesse werden täglich große Mengen an personenbezogenen Daten verarbeitet, ohne dass hinreichende Vorkehrungen getroffen werden, um diese ausreichend zu schützen. Aufgrund dieses Umstands haben die Datenschutzaufsichtsbehörden des Bundes und der Länder auf ihrer 97. Konferenz, am 03. und 04. April 2019, die sog. „Hambacher Erklärung“ zum Thema – datenschutzrechtliche Anforderungen beim Einsatz von künstlicher Intelligenz – verfasst.

A. Was bedeutet künstliche Intelligenz?

Der Begriff der künstlichen Intelligenz wird im allgemeinen Sprachgebrauch häufig inflationär gebraucht. So stellen einfache Bilderkennungssoftwares und Chatrobots, die lediglich die Auswertung von Daten vornehmen noch keine KI dar. Hierzu bedarf es vielmehr der eigenen Lernfähigkeit des Systems oder der eigenständigen Weiterentwicklung durch das System selbst. 2https://www.haufe.de/compliance/management-praxis/kuenstliche-intelligenz-datenschutz-in-gefahr_230130_468218.html zuletzt abgerufen am 30.04.2019. Derzeit kommen in deutschen Unternehmen nahezu alle Arten von KI- Technologie zum Einsatz, wie zum Beispiel regelbasierte Systeme, Process Robotics, Natural Language Processing und Machine Learning. 3 ...continue Demnach erscheint eine Einordnung dieser Technologie in das geltende Recht sinnvoll und notwendig.

B. Welche datenschutzrechtlichen Anforderungen gelten?

Aufgrund der vielfältigen Einsatzmöglichkeiten von künstlicher Intelligenz sind umfassende rechtliche Regelungen nötig. Diese finden sich seit dem 25.05.18 in der Datenschutz- Grundverordnung (DS-GVO).

a. Keine „Verobjektivierung“ des Betroffenen

Eine grundlegende Voraussetzung für den legalen Einsatz von künstlicher Intelligenz in einem Unternehmen ist, dass diese keine reine „Verobjektivierung“ des betroffenen Menschen bezwecken darf. Hierzu sieht Art. 22 Abs. 1 DS-GVO vor, dass eine Entscheidung, die gegenüber dem Betroffenen rechtliche Wirkung entfaltet, nicht ausschließlich auf einer automatisierten Verarbeitung oder auf Profiling beruhen darf. 4Buchner in: DS-GVO – BDSG, S. 514 Rn. 23. Unter den Begriff der Verarbeitung fällt nach Art. 4 Nr. 2 DS-GVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Ordnen, Speichern, Verändern, Auslesen etc. Zu beachten ist dabei allerdings, dass erst ein Verstoß gegen Art. 22 Abs. 1 DS-GVO vorliegt, wenn die automatisierte Verarbeitung die alleinige Grundlage für die Entscheidung darstellt. Sofern es sich im Ergebnis nur um eine programmunterstützte Entscheidung handelt, ist dies aus Unternehmersicht unbedenklich. Gleiches gilt, soweit es sich lediglich um eine Entscheidung formaler Art handelt und nicht um eine Entscheidung inhaltlicher Art, bei der es für die Zurechnung der Verantwortlichkeit einer natürlichen Person bedarf. 5Buchner in: DS-GVO – BDSG, S. 512 Rn. 15. Zudem sind an dieser Stelle die Ausnahmen des Art. 22 Abs. 2, Abs. 3 DS-GVO zu beachten, die das Verbot einer automatisierten Entscheidung weiter relativieren.

b. Prinzip der Zweckbindung

In den Fällen, in welchen der Schutzbereich des Art. 22 DS-GVO nicht eröffnet ist, sind jedoch die allgemein für die Verarbeitung von personenbezogenen Daten geltenden Grundsätze zu beachten. So postuliert Art. 5 Abs. 1 lit. A DS-GVO, dass die Datenverarbeitung rechtmäßig geschehen muss. Eine rechtmäßige Datenverarbeitung liegt vor, wenn der Betroffene in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat oder wenn für die Verarbeitung eine anderweite Rechtsgrundlage, beispielsweise ein Vertrag, vorhanden ist. 6Herbst in: DS-GVO – BDSG, S. 215 Rn. 8 ff. Weiter ist der Verarbeiter an das Prinzip der Zweckbindung gebunden. Danach ist schon bei Erhebung der personenbezogenen Daten der Zweck festzulegen, zu dem die Daten später gebraucht werden sollen. 7Vgl. Heckmann/ Scheurer in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 192 ff. Hierdurch sollen zum einen die Verarbeitungsmöglichkeiten begrenzt werden und zum anderen auch andere Akteure, die diese Daten ebenfalls verarbeiten möchten, an diesen Zweck gebunden werden. 8Herbst in: DS-GVO – BDSG, S. 218 f. Rn. 21 ff. Dieses Prinzip wird zusätzlich durch den Grundsatz der Datenminimierung und den Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. c und lit. e DS-GVO abgesichert.

c. Transparenz und Nachvollziehbarkeit der Verarbeitung

Der Unternehmer ist beim Einsatz künstlicher Intelligenz weiterhin dazu verpflichtet (Art. 5 Abs. 2 DS-GVO) eine heimliche Verarbeitung von personenbezogenen Daten zu unterlassen und dem Betroffenen über die Verarbeitung umfassende Informationen bereit zu stellen. 9Herbst in: DS-GVO – BDSG, S. 217 f. Rn. 18 ff. Dieses Erfordernis der transparenten Verarbeitung i.S.v. Art. 12 i.V.m. 5 Abs. 1 lit. a DS-GVO verlangt, dass Entscheidungen, die von der KI getroffen werden, nachvollziehbar und erklärbar sein müssen. Hierzu ist erforderlich, dass bereits das Zustandekommen der Entscheidung, sprich die einzelnen Prozesse, die zum Ergebnis führen, erklärbar und nachvollziehbar dargestellt werden und nicht nur das konkrete Ergebnis selbst. 10https://www.datenschutz-bayern.de/dsbk-ent/DSK_97-Hambacher_Erklaerung.html zuletzt abgerufen am 29.04.2019. Die praktische Umsetzung des Erfordernisses der Transparenz kann dabei insbesondere im Wege des Datenschutzes durch Technik 11Vgl. Heckmann/ Scheurer in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 423 ff. (data protection by design), durch datenschutzfreundliche Voreinstellungen 12Vgl. Heckmann/ Scheurer in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 426 ff. (data protection by default), durch besondere Zertifizierungsverfahren oder durch Datenschutzprüfzeichen erreicht werden. 13Herbst in: DS-GVO – BDSG, S. 218. Rn. 19.

d. Vermeidung von Diskriminierung

Sofern es künstlicher Intelligenz ermöglicht wird eigenständige Deutungen und Entscheidungen vorzunehmen, hat der die KI einsetzende Unternehmer dafür Sorge zu tragen, dass daraus keine Diskriminierungen entstehen. Im Einsatzbereich von KI sind Diskriminierungen häufig erst auf dem zweiten Blick sichtbar: So kann eine Diskriminierung bereits entstehen, wenn die KI nur mit bestimmten Trainingsdaten gespeist wird, sodass ihre Entscheidungsfindung bereits vor Beginn der Verarbeitung diskriminierend indiziert wird (sog. Daten- Diskriminierung 14https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019. ). Weiter kann eine Diskriminierung vorliegen, wenn der eingesetzte Algorithmus voreingestellte Applikationen, wie beispielsweise das Geschlecht, benutzt (sog. Algorithmus- Diskriminierung 15https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019. ). Ein dritter Fall einer Diskriminierung kann auftreten, sofern die Programmierer, die die KI entwickeln, eine streng homogene Gruppe bilden. Hierdurch besteht die Gefahr, dass einzelne Minderheiten nicht repräsentiert werden, wodurch die KI von vorherein diskriminierend erschaffen wird (sog. Team- Diskriminierung 16https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019. ). Um der Gefahr vor einer derartigen Diskriminierung auf Betroffenenseite vorzubeugen, ist es erforderlich, dass Unternehmen, die KI einsetzten, diese mit einer quantitativ ausreichenden Menge an Daten versorgen und diese Daten zugleich in qualitativer Sicht so divers sind, dass die KI Sachverhalte vollumfänglich und diskriminierungsfrei erfassen kann. 17https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019.

C. Ausblick

Aufgrund der vielfältigen Einsatzbereiche und der hohen Dynamik in der Forschung und Entwicklung von künstlicher Intelligenz ist eine abschließende rechtliche Einordnung derzeit (noch) nicht möglich. Allerdings ist bereits zu diesem Zeitpunkt die Tendenz erkennbar, dass die Datenschutzbehörden des Bundes und der Länder die datenschutzrechtlichen Pflichten, die die DS- GVO für die Verarbeitung von (personenbezogenen) Daten vorsieht, auch vollumfänglich beim Einsatz komplexer KI- Systeme durchgreifen lassen werden. Daher erscheint es auf Unternehmerseite ratsam, bereits bei der Entwicklung von KI- Systemen darauf zu achten, dass sämtliche Prozesse transparent und nachvollziehbar aufgezeichnet werden, um späteren Beweispflichten nachkommen zu können.

Referenzen   [ + ]

1. https://www2.deloitte.com/de/de/pages/technology-media-and-telecommunications/articles/ki-studie-2019.html?id=de:2ps:3gl:eng_sa:kistudie2019&gclid=EAIaIQobChMItajPgpbm4QIVD-R3Ch0KFwwMEAMYAyAAEgI6tPD_BwE zuletzt abgerufen am 29.04.2019.
2. https://www.haufe.de/compliance/management-praxis/kuenstliche-intelligenz-datenschutz-in-gefahr_230130_468218.html zuletzt abgerufen am 30.04.2019.
3. https://www2.deloitte.com/de/de/pages/technology-media-and-telecommunications/articles/ki-studie-2019.html?id=de:2ps:3gl:eng_sa:kistudie2019&gclid=EAIaIQobChMItajPgpbm4QIVD-R3Ch0KFwwMEAMYAyAAEgI6tPD_BwE# zuletzt abgerufen am 30.04.2019.
4. Buchner in: DS-GVO – BDSG, S. 514 Rn. 23.
5. Buchner in: DS-GVO – BDSG, S. 512 Rn. 15.
6. Herbst in: DS-GVO – BDSG, S. 215 Rn. 8 ff.
7. Vgl. Heckmann/ Scheurer in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 192 ff.
8. Herbst in: DS-GVO – BDSG, S. 218 f. Rn. 21 ff.
9. Herbst in: DS-GVO – BDSG, S. 217 f. Rn. 18 ff.
10. https://www.datenschutz-bayern.de/dsbk-ent/DSK_97-Hambacher_Erklaerung.html zuletzt abgerufen am 29.04.2019.
11. Vgl. Heckmann/ Scheurer in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 423 ff.
12. Vgl. Heckmann/ Scheurer in: Heckmann, JurisPK- Internetrecht, Kapitel 9 Rn. 426 ff.
13. Herbst in: DS-GVO – BDSG, S. 218. Rn. 19.
14. https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019.
15. https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019.
16. https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019.
17. https://d-64.org/wp-content/uploads/2018/11/D64-Grundwerte-KI.pdf zuletzt abgerufen am 29.04.2019.