Künstliche Intelligenz (KI) ist auf dem Vormarsch. Sie begegnet uns bereits in vielen Anwendungen – auch wenn wir es nicht immer wissen. So wird KI beispielsweise eingesetzt für Profiling, Scoring, Gesichtserkennung, Chatbots und autonomes Fahren. Im Medizinalbereich wird KI unter anderem eingesetzt zum Diagnostizieren von Krankheiten, Medikamente zu entwickeln, Behandlungen zu personalisieren und Gene zu editieren.
KI und die Bearbeitung von Personendaten
KI basiert auf Algorithmen, die aus gigantischen Datensätzen Regeln ableiten oder Muster erkennen. Dadurch lernt der Computer, eigenständig Lösungen für unbekannte Probleme zu finden, ohne vorher dafür programmiert worden zu sein.
Neben den Benutzerinformationen (bspw. Namen, Alter und E-Mail) werden zumeist auch die Meta- und Hintergrunddaten (Standortdaten, der Suchverlauf und persönliche Vorlieben) erfasst. Oft werden auch biometrische Daten, etwa die Stimme, Gesichtsmuster (die Iris), die Körpergestalt, die Herkunft, die Gesundheit oder Angaben über in der Zukunft liegende Verhältnisse zu betroffenen Personen analysiert.
Beim Einsatz von KI-Anwendungen ist deshalb dem Datenschutz angemessen Rechnung zu tragen. Denn die Rechtsposition des Einzelnen und dessen Kontrolle über seine Personendaten darf in der zunehmenden Verkettung von intelligenten Systemen und neuronalen Netzen nicht an Bedeutung verlieren.
KI stellt das Konzept des Datenschutzes vor grosse Herausforderungen
Die datenschutzrechtlichen Bearbeitungsgrundsätze stehen jedoch der Strategie der KI in manchen Aspekten entgegen: Welche Zweckbindung soll die KI erfüllen? Wie soll eine transparente Bearbeitung der Personendaten erfolgen? Wie soll der Grundsatz der Datenminimierung beim Einsatz von KI funktionieren? Die Zwecke der Datenverarbeitung sind eindeutig und eng zu definieren und dem Nutzer in verständlicher Weise darzulegen. Sie gilt auch bei der Weiterverarbeitung. Zudem sind Löschroutinen gefordert, die in regelmässigen Abständen greifen und eine endlose Datenbank verhindern.
Häufig werden die Personendaten direkt beim Betroffenen erhoben und an die Hersteller oder Betreiber als verantwortliche Stelle übermittelt. Hier stellt sich die Frage nach der datenschutzrechtlichen Rechtmässigkeit der Übermittlung, da viele dieser Betreiber ihren Sitz in einem Land haben, welches keinen angemessenen Schutz der Daten gewährleistet.
Betroffenenrechte können oftmals auch nicht sachgerecht bearbeitet werden, da die Daten nicht mehr zu finden sind oder erst gar nicht erreichbar sind. Hier muss der Verantwortliche der betroffenen Person gegenüber darlegen können, dass er nicht in der Lage ist, diese zu identifizieren bzw. ihr entsprechende Datensätze eindeutig zuzuordnen.
A propos datenschutzrechtliche Verantwortlichkeit, wer ist Verantwortlicher für die KI-Anwendung, den Käufer/Nutzer, den Betreiber, den Hersteller? Vermutlich dürfte hier von einer geteilten Verantwortlichkeit ausgegangen werden.
Auch die regelmässig geforderte Datenschutz-Folgeabschätzung kann nicht adäquat durchgeführt werden; da es sich bei der KI um ein selbstlernendes System handelt, ist der Algorithmus für seine Entwickler nicht mehr nachzuvollziehen und trifft eigene Entscheidungen («Blackbox KI»).
Dennoch kann KI für den Datenschutz auch eine Chance bieten, gewisse datenschutzrechtliche Pflichten lassen sich sogar einfacher umsetzen mit KI als ohne. Untersuchungen zufolge sind 44 % der Unternehmen nicht in der Lage, ein Datenleck innerhalb der nach EU-Datenschutz-Grundverordnung (DSGVO) vorgesehenen Frist von 72 Stunden zu erkennen und Datenschutzverletzungen zu melden. Hier kann KI helfen.
Neuer Rechtsrahmen für KI in der EU
Die EU-Kommission hat im April 2021 einen Entwurf für eine umfassende Regulierung zu KI veröffentlicht. Das Verordnungsprojekt schliesst konzeptionell an die DSGVO an und will sowohl die öffentlichen Stellen wie die privaten nach dem Marktortprinzip, allenfalls weltweit, unmittelbar verpflichten.
Je nach Anwendung und Einsatz werden verschiedene Risikoklassen definiert und mit entsprechenden Verpflichtungen kombiniert. Unterschieden wird dabei zwischen:
- Verbotene KI-Anwendungen (Social Scoring, die Ausnutzung der Schutzbedürftigkeit von Kindern, den Einsatz von Techniken zur unterschwelligen Beeinflussung und – mit eng gefassten Ausnahmen – biometrische Echtzeit-Fernidentifizierungssysteme, die zu Strafverfolgungszwecken im öffentlich zugänglichen Raum eingesetzt werden)
- Anwendungen mit hohem Risiko (z.B. kritische Infrastrukturen, Schul- oder Berufsausbildung, roboterassistierte Chirurgie)
- Anwendungen mit geringem Risiko (z.B. Chatbots)
- Anwendungen mit minimalem Risiko (z.B. Videospiele, Spamfilter)
Wie schon aus der DSGVO bekannt ist, sieht auch dieser Verordnungsvorschlag eine Liste hoher Bussgelder für Verstse vor. So wäre die Anwendung einer verbotenen KI mit Geldstrafen bis EUR 30 Millionen oder 6% des weltweiten Jahresumsatzes bedroht, die Nichteinhaltung von den übrigen Anforderungen an die KI-Systeme mit einer Geldbuße bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes.
Fazit
KI ist ein wichtiges Zukunftsprojekt, welches heute kaum noch infrage gestellt wird. KI benötigt eine grosse Anzahl von Daten und läuft somit datenschutzrechtlichen Grundsätzen zuwider. Generell ist das Recht der informationellen Selbstbestimmung gefährdet.
Aufgabe des Datenschutzes ist es, die Persönlichkeit der betroffenen Personen trotz neuer Technologie und undurchsichtiger Prozesse zu schützen. Es wird sich zeigen, wie sich der Datenschutz trotz KI in der Zukunft sicherstellen lässt.