Künstliche Intelligenz vs Datenschutz

Sep 22, 2021

 

Künstliche Intelligenz (KI) ist auf dem Vormarsch. Sie begegnet uns bereits in vielen Anwendungen – auch wenn wir es nicht immer wissen. So wird KI beispielsweise eingesetzt für Profiling, Scoring, Gesichtserkennung, Chatbots und autonomes Fahren. Im Medizinalbereich wird KI unter anderem eingesetzt zum Diagnostizieren von Krankheiten, Medikamente zu entwickeln, Behandlungen zu personalisieren und Gene zu editieren.

 

KI und die Bearbeitung von Personendaten

KI basiert auf Algorithmen, die aus gigantischen Datensätzen Regeln ableiten oder Muster erkennen. Dadurch lernt der Computer, eigenständig Lösungen für unbekannte Probleme zu finden, ohne vorher dafür programmiert worden zu sein.

Neben den Benutzerinformationen (bspw. Namen, Alter und E-Mail) werden zumeist auch die Meta- und Hintergrunddaten (Standortdaten, der Suchverlauf und persönliche Vorlieben) erfasst. Oft werden auch biometrische Daten, etwa die Stimme, Gesichtsmuster (die Iris), die Körpergestalt, die Herkunft, die Gesundheit oder Angaben über in der Zukunft liegende Verhältnisse zu betroffenen Personen analysiert.

Beim Einsatz von KI-Anwendungen ist deshalb dem Datenschutz angemessen Rechnung zu tragen. Denn die Rechtsposition des Einzelnen und dessen Kontrolle über seine Personendaten darf in der zunehmenden Verkettung von intelligenten Systemen und neuronalen Netzen nicht an Bedeutung verlieren.

 

KI stellt das Konzept des Datenschutzes vor grosse Herausforderungen

Die datenschutzrechtlichen Bearbeitungsgrundsätze stehen jedoch der Strategie der KI in manchen Aspekten entgegen: Welche Zweckbindung soll die KI erfüllen? Wie soll eine transparente Bearbeitung der Personendaten erfolgen? Wie soll der Grundsatz der Datenminimierung beim Einsatz von KI funktionieren? Die Zwecke der Datenverarbeitung sind eindeutig und eng zu definieren und dem Nutzer in verständlicher Weise darzulegen. Sie gilt auch bei der Weiterverarbeitung. Zudem sind  Löschroutinen gefordert, die in regelmässigen Abständen greifen und eine endlose Datenbank verhindern.

Häufig werden die Personendaten direkt beim Betroffenen erhoben und an die Hersteller oder Betreiber als verantwortliche Stelle übermittelt. Hier stellt sich die Frage nach der datenschutzrechtlichen Rechtmässigkeit der Übermittlung, da viele dieser Betreiber ihren Sitz in einem Land haben, welches keinen angemessenen Schutz der Daten gewährleistet.

Betroffenenrechte können oftmals auch nicht sachgerecht bearbeitet werden, da die Daten nicht mehr zu finden sind oder erst gar nicht erreichbar sind. Hier muss der Verantwortliche der betroffenen Person gegenüber darlegen können, dass er nicht in der Lage ist, diese zu identifizieren bzw. ihr entsprechende Datensätze eindeutig zuzuordnen.

A propos datenschutzrechtliche Verantwortlichkeit, wer ist Verantwortlicher für die KI-Anwendung, den Käufer/Nutzer, den Betreiber, den Hersteller? Vermutlich dürfte hier von einer geteilten Verantwortlichkeit ausgegangen werden.

Auch die regelmässig geforderte Datenschutz-Folgeabschätzung kann nicht adäquat durchgeführt werden; da es sich bei der KI um ein selbstlernendes System handelt, ist der Algorithmus für seine Entwickler nicht mehr nachzuvollziehen und trifft eigene Entscheidungen («Blackbox KI»).

Dennoch kann KI für den Datenschutz auch eine Chance bieten, gewisse datenschutzrechtliche Pflichten lassen sich sogar einfacher umsetzen mit KI als ohne. Untersuchungen zufolge sind 44 % der Unternehmen nicht in der Lage, ein Datenleck innerhalb der nach EU-Datenschutz-Grundverordnung (DSGVO) vorgesehenen Frist von 72 Stunden zu erkennen und Datenschutzverletzungen zu melden. Hier kann KI helfen.

 

Neuer Rechtsrahmen für KI in der EU

Die EU-Kommission hat im April 2021 einen Entwurf für eine umfassende Regulierung zu KI veröffentlicht. Das Verordnungsprojekt schliesst konzeptionell an die DSGVO an und will sowohl die öffentlichen Stellen wie die privaten nach dem Marktortprinzip, allenfalls weltweit, unmittelbar verpflichten.

Je nach Anwendung und Einsatz werden verschiedene Risikoklassen definiert und mit entsprechenden Verpflichtungen kombiniert. Unterschieden wird dabei zwischen:

  • Verbotene KI-Anwendungen (Social Scoring, die Ausnutzung der Schutzbedürftigkeit von Kindern, den Einsatz von Techniken zur unterschwelligen Beeinflussung und – mit eng gefassten Ausnahmen – biometrische Echtzeit-Fernidentifizierungssysteme, die zu Strafverfolgungszwecken im öffentlich zugänglichen Raum eingesetzt werden)
  • Anwendungen mit hohem Risiko (z.B. kritische Infrastrukturen, Schul- oder Berufsausbildung, roboterassistierte Chirurgie)
  • Anwendungen mit geringem Risiko (z.B. Chatbots)
  • Anwendungen mit minimalem Risiko (z.B. Videospiele, Spamfilter)

Wie schon aus der DSGVO bekannt ist, sieht auch dieser Verordnungsvorschlag eine Liste hoher Bussgelder für Verstse vor. So wäre die Anwendung einer verbotenen KI mit Geldstrafen bis EUR 30 Millionen oder 6% des weltweiten Jahresumsatzes bedroht, die Nichteinhaltung von den übrigen Anforderungen an die KI-Systeme mit einer Geldbuße bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes.

 

Fazit

KI ist ein wichtiges Zukunftsprojekt, welches heute kaum noch infrage gestellt wird. KI benötigt eine grosse Anzahl von Daten und läuft somit datenschutzrechtlichen Grundsätzen zuwider. Generell ist das Recht der informationellen Selbstbestimmung gefährdet.

Aufgabe des Datenschutzes ist es, die Persönlichkeit der betroffenen Personen trotz neuer Technologie und undurchsichtiger Prozesse zu schützen. Es wird sich zeigen, wie sich der Datenschutz trotz KI in der Zukunft sicherstellen lässt.

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.