Künstliche Intelligenz
Kaum eine andere Technologie dürfte in der Gesellschaft so viele Hoffnungen, aber auch Ängste wecken: Die Rede ist von Künstlicher Intelligenz (KI). Aus unternehmerischer Sicht bietet Künstliche Intelligenz enorme Vorteile. So können Prozesse in der IT, im Vertrieb, im Kund:innenservice und bei der Herstellung von Produkten optimiert oder wirtschaftlicher gestaltet werden. Eine solche Prozessoptimierung durch KI bietet vor allem das Potenzial, Kosten einzusparen, Kapazitäten zu schaffen und damit mehr Umsatz zu generieren.
Mögliche Risiken und regulatorische Vorgaben bei der Nutzung von KI
Neben den zahlreichen Vorteilen birgt der Einsatz von KI aber immer auch Risiken für die Rechte und Freiheiten der von der automatisierten Verarbeitung betroffenen Personen. Eine Folge davon ist der strenge Umgang mit vollautomatisiert Entscheidungsprozessen durch die Datenschutz-Grundverordnung (DSGVO). Auch andere regulatorische Vorgaben wie die derzeit auf EU-Ebene verhandelte KI-Verordnung stellen Herausforderungen dar.
KI-Einführung in Ihrem Unternehmen: Unser Know-how für optimierte Prozesse und regulatorische Konformität
Wir unterstützen Unternehmen bei der Einführung und Nutzung von KI mit unserem umfassenden Know-how in diesem sich rasant entwickelnden Markt. Entdecken Sie das Potenzial von Künstlicher Intelligenz für Ihr Unternehmen und optimieren Sie Ihre Prozesse jetzt! Doch Vorsicht: Erfüllen Sie dabei auch alle regulatorischen Anforderungen? Wir unterstützen Sie dabei, eine erfolgreiche und rechtskonforme Umsetzung zu realisieren.
Wir beraten u.a. Unternehmen folgender Branchen zu KI-Fragen:
- E-Commerce
- FinTech
- Insurance
- Anbieter:innen von Kundenbindungssystemen
- Gaming-Anbieter:innen
- Mobilität
- Adtech
- Pharma & Health
- Finance
Rechtliche und technische Herausforderungen unserer Mandanten – unsere Lösungen
Wir zeigen Ihnen, welche Schritte Sie bei der Implementierung und Nutzung von KI gehen sollten. Und wie wir sie bei rechtlichen Fragestellungen unterstützen können, um insbesondere den Compliance-Aufwand zu verringern.
Was wollen Sie mit KI erreichen? Wo und wie soll sie eingesetzt werden? Sind diese Fragen geklärt, besprechen wir mit Ihnen die zu einem rechtskonformen Einsatz von KI nötigen Schritte.
Je nach Einsatzgebiet ergeben sich entsprechend unterschiedliche rechtliche Herausforderungen. So werden KI beispielsweise eingesetzt für:
- Profiling, Scoring
- Gesichtserkennung
- Chatbots, digitale Assistenten
- Autonomes Fahren
Big Data und maschinelles Lernen – die technische Umsetzung
Dreh- und Angelpunkt jeder KI sind die ihr zugrunde liegenden Algorithmen. So gibt Algorithmen, die es der KI ermöglichen, dazuzulernen und den ursprünglichen Algorithmus selbstständig weiterzuentwickeln. Hier betreten wir das Terrain des maschinellen Lernens. Aus Datenschutzsicht besonders relevant sind hier Deep Learning Systeme, die mit großen Datenmengen gespeist werden, sei es, um die Modelle zu trainieren oder sie auf großen Datenbasen anzuwenden. Diese Systeme lernen autonom und werden mit fortschreitendem Lernprozess für die Verantwortlichen zunehmend intransparent bzw. nicht mehr (vollständig) nachvollziehbar – man spricht von einer „Black Box“. Vor diesem Hintergrund müssen die Entwicklerinnen und Entwickler von KI neben den allgemeinen Datenschutzgrundsätzen insbesondere auch Art. 22 DSGVO berücksichtigen, der Personen, deren Daten verarbeitet werden, grundsätzlich das Recht einräumt, nicht einer automatisierten Entscheidung unterworfen zu werden.
Data Governance Anforderungen und Vorbereitungen für die KI-Verordnung
Da der „Input“ für KI-Systeme in Form von Daten maßgeblichen Einfluss auf die gesamte Funktionsweise hat, stellt die geplante KI-Verordnung darüber hinaus umfassende Anforderungen an die Data Governance. Auch wenn die Verordnung noch nicht in Kraft getreten ist, sind die zentralen Anforderungen bereits absehbar. Unternehmen sollten sich daher bereits jetzt auf die Verordnung vorbereiten. Hinsichtlich des Umgangs mit Daten ist zu beachten, dass beispielsweise KI mit hohem Risiko mit ausreichend repräsentativen, nachvollziehbaren und überprüfbaren Datensätzen trainiert und getestet werden muss. Da die KI-Verordnung einen risikobasierten Ansatz verfolgt, ist bereits bei der technischen Umsetzung auf die Begleitung durch ein Risikomanagementsystem zu achten.
Datenschutzrechtliches Auskunftsrecht und der Konflikt mit Geschäftsgeheimnissen
Zudem kommt auch das datenschutzrechtliche Auskunftsrecht des Art. 15 DSGVO ins Spiel. Denn dieses verlangt grundsätzlich, dass der Verantwortliche die betroffene Person umfassend und in klarer und verständlicher Sprache über die Verarbeitungszwecke und die verarbeiteten Daten, insbesondere aber auch über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung für die betroffene Person informiert. Die Erteilung einer solchen Auskunft ist aber grundsätzlich nur möglich, wenn die Datenverarbeitung für den Verantwortlichen auch nachvollziehbar ist. Auch diesbezüglich sieht die geplante KI-VO Verpflichtungen vor. KI-Systeme mit hohem Risiko sollen so konzipiert werden, dass ihr Betrieb hinreichend transparent ist. Entwickler von KI müssen also sicherstellen, dass Nutzer die Ergebnisse des Systems angemessen interpretieren und verwenden können. Verschärft wird der Konflikt zwischen Offenlegung und Intransparenz durch das Interesse von Unternehmen, Geschäftsgeheimnisse nicht preisgeben zu wollen. Schließlich können eigens entwickelte Algorithmen einen Wettbewerbsvorteil darstellen. Hierzu äußert sich die Datenschutz-Grundverordnung in ihrem Erwägungsgrund 63 Satz 5 dahingehend, dass das Auskunftsrecht die Rechte und Freiheiten anderer Personen, zu denen auch Geschäftsgeheimnisse gehören, nicht beeinträchtigen darf.
Rechtzeitig pseudonymisieren oder anonymisieren – Compliance-Aufwand minimieren!
Der Aufwand, der sich aus den Anforderungen der DSGVO aus Compliance-Sicht ergibt, steht in direktem Zusammenhang mit dem Risiko, das von einer Verarbeitung ausgeht. Maßnahmen, die sich risikomindernd auswirken, werden von der DSGVO regelmäßig honoriert. Eine Pseudonymisierung personenbezogener Daten führt beispielsweise zu einer aus Sicht des Verantwortlichen günstigeren Interessenabwägung im Sinne des Art. 6 Abs. 1 lit. f DSGVO, zu einer mit dem ursprünglichen Verarbeitungszweck besser zu vereinbarenden Weiterverarbeitung sowie zu einer leichteren Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Nicht zuletzt kann sich der Verantwortliche ggf. auf die Ausnahmeregelung des Art. 11 Abs. 2 DSGVO berufen. Vor dem Hintergrund der umfassenden Betroffenenrechte ist dies ein wünschenswerter Weg.
Anonymisierung und Pseudonymisierung personenbezogener Daten zur Vermeidung der DSGVO-Anforderungen
Bestenfalls sollte jedoch eine Anonymisierung aller relevanten personenbezogenen Daten erfolgen, um den Anwendungsbereich der DSGVO zu verlassen. Eine Pseudonymisierung oder Anonymisierung personenbezogener Daten sollte zudem bereits in der Speicherumgebung der Rohdaten und damit vor der Übertragung in die Machine-Learning-Umgebung erfolgen.
Wir unterstützen Sie bei der datenschutzkonformen Umsetzung von Anonymisierungs- und Pseudonymisierungsmaßnahmen sowie bei der Durchführung einer Datenschutz-Folgenabschätzung.
Datenschutz-Folgenabschätzung als Vorkehrung für datenschutzkonforme KI-Anwendungen gemäß DSGVO
Kann der Anwendungsbereich der DSGVO nicht verlassen werden, ist im Bereich der Künstlichen Intelligenz erfahrungsgemäß eine Datenschutz-Folgenabschätzung erforderlich. Diese bietet den großen Vorteil, dass datenschutzrechtliche Aspekte bereits in der Planungsphase eines Machine-Learning-Projekts berücksichtigt werden können. Auf diese Weise kann der Verantwortliche die Vorgaben des Art. 25 DSGVO, nämlich den Datenschutz durch Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“), zielgerichteter umsetzen.
Unterstützung bei der Umsetzung der geplanten KI-Verordnung und der Einordnung von KI-Anwendungen in Risikoklassen
Hier profitieren unsere Mandanten von unseren Erfahrungen, die in die Konzeption einer KI-Anwendung einfließen können. In dem Zusammenhang bietet sich auch die Gelegenheit, die umfangreichen Herausforderungen der geplanten KI-Verordnung mit umzusetzen. Dabei ist zunächst zu klären, ob die eigenen Algorithmen überhaupt von der Verordnung erfasst werden. Anschließend ist eine Einordnung in die verschiedenen Risikoklassen der Verordnung vorzunehmen. Daraus ergeben sich sodann die Anforderungen an die entsprechenden KI-Systeme. Insbesondere wenn es sich um sogenannte Hochrisiko-KI handelt, wird die KI-VO mit einem umfangreichen Pflichtenkatalog aufwarten. Bei der Umsetzung dieser wird es sich lohnen, auf die Expertise aus dem Datenschutzrecht zurückzugreifen. In weiten Teilen werden sich die Herausforderungen der KI-VO auch in Synergie mit denen der DSGVO realisieren lassen. Die Datenschutz-Folgenabschätzung bietet eine Plattform, um einigen Regelungen des künftigen KI-Gesetzes gerecht zu werden. Mit der richtigen Vorbereitung wird die Umsetzung der KI-Verordnung gelingen, dabei unterstützen wir Sie gerne.
Dokumentations- und Rechenschaftspflichten gemäß DSGVO für KI-Systeme
Zu den Grundsätzen der DSGVO gehören umfangreiche Dokumentations- und Rechenschaftspflichten. Die Erfüllung dieser Pflichten setzt ein gewisses Verständnis des verwendeten Algorithmus voraus. Die Gewichtungen der Kriterien, nach denen die KI lernt und entscheidet, müssen ebenso dokumentiert werden wie die Auswirkungen verschiedener Korrelationen auf die Ergebnisse.
Daher ist es notwendig, dass Änderungen der Gewichtungen, die sich aus dem Selbstlernprozess der KI ergeben, erkannt werden können (technisches Monitoring). Diese Verpflichtung kann und sollte u.E. vom jeweiligen Unternehmen auch als Chance gesehen und genutzt werden, um die Kontrolle über Entscheidungen von operativer Bedeutung zu behalten.
Black-Box-Tinkering als Möglichkeit zur Nachvollziehbarkeit von Entscheidungsprozessen in KI-Systemen
Eine weitere Möglichkeit, Entscheidungsprozesse besser nachvollziehen und dokumentieren zu können, bietet das sogenannte „Blackbox-Tinkering“ (operatives Monitoring). Hierbei lässt man den Algorithmus Rohdatensätze verarbeiten, die nur in einem Kriterium verändert wurden und vergleicht das ausgegebene Ergebnis mit den Ergebnissen, die auf den Originaldatensätzen basieren. Diese Art des Monitorings erlaubt Rückschlüsse auf die Auswirkungen einzelner Kriterien oder Kombinationen mehrerer Kriterien und ermöglicht es den Verantwortlichen, die Logik der KI besser zu verstehen und zu dokumentieren.
Anforderungen der geplanten KI-Verordnung an technische und organisatorische Maßnahmen für KI-Systeme
Auch die geplante KI-Verordnung stellt hohe Anforderungen an Nutzer und Entwickler von KI-Systemen, wenn es um die Einhaltung technischer und organisatorischer Maßnahmen geht. Die Ansätze unterscheiden sich dabei hinsichtlich der Risikogruppen. Diese reichen von Systemen, die grundsätzlich verboten sind, über Systeme mit hohem Risiko, für die umfangreiche Pflichten hinsichtlich Dokumentation, Designentscheidungen und Re-Evaluation gelten, bis hin zu Systemen mit minimalem und geringem Risiko, für die vereinfachte Regelungen gelten. Wir unterstützen Sie bei der Qualifizierung Ihres Systems und beim Aufbau eines entsprechenden umfassenden Risikomanagementsystems.
Weitere datenschutzrechtliche Problemfelder:
- Recht auf Löschung
- Recht auf Datenübertragbarkeit
- Verantwortungsteilung (Hersteller eines Algorithmus stellt diesen einem Dritten zur Verfügung)
- Unsere Soft Skills: Vertragsverhandlungen mit Dienstleistern
Bei der KI-Einführung nicht in die Abhängigkeit von Dienstleistern geraten
Unternehmen, die erstmals mit künstlicher Intelligenz arbeiten wollen, greifen gerne auf Dienstleister zurück, die die notwendigen Technologien bereitstellen. Hier besteht die Gefahr, dass sich diese Unternehmen stark von den Dienstleistern abhängig machen und dadurch für die Zukunft benachteiligt werden. Auch der Datenaustausch über den Europäischen Wirtschaftsraum hinaus muss rechtlich geprüft werden. Wir beraten unsere Mandanten auch bei der Auswahl der Dienstleister und führen die mitunter schwierigen, aber notwendigen Vertragsverhandlungen.
Besonderes Problem: Offenlegung des Algorithmus
Eine besondere Herausforderung stellt das Spannungsfeld zwischen der Pflicht zur Offenlegung der „involvierten Logik“ und der Vermeidung der Verletzung von Geschäftsgeheimnissen dar. Denn Algorithmen sind in der Regel schützenswertes geistiges Eigentum. Die Formulierung in Erwägungsgrund 63 Satz 5 DSGVO („sollte nicht beeinträchtigt werden“) macht deutlich, dass nicht von vornherein jede Auskunft mit pauschalem Verweis auf das Geschäftsgeheimnis verweigert werden darf. Vielmehr ist eine Abwägung zwischen dem Geheimhaltungsinteresse des Verantwortlichen und dem Auskunftsinteresse des Betroffenen vorzunehmen.
DSGVO-Lücken bei KI-Entscheidungen: Mangelnde Nachvollziehbarkeit bleibt ein Problem für Betroffene
Fällt die Abwägung zugunsten des Betroffenen aus, bleibt das Problem der mangelnden Nachvollziehbarkeit von KI-Anwendungen, die selbstständig neue Algorithmen schreiben – Ein Problem, das in der DSGVO nicht explizit geregelt ist. Letztlich dürfte es angebracht sein, dem Betroffenen in einfacher und klarer Sprache zu erklären, wie die Technologie rund um den Algorithmus und dessen Entscheidungsfindung funktioniert – man denke hier an die oben dargestellte technische und operative Überwachung.
Handlungsempfehlungen
- Berücksichtigung rechtlicher Aspekte bei der Konzeption einer KI
- Machine-Learning-Entwicklungsumgebung ohne personenbezogene Daten
- Regelmäßiges Monitoring und Evaluation der Entscheidungen
- Nachhaltiges Datennutzungs- und Datenschutzkonzept sowie Risikomanagementsystem
Entdecken Sie das Potenzial von Künstlicher Intelligenz für Ihr Unternehmen und optimieren Sie Ihre Prozesse jetzt! Wir unterstützen Sie bei der datenschutzkonformen Umsetzung und Compliance.
Künstliche Intelligenz und Datenschutz sind kein Widerspruch! Sie haben Fragen zu diesem Thema? Unsere Fachanwält:innen helfen Ihnen gerne weiter.