Schlagwort: Künstliche Intelligenz

Lassen sich künstliche Intelligenz (KI) und die DSGVO miteinander vereinbaren?

30. Juni 2022

Was ist KI im rechtlichen Sinne ?

Bisher gibt es keine allgemeine anerkannte Definition für KI. Die Bundesregierung versteht unter KI „ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst. Dabei geht es darum, technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können“ (BT-Drs. 19/1982, S. 2). Ähnlich wird dies von der EU-Kommission gesehen. Danach bezeichnet KI „Systeme mit einem ,intelligenten‘ Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (COM(2018) 237, S. 1). 

Die DSGVO spricht an keiner Stelle ausdrücklich von KI,  jedoch ist Erwägungsgrund 15 DSGVO zu entnehmen, dass der Schutz natürlicher Personen technologieneutral und unabhängig von einer verwendeten Technologie sein soll. KI-Systeme als Technologie sind für deren Funktionieren auf die zugeführten Daten angewiesen. Die DSGVO ist einschlägig, sobald diese Daten personenbezogen sind. Von datenschutzrechtlicher Bedeutung ist demnach die Verarbeitung personenbezogener Daten zum Zweck des Trainings und der Erzeugung einer KI-Anwendung. Daneben ist die Anwendung einer bereits trainierten KI auf einen gewissen Sachverhalt relevant. Die KI könne dabei helfen, einige der größten Herausforderungen besser zu bewältigen, dabei müsse aber immer sichergestellt sein, dass Persönlichkeitsrechte, das Recht auf informationelle Selbstbestimmung und andere Grundrechte nicht verletzt würden.

Verarbeitungen personenbezogener Daten durch die KI müssen auf jeden Fall den in Art. 5 Abs. 1 DSGVO entsprechenden Datenschutzgrundprinzipien entsprechen, und somit insbesondere einen legitimen Zweck verfolgen, außerdem auf einer Rechtsgrundlage beruhen und zudem transparent ausgestaltet sein.

Ist bei der Anwendung von künstlicher Intelligenz eine Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO ist die Prüfung einer oder mehrerer Verarbeitungstätigkeiten, die einer Risikoanalyse unterzogen werden. Die DSFA ist also ein zentrales Instrument, welches seinen Zweck darin hat, zu prüfen, ob der Einsatz von KI für eine Verarbeitungstätigkeit auch geeignet ist.

Vorab muss jedoch eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 S. 1 DSGVO durchgeführt werden. Es geht darum, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Weitere Anhaltspunkte ergeben sich zudem aus Erwägungsgrund 91 S. 1 DSGVO, wonach bei Verarbeitungsvorgängen von großen Mengen personenbezogener Daten ein Bedürfnis nach einer DSFA besteht.

Wird KI auf Grundlage personenbezogener Daten angewendet, ist damit in der Regel eine DSFA durchzuführen. Dafür spricht auch das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO, das u.a. Profiling, welches häufig mit KI-bedienten Tools ausgeführt wird, nennt. Ist kein Regelbeispiel einschlägig, ist die Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (vgl. Art. 35 Abs. 4 S. 1 DSGVO), der Aufsichtsbehörden vom 18.7.2018 zu berücksichtigen. In Nr. 11 und Nr. 13 der Liste wird der Einsatz von KI und Algorithmen genannt. Außerdem können die in den Leitlinien der Art. 29-Datenschutzgruppe aufgestellten Kriterien zur Erforderlichkeit der DSFA führen. Im Falle einer KI-Anwendung werden wohl nicht selten alle Kriterien erfüllt sein. Bleibt die Frage nach einer verpflichtenden DSFA offen, sollte eine Durchführung dennoch in Erwägung gezogen werden, da Verantwortliche von einer begleitenden DSFA immer profitieren.

Mit einer sorgfältig durchgeführten DSFA können KI-Anwendungen aus ganz unterschiedlichen Einsatzfeldern über den gesamten Entwicklungsprozess datenschutzrechtlich sicher ausgestaltet werden.

Facebook schafft automatische Gesichtserkennung ab

3. November 2021

Der kürzlich in Meta umbenannte Internetkonzern Facebook stellt nach über zehn Jahren die Automatische Gesichtserkennung auf dem sozialen Medium ein.

In einem Blogeintrag auf der Website von Meta verkündete Jerome Pesenti, Vize-Chef der Abteilung für Künstliche Intelligenz, die Beendigung des Projekts der automatischen Gesichtserkennung. Seit 2010 identifiziert diese automatisch die auf den Fotos der Usern abgebildeten Personen. Dadurch wird eine Verknüpfung von Gesicht und Konto möglich gemacht. Laut Pesenti ergebe die Einstellung des Tools Nachteile, wie zum Beispiel Einschränkungen der Nutzbarkeit durch blinde User. Starke gesellschaftliche Kritik sowie eine unklare Gesetzeslage über den Einsatz der Technologie hätten jedoch zu der Abschaffung der automatischen Gesichtserkennung geführt.

Zudem kündigte Pesenti an, die zur automatischen Gesichtserkennung erhobenen Daten der User zu löschen. Dies betrifft rund eine Milliarde Nutzerdaten.

Bereits im Februar dieses Jahres unterlag Facebook einer Sammelklage, in welcher es um die Funktion der automatischen Gesichtserkennung ging, und wurde zu einer Zahlung von 650 Millionen US-Dollar verurteilt.

Wann die Software abgeschaltet wird und die erhobenen Daten gelöscht werden, ist jedoch noch unklar.

Künstliche Intelligenz und Datenschutz

1. Oktober 2019

Am 24. September fand in Berlin ein Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum Thema „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“ mit 150 Gästen statt.

Der BfDI Ulrich Kelber führte hierzu einleitend aus: „Nicht selten stehen wir hier vor einer Blackbox. Insofern ist die datenschutzrechtliche Bewertung von KI-Systemen zwar durchaus schwierig, die Ansicht, Datenschutz und KI schließen sich aus halte ich aber für grundlegend falsch. Das Ziel von KI muss es sein nicht nur innovativ, sondern auch transparent und fair zu sein. Hierzu leistet der Datenschutz einen wichtigen Beitrag.“

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte bei dieser Gelegenheit die „Hambacher Erklärung zur Künstlichen Intelligenz“ vor, datenschutzrechtliche Anforderungen an KI stellt. Außerdem wurden praktische Erfahrungen mit aktuellen KI-Anwendungen bei Google und der Techniker Krankenkasse ausgetauscht und die bedeutende Rolle von KI im Gesundheitsbereich betont. Das Beispiel der FSD Fahrzeugsystemdaten GmbH zeigte zudem, dass KI auch ohne die Verarbeitung von personenbezogenen Daten möglich sei. Mittels KI und Fahrzeugdaten von Herstellern sowie Anbietern von Kfz-Hauptuntersuchungen entwickelt das Unternehmen eine Software, die z.B. defekte Stoßdämpfer mit großer Genauigkeit erkennt. Problematisch sei, aber dass die Autohersteller dennoch Daten mit Personenbezug übermitteln, obwohl dies nicht notwendig ist.

Es gab aber auch kritische Stimmen, dass der Grundsatz des Verbots mit Erlaubnisvorbehalt in der DSGVO im KI-Zeitalter überholt sei und kleine und mittelständische Unternehmen vom Einsatz von KI abhalte.

In einer abschließenden Diskussion zur Vereinbarkeit von Künstlicher Intelligenz und Datenschutz wurde zudem betont, dass in Europa dezentrale Modelle von KI entstehen sollten.

Der globale Wettkampf um Künstliche Intelligenz, oder: sollten wir diese zum jetzigen Zeitpunkt regeln?

21. Mai 2019

In der vergangenen Woche fand die diesjährige Ausgabe der European Identity & Cloud Conference 2019 statt.
Im Rahmen dieser Veranstaltung stellten sich unter anderem verschiedene aus datenschutzrechtlicher Perspektive relevanten Fragen, so etwa referierte Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwälte und Fellow Analyst des Veranstalters KuppingerCole, anlässlich seiner Keynote zu der Frage, ob im Kontext eines globalen Wettkampfs um Künstliche Intelligenz (KI) international einheitliche Regelungen geschaffen werde sollten. Dr. Kinast konturierte die kontroverse Debatte um die Gefahr künftiger KI einerseits sowie die daraus resultierenden rechtlichen Probleme und Lösungen andererseits. So gäbe es zum aktuellen Zeitpunkt aktuell keine Form der KI, die den konkreten Inhalt ihrer Verarbeitung versteht. Überdies könne KI bisher keine eigenständigen Schlüsse aus einer Verarbeitung ziehen oder gar autonome Entscheidungen darauf stützen. Ferner sei aus heutiger Perspektive nicht einmal bekannt, wie eine solche synthetische Intelligenz geschaffen werden könnte.
Aus diesem Grund ginge es (im Ergebnis) nicht in erster Linie darum, einen Ethikkodex zu entwickeln, in dem sich die KI als eigenständige Subjekte entfalten können. Vielmehr ginge es aus heutiger Perspektive um die weitaus profanere Sichtweise von Verantwortlichkeiten.

Den gesamten Vortrag in englischer Sprache finden sie hier.

Justizministerin Katarina Barley fordert ein Label für KI-Entscheidungen

16. April 2019

Bundesjustizministerin Katarina Barley misst automatisierten Entscheidungsfindungen ein hohes Potenzial bei. Algorithmen können objektiver sein als menschliche Verfahren, so die SPD-Spitzenkandidatin auf der Hub-Konferenz. Dies ließe sich beispielsweise bei der Bewerberauswahl feststellen. Dabei seien manche Arbeitgeber vorurteilsbehaftet, sodass sich bereits die Hautfarbe oder ein Name negativ auswirken könne.

„Automated Decision-Making“ (ADM) könne in diesem Falle für ein faires Verfahren sorgen. Jedoch müsse dafür sichergestellt werden, dass die Programmierweise nicht selbst wieder Vorurteile in sich trüge.

Die Bundesjustizministerin plädiert daher für Prüfverfahren der Algorithmen und andere Spielarten der Künstlichen Intelligenz (KI), die zumindest teilweise durch eine öffentliche Einrichtung kontrolliert werden sollten. Dabei müsse gelten: Je größer der Grundrechtseingriff und die Auswirkungen seien, desto höher müssten auch die Standards für Fairness gesetzt werden.

Zudem müsse man wissen wann ein Algorithmus eine Entscheidung fälle. „Deshalb muss Transparenz hergestellt werden, zum Beispiel über ein Icon.“

Thema: Künstliche Intelligenz bei der 97. Datenschutzkonferenz

5. April 2019

Bei der 97. Datenschutzkonferenz im Hambacher Schloss haben sich die Datenschutzaufsichtsbehörden des Bundes und der Länder unter anderem auch mit dem Thema der künstlichen Intelligenz auseinandergesetzt.

Dabei wurde betont, dass der Einsatz Künstlicher Intelligenz stets unter Beachtung der freiheitlichen Grundrechte der Menschen zu erfolgen hat.

Hierzu erklärt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: “Ich freue mich, dass die Bundesregierung dafür sorgen möchte, den Grundrechten auch beim Einsatz Künstlicher Intelligenz weiterhin die prägende Rolle zukommen zu lassen. Die Menschenwürde und das in ihr verankerte Grundrecht auf informationelle Selbstbestimmung müssen auch bei der Nutzung solcher Systeme Maßstab unseres Handelns bleiben. Mit der Hambacher Erklärung setzen wir als Datenschutzaufsichtsbehörden ein klares Signal für einen grundrechtsorientierten Einsatz künstlicher Intelligenz.”

So werden vor allem folgende sieben datenschutzrechtliche Anforderungen genannt, die beim Einsatz von künstlicher Intelligenz erfüllt sein müssen. Dazu gehören unter anderem ein hohes Maß an Transparenz und Nachvollziehbarkeit der Ergebnisse und der Prozesse maschinengesteuerter Entscheidungen, der Grundsatz der Datenminimierung, die Einhaltung der Zweckbindung, aber auch die Vermeidung von Diskriminierungen und die klare Zurechnung von Verantwortlichkeiten.

Künstliche Intelligenz darf Menschen nicht zum Objekt machen, sie haben deshalb einen Anspruch auf das Eingreifen einer Person.

Anmerkung: Dementsprechend rückt beispielsweise Art. 22 DSGVO in den Fokus.

Danach haben betroffene Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Vorschriften von Art. 22 Abs. 1 DSGVO gelten nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, Art. 22 Abs. 2, lit. a) DSGVO, oder aufgrund von Rechtsvorschriften der EU zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten, Art. 22 Abs. 2, lit. b) DSGVO, oder wenn die betroffene Person ausdrücklich eingewilligt hat, Art. 22 Abs. 2, lit. c) DSGVO. Der Verantwortliche hat in solchen Fällen des Art. 22 Abs. 2 lit a) und b) DSGVO angemessene Maßnahmen zu ergreifen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört (Art. 22 Abs. 3 DSGVO).

Künstliche Intelligenz und Datenschutz

5. März 2019

Künstliche Intelligenz gilt als die Zukunftstechnologie. Doch lassen sich Datenschutz und Künstliche Intelligenz vereinen? Die Künstliche Intelligenz unterliegt dem Prinzip des „Machine Learning“. Für das selbstständige „Lernen“ muss der Algorithmus eine große Menge an Daten analysieren. Die datenschutzrechtlichen Grundsätze der Transparenz, Zweckbindung und Datenminimierung stehen dabei der Strategie der künstlichen Intelligenz zum Teil entgegen. Wie soll z.B. Big Data dem Grundsatz der Datenminimierung gerecht werden?

Aktuell feiern digitale Assistenten wie z.B. Google Home oder Amazon Echo große Erfolge, indem sie den Alltag erleichtern können. Aus Sicht der Datenschützer ist jedoch fraglich, inwiefern die gesammelten Informationen über die Nutzer weiterverarbeitet werden. In diesem Zusammenhang geriet vor einiger Zeit der Staubsauger-Roboter in die Kritik, indem die Räume durch das Gerät vermessen wurden, wodurch in gewisser Weise eine digitale Karte der Wohnung entstand. So können aus der Größe der Wohnung z.B. Rückschlüsse über Einkommen gezogen werden, sodass die Werbung möglichweise noch individueller auf bestimmte Personen zugeschnitten werden könnte.

Bisher wird mittels Crowd Sourcing der Datenschutz-Problematik entgegengewirkt. Das bedeutet, dass in der Entwicklung ein Satz anonymisierter Daten, welche darüber hinaus mit einer Unschärfe versehen werden, verwendet wird statt einzelner Datensätze, die sich auf eine Person zurückverfolgen lassen. Zudem ist anzumerken, dass KI Datenpannen erkennen kann oder auch für die Risikoanalyse eine wichtige Stütze ist. So können z.B. mit Messgeräten – entwickelt von xbird Gründer Sebastian Sujka – Bewegungsdaten, Schlaf und Ernährungsrhythmen ausgewertet werden und dem Patienten zeigen, was er ändern kann, um den Krankheitsverlauf positiv zu beeinflussen.

Kürzlich fand das 8. Speyerer Forum zur digitalen Lebenswelt, unter dem Thema „Künstliche Intelligenz und die Zukunft des Datenschutzrechts“ statt. Dabei startete die Veranstaltung mit den technischen Einführungen in die künstliche Intelligenz sowie mit der rechtlichen Betrachtung beim Einsatz von künstlich intelligenten Systemen sowohl im Datenschutzrecht als auch im Zivilrecht. Diskutiert wurde unter anderem über die Blockchain-Technologie. Vertreter aus Politik und Wirtschaft diskutierten über die Zukunft und den Einsatz dieser Technologie in der öffentlichen Verwaltung und wagten in einer Podiumsdiskussion einen Blick in die mögliche Zukunft der Verarbeitung von personenbezogenen Daten.

Künftig wird man sich also damit weiter und intensiver befassen müssen, auf welchem Wege sich Datenschutz und Künstliche Intelligenz vereinen lassen. Jedenfalls wird KI nicht mehr aus den Alltag wegzudenken sein, sodass sich noch viele rechtliche Fragen eröffnen werden, die die Gesetzgebung vor eine besondere Hürde stellen.

Künstliche Intelligenz hilft EU bei Umsetzung der DSGVO

6. Juli 2018

Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll.  Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.

Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.

Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.

In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.

Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.

Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von „Machine Learning“, das sogenannte „Natural Language Processing“. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.

Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.