INFORMATIONEN

Künstliche Intelligenz und DSGVO: die offenen Fragen und die notwendigen Klarstellungen

Was die künstliche Intelligenz betrifft, so bietet die Datenschutz-Grundverordnung wertvolle Leitlinien für die Datensicherheit. Einige Fragen bleiben jedoch unbeantwortet, was die Entwicklung neuer Anwendungen behindert oder sogar potenziell unsichere Innovationen ermöglicht. Sie wird mehrere Klärungen mit sich bringen: Mal sehen, welche das sind.

Künstliche Intelligenz wird in der Allgemeinen Verordnung über den Schutz personenbezogener Daten (DSGVO) nie ausdrücklich erwähnt. Viele ihrer Bestimmungen gelten jedoch einerseits für das Wachstum und die Nutzung dieser Innovationen. Andererseits werden die modernen Methoden der Verarbeitung personenbezogener Daten, die durch KI ermöglicht werden, getestet.

Bei Anwendungen, die auf maschinellem Lernen basieren, besteht die Trainingsmenge in mehreren Fällen aus Daten, die sich auf menschliche und soziale Eigenschaften und Verhaltensweisen beziehen, und in der Folge aus persönlichen Daten.

Denken Sie zum Beispiel an die intelligenten Systeme, die in einer Vielzahl von Branchen eingesetzt werden, wie z. B. bei der Auswahl von Arbeitnehmern, bei Versicherungen, in der Medizin, bei gezielter Werbung, beim Versenden maßgeschneiderter Nachrichten, in der Steuerverwaltung, bei der öffentlichen Sicherheit und in der Justiz.

In dem Bericht über die Auswirkungen der Datenschutz-Grundverordnung auf die künstliche Intelligenz, der auf Ersuchen des STOA-Gremiums des Europäischen Parlaments erstellt wurde, haben wir die Beziehung zwischen der Datenschutz-Grundverordnung und der künstlichen Intelligenz untersucht. Wir haben untersucht, wie sich die EU-Datenschutzvorschriften auf KI beziehen und wie sie sich auf aktuelle Anwendungen und künftige Entwicklungen auswirken könnten.

Die Anwendung der Datenschutz-Grundverordnung: technische Einzelheiten und Perspektiven

Die Datenschutz-Grundverordnung bietet wertvolle Leitlinien für die Datensicherheit bei Anwendungen der künstlichen Intelligenz. Obwohl keine wesentlichen Änderungen an der Verordnung erforderlich sind, bleiben mehrere Fragen offen und unbeantwortet. Dies kann zu Umständen und Unsicherheiten führen, die die Entwicklung neuer, nützlicher KI-Anwendungen verzögern oder sogar zu potenziell gefährlichen Folgen führen könnten.

Für die Datenverarbeiter kann es besonders schwierig sein, zu entscheiden, ob die Datenverarbeitung mit Hilfe von KI diesen Standards entspricht, deren Definition offen und auslegungsfähig bleibt.

Diese Bewertungen konzentrieren sich auf a) unsichere Regulierungsentscheidungen über das Gleichgewicht zwischen den Auswirkungen der Verarbeitung oder der vorgeschlagenen Maßnahme und den Interessen der Beteiligten sowie b) unsichere Schätzungen möglicher künftiger Risiken.

Im Falle der künstlichen Intelligenz wird die Komplexität der Umsetzung unbestimmter Grundsätze und des Ausgleichs widerstreitender Interessen durch die Neuartigkeit, Ungewissheit und Allgegenwärtigkeit von Technologien der künstlichen Intelligenz, die sich auf den Einzelnen und die Gesellschaft auswirken, noch erheblich verschärft.

Die Datenschutz-Grundverordnung setzt letztere unter Druck, zu entscheiden, wie mit den Risiken umzugehen ist, und optimale Lösungen zu finden, indem sie von den Eigentümern die Anwendung abstrakter und unbestimmter Grundsätze verlangt. Im Vergleich zu solch komplexen Computersystemen, deren interne Struktur selbst für Experten unsichtbar ist und deren Funktionsweise nicht vollständig vorhersehbar ist, ist dies ebenfalls eine Herausforderung und kostspielig.

Die Verhängung empfindlicher Sanktionen im Falle einer Verarbeitung, die nicht den rechtlichen Anforderungen entspricht, sowie das Fehlen klarer Leitlinien für die Einhaltung dieser Normen und Grundsätze könnten ein neues Risiko darstellen, das kleine Unternehmen nicht zu wirksamen Maßnahmen zur Einhaltung der Vorschriften ermutigt, sondern sie davon abhält, neue Initiativen in diesem Bereich zu ergreifen.

Die notwendigen Klarstellungen

Unter den notwendigen Klarstellungen sind die folgenden besonders wichtig:

  • Personenbezogene Daten – Rückschlüsse. Es sollte erklärt werden, dass personenbezogene Schlussfolgerungsdaten wie ausdrücklich erhobene personenbezogene Daten (Artikel 6) sind, wenn sie als Input für Profiling, Bewertung und algorithmische Entscheidungen verwendet werden.
  • Datensicherheitsstandards. Es sollte dargelegt werden, wie die Grundsätze der Datensicherheit – und insbesondere die Grundsätze der Absichtsbeschränkung, der Datenminimierung und der Beschränkung der Speicherung (Artikel 5 der Datenschutz-Grundverordnung) – auf KI-Systeme anzuwenden sind.
  • Rechtliche Verarbeitungsgrundlage. Die Entwicklung algorithmischer Modelle auf der Grundlage personenbezogener Daten für Anwendungen mit sozialem Nutzen steht im Allgemeinen im Einklang mit der Notwendigkeit einer klaren Rechtsgrundlage (Artikel 6).
  • Statistische Verarbeitung. Theoretisch ist die statistische Verarbeitung personenbezogener Daten, die keine Rückschlüsse auf Einzelpersonen erfordert, zulässig. Sie sollte gefördert werden, vorausgesetzt, es werden ausreichende Maßnahmen zur Vermeidung von Missbrauch getroffen und die Daten werden umgehend pseudonymisiert oder anonymisiert.
  • Die Umsetzung wirksamer Initiativen auf nationaler Ebene sollte gefördert werden.
  • Erklärungen. Das Interesse an algorithmischer Transparenz/Erklärbarkeit entsteht durch die Möglichkeit unfairer und falscher algorithmischer Behandlungen und das Bedürfnis, die Kontrolle über die eigenen Daten zu behalten und die Gründe für die Entscheidungen, die jeden Einzelnen betreffen, zu verstehen (und wahrscheinlich anzufechten).
  • Angemessenheit der Schlussfolgerungen. Es muss festgelegt werden, unter welchen Bedingungen ein automatisiertes Schlussfolgerungsverfahren angemessen ist, wenn Entscheidungen auf der Grundlage der Ergebnisse dieses Verfahrens getroffen werden. Zu diesen Anforderungen gehören logisch-statistische Konsistenz und rechtliche Fairness.
  • Sie erleichtern und standardisieren die Ausübung der Rechte der betroffenen Personen. Es sollte gewährleistet sein, dass betroffene Personen ihre Rechte auf Widerspruch und Opt-out bei der Datenverarbeitung auf der Grundlage künstlicher Intelligenz über geeignete Benutzeroberflächen in standardisierten Formaten effizient ausüben können (Artikel 21).
  • Die betroffene Person hat das Recht, auf die automatisierte Verarbeitung zu verzichten. Der Verzicht sollte nicht komplizierter sein als die Möglichkeit, von einer solchen Verarbeitung Gebrauch zu machen.
  • Kollektive Einhaltung der Vorschriften. Die Komplexität und Undurchsichtigkeit der KI-Systeme kann es schwierig, kostspielig und unvorhersehbar machen, individuelle Sicherheitsmaßnahmen vor den zuständigen Verwaltungs- und Justizbehörden zu ergreifen.
  • Der Schutz von Daten durch Design und Voreinstellung. Es ist von grundlegender Bedeutung, die für die verschiedenen Arten von KI-Anwendungen erforderlichen Präventivmaßnahmen festzulegen: Diese Maßnahmen sollten unter anderem sicherstellen, dass die Trainingssätze repräsentativ sind, dass die Schlussfolgerungen rational sind und dass die Verarbeitung sicher ist.
  • Hohes Verarbeitungsrisiko. Anwendungen der künstlichen Intelligenz, die eine risikoreiche Verarbeitung beinhalten, sollten spezifiziert werden und erfordern daher eine Prüfung ihrer Auswirkungen und die Einbeziehung eines Datenschutzbeauftragten.
  • Vorherige Konsultation. Die Möglichkeit, die Aufsichtsbehörde um eine vorherige Stellungnahme zu bitten, sollte für alle KI-gestützten Anwendungen gelten, die eine Verarbeitung personenbezogener Daten beinhalten. Es ist wichtig, die Fälle zu spezifizieren, in denen die Stellungnahme obligatorisch ist (Artikel 36).
  • Gesellschaftlich unangemessene oder unsichere Anwendungen. Auch wenn sie den wissenschaftlichen und rechtlichen Standards entsprechen, sollten sozial unangemessene oder u
    nsichere Anwendungen definiert und ihre Verwendung ausgeschlossen oder eingeschränkt werden.
  • Schlussfolgerungen

    Es besteht zweifellos ein Spannungsverhältnis zwischen den herkömmlichen Datensicherheitsstandards – Einschränkung des Vorsatzes, Minimierung, Verarbeitung sensibler Daten, Beschränkung der automatisierten Entscheidungsfindung – und der vollständigen Umsetzung der künstlichen Intelligenz.

    Wie in den vorangegangenen Abschnitten dargelegt, können diese Konzepte jedoch in einer Weise ausgelegt, angewandt und festgelegt werden, die mit dem nützlichen Einsatz von KI vereinbar ist. Zu diesem Zweck muss die Datenschutz-Grundverordnung jedoch durch verschiedene Schritte ergänzt werden, um eine effiziente und faire Umsetzung zu gewährleisten.