Das neue KI-Gesetz: Wechselwirkungen mit dem Datenschutz

 In Datenschutz
0

Am 21.4.2021 veröffentliche die EU-Kommission den offiziellen Entwurf für das europäische KI-Gesetz. Ziel des Verordnungsentwurfs ist es, einen Rechtsrahmen zu künstlicher Intelligenz in der EU zu bilden. Davon erhofft die EU sich Vorbild für weitere Staaten zu werden – und weitere Nachahmer zu finden, ähnlich wie bereits bei der DSGVO. Das KI-Gesetz wäre global der erste Rechtsrahmen für KI-Systeme. Die Diskussionen zum Gesetzgebungsprozess werden sich noch hinziehen, wir möchten Sie aber schon jetzt über die künftigen Herausforderungen informieren.

Allerdings werden viele Aspekte im Rahmen von KI schon in der DSGVO geregelt. Hintergrund ist, dass KI-Systeme auf dem Auswerten großer Datenmengen basieren, um die KI-Algorithmen zu trainieren. Da es sich bei diesen Daten oft um personenbezogene Daten handelt, fällt diese Verarbeitung in den Anwendungsbereich der DSGVO. In diesem Beitrag wollen wir die Wechselwirkungen zwischen dem neuen KI-Gesetz und den Regelungen zu Datenschutz näher betrachten.

Bereits bestehende Regelungen zu KI in der DSGVO

Im ersten Schritt sollen kurz die Regelungen der DSGVO, die bei der Entwicklung und Verwendung von KI zu beachten sind, beleuchtet werden. Die DSGVO sieht zwar keine expliziten Regelungen in Bezug auf KI-Systeme vor, die allgemeinen Grundsätze finden jedoch auch hier Anwendung. Immer wenn also personenbezogene Daten für KI-Systeme genutzt werden, müssen alle DSGVO-Anforderungen eingehalten werden. Insbesondere muss eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bestehen. In Betracht bei der Verarbeitung von Daten für KI kommt beispielsweise die Einwilligung der Betroffenen oder eine dokumentierte Interessenabwägung durch das Unternehmen.

Die bekannteste und praxisrelevanteste Norm für KI ist Art. 22 DSGVO. Danach dürfen Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung für den Betroffenen nicht alleine durch eine Maschine getroffen werden. Dies betrifft Personen beispielsweise bei Kreditprüfungen oder z.B. bei Legal Tech, hat in der Praxis aber relativ geringe Auswirkungen, da die Ergebnisse in aller Regeln noch von Menschen überprüft werden. Auch gelten die allgemeinen Grundsätze der Datenverarbeitung nach Art. 5 DSGVO. Bei KI-Systemen werden diese Grundsätze besonders während der Entwicklung und des Trainings der Systeme relevant, da hier häufig personenbezogene Daten verarbeitet werden. Das bedeutet u.a., dass die Verarbeitung in einer für die Person nachvollziehbaren Weise stattfinden muss (Art. 5 Abs. 1 lit a. DSGVO) und dass die Entscheidungen aufgrund des Einsatzes von KI nachvollziehbar und erklärbar sein müssen (Art. 12 DSGVO). Die Informationspflichten sind im Rahmen von KI sehr komplex, können sich aber nicht mit einem Hinweis auf eine angebliche Black Box ohne nähere Kenntnisse beschränken. Die Transparenz wird zB durch die Klarstellung, dass die Kommunikation nicht mit einem Menschen erfolgt und durch die nähere Beschreibung des Systems und der zu Grunde liegenden Annahmen in der Datenschutzerklärung umgesetzt.

Verhältnis von KI-Gesetzesentwurf und DSGVO

Im zweiten Schritt stellen wir dar, in welchen Punkten das neue KI-Gesetz datenschutzrechtliche Aspekte aufgreift. Das Gesetz soll als Ergänzung zu den bereits bestehenden Regelungen im Datenschutzrecht dienen. Die oben aufgeführten Anforderungen bestehen somit weiterhin. Die Tatsache, dass ein KI-System alle Vorgaben des KI-Gesetzes einhält, kann nicht dahingehend ausgelegt werden, dass die Verwendung des Systems mit anderen Rechtsakten der Union, wie z.B. mit der DSGVO vereinbar ist. Das KI-Gesetz wird somit keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten bilden und wird zusätzlich zu berücksichtigen sein.

Die Regelungen zum Datenschutz im neuen KI-Gesetz

In einigen Regelungen des KI-Gesetzes werden zusätzliche Anforderungen für die Verarbeitung von personenbezogenen Daten bestimmt, die über die bisherigen Bestimmungen der DSGVO hinausgehen. Einer der relevantesten Aspekte aus datenschutzrechtlicher Sicht – das Entwickeln und Trainieren von KI mit Daten – wird in Art. 10 des KI-Gesetzes geregelt. Eine hohe Datenqualität ist für die Leistung vieler KI-Systeme unerlässlich. Qualitativ hochwertige Trainings-, Validierungs- und Testdatensätze erfordern die Umsetzung geeigneter Data-Governance- und Managementpraktiken. In Art. 10 des KI-Gesetzes wird festgehalten, dass Schulungs-, Validierungs- und Testdatensätze im Hinblick auf den beabsichtigten Zweck des Systems hinreichend relevant, repräsentativ, fehlerfrei und vollständig sein sollen.

Hilfreich in Bezug auf die Anforderungen an die Datenqualität könnten die Entwicklungen im Rahmen der europäischen Datenstrategie sein. Ziel ist die Schaffung eines einheitlichen europäischen Datenraums, in  dem Unternehmen  auch  leicht  Zugang  zu  einer nahezu  unbegrenzten  Menge  hochwertiger  industrieller  Daten  erhalten sollen, sodass die Anforderungen an die Data-Governance bei der Entwicklung von KI leichter umzusetzen sind (vgl. dazu: https://ec.europa.eu/info/sites/default/files/communication-european-strategy-data-19feb2020_de.pdf.).

Beim Anlernen von KI besteht die Gefahr, dass durch die Art der Daten mit denen das System lernt, Diskriminierungen gefördert werden. Lernende Systeme bergen ebenfalls das Potential, bereits vorhandene Diskriminierungen nicht nur zu übernehmen, sondern sogar zu verschärfen.  Diesem Phänomen soll entgegengewirkt werden, indem auch besondere Kategorien personenbezogener Daten verarbeitet werden können, wenn dadurch die Überwachung, Aufdeckung und Korrektur von Diskriminierung sichergestellt werden soll. In diesem Fall findet die Verarbeitung dann nach Art. 9 DSGVO aufgrund von Unionsrecht – das KI-Gesetz – statt und kann somit eine Ausnahme vom Verbot der Verarbeitung besonderer personenbezogenen Daten begründen.

Weitere auch den Datenschutz betreffende Regelungen finden sich in Art. 53 ff. KI-Gesetz, den Regelungen zu „Sandboxes“: Mit dem sog. „Sandboxing“ sollen Innovationen gefördert werden. Sandboxes sind isolierte Testszenarien, mit denen die KI-Systeme entwickelt und trainiert werden können. Nach Art. 54 KI-Gesetz sollen personenbezogene Daten, die rechtmäßig für einen anderen Zweck erhoben wurden, in den Sandboxes verarbeitet werden dürfen, wenn die Entwicklung der KI-Systeme im öffentlichen Interesse (z.B. Strafprävention, öffentliche Sicherheit, Gesundheitszwecke) liegt und die aufgelisteten Sicherheitsmaßnahmen ergriffen wurden – wie z.B. beschränkter Zugang zu den Sandboxes und keine Weitergabe an unberechtigte Dritte. Neben den grundsätzlich geltenden Regelungen der DSGVO werden hier weitere Anforderungen an die Verarbeitung dieser personenbezogenen Daten, die eigentlich für einen anderen Zweck erhoben wurden, gestellt. Diese Daten können z.B. nur verwendet werden, wenn die öffentliche Sicherheit betroffen ist, z.B. bei der Prävention von Pandemien. So hätte KI zur Prävention oder Eindämmung der Corona-Pandemie in solchen Sandboxes entwickelt werden können.

Fazit

Die DSGVO wird also weiterhin – auch mit der Verabschiedung eines KI-Gesetzes – die Grundlagen für die Verarbeitung von personenbezogenen Daten, die für die Entwicklung von KI notwendig ist, bleiben. Einige Aspekte werden in diesem Gesetz jedoch spezieller geregelt, sodass das KI-Gesetz als lex specialis vorrangig Anwendung finden wird. Neue Regelungen zur Datenverarbeitung sieht der Entwurf des KI-Gesetzes insbes. für die Daten vor, die zum Entwickeln und Trainieren von KI-Systemen notwendig sind.

Recent Posts
Contact Us

Not readable? Change text. captcha txt
Datennutzungsgesetz – das Verhältnis zum DatenschutzrechtDatenschutz
Republik Korea: der mögliche AngemessenheitsbeschlussDatenschutz