IPT Germany

Datenschutzrechtliche Anforderungen an KI – Die sieben Konkretisierungen der „Hambacher Erklärung” der Datenschutzkonferenz

By / / AI, Artificial Intelligence, Datenschutz, DSGVO, GDPR, Hambacher Erklärung, IT/Datenschutz, KI, Künstliche Intelligenz

Von: France Vehar, LL.M. und Eva Wettstein

Daten sind für Künstliche Intelligenz (“KI”) essentiell. KI-Systeme verarbeiten dabei oft auch personenbezogene Daten. Umso wichtiger wird für Unternehmen die Beantwortung der Frage, welche datenschutzrechtlichen Anforderungen bei KI-Systemen zu beachten sind. Auf der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben diese ihre Auffassung zu datenschutzrechtlichen Anforderungen an KI konkretisiert. Insbesondere die restriktive Auslegung bezüglich der Grundsätze der Zweckbindung und Datenminimierung wird Unternehmen in der Praxis vor Herausforderungen stellen. Die verabschiedete “Hambacher Erklärung zur Künstlichen Intelligenz” enthält sieben Anforderungen aus dem geltenden Datenschutzrecht, die bereits heute einzuhalten sind. Es lohnt sich für Unternehmen, diese Erklärung zu kennen. Dies nicht zuletzt mit Blick auf die hohen Bußgelder die bei Verstößen gegen die Datenschutz-Grundverordnung („DS-GVO“) im Raum stehen.

English Summary:

Data is essential for artificial intelligence (“AI”). AI systems often also process personal data. Therefore for companies the answer to the question which data protection requirements have to be adhered to regarding AI systems is important. At the 97th Conference of the Data Protection Supervisory Authorities of the Federal and State Governments, these authorities specified the data protection requirements for AI. Especially their restrictive interpretation of the principals of purpose restriction and data minimization will pose significant challenges for companies. The adopted “Hambach Declaration on Artificial Intelligence (“Hambacher Erklärung zur Künstlichen Intelligenz“) stipulates seven data protection requirements, which must already be complied with today based on current data protection laws. It is worthwhile for companies to be familiar with this declaration, not least in view of the high fines which can be imposed in case of GDPR violations.

Die Hambacher Erklärung betont, dass KI eine substanzielle Herausforderung für Freiheit und Demokratie in der Rechtsordnung darstelle. Dies gelte besonders für den Einsatz von selbstlernenden Systemen, die massenhaft Daten verarbeiten und durch automatisierte Einzelentscheidungen in Rechte und Freiheiten Betroffener eingreifen. Daher seien wesentliche Rahmenbedingungen für den Einsatz von KI vom Gesetzgeber vorzugeben und durch die Aufsichtsbehörden zu vollziehen. Im Kern gehe es darum, dass am Ende Menschen und nicht Maschinen über Menschen entscheiden.

Häufig verarbeitet KI dabei auch personenbezogene Daten. Die Hambacher Erklärung verdeutlicht, dass die DS-GVOfür die Entwicklung und den Einsatz von KI-Systemen, in denen personenbezogene Daten verarbeitet werden, wichtige rechtliche Vorgaben enthält. Auch für KI-Systeme gelten die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DS-GVO). Diese müssen gemäß Art. 25 DS-GVO durch frühzeitig geplante technische und organisatorische Maßnahmen von den Verantwortlichen umgesetzt werden (Datenschutz durch Technikgestaltung). Die unabhängigen Datenschutzaufsichtsbehörden verstehen die folgenden datenschutzrechtlichen Anforderungen als einen Beitrag zur Vorgabe eines Rechtsrahmens zu KI:

I. KI darf den Menschen nicht zum Objekt machen

Die Garantie der Würde des Menschen (Art. 1 Abs. 1 GG, Art. 1 GRCh) gebietet, dass der Einzelne nicht zum Objekt gemacht wird. Dies greift insbesondere im Fall staatlichen Handelns mittels KI. Daher – so die Hambacher Erklärung – seien vollständig automatisierte Entscheidungen oder Profiling durch KI- Systeme nur eingeschränkt zulässig:

  • Entscheidungen mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung gemäß Art. 22 DS-GVO dürfen nicht allein der Maschine überlassen werden.
  • Ist der Anwendungsbereich des Art. 22 DS-GVO nicht eröffnet, greifen die allgemeinen Grundlagen des Art. 5 DS-GVO, die insbesondere mit den Grundsätzen der Rechtmäßigkeit, Zurechenbarkeit und Fairness die Rechte des Einzelnen schützen.
  • Betroffene haben auch beim Einsatz von KI-Systemen den Anspruch auf das Eingreifen einer Person (sog. „Intervenierbarkeit“), auf die Darlegung ihres Standpunktes und die Anfechtung einer Entscheidung.

II. KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot (Art. 5 Abs. 1 lit. b DS-GVO) nicht aufheben

Neben diesen Anforderungen betont die Hambacher Erklärung, dass Zweckänderungen mit Art. 6 Abs. 4 DS-GVO klare Grenzen gesetzt sind. Erweiterte Verarbeitungszwecke müssen mit dem ursprünglichen Erhebungszweck vereinbar sein. Das gilt auch für die Nutzung personenbezogener Daten zu Trainingszwecken von KI-Systemen.

III. KI muss transparent, nachvollziehbar und erklärbar sein

Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Art. 5 Abs. 1 lit. a DS-GVO). Dies erfordere insbesondere eine transparente Verarbeitung, bei der die Informationen über den Prozess der Verarbeitung und ggf. auch über die verwendeten Trainingsdaten leicht zugänglich und verständlich sind (Art. 12 DS-GVO). Des Weiteren müssen Entscheidungen, die auf Grundlage des Einsatzes von KI- Systemen erfolgen, nachvollziehbar und erklärbar sein. Dies betrifft das Ergebnis, die Prozesse, das Zustandekommen von Entscheidungen sowie die involvierte Logik. Der Verantwortliche ist für die Einhaltung dieser Anforderungen verantwortlich und muss deren Einhaltung nachweisen (Art. 5 Abs. 2 DS-GVO).

IV. KI muss Diskriminierungen vermeiden

Durch unzureichende Datengrundlagen und Konzeptionen kann es zu Ergebnissen kommen die sich als Diskriminierungen auswirken. Diskriminierende Verarbeitungen stellen eine Verletzung der Rechte und Freiheiten der betroffenen Personen dar. Die Hambacher Erklärung betont, sie verstoßen unter anderem gegen Anforderungen der DS-GVO wie den Grundsatz der Verarbeitung nach Treu und Glauben, die Bindung der Verarbeitung an legitime Zwecke oder die Angemessenheit der Verarbeitung.

Daher seien vor dem Einsatz von KI-Systemen Risiken für die Rechte und Freiheiten von Personen mit dem Ziel zu bewerten, auch verdeckte Diskriminierungen durch Gegenmaßnahmen zuverlässig auszuschließen. Es müsse auch während der Anwendung von KI-Systemen eine entsprechende Risikoüberwachung erfolgen.

V. Für KI gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO)

Für KI-Systeme werden typischerweise große Bestände von Trainingsdaten genutzt. Dabei sei die Verarbeitung personenbezogener Daten stets auf das notwendige Maß zu beschränken. Die Prüfung der Erforderlichkeit könne ergeben, dass die Verarbeitung vollständig anonymer Daten zur Erreichung des legitimen Zwecks ausreicht.

VI. KI braucht Verantwortlichkeit

Die Beteiligten müssen beim Einsatz eines KI-Systems die Verantwortlichkeit ermitteln und klar kommunizieren. Sie müssen jeweils die notwendigen Maßnahmen treffen, um die rechtmäßige Verarbeitung, die Betroffenenrechte, die Sicherheit der Verarbeitung und die Beherrschbarkeit des KI-Systems zu gewährleisten. Die Hambacher erklärung betont, der Verantwortliche müsse dabei:

  • sicherstellen, dass die Grundsätze nach Art. 5 DS-GVO eingehalten werden;
  • seine Pflichten im Hinblick auf die Betroffenenrechte aus Art. 12 ff DS-GVO erfüllen und
  • die Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO gewährleisten und somit auch Manipulationen durch Dritte, die sich auf die Ergebnisse der Systeme auswirken, verhindern.

In der Regel sei eine Datenschutz- Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich.

VII. KI benötigt technische und organisatorische Standards

Um eine datenschutzgerechte Verarbeitung sicherzustellen, sind für Konzeption und Einsatz von KI-Systemen technische und organisatorische Maßnahmen gem. Art. 24 und 25 DS-GVO zu treffen, wie z.B. Pseudonymisierung. Dazu gibt es gegenwärtig noch keine speziellen Standards oder detaillierte Anforderungen. Die Hambacher Erklärung betont, es sei eine wichtige Aufgabe von Wirtschaft und Wissenschaft, die Erkenntnisse in diesem Bereich zu mehren und Best-Practice-Beispiele zu entwickeln. Die Datenschutzaufsichtsbehörden werden diesen Prozess aktiv begleiten

Fazit

Die Hambacher Erklärung knüpft an die KI-Strategie der Bundesregierung an. Diese verfolgt unter anderem das Ziel, dafür zu sorgen, dass auch bei weitreichendem Einsatz von KI die Grundwerte und Freiheitsrechte, die in Deutschland und der EU gelten, gewahrt bleiben.

Zur Schaffung von Rechtsklarheit ist es grundsätzlich begrüßenswert, dass die Aufsichtsbehörden ihre Sichtweise zu Vorschriften der DS-GVO bezüglich KI konkretisieren. Die Hambacher Erklärung ist allerdings nur ein grober Rahmen für den Einsatz von KI-Systemen. Für Unternehmen bietet die Entwicklung von Best-Practice-Beispielen zu technischen und organisatorischen Standards eine sinnvolle Möglichkeit Standards aktiv zu gestalten. Es bleibt abzuwarten, wie sich die restriktive Auslegung der Grundsätze der Zweckbindung (II) und Datenminimierung (V) in der Praxis bewähren wird.

Dieser Artikel ist Teil unserer Blog-Serie zu aktuellen Rechtsentwicklungen zu KI. Weitere bislang erschiene Artikel sind:

Linkedin-in Twitter Facebook-f Instagram Youtube Weixin

© 2019 DLA Piper. DLA Piper is a global law firm operating through various separate and distinct legal entities. For further information about these entities and DLA Piper's structure, please refer to the Legal Notices page. All rights reserved. Attorney advertising.