Personenbezogene Daten unterliegen hohen datenschutzrechtlichen Regeln

KI-Systeme sind eine Schlüsseltechnologie für Wirtschaft und Gesellschaft. Sie können zu einem sicheren und flüssigen Straßenverkehr beitragen, medizinische Versorgungen und Pflege besser auf Einzelpersonen zuschneiden und Bildungsangebote optimieren. Für Unternehmen eröffnen KI-Anwendungen neue Geschäftsfelder und ermöglichen es ihnen darüber hinaus, Prozesse effizienter zu gestalten und Mitarbeitende von monotonen und körperlich schweren Aufgaben zu entlasten, z.B. durch KI-unterstützte Industrie-Roboter. Dennoch zeigt sich die deutsche Wirtschaft noch sehr zurückhaltend im KI-Einsatz, da die Anforderung an den Datenschutz als schwer umsetzbar empfunden werden.

Die sinnvolle Anwendung von KI-Systemen in Unternehmen und Behörden setzt voraus, dass ausreichende Mengen hochwertiger Daten verfügbar sind. Bei der Datennutzung wird unterschieden zwischen nicht-personenbezogenen bzw. nicht-personenbeziehbaren Daten und personenbezogenen Daten. Daten, die nicht auf Personen bezogen werden können, fallen nicht unter die Datenschutzgrundverordnung (DSGVO) und können daher verhältnismäßig aufwandsarm für den KI-Einsatz genutzt werden. In der modernen Wirtschaft fallen darunter etwa Informationen über Produktions-, Logistik- und Qualitätsprozesse. Auch der KI-Einsatz selbst produziert wiederum Daten, etwa über die Optimierung der genannten Prozesse, die in keiner Verbindung zu Personen stehen und weiterverwendet werden dürfen.

Personenbezogene Daten sind aus Sicht der EU Kommission besonders wertvoll, jedoch auch besonders schützenswert. Unter personenbezogene Informationen innerhalb des Unternehmens fallen etwa präferierte Arbeitszeiten, Kompetenzen und Verfügbarkeiten von Mitarbeitenden. Diese Daten ermöglichen im Unternehmenskontext unter anderem die Optimierung von Schichtplänen und die Einführung flexiblerer Arbeitszeitmodelle durch den Einsatz von KI-Anwendungen. Auch Daten von und über kooperierende Unternehmen sind geschützt, etwa über autorisierte Unterauftragnehmer, die einen Teil des Wertschöpfungsnetzwerks darstellen. Nicht zuletzt werden auch personenbezogene Daten von Kundinnen und Kunden eines Unternehmens geschützt, beispielsweise wenn diese einen individuellen Auftrag erteilen oder persönliche Daten mit einem Unternehmen teilen.

Technische Lösungen ermöglichen Wertschöpfung und Datenschutz

Während der Schutz von personenbezogenen Daten zurecht einen sehr hohen Stellenwert einnimmt, ist es dennoch für zukunftsfähige Unternehmen unerlässlich, den eigenen Datenschatz für KI-Systeme nutzbar zu machen. In einem Whitepaper der Plattform Lernende Systeme skizzieren die Expertinnen und Experten der Arbeitsgruppe IT-Sicherheit und Privacy, Recht und Ethik verschiedene technische und juristische Ansätze, um eine vertrauenswürdige Datennutzung in der Entwicklung, in der Anwendung und für Organisationen, einschließlich Unternehmen, Behörden und Nichtregierungsorganisationen, zu gewährleisten. Die Empfehlungen der Arbeitsgruppe zeigen Möglichkeiten auf, wie Interpretationsspielräume durch anwendungsspezifische Gesetzgebung geschlossen werden können, um die nachhaltige Realisierung ökonomischer Wertschöpfungspotenziale im Interesse der Gesellschaft und der Unternehmen sicherzustellen.

Ein wichtiger Ansatz, um eine datenschutzwahrende Datennutzung für KI-Systeme und -Anwendungen zu gewährleisten, besteht im Privacy-Preserving Machine Learning (kurz: PPML). PPML-Ansätze sehen vor, den Datenschutz bereits bei der Entwicklung des KI-Systems sicherzustellen, sodass eine flexibilisierte Datennutzung schon im Design angelegt ist. Beim Training des KI-Systems kann eine Anonymisierung, beziehungsweise eine Pseudonymisierung der Daten für einen besseren Schutz personenbezogener Informationen sorgen. Das KI-Modell kann in diesem Fall lokal an der jeweiligen Datenquelle trainiert werden.

Weitere Maßnahmen für eine sichere Datennutzung beziehen sich nicht direkt auf die genutzten KI-Systeme. Der Einsatz von Personal-Information-Management-Systemen oder Datentreuhändern ermöglicht es datengebenden Personen, souveräner mit den eigenen Daten umzugehen und selbst von der Monetarisierung ihrer Daten zu profitieren. Sowohl zwischen Unternehmen als auch zwischen Unternehmen und ihren Kunden können die beiden genannten Systeme zu einem gleichberechtigteren Verhältnis mit KI-nutzenden Anbietern beitragen. Eine höhere gesellschaftliche Akzeptanz des Datenteilens könnte eine weitere Konsequenz dieses Paradigmenwechsels sein.

Rechtssicherheit für technische Datenschutzlösungen fehlt

Die genannten Ansätze, die eine Datennutzung im Sinne der Gesellschaft bei gleichzeitiger Wahrung des Datenschutzes zum Ziel haben, sind zum einen recht unbekannt, zum anderen fehlt bisher zum Teil die juristische Anerkennung. Bei ihrer Anwendung entstehen für Unternehmen bedenkliche Interpretationsspielräume und Unsicherheiten bei der Nutzbarmachung ihres Datenschatzes, sodass die Potenziale der Daten und von KI-Anwendungen nicht vollständig ausgeschöpft werden können. Die Expertinnen und Experten der Plattform Lernende Systeme fordern daher eine gesetzliche Anerkennung der Verfahren, um die Rechtssicherheit für Unternehmen beim Einsatz von KI zu stärken.

Zwar gibt es kein spezifisches Datenschutzrecht für den KI-Einsatz, allerdings werden im bestehenden EU-Rechtsrahmen hohe Anforderungen an die Datennutzung in der DSGVO formuliert. Ziel der Gesetze ist es, die informationelle Selbstbestimmung von Betroffenen zu bewahren. Alle beteiligten Akteure des Wertschöpfungsnetzwerkes in der Datenökonomie sind dabei erfasst, sodass sich sowohl erhebende und erwerbende als auch nutzende und weiterverwertende Parteien an diese Vorgaben halten müssen. Unerheblich ist es dabei, ob es sich um Trainingsdaten einer KI-Anwendung oder um die zu nutzenden Daten handelt, sowie ob die jeweilige Datennutzung in Interesse des Gemeinwohls liegt. Für die einzelnen Stadien des Daten-Lebenszyklus bestehen verschiedene rechtliche Vorgaben, die beachtet werden müssen, wenn Unternehmen Daten für KI-Systeme nutzen möchten. In der untenstehenden Abbildung sind die Phasen des Daten-Lebenszyklus dargestellt. Diese Phasen gelten unabhängig davon, ob es sich um personen- oder nicht-personen-bezogene Daten handeln.

Datenschutz und flexibilisierte Datennutzung als Symbiose betrachten

Während die DSGVO an sich also umfängliche und sinnvolle Anforderungen an die Datennutzung beim KI-Einsatz stellt, sind es die uneinheitlichen Rechtsauslegungen und die einhergehenden Unsicherheiten für Unternehmen, die den KI-Einsatz hemmen. Im Wortlaut erscheinen die rechtlichen Vorgaben zwar eindeutig, in der Praxis bestehen entstehen jedoch erhebliche Interpretationsspielräume, die für Unternehmen im Ernstfall mit rechtlichen und finanziellen Konsequenzen verbunden sind. Unklar ist etwa, in welchen spezifischen Fällen eine Personenbezogenheit vorliegt oder wann in der Praxis die nötige Zweckbindung bei der Nutzung personenbezogener Daten gegeben ist. Somit entstehen finanzielle, aber auch zeitliche, personelle und rechtliche Risiken für Unternehmen, welche in der Folge zum Teil Abstand vom KI-Einsatz nehmen.

KI-Systeme bieten nicht nur für Unternehmen, sondern auch für unsere Gesellschaft große Chancen, beispielsweise im Gesundheitswesen oder bei der Reduktion des ökologischen Footprints. Um diese Potenziale unter Einhaltung des bestehenden Rechtsrahmens der EU zu realisieren, müssen Interpretationsspielräume und Unsicherheiten in der Rechtsauslegung minimiert werden. Teil der Lösung ist es, Datenschutz und eine flexibilisierte Datennutzung nicht als Gegensätze, sondern als symbiotische Verbindung zu betrachten. Durch technische Maßnahmen kann diese Verknüpfung ein Motor für die europäische KI-Entwicklung und für innovative Anwendungen sein, sodass KI-Systeme entsprechend der europäischen Werteordnung und zum Wohle der Gesellschaft und der Unternehmen (weiter-)entwickelt und eingesetzt werden können.

Schlussbemerkung: Der am 08.12.2023 verabschiedete Artificial Intelligence Act (AIA) der EU Kommission stellt einen risikobasierten Regelungsansatz dar und betrifft nur KI-Anwendungen im öffentlichen Raum.