Künstliche Intelligenz ist mittlerweile voll im Geschäftsleben angekommen. Beispiele gefällig? „Bots“ (also Programme, die ohne menschliche Hilfe wiederkehrende Aufgaben erledigen) wickeln Bewerbungsverfahren und sogar datenschutzrechtliche Auskunftsbegehren ab. Öffentlich zugängliche Daten werden kombiniert und aggregiert, um daraus Rückschlüsse auf beispielsweise den Aktienkurs zu gewinnen.
Eine McKinsey-Studie geht davon aus, dass Europas Wirtschaft bis 2030 durch künstliche Intelligenz (KI) um 20 Prozent wachsen wird. Das entspräche einer Wertsteigerung von bis zu 3,6 Billionen Euro.
Doch wie ist dieser Trend mit der Datenschutz-Grundverordnung (DSGVO), die den Schutz persönlicher Daten regelt, in Einklang zu bringen? Ist die DSGVO ein Hemmschuh für auf künstlicher Intelligenz basierende Geschäftsmodelle?
Rechtliche Stolpersteine für KI
In der Rechtsberatung gewinnt künstliche Intelligenz jedenfalls zunehmend an Bedeutung. Klar ist, dass KI sehr viele Daten benötigt. Daher stellt sich oft die Frage: Ist mein Geschäftsmodell überhaupt rechtlich korrekt umsetzbar? Denn sobald personenbezogene Daten im Spiel sind, muss – zumindest in Europa – die DSGVO berücksichtigt werden.
Eine grundlegende Frage lautet also: Werden personenbezogene Daten verarbeitet?
Die DSGVO verlangt anonymisierte Daten
Eine Möglichkeit, der DSGVO zu entkommen, ist die der Verarbeitung anonymisierter Daten. Ist kein Personenbezug gegeben, kommt die DSGVO ja nicht zur Anwendung.
Wann aber handelt es sich um anonymisierte Daten?
- Die DSGVO verlangt, dass für eine Anonymisierung „die betroffenen Personen nicht oder nicht mehr identifiziert werden können“, wobei „alle objektiven Faktoren herangezogen werden“, um dies zu beurteilen.
Ein Beispiel: Nehmen wir an, Sie möchten das Surfverhalten von Nutzern im Internet analysieren, um deren Bedürfnisse besser kennenzulernen. Doch im Internet bleibt niemand anonym: Über die IP Adresse (Internet Protokoll, die „Postadresse“ eines Geräts im Internet) lassen sich Rückschlüsse auf den Nutzer ziehen.
Der Europäische Gerichtshof hat daher entschieden, dass IP-Adressen (sowohl statische als auch dynamische) als personenbezogene Daten zu betrachten sind. Daten, die mit einer IP Adresse in Verbindung stehen, dürfen daher nicht ohne weiteres verarbeitet werden. Es müssen also technische Schritte gesetzt werden, um die Daten zu anonymisieren, bevor sie verwertet werden dürfen. Und hier begeben Sie sich auf unsicheres Terrain.
Fortschritt schafft Rechtsunsicherheit
Denn wann eine Anonymisierung im Sinne der DSGVO gegeben ist, hängt dynamisch von den Umständen im Einzelfall ab. Und auch wenn eine Technologie heute noch verspricht, dass betroffene Personen aufgrund aktueller Verschlüsselungstechniken nicht identifiziert werden können, kann dies morgen aufgrund des technischen Fortschrittes schon wieder anders sein. Die Auswertung von Daten ist also mit Rechtsunsicherheit verbunden, und das ist für Unternehmen problematisch.
Häufig wird daher der Appell an den Gesetzgeber gerichtet, er möge diesbezüglich doch Klarheit schaffen. Doch so leicht ist das nicht! Technologien ändern sich so rasch, dass Gesetze oft nicht mithalten können. Daten, die heute noch als anonymisiert eingestuft werden, könnten das schon in naher Zukunft nicht mehr sein: Heute dem Stand der Technik entsprechende Verschlüsselungsalgorithmen könnten durch verbesserte Technologien (etwa Quantencomputer) bald wieder veraltet sein.
Privacy by Design
Die DSGVO schreibt „Privacy by Design“ vor: Das bedeutet, dass bereits in der Konzeptionsphase der Software die Interessen der betroffenen Personen bestmöglich geschützt und respektiert werden sollen.
Diese Punkte müssen daher in jedem Fall berücksichtigt werden:
- Technische Maßnahmen wie Anonymisierung, Pseudonymisierung oder ein Berechtigungskonzept im Sinne des Need-to-Know-Prinzips;
- Vertragliche Maßnahmen wie der Abschluss von Verschwiegenheitserklärungen;
- Organisatorische Maßnahmen wie die Implementierung von „Security Gates“, also die Prüfung sicherheitstechnischer Aspekte im Zuge der Softwareentwicklung.
Und was bedeutet das für KI?
Es bleibt zu hoffen, dass europäische Behörden und Gerichte bei der Auslegung des Begriffes der „Anonymisierung“ keinen allzu strengen Maßstab an den Tag legen. Eine restriktive Sichtweise könnte größere volkswirtschaftliche Auswirkungen haben: US-Amerikanische oder asiatische Unternehmen sind derzeit wesentlich weniger eingeschränkt in der Gestaltung von Geschäftsmodellen auf Basis von künstlicher Intelligenz als europäische.
Weiterlesen: Geld für Digitalisierung – KMU digital fördert Beratung und Investionen
Weiterlesen: Wie künstliche Intelligenz auch Kleinunternehmen untestützen kann
Weiterlesen: Welches Potential für künstliche Intelligenz hat Ihr Unterhmen
Weiterlesen: Datenschutz-Grundverordnung – so setzen Selbständige die DSGVO um
damit wir dein Konto freischalten.
Kommentare ( 0 )