Greift da eigentlich die Datenschutz-Grundverordnung (DSGVO)?
Sei es eine Künstliche Intelligenz (KI), die Bewerbungen vorsortiert, oder smarte Systeme für Maschinen: Maschinelles Lernen (ML) hebt die industrielle Produktion aber auch Verwaltungen auf eine neue Ebene. Neben den faszinierenden technischen Möglichkeiten herrscht aber oft Unsicherheit, welche rechtlichen Aspekte beim Einsatz beachtet werden müssen. Deckt die Datenschutz-Grundverordnung (DSGVO) auch die Nutzung einer KI ab?
Antworten und Hilfestellungen bietet der Statusreport “Maschinelles Lernen in KMU” der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA). Der Report von November 2020 befasst sich damit, wie kleine und mittelständische Unternehmen (KMU) Methoden des maschinellen Lernens einbinden können. Der rechtliche Aspekt ist hierbei wichtig.
Daten sind ein wertvolles Gut
Daten sind der Treibstoff Maschinellen Lernens. Schließlich muss eine Künstliche Intelligenz ja mit Informationen lernen und so trainiert werden, dass es dem Unternehmen nützt. Daten sind ein sensibles, aber wertvolles Gut. Nutzer hinterlassen in der Regel Daten über sich, wenn sie dadurch einen direkten Mehrwert bekommen. Mit diesem Vertrauen sollten KMU nicht spielen.
Wer also überlegt, Maschinelles Lernen einzusetzen, sollte vorab klären, ob und welche Daten übergeben werden dürfen. Besonders heikel kann es werden, wenn Datenströme zwischen verschiedenen Firmen hin- und hergehen. Es kann ja auch sein, dass ein Dienstleister die ML-Lösung besser trainieren kann und daher Zugriff benötigt.
“Ich kann mir gut vorstellen, dass so manche Unternehmen, die eine KI einsetzen, nicht alles durchdacht haben, was für Verbindungen und Konsequenzen eine Analyse anhand maschinellen Lernens haben kann”, erklärt Erik Marquardt, der als wissenschaftlicher Mitarbeiter die optischen Technologien in der der GMA betreut.
Wenn ein Unternehmen Daten zur Weiterverarbeitung und Analyse erhält oder wenn es Daten zu diesem Zweck weitergibt, ist es erforderlich, eine gegenseitige Klarheit bezüglich der Verwendung der übertragenen Daten zu schaffen. Der Nutzen für den Rechteinhaber an den Daten sollte aus der Vereinbarung genauso hervorgehen, wie der Umfang der Datenanalyse. Basis sollte eine vertrauensvolle Geschäftsbeziehung sein, die formal durch spezifische Geheimhaltungsvereinbarungen, Zertifizierungen, Audits usw. abgesichert wird.
Datenschutz beim Maschinellen Lernen: Neue Regelungen sind zu erwarten
Auch beim Einsatz einer KI gelten die Regeln der Datensicherheit und des Datenschutzes. Bei der Datensicherheit geht es um die technischen Maßnahmen, die Verlust, Manipulation, unberechtigtes Kopieren oder Einsichtnahme und andere Bedrohungen wirksam verhindern sollen.
Unter Datenschutz versteht man den Schutz vor missbräuchlicher Datenverarbeitung bis hin zum Schutz von Persönlichkeitsrechten und Privatsphäre. Es gibt viele Facetten.
Im Weißbuch der Europäischen Kommission zur künstlichen Intelligenz wird bei diesen Fragen ein Handlungsbedarf festgestellt, sodass in absehbarer Zeit neue Regelungen des Gesetzgebers zu erwarten sind.
Datenschutzbeauftragten involvieren
In einem Unternehmen sollte es immer einen Datenschutzbeauftragten geben. Wird eine KI oder andere ML-Methoden eingesetzt, ist dieser Beauftragte zu involvieren. Bei rechtlichen Rückfragen, Abstimmungen und anderen Aspekten kann dieser Zuständige in Zusammenarbeit mit Anwälten helfen.
Muss es einen Verantwortlichen für die Hardware-Plattform geben?
“Rechtliche Aspekte und Hardware liegen relativ weit auseinander. Zum Einlernen der KI brauche ich leistungsfähige Rechner, die eigentliche Ausführung der KI kann auch auf relativ simplen Hardware-Plattformen laufen”, erklärt Marquardt. „Was die Hardware angeht, da ergeben sich andere Herausforderungen. Angesichts der oft kurzen Produktlebenszyklen von Prozessoren kann es eine Herausforderung sein, für ein KI-Produkt längerfristig die passenden Bauteile zu bekommen.“
Daher sollten KMU beide Aspekte berücksichtigen und sinnvoll planen.
Greift die DSGVO bei Maschinellem Lernen?
Die DSGVO hat die Online-Welt ganz schön auf den Kopf gestellt und schon so manchen Datenschutzbeauftragten in den Wahnsinn getrieben. Nichtsdestotrotz ist sie sehr wichtig, denn sie legt zum Beispiel in Art. 5 das Transparenzgebot sowie die Prinzipien der Zweckbindung und Datenminimierung fest.
Website-Betreiber, Unternehmen und alle Institutionen, die Daten erheben, müssen über den Zweck in klarer und verständlicher Weise unter Nennung der Rechtsgrundlage für die Verarbeitung informieren. Als Rechtsgrundlage der Datenerhebung und -verarbeitung kommen nach Art. 6 Abs. 1 DSGVO die Erfüllung eines Vertrags, die Einwilligung sowie ein berechtigtes Interesse in Betracht.
Für Maschinelles Lernen kommt in erster Linie die Weiterverarbeitung von Daten entsprechend Art. 6 Abs. 4 DSGVO zum Tragen. Maßgebliches Kriterium für die Zulässigkeit der Weiterverarbeitung ist dabei, ob der neue Zweck mit dem ursprünglichen Zweck der Datenerhebung kompatibel ist.
Wer haftet bei Fehlern der KI? Das Smarties-Beispiel
Unpassende Kaufempfehlungen im Onlineshop und unfähige Sprachcomputer in der Telefon-Hotline: Wir alle kennen Beispiele, wo die KI nicht optimal funktioniert. Doch wer haftet, wenn die Künstliche Intelligenz Fehler mit größerer Tragweite begeht?
“Gute Verträge sind hier wichtig”, so Marquardt. Er gibt auch ein anschauliches Beispiel: “Nehmen wir eine KI, die zum Beispiel Smarties farblich sortieren soll. Ein Kunde, der nur blaue Smarties haben wollte, bekommt jetzt noch Rote dabei. Das ist zwar ärgerlich, aber es entsteht ja kein schwerer Schaden dadurch. Wenn ich nun aber hingehe und denselben Algorithmus rote von grünen Ampeln unterscheiden lasse, kann ein leichter Fehler hier schon Leben gefährden, zum Beispiel im Straßenverkehr. Es gibt also ganz unterschiedliche Anwendungen, die sich vom technischen Lösungskonzept her ähneln und bei denen Fehlentscheidungen dramatisch schwerere Folgen haben können. Entsprechend müssen auch die Verträge anders aussehen.”
Autorin: Sarah Janczura
Fachlicher Ansprechpartner:
VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik
Dr.-Ing. Erik Marquardt
E-Mail-Adresse: marquardt@vdi.de