Künstliche Intelligenz (KI)

Über die Nutzung von Handy Apps, Anfragen auf Suchmaschinen, in sozialen Netzwerken, beim Video- und Musik-Streaming, Online- Einkäufen um nur einige zu nennen, werden täglich extrem viele Daten erzeugt und es werden Jahr für Jahr mehr. Begleitet wird diese massive Steigerung des Datenvolumens (Big Data) von immer neuen Entwicklungen im Bereich des maschinellen Lernens und der Künstlichen Intelligenz (KI).

ePrivacyseal-Zertifizierungen im Bereich der künstlichen Intelligenz

ePrivacy hat unter anderem die folgenden KI-Anwendungen und Produkte hinsichtlich des Datenschutzes und der Datensicherheit mit dem ePrivacyseal zertifiziert:

Was versteht man unter Künstlicher Intelligenz?

Einfach erklärt, ist KI der Versuch, menschliches Lernen und Denken auf Computer oder Roboter zu übertragen und ihm damit Intelligenz zu verleihen. Statt für jede Anforderung immer neu programmiert zu werden, kann eine KI eigenständig Antworten finden und selbstständig Teil-Probleme lösen. D.h. der Computer „lernt“ über Algorithmen selbstständig dazu und analysiert zu diesem Zweck riesige Datenmengen. Sehr häufig werden dabei auch personenbezogene Daten genutzt.

Deshalb ist Künstliche Intelligenz sehr eng mit dem Thema Datenschutz verwoben ist und hat die hohen Anforderungen des Datenschutzes zu beachten, wenn es um personenbezogene Daten geht.

Künstliche Intelligenz und die DSGVO - Einklang oder Widerspruch?

Da selbstlernende Systeme nicht nur auf große Datenmengen zugreifen, sondern auch automatisiert Entscheidungen treffen können, wächst die Gefahr einer Verletzung der Rechte und Freiheiten von betroffenen Personen, wenn personenbezogene Daten eingesetzt werden.

Die Datenschutz-Grundverordnung regelt in Art. 5 DSGVO die zu berücksichtigenden Grundsätze der Datenverarbeitung auch durch KI-Systeme: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung.

Rechtliche Anforderungen sind etwa die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO oder die Einhaltung des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Technische und organisatorische Standards sind nach Art. 24 und 25 DSGVO notwendig und betreffen u.a. Fragen der Pseudonymisierung und Anonymisierung.

Von Bedeutung ist auch der Grundsatz, wonach personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen (Art. 5 Abs. 1 lit. a DSGVO). Nachvollziehbarkeit und Erklärbarkeit sind wesentliche Aspekte beim Einsatz von KI-Systemen.

Die DSGVO lässt sich also auch bei KI Systemen umsetzen. Einige der Grundsätze wie die Datenminimierung und Speicherbegrenzung stehen jedoch mit der Verarbeitung großer Datenmengen - wie sie im Bereich selbstlernender Systeme erforderlich ist - nicht zwingend im Einklang.

Die Aufgaben der Datenschutzexperten

Geht es um personenbezogene Daten, so haben KI-Systeme den DSGVO Grundsätzen ohne Ausnahme zu entsprechen. Durch frühzeitige Technikgestaltung gem. Art. 25 DSGVO in Form von technisch-organisatorischen Maßnahmen müssen die Verantwortlichen die Umsetzung der Grundsätze für die Verarbeitung von personenbezogenen Daten aus Art. 5 DSGVO gewährleisten. Auch im Bereich Privacy by Design und Privacy by Default sowie der Anforderung zur Datenminimierung sind hohe Anforderungen umzusetzen. Verstöße werden mit hohen Bußgeldern belegt.

Unsere Datenschutzexperten von ePrivacy prüfen, ob die in Ihrem Unternehmen umgesetzten Maßnahmen geeignet sind, die hohen Anforderungen des Datenschutzes einzuhalten.

7 datenschutzrechtliche Anforderungen die ePrivacy beim Einsatz von KI-Anwendungen prüft:

  • KI darf Menschen nicht zum Objekt machen
    Gibt es einen Anspruch auf Intervention durch eine reale Person?
  • KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben
    Entspricht die Datenerhebung diesem Ansatz?
  • KI muss transparent, nachvollziehbar und erklärbar sein
    Werden Betroffenenrechte (Transparenz, Informiertheit) ausreichend umgesetzt?
  • KI muss Diskriminierungen vermeiden
    Lassen sich Diskriminierungen ausschließen – Gibt es Mechanismen der Risikoüberwachung?
  • Für KI gilt der Grundsatz der Datenminimierung
    Entspricht die Datenerhebung bei personenbezogenen Daten dem Gebot der Datenminimierung?
  • KI braucht Verantwortlichkeit
    Ist ein Verantwortlicher festgelegt und sorgt dieser für die Einhaltung der DSGVO Grundsätze
  • KI benötigt technische und organisatorische Standards
    Über welche Maßnahmen wird ein geeignetes Sicherheitsniveau gewährleistet?

 

TreuMed Forschungsprojekt

Entwicklung von Datentreuhandmodellen am Beispiel der verteilten künstlichen Intelligenz in der Medizin 

ePrivacy ist Teil eines großen Forschungsprojekts, das vom Bundesministerium für Bildung und Forschung gefördert wird. Ziel dieses Forschungsprojektes ist es, in Zusammenarbeit mit der Universität Hamburg und der Medizinischen Universität Greifswald, Datentreuhandmodelle im Bereich der verteilten künstliche Intelligenz in der Medizin zu erforschen und zu erproben. Eine große Menge an medizinischen Daten kann, aufgrund hoher Datenschutzanforderungen, nur sehr eingeschränkt genutzt werden. Diese hochsensiblen Daten sind für die Arzneimittel- und Therapieforschung unerlässlich. Das Forschungsprojekt beschäftigt sich mit der datenschutzkonformen Verarbeitung großer medizinischer Daten in Deutschland und ist ein Beitrag zur europäischen Datenstrategie.

Es gibt eine Reihe von Privacy Preserving Technologies (PPTs), um die Datensicherheit für Nutzer zu gewährleisten. Zu diesen Verschlüsselungstechniken gehören Datenaggregation und erweiterte Kryptografie: data anonymization, differential privacy, secure multi-party computation (SMC), and homomorphic encryption. 

Die DSGVO regelt nur die Verwendung von personenbezogenen Daten. Wenn es sich um eine rechtlich-sichere Datenanonymisierung handelt, fällt die DSGVO nicht mehr ins Gewicht. In der Praxis ist die Anonymisierung von Daten sehr schwer zu bewerkstelligen, da die meisten Anwendungen eine ID (Identifier) benötigen. Föderales Lernen ist eine mögliche Lösung, um das Risiko von Datenschutzverletzungen zu mindern und die Datensicherheit zu steigern. Diese Technologie ist jedoch noch recht neu und befindet sich in einem frühen Anfangsstadium, so dass weitere Forschung erforderlich ist.  

 

Haben Sie Fragen oder anregungen an uns?

Sprechen Sie uns gerne an