+49 228 2861 140 60 info@sicoda.de

EU AI Act

 

Künstliche Intelligenz ist aus dem privaten und professionellen Alltag nicht mehr wegzudenken. Neue Technologien wie ChatGPT und Chatbots bieten eine Optimierung von Prozessen und Hilfestellungen in verschiedenen Situationen. Dabei kommt die Frage auf, was genau unter künstlicher Intelligenz zu verstehen ist und wie sich insbesondere eine datenschutzkonforme Nutzung gestaltet.

Die neue Verordnung über künstliche Intelligenz der europäischen Union (AI Act) definiert das KI-System in Art. 3 Abs. 1 als „ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, das nach seiner Einführung anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können“. KI-Systeme können also eigenständig Daten zu einem Ergebnis verarbeiten. Es werden dazu Daten eingegeben, die anhand unterschiedlicher Methoden neue Daten produzieren. Diese Verarbeitungswege können mehr oder weniger nachvollziehbar sein. Einerseits gibt es regelbasierte KI, die mit entsprechenden Regelmodellen arbeitet (z.B. Entscheidungsbäume) und damit Entscheidungen trifft, die so auch von Menschen getroffen werden könnten. Andererseits sind KI-Systeme in der Lage mit der Methode des sogenannten maschinellen Lernens trainiert zu werden. Hierbei eingesetzte Algorithmen werden mit Daten gespeist, anhand derer Muster erkannt werden, welche dann auf neue Datensätze angewandt werden. So „lernt“ das System und entwickelt eigenständig Ergebnisse, die nicht mehr auf den Ausgangsdaten beruhen. Insbesondere beim sogenannten „deep learning“, bei dem künstliche neuronale Netze eingesetzt werden, ist die Nachvollziehbarkeit der Arbeitsweise erschwert. Neuronale Netze sind dem biologischen Gehirn nachempfundene Strukturen, die in der Form programmiert werden, dass sie in der Lage sind, Daten in gewisser Weise zu gewichten und so zu einem Ergebnis zu kommen. Derartige Entscheidungswege können also oft gar nicht mehr nachempfunden werden. Teilweise ist nicht einmal der Einsatz einer überprüfenden KI erfolgsversprechend.

KI-Systeme können jedoch in gewissem Maße dahingehend beeinflusst werden, als dass die Daten, mit denen sie trainiert werden, konkret bestimmt sind. Außerdem sollten Vorkehrungen getroffen werden, um ein Datensammeln (sogenanntes „Scraping“) der KI zu verhindern. Beim Scraping greift das System auf alle frei veröffentlichten Daten wie Bilder, Namen oder ähnliche zu. Zudem besteht die Möglichkeit, die KI derart zu entwickeln, dass gewisse Daten herausgefiltert werden und nicht mittels künstlicher Intelligenz verarbeitet werden. Dabei entscheidend ist der gewählte Prompt und die Eigenschaft der KI, nach entsprechenden Vorgaben Daten zu erkennen und auszuschließen. Jedenfalls bedarf es einer stetigen Kontrolle und Wartung der KI zur Überprüfung der Einhaltung der Vorgaben des AI-Acts und den geltenden Datenschutzstandards.

Im AI-Act werden KI-Systeme in mehrere Kategorien eingeteilt, wobei für jede Kategorie eine Reihe spezifischer Vorschriften gilt. Dabei wird ein risikobasierter Ansatz verfolgt. KI-Systeme, die ein unannehmbares Risiko bergen, sind demnach verboten, bestehen bei KI-Systemen hohe Risiken, sind diese als Hochrisiko-KI-Systeme einzustufen, für die besonders strenge Anforderungen bestehen. Bei einem begrenzten Risiko eines KI-Systems spricht der AI-Act von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind. Birgt ein KI-System nur ein minimales oder gar kein Risiko fällt es in der Regel nicht unter die Vorgaben des AI Acts. Die Anforderungen des AI-Acts sind bei jedweder Konzeption von KI- Systemen und Anwendungen zu berücksichtigen. Welche Anforderung im Hinblick auf ein KI-System oder eine Anwendung zu erfüllen sind richtet sich dabei nach der Einstufung der Anwendung.

Wer sich also einem KI-System bedient, hat bereits nach dem AI-Act einige Vorgaben zu erfüllen und setzt mögliche Dritte aber auch sich selbst einiger Risiken aus. Indem künstliche Intelligenz von Datensätzen abhängig ist, werden unter Umständen auch personenbezogene Daten verarbeitet. In diesem Fall ist zwingend auch der Datenschutz zu beachten und die Datenschutzgrundverordnung (DS-GVO) und neben ihr ggf. auch das Bundesdatenschutzgesetz (BDSG) und spezielle Landesdatenschutzgesetze finden Anwendung.

Für den KI-Einsatz bedeutet das, dass zunächst die Einhaltung der Datenschutzprinzipien (Art. 5 DS-GVO) zu beachten ist. Insbesondere Transparenz, Zweckbindung und die Datenminimierung bieten im Rahmen des Einsatzes von KI Herausforderungen aufgrund der großen Datenmengen, die teilweise ohne besonderen Zweck erhoben und ausgewertet werden. Zudem kann der Zweck, der für die Verarbeitung von Trainingsdaten besteht, ein anderer sein als derjenige, für den die KI am Ende genutzt wird. Dies sollte schon bei der Konzeption und Konfigurationen von KI-Systemen mitgedacht werden, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden können.

Darüber hinaus gilt es bereits im Training von KI-Modellen, die Daten, die genutzt werden, danach zu bewerten, ob es sich personenbezogene Daten handelt der nicht. Es sollte im Sinne des Grundsatzes der Datenminimierung stets geprüft werden, ob die Verarbeitung personenbezogener Daten erforderlich ist oder ob Daten auch anonymisiert genutzt werden können. Jedenfalls sind die Daten und ihre Quellen zu dokumentieren, da einer möglichen späteren Auskunftspflicht auch hinsichtlich der Trainingsdaten nachgekommen werden muss.

Um die Daten, sofern es sich um personenbezogene Daten handelt, überhaupt rechtmäßig verarbeiten zu können, bedarf es zudem einer Rechtsgrundlage. Grundsätzlich kommt eine Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO in Betracht. Da diese grundsätzlich auf freiwilliger Basis erfolgt und die Freiwilligkeit nur dann angenommen werden kann, wenn die betroffene Person, die Sachlage überblicken kann und weiß, worauf sie sich mit ihrer Zustimmung einlässt, kann eine KI-basierte Verarbeitung nur dann auf die Rechtsgrundlage der Einwilligung gestützt werden, wenn der betroffenen Person die notwendigen Informationen in ausreichender Transparenz zur Verfügung gestellt werden können. Da eine Einwilligung zudem jederzeit mit Wirkung für die Zukunft frei widerruflich ist, muss sichergestellt sein, dass das Recht auf Widerruf beim Einsatz KI-basierter Verfahren auch gewährleistet werden kann. Die Gewährleistung der Widerruflichkeit könnte ggf. aufgrund konkreter technischer Funktionen der KI-basierten Anwendung verhindert werden. Eine Verarbeitung personenbezogener Daten im Rahmen einer KI-Anwendung könnte in bestimmten Fällen auch auf die Rechtsgrundlage der Erfüllung des Vertrages nach Art. 6 Abs. 1 lit. b) DS-GVO gestützt werden, wenn die Erforderlichkeit einer Verarbeitung im Rahmen der Durchführung eines Vertrages anzunehmen ist. Andernfalls kann auch eine Interessensabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO erfolgen, wobei hier insbesondere die getroffenen Maßnahmen zur Datensicherheit berücksichtigt werden müssen.

Für die Verarbeitung besonderer personenbezogener Daten nach Art. 9 DS-GVO wie z.B. Gesundheitsdaten sind zudem die Voraussetzungen des Art. 9 DS-GVO zwingend zu beachten. Besondere personenbezogenen Daten dürfen nur unter engen Voraussetzungen verarbeitet werden.

Aus dem Bundesdatenschutzgesetz (BDSG) und den einschlägigen Landesdatenschutzgesetzen können sich weitere Anforderung an die Zulässigkeit der Verarbeitung personenbezogener Daten, insbesondere besonderer personenbezogener Daten, ergeben.

Der Verantwortliche unterliegt zudem den Informationspflichten nach Art. 13 DS-GVO gegenüber der betroffenen Person. Dieser Verpflichtung muss er auch im Rahmen des Einsatzes von KI-Systemen nachkommen. Es ist daher essentiel, dass der Verantwortliche die Funktionsweisen seiner KI-Systeme kennt und transparent beschreiben kann. Auch hat der Verantwortliche den betroffenen Personen die Ausübung entsprechender Rechte nach den Art. 15 ff. DS-GVO zu ermöglichen. So muss die betroffene Person unter anderem in der Lage sein, Auskunft, sowie die Berichtigung oder Löschung von Daten verlangen und erhalten zu können.

Auch diesbezüglich können sich aus dem Bundesdatenschutzgesetz (BDSG) und den einschlägigen Landesdatenschutzgesetzen weitere Anforderungen ergeben.

Darüber hinaus muss eine Aufnahme der KI-Systeme, innerhalb derer personenbezogene Daten verarbeitet werden, in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO erfolgen.

Letztlich bedarf es beim Einsatz von KI-Systemen auch einer Identifizierung von Risiken für die betroffenen Personen im Rahmen einer Datenschutzfolgenabschätzung nach Art. 35 DS-GVO. Durch die komplizierten Verarbeitungsvorgänge aufgrund der Komplexität des maschinellen Lernens, sowie der Nutzung großer Datenmengen können Risiken nicht komplett ausgeschlossen werden. Allerdings hilft die Berechnung einer Eintrittswahrscheinlichkeit von Risiken und Schäden dabei, bereits im Vorfeld entsprechende Maßnahmen zu treffen, die einen datenschutzkonformen Einsatz von KI-Systemen gewährleisten.

Im Ergebnis lässt sich festhalten, dass das Thema Datenschutz im Rahmen KI-basierter Anwendungen nur dann eine Rolle spielt, wenn im Rahmen der Anwendungen personenbezogene Daten verarbeitet werden. Ist dies jedoch der Fall, findet das Datenschutzrecht vollständig Anwendung und alle datenschutzrechtlichen Vorgaben sind auch im Rahmen des Einsatzes KI-basierter Anwendungen zu erfüllen. Eine KI-basierte Anwendung sollte daher immer auch mit Blick auf die datenschutzrechtlich relevanten Aspekte und Anforderungen konzipiert und konfiguriert werden.