AI und warum sie bereits jetzt durch Datenschutz-Gesetze reguliert wird

Einführung

Das schnelle Wachstum der Nutzung von AI (englisch für "Artificial Intelligence") bzw. KI (deutsch für "Künstliche Intelligenz") wie ChatGPT, Bard u.a.hat die Möglichkeiten dieser Technologie bei fast jedem Geschäftsführer auf den Schirm gebracht. ChatGPT ist ein generatives KI-Sprachmodell - eine Art Machine Learning - die es Benutzern ermögicht, Fragen oder Aufgaben zu stellen und daraufhin Antworten zu erhalten, die eine menschliche Konversation nachbilden.

Interessant dabei ist, dass ChatGPT und ähnliche generative KI-Anwendungen zwar aktuell besonders in den sozialen und klassischen Medien präsent sind, andere Arten solcher KI-Anwendungen aber schon seit geraumer Zeit entwickelt und eingesetzt werden. Viele leistungsstarke KI-Geschäftsanwendungen basieren auf ähnlichen Formen des maschinellen Lernens, wodurch sie in der Vergangenheit sehr viel leistungsfähiger geworden sind. ChatGPT & Co stellen dennoch einen Wendepunkt in der Wahrnehmung solcher Technologien durch Entwickler und Nutzer dar, denn sie werden von beiden Gruppen gleichermaßen gut angenommen, wodurch sich ihr Einsatz schneller und weiter verbreitet als es bisher der Fall war.

Entsprechend groß ist auch die Aufmerksamkeit der Datenschutz-Community auf diese Technologien geworden. Und vor allem die Politik scheint sehr aufgeschreckt zu sein und ist der Meinung, sie müsse nun möglichst schnell neue und potenziell präskriptive Gesetze vorbereiten und herausbringen. Denn der Rechts- und Datenschutz scheint in seinen aktuellen Bestandteilen auf den ersten Blick nicht ausreichend für diese neuen Technologien und man ist mit neuen Regelungen bestrebt, die Bürger vor unbekannten oder einfach nur schlecht verstandenen möglichen Schäden zu schützen.

Doch Tatsache ist, dass zumindest im Zusammenhang mit dem Datenschutz die bestehenden Datenschutzgesetze und Datenschutzverordnungen viele der datenbezogenen Funktionalitäten von KI bereits abdecken. Werden zu schnell neue Regulationen für solche KI-Modelle erlassen, kann dies, wenn auch unbeabsichtigt, dazu führen, dass positive Aspekte dieser Technologien für die Menschen, die Wirtschaft, die Wissenschaft und die Gesellschaft insgesamt verhindert werden.

Schauen wir uns an, wie KI-Technologien funktionieren, und schauen parallel dazu darauf, was bereits durch Datenschutzregularien geregelt wird, stellen wir schnell fest, dass das meiste bereits abgedeckt ist. Denn die Datenschutz-Regelungen in Europa umfassen bereits die Erhebung, Verwendung, Offenlegung, grenzüberschreitende Übermittlung und sonstige Verarbeitung von Daten über bestimmte oder bestimmbare Personen. Zusätzlich werden dem Einzelnen entsprechende Schutzrechte wie Transparenz über den Zweck und die Art der Verarbeitung, Recht auf Auskunft, Recht auf Berichtigung und Löschung und Widerspruchsrecht usw. eingeräumt.

Wie funktioniert KI-gestützte Software?

Damit KI-Modelle funktionieren, müssen sie große Datenmengen aufnehmen (Input), die dann zum Trainieren des Algorithmus verwendet werden. So entstehen daraus die Modelle, die dabei helfen intelligente Entscheidungen zu finden (Output). Das bedeutet also, dass personenbezogene Daten, die als Input verwendet werden oder Output, der dazu verwendet wird Entscheidungen zu treffen, die die Interessen von bestimmbaren Einzelpersonen berühren, wahrscheinlich bereits den vorhandenen Datenschutzbestimmungen wie EU DSGVO, BDSG, TMG u.a. unterliegen.

Gerade in Bereichen, in denen der Input Daten aus der Kategorie besondere Daten, also Gesundheitsdaten, Daten über sexuelle Orientierung, Ethnie, Kinderdaten usw. enthält, oder wenn der Output rechtliche Auswirkungen für Einzelpersonen hat (z. B. Kredit, Beschäftigung oder Diskriminierung), sehen die bestehenden Datenschutzgesetze bereits erhebliche Einschränkungen vor. Dies gilt vor allem dann, wenn die KI von gewinnorientierten Unternehmen entwickelt und/oder betrieben werden, wodurch eine rein wissenschaftliche Nutzung der Daten nicht gewährleistet sein kann, für die entsprechende Ausnahmen gelten könnten.

Beispiele für Datenschutz-Regelungen bei KI-gestützter Verarbeitung von Daten

Hier mal ein paar Beispiele dafür, wie sich bereits bestehende Datenschutz-Gesetze direkt auf die Entwicklung und Nutzung von KI-Anwendungen auswirken:

Werbung und Marketing: Ki wird in der Werbung und im Marketing schon lange genutzt und hat dort bereits einen massiven Einfluss, der sich auch in Zukunft weiter ausbauen wird. Das fängt an bei den Chatbots, die durch KI immer menschenähnlicher werden, geht weiter über die Trendanalysen, die bereits lange mit Hilfe von maschinellem Lernen erfolgen, und endet nicht zuletzt bei verhaltensorientiertem Targeting, die durch KI-Modelle sogar auf individuelle Nutzer quasi in Echtzeit reagieren können. Praktisch alle Datenschutz-Gesetze, vor allem aber die EU Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz, sind bereits darauf ausgelegt solche Aktivitäten zu regeln. Sie enthalten strenge Vorschriften für die Benachrichtigung, die Einwilligung, die Einhaltung der Rechte der Betroffenen und viele weitere Anforderungen wie zum Beispiel technische und organisatorische Maßnahmen für die Speicherung und Verarbeitung von Personen-Daten.
Darüber hinaus gibt es spezifische Regelungen für bestimmte Branchen, wie zum Beispiel das Patientendaten-Schutz-Gesetz (PDSG) für medizinische Daten. Je nach Verarbeitungsort der Daten können Adtech- und Marketing-Aktivitäten, egal ob mit oder ohne KI-Unterstützung, eine Vielzahl von Anforderungen nach sich ziehen, die von der Benachrichtigung und ausdrücklichen Zustimmung über obligatorische Dokumentationen wie Datenschutz-Folgeabschätzungen (DPIA) oder auch Beschränkungen beim grenzüberschreitenden Transfer gehen.

Biometrie und Authentifizierung: Ein Teil der Datenschutzgesetze sieht sehr strenge Schutzmaßnahmen für die Erfassung und Verarbeitung biometrischer Daten vor (z. B. Fingerabdruck, Gesichtsgeometrie, Netzhautscans und ähnliches). Es spielt dabei keine Rolle, ob eine KI-gestützte Anwendung solche Daten zu Unterhaltungszwecken verwendet (z.B. Foto-Tagging u.ä.), sie zur Authentifizierung an einem Gerät (z.B. Fingerabdruck-Sensor oder Gesichtserkennung zum Entsperren mobiler Geräte) genutzt oder zu anderen Zwecken erfasst und verarbeitet werden. Die DSGVO stuft biometrische Daten nach Art. 4 Nr. 13 und 14 in die sogenannte besonders schützenswerte Kategorie personenbezogener Daten ein. Dadurch ergeben sich besonders hohe Schutzanforderungen und deren Nicht-Beachtung kann signifikante Strafen nach sich ziehen.

Beurteilung von Kreditwürdigkeit, Beschäftigungsverhältnissen, Versicherungen etc.: Werden Daten zur Beurteilung persönlicher Verhältnisse eines Individuums wie die Kreditwürdigkeit, die Höhe von Versicherungskosten oder die Eignung für ein Beschäftigungsverhältnis oder eine Wohnung erfasst, regelt bereits Art. 13 DSGVO die Informationspflicht bei der Erhebung gegenüber der betroffenen Person, Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Person über die erfassten Daten, Art. 17 DSGVO das Recht auf Löschung usw.. Und natürlich gelten auch hier die Vorschriften über technische und organisatorische Maßnahmen uvm., unabhängig davon ob eine KI an der Erfassung und/oder Verarbeitung der Daten beteiligt ist. Außerdem spielen in solchen Fällen noch diverse andere Persönlichkeitsrechte von Personen eine Rolle, die sich z.B. auf Gleichstellung aller Menschen und ähnliche Aspekte beziehen.

Cybersecurity und Monitoring: Auch die Nutzung KI-gestützter Lösungen für die Überwachung der Sicherheit in Unternehmensnetzwerken oder von Nutzeraktivitäten in Netzwerken, ja selbst auf privaten Geräten, unterliegen im Zusammenhang mit Regelungen zur Überwachung von Mitarbeitern diversen Schutzbestimmungen. Diese gehen sogar zurück bis auf das Grundgesetz zum Schutz von Persönlichkeitsrechten, die sich dann in Gesetzen wie § 75 Betriebsverfassungsgesetz wiederfinden. Gerade in unserer Datenschutz-Bubble wissen wir nur zu gut, dass KI-gestützte Angriffserkennungs- und Honeypot-Systeme, Anomalie-Erkennung mit Hilfe von ML-Algorithmen und viele weitere Technologien in der IT-Sicherheit schon lange von KI unterstützt werden. Schließlich müssen wir Datenschützer oft genug die Auftragsverarbeitungsverträge dafür vorbereiten oder sichten. Und so mancher Eintrag in den Verarbeitungsverzeichnissen ist um einiges komplexer geworden, weil solche Auswertungen von Traffic und/oder Datenverarbeitungsvorgängen natürlich nicht mehr auf dem eigenen Server stattfinden sondern in irgendwelchen Cloud-Netzwerken verteilt auf der ganzen Welt.

Sonstige KI-Anwendungen, die Auswirkungen auf den Einzelnen haben: Alle KI-Anwendungen, die eine Entscheidungsfindung mit rechtlichen Auswirkungen, hohem Risiko oder potenziell unlauterer Voreingenommenheit gegenüber Einzelpersonen beinhalten, werden mit hoher Wahrscheinlichkeit in irgendeiner Form bereits jetzt einer Datenschutzregelung unterliegen. Diese fangen beim Schutz des Urheberrechts an, gehen weiter über den Schutz der Betroffenenrechte bei der Nutzung personenbezogener oder personenbeziehbarer Daten und gehen selbst bis in Bereiche wie das Kartellrecht.

Sonstige Aspekte von gesetzlichen Regularien für KI-Modellen

Auch wenn es ziemlich wahrscheinlich ist, dass wir die Datenschutz-Gesetzgebung im Laufe der Zeit nachbessern müssen um sie an spezifische Merkmale oder Risiken bei der Verarbeitung durch KI-gestützte Anwendungen anzupassen, decken unsere vorhandenen Gesetze bereits die Masse der Anwendungsfälle recht gut ab. Mir ist aktuell kein Anwendungsbereich für KI-gestützte Systeme bekannt, wo der mögliche Input sowie die Nutzung des Outputs nicht bereits datenschutzrechtlich geregelt ist.

Und natürlich gehen die Datenschutzgesetze auch nicht auf die vielen Implikationen in Bereichen wie Gesellschaft, Ethik und Politik oder selbst in Themen wie dem Vertragsrecht ein, die sich aus der Verwendung von KI ergeben können. Ab wann ist es beispielsweise rechtlich vertrauenswürdig, wenn eine KI Entscheidungen darüber trifft oder Entscheidungen unterstützt, die zum Abschluss eines Vertrags führen? Darf eine KI beispielsweise genutzt werden um die Vollständigkeit und Richtigkeit von Vertragswerken zu bewerten und wie rechtsbindend ist ein Vertrag der unter Zuhilfenahme einer KI anstelle eines Rechtsanwalts bewertet wurde? Welche versicherungsrechtlichen Fragen ergeben sich eventuell daraus? Oder wie vertrauenswürdig ist eine Anamnese, die unter Zuhilfenahme von KI für einen Patienten aufgenommen wird und woraus sich eventuell eine Diagnose ergibt? Das sind durchaus Bereiche, wo unsere Gesetze ziemlich sicher an die Möglichkeiten neuer KI-Modelle angepasst werden müssen.

Weiterhin werfen neue KI-Modelle wie ChatGPT viele politische und gesellschaftliche Fragen auf, da bspw. viele Jobrollen durch sie ersetzt werden können, was Auswirkungen auf ganze Volkswirtschaften oder sogar die globale Wirtschaft haben kann. Ob die sich daraus ergebenden Herausforderungen jedoch durch neue Gesetze verhinderbar oder lösbar sind, dürfte eher zweifelhaft sein. Würde man das versuchen, ist eine Überregulation sehr wahrscheinlich, wodurch viele Chancen und Möglichkeiten, die sich für die Gesellschaft, die Wissenschaft und die Wirtschaft durch den Einsatz von KI-gestützter Software bieten können, unbeabsichtigt verschenkt werden könnten. Deswegen ist es keine gute Idee, auf neue Regularien zu drängen ohne die tatsächlich auftretenden Probleme zu kennen oder sie einfach aufgrund fehlender Erfahrungswerte und unzureichender Forschungsdaten falsch zu bewerten.

Mein Plädoyer

Mein Plädoyer ist daher, dass wir KI-Modelle erstmal etwas entspannter sehen sollten. Natürlich braucht es Aufklärung über die Gefahren, Limits und Fehlermöglichkeiten solcher KI-Software. Und im Laufe der Zeit brauchen wir sicherlich auch die ein oder andere Anpassung von Gesetzen an die speziellen Anwendungsgebiete, die sich durch neue KI-Modelle ergeben werden. Doch gerade im Bereich Datenschutz sollten wir die Situation etwas entspannter sehen und einfach die Gesetze zur Anwendung bringen, die wir bereits haben.