KI im Rahmen der Digitalisierungsstrategie – die DSGVO als Innovationsbremse?
Die europäische Datenschutzgrundverordnung (DSGVO) folgt dem Prinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass jede Verarbeitung personenbezogener Daten grundsätzlich erst einmal verboten ist – es sei denn, die DSGVO gestattet dem verarbeitenden Unternehmen die Datenverarbeitung explizit. Zudem stellt die DSGVO strenge Anforderungen an automatisierte Verarbeitungsprozesse, wie es beim Einsatz von künstlicher Intelligenz (KI) regelmäßig der Fall ist. Daher empfinden viele die DSGVO als Innovationsbremse. Doch trifft das wirklich zu? Bremst die DSGVO Innovationen tatsächlich aus? Oder verhindert sie sie vielleicht sogar?
Künstliche Intelligenz ist bereits Realität!
Tatsächlich verhindert die DSGVO den Einsatz künstlicher Intelligenz nicht, schließlich ist KI in Unternehmen bereits heute Realität:
- Überraschend natürlich wirkende Antworten von Chatbots und digitalen Assistenten
- Zuverlässige Betrugsbekämpfung im Rahmen von Onlinebestellungen
- Sichere Gesichtserkennung an der Eingangstür
- Scoring zwecks Bonitätsprüfung
- Individualisierte Werbeanzeigen
Das sind nur wenige Beispiele des konkreten Einsatzes von KI in der Digitalwirtschaft – „trotz“ DSGVO. Möglich wird es durch die zahlreichen Erlaubnistatbestände, die den Unternehmen Datenverarbeitungen etwa zum Zwecke der Vertragserfüllung oder auf Grundlage einer Einwilligung gestatten.
Und immer mehr Unternehmen liebäugeln zu Recht mit dem Einsatz von KI: Vorrangig geht es nicht darum, Arbeitsplätze wegzurationalisieren, sondern um Effizienzgewinne beziehungsweise Prozessoptimierung. Mitarbeiter sollen sich auf ihre Kernaufgaben konzentrieren können und weniger mit Nebenschauplätzen beschäftigt sein. Warum auch, wenn eine KI diese Arbeit zuverlässig im Hintergrund übernehmen kann?
Kompromissloser Datenschutz?!
Als eine der größten Herausforderungen beim Einsatz von KI im Unternehmen gilt dennoch tatsächlich die DSGVO. Regelmäßig müssen künstliche Intelligenzen mit enormen Datensätzen gefüttert werden, um dazuzulernen. Darunter befinden sich auch personenbezogene Daten. Die DSGVO hingegen reguliert die Verarbeitung genau dieser Art von Daten. So müssen personenbezogene Daten regelmäßig auf den neuesten Stand gebracht werden (Richtigkeit). Außerdem dürfen nicht mehr Daten erhoben werden als zwingend notwendig (Datenminimierung). Hinzu kommt auch, dass das verarbeitende Unternehmen in der Lage sein muss, die Einhaltung der eben genannten Grundsätze nachzuweisen. Insofern bedarf es durchaus einiger Vorkehrungen, damit die KI ungehindert eingesetzt werden kann.
Als besonders problematisch werden die datenschutzrechtlichen Informationspflichten mit Blick auf den der KI zugrundeliegenden Algorithmus empfunden. So verlangt die DSGVO von Unternehmen, die Personen über die „involvierte Logik“ zu informieren, die von der Verarbeitung betroffen sind. Aber wie verhält sich diese Pflicht etwa zu dem berechtigten Interesse von Unternehmen am Schutz von Geschäftsgeheimnissen?
Letztlich sollte es aber ausreichend und zweckdienlich sein, wenn dem Betroffenen in einfacher und verständlicher Sprache erläutert wird, wie die Technologie rund um den Algorithmus und dessen Entscheidungsfindung funktioniert. Alles, was darüber hinausgeht, würde dazu führen, dass das Unternehmen etwaige Wettbewerbsvorteile einbüßen müsste – und das, obwohl der Großteil der Betroffenen nicht einmal in der Lage sein dürfte, die Funktionsweise von Algorithmen vollständig zu verstehen. Eine grundsätzlich schützenswerte Entwicklung würde zu einer Art Open-Source-Produkt.
Dass dieses Ergebnis nicht gewollt sein kann, macht auch folgender Auszug aus dem Eckpunktepapier der Bundesregierung für eine KI-Strategie deutlich:
„Die Datenschutz-Grundverordnung (DSGVO) bildet einen verlässlichen gesetzlichen Rahmen für innovative Technologien und Anwendungen auch im Bereich der KI. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ (Eckpunkte der Bundesregierung für eine Strategie Künstliche Intelligenz, 18. Juli 2018)
Bereits bei der Konzeptionierung an den Datenschutz denken!
Um den genannten Herausforderungen möglichst kostensparend gerecht werden zu können, sollten datenschutzrechtliche Aspekte bereits in der Entwicklungsphase berücksichtigt werden.
Hier kommt das Prinzip „Privacy by Design“ ins Spiel. Damit ist gemeint, dass der Datenschutz bereits im Rahmen der Technikgestaltung Berücksichtigung finden soll und nicht erst nach Markteintritt. Beispielsweise können personenbezogene Daten bereits pseudonymisiert oder bestenfalls anonymisiert werden, bevor sie der KI als „Futter“ dienen. Das heißt: Pseudonymisierung und Anonymisierung sollten bereits in der Speicherumgebung der Rohdaten durchgeführt werden und somit bevor sie in die Entwicklungsumgebung der KI übertragen werden. Eine Anonymisierung würde zudem dazu führen, dass die DSGVO gar nicht erst anwendbar ist. Die KI könnte – zumindest aus datenschutzrechtlicher Sicht – bedenkenlos eingesetzt werden.
Risikominimierende Maßnahmen honoriert die DSGVO an verschiedensten Stellen. Insofern ergibt es Sinn, sich bereits bei der Konzeptionierung mit der DSGVO auseinanderzusetzen. Ein Showstopper ist die DSGVO gewiss nicht und eine frühzeitige Einbeziehung in die Entwicklung vermeidet zudem teure Nacharbeiten.
Kann die DSGVO Innovationen nicht sogar fördern?
Zu sagen, die DSGVO könne Innovationen sogar fördern, erscheint vor allem aus Unternehmersicht weit hergeholt. Die strengen Anforderungen – insbesondere im Bereich der Betroffenenrechte – machen jedoch gewisse (technische) Entwicklungen notwendig, die ein hohes Maß an Innovation erfordern.
Ein schönes Beispiel hierfür ist die Rechenschaftspflicht nach Art. 5 DSGVO. Gemeint ist hiermit, dass das verarbeitende Unternehmen die Einhaltung der datenschutzrechtlichen Grundsätze nachweisen können muss. Hierunter fällt – neben den bereits erwähnten Grundsätzen – vor allem auch der Grundsatz der Zweckbindung: Grundsätzlich dürfen Daten nämlich nicht für andere als die ursprünglich festgelegten Zwecke verarbeitet werden.
Die Erfüllung dieser umfassenden Nachweispflicht gestaltet sich insbesondere bei KI schwierig, deren Entscheidungsprozesse aufgrund des selbständigen Dazulernens nicht vollständig nachvollzogen werden können – das sogenannte Deep Learning. Insofern sind kluge Köpfe gefragt, die die Erfüllung der Nachweispflicht in einem solchen Fall realisieren können. Denkbar wäre etwa eine „Kontroll-KI“, die den Entwicklungsprozess der eigentlichen „Arbeits-KI“ nachvollziehen und dokumentieren kann.
Anhand dieses Beispiels wird deutlich, dass man keinesfalls von einer Innovationsförderung sprechen kann. Wohl aber lässt sich sagen, dass die strengen Anforderungen der DSGVO einen gewissen Innovationsdruck erzeugen und Unternehmen dazu zwingen, bessere, innovativere und nachhaltigere Lösungen zu entwickeln.
Innovationsbremse ja, Innovationskiller nein!
Wie verhält sich die DSGVO also zu künstlichen Intelligenzen? Klar ist: Die DSGVO knüpft an die Verarbeitung von personenbezogenen Daten durch eine KI besondere Voraussetzungen. Das führt zwangsweise dazu, dass der Zeit- und Kostenaufwand für die Entwicklung einer KI wächst. Die DSGVO bremst den Einsatz derselben somit tatsächlich ein wenig aus, verhindert ihn aber keinesfalls. Vielmehr sichert sie den Einsatz von KI lediglich datenschutzrechtlich ab.
Unternehmen sollten nicht vergessen, dass ein hohes Datenschutzniveau regelmäßig zu mehr Vertrauen auf Kundenseite führt und sich zukünftig somit als Wettbewerbsvorteil entpuppen kann. Viele Bürger sind mittlerweile derart sensibilisiert, dass bewusst Anbieter gewählt werden, die sich für den Schutz personenbezogener Daten einsetzen. Die Erfüllung der datenschutzrechtlichen Anforderungen sollte also als Investition in das eigene Unternehmen und nicht bloß als lästige Pflicht betrachtet werden.
Sagt die Anwältin, sie muss es ja wissen.
„Künstliche Intelligenz ist bereits Realität!“
Nein, derzeit nur Marketingbullshit von Nichtskönnern die am Leben vorbei laufen! Das Google Brain Team hat (gerade einmal) 25 Leute und Millionen USD Budget, bewegt sich aber noch immer in der Grundlagebforschung… – woher sollen die kleinen Dorfklitschen Geld und Personal nehmen um marktreife Produkte zu entwickeln?