Einsatzmöglichkeiten von Künstliche Intelligenz (KI) sind vielfältig. Beispielsweise kann KI in der Medizin zur Analyse medizinischer Daten, in der Wirtschaft zur Optimierung von Prozessen, wie Bestandsmanagement, Lieferketten und Marketingstrategien, eingesetzt werden. Bei der Auswahl von KI-Anwendungen müssen jedoch datenschutzrechtliche Kriterien berücksichtigt werden. Einige werden im Folgenden kurz dargestellt:
- Bestimmung von Einsatzfeld und Zweck
Bevor eine KI-Anwendung eingesetzt wird, sollten Verantwortliche klar definieren, in welchen Bereichen sie genutzt werden soll und welchen konkreten Zielen sie dient. Diese Zweckbestimmung ist besonders wichtig im Kontext der Verarbeitung von personenbezogenen Daten. Nur mittels einer klaren Zweckfestlegung lässt sich überprüfen, ob die Verarbeitung von personenbezogenen Daten für die Erreichung der festgelegten Ziele auch erforderlich ist. Bei der Festlegung des Einsatzfeldes kann sich zum Beispiel herausstellen, dass keinerlei personenbezogene Daten verarbeitet werden, sodass das Datenschutzrecht nicht zur Anwendung kommt. Hierbei ist jedoch zu berücksichtigen, dass sich ein Personenbezug nicht nur durch Namen und Adressen, sondern auch durch verschiedene Merkmale ergeben kann.
- Datenschutzkonformes KI- Training
Ferner kann es darauf ankommen, ob und inwieweit KI-Anwendungen datenschutzkonform trainiert wurden. Zwar hat der Verantwortliche hierauf meist keinen Einfluss, jedoch muss der Verantwortliche sicherstellen, dass mögliche Fehler bei der Schulung der KI-Anwendung sich nicht auf die Datenverarbeitung in seinem Verantwortungsbereich auswirken.
- Keine automatisierte Letztentscheidung
Sofern keine Ausnahme nach Art. 22 Abs. 2 DSGVO vorliegt, wie beispielsweise eine Einwilligung der betroffenen Person, muss darauf geachtet werden, dass Entscheidungen mit Rechtswirkung grundsätzlich von Menschen getroffen werden müssen. Das Entscheidungsverfahren muss dabei so gestaltet sein, dass der Mensch, der die Entscheidung trifft, einen echten Entscheidungsspielraum hat.
- Entscheidung zwischen geschlossenem und offenem System
Eine weitere Entscheidung muss bezüglich der Art des KI-Systems getroffen werden. KI-Anwendungen gibt es als geschlossene sowie offene Systeme. Bei geschlossenen Systemen erfolgt die Datenverarbeitung in einer eingegrenzten, technisch geschlossenen Umgebung und hat nur einen bestimmten und begrenzten Anwenderkreis. Eingegebene oder entstehende Daten werden dabei nicht für ein weiteres KI-Training verwendet. Dagegen werden die eingegebenen und entstehenden Daten bei einem offenen System zum weiteren Training der KI-Anwendung verwendet. Zudem können offene Systeme weitere Datenquellen, wie das offene Internet, nutzen. Aus datenschutzrechtlicher Sicht sind technisch geschlossene Systeme zu bevorzugen.
- Beachtung des Transparenzgrundsatzes
Ferner muss bei der Auswahl der KI-Anwendung der datenschutzrechtliche Grundsatz der Transparenz beachtet werden. Unter dem Grundsatz der Transparenz versteht man, dass der betroffenen Person die Verarbeitung ihrer personenbezogenen Daten in klarer und leicht verständlicher Form zur Verfügung gestellt werden muss. Dies umfasst unter anderem Auskünfte darüber, welche Daten erhoben werden, zu welchem Zweck sie verwendet werden, wie lange sie gespeichert werden und ob die Daten an Dritte weitergegeben werden. Der Grundsatz der Transparenz beinhaltet auch, dass die betroffenen Personen über ihre Rechte informiert werden müssen, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch. Für den datenschutzkonformen Einsatz einer KI-Anwendung muss der Verantwortliche also in der Lage sein, die betroffene Person ausreichend über die Datenverarbeitung zu informieren. Auch muss gewährleistet sein, dass betroffene Personen ihre Rechte auf Berichtigung und Löschung ausüben können. Dies kann beispielsweise durch ein Nachtraining/Fine Tuning erfolgen.
Bei der Auswahl einer KI-Anwendung sollten Sie somit genau überprüfen, ob Sie den datenschutzrechtlichen Anforderungen gerecht werden. Gerne helfen wir Ihnen dabei.