KI im Bezug auf das Datenschutzgesetz – Wo liegen die Grenzen was sind die Risiken?

KI und Datenschutzgesetz

Beim Einsatz von Künstlicher Intelligenz (KI) im Bezug auf das Datenschutzgesetz liegt der Fokus auf dem Schutz personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) spielt hier eine zentrale Rolle, indem sie Grundsätze wie Rechtmäßigkeit, Transparenz und Datenminimierung vorschreibt. Verstöße gegen diese Grundsätze können zu hohen Bußgeldern führen. Besonders wichtig ist die Transparenz bei KI-Systemen, die in drei Ebenen unterteilt wird: Implementierung, Spezifikationen und Interpretierbarkeit. Unternehmen müssen bei der Nutzung von Large Language Models, wie ChatGPT, verschiedene datenschutzrechtliche Pflichten erfüllen, darunter die Sicherstellung der Rechtmäßigkeit der Verarbeitung, das Abschließen von Auftragsverarbeitungsverträgen und das Durchführen von Datenschutzfolgenabschätzungen (DSFA) und Transfer Impact Assessments (TIA)

Verarbeitung der Daten

Eine gültige Rechtsgrundlage für die Datenverarbeitung ist notwendig, wobei oft die Einwilligung der betroffenen Person erforderlich ist. Unternehmen müssen Betroffene über die Verarbeitung ihrer Daten informieren und sicherstellen, dass diese ihre Rechte nach der DSGVO ausüben können. Darüber hinaus müssen technische und organisatorische Maßnahmen ergriffen werden, um die Vertraulichkeit, Verfügbarkeit und Integrität der Daten zu gewährleisten. Es ist jedoch herausfordernd, wenn Daten in das KI-Modell eingeflossen sind, eine vollständige Löschung der Daten zu vollziehen, ohne das Modell zu beeinträchtigen.

Des Weiteren gibt es rechtliche Grenzen beim Sammeln von öffentlich zugänglichen Daten aus dem Internet, insbesondere im Hinblick auf das Urheberrecht und die DSGVO. Es ist wichtig zu klären, ob die Daten urheberrechtlich geschützt sind und ob sie personenbezogene Daten enthalten. Nicht personenbezogene Daten sind datenschutzrechtlich unproblematisch, während personenbezogene Daten besonderen Schutz genießen​.

Im europäischen Kontext regelt das KI-Gesetz den Einsatz von KI in der EU. Dieses Gesetz klassifiziert KI-Systeme nach dem Risiko, das sie für die Nutzer darstellen, und legt entsprechende Verpflichtungen für Anbieter und Nutzer fest. KI-Systeme, die ein unannehmbares Risiko darstellen, wie z.B. kognitive Verhaltensmanipulation oder soziales Scoring, werden verboten. Hochrisiko-KI-Systeme, die die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen gefährden könnten, unterliegen strengen Vorschriften​

Welche Risiken bringt KI im Bezug auf DSGVO?

Die Nutzung von Künstlicher Intelligenz (KI) bringt im Bezug auf die Datenschutz-Grundverordnung (DSGVO) verschiedene Risiken mit sich:

1. Mangelnde Transparenz: KI-Systeme sind oft komplexe „Black-Box“-Systeme, deren Entscheidungsfindungsprozesse für Nutzer und Betroffene schwer nachvollziehbar sind. Dies steht im Widerspruch zu den Transparenzanforderungen der DSGVO.
2. Automatisierte Entscheidungsfindung: KI kann automatisierte Entscheidungen treffen, die erhebliche Auswirkungen auf Individuen haben können. Die DSGVO regelt diese Art der Entscheidungsfindung streng und fordert unter bestimmten Umständen menschliches Eingreifen.
3. Datenminimierung und Zweckbindung: KI-Systeme benötigen oft große Mengen an Daten. Dies könnte im Widerspruch zu den DSGVO-Prinzipien der Datenminimierung und Zweckbindung stehen, wenn mehr Daten als notwendig gesammelt oder für andere als die ursprünglich vorgesehenen Zwecke verwendet werden.
4. Rechtmäßigkeit der Verarbeitung: Für die Verarbeitung personenbezogener Daten durch KI-Systeme muss eine Rechtsgrundlage vorhanden sein. Häufig ist die einzig mögliche Grundlage die Einwilligung der betroffenen Person, was in der Praxis Herausforderungen mit sich bringen kann.
5. Risiken für Grundrechte: KI-Systeme können die Grundrechte betroffener Personen beeinträchtigen, insbesondere wenn sie in Bereichen wie Profiling, Überwachung oder anderen sensiblen Anwendungen eingesetzt werden.
6. Datensicherheit: KI-Systeme stellen hohe Anforderungen an die Datensicherheit. Es besteht das Risiko von Datenlecks oder -missbrauch, was zu erheblichen Datenschutzverletzungen führen kann.
7. Umgang mit Betroffenenrechten: Die Gewährleistung der Rechte Betroffener, wie das Recht auf Auskunft, Berichtigung oder Löschung, kann bei KI-Systemen, die kontinuierlich lernen und sich entwickeln, eine Herausforderung darstellen.
8. Globale Datenübertragungen: KI-Systeme operieren oft global, was zu Herausforderungen bei der Einhaltung der DSGVO bei der Übertragung personenbezogener Daten über EU-Grenzen hinaus führen kann.
9. Verzerrungen und Diskriminierung: KI kann unbewusste Verzerrungen in den Trainingsdaten widerspiegeln, was zu diskriminierenden Entscheidungen führen kann. Dies verstößt gegen den Gleichbehandlungsgrundsatz der DSGVO.
10. Compliance und Dokumentation: Die Einhaltung der DSGVO erfordert umfassende Dokumentations- und Nachweisverpflichtungen, was insbesondere bei komplexen KI-Systemen eine Herausforderung darstellen kann.

KI-Einsatz im Bezug auf Social Scoring – was ist erlaubt, was ist verboten

Der Einsatz von Künstlicher Intelligenz (KI) im Bezug auf Social Scoring wirft komplexe rechtliche und ethische Fragen auf. Social Scoring bezieht sich auf Systeme, die das Verhalten von Menschen bewerten, oft basierend auf Online-Aktivitäten und anderen Datenquellen. Hier sind einige Aspekte, die bei der Verwendung von KI in diesem Bereich berücksichtigt werden sollten:

1. Datenschutzgesetze: In vielen Ländern, insbesondere in der Europäischen Union, gibt es strenge Datenschutzgesetze, wie die Datenschutz-Grundverordnung (DSGVO). Diese Gesetze regeln die Art und Weise, wie persönliche Daten gesammelt, verarbeitet und genutzt werden dürfen.
2. Transparenz: Es wird zunehmend gefordert, dass KI-Systeme transparent sein müssen. Benutzer sollten verstehen können, wie und warum sie von einem KI-System auf eine bestimmte Weise bewertet wurden.
3. Nichtdiskriminierung: KI-Systeme dürfen nicht diskriminierend sein. Dies bedeutet, dass sie keine Voreingenommenheit aufgrund von Rasse, Geschlecht, Religion oder anderen geschützten Merkmalen aufweisen dürfen.
4. Einspruchsmöglichkeiten: Es sollte Mechanismen geben, durch die Einzelpersonen Einspruch gegen ihre Bewertungen erheben können, insbesondere wenn diese Bewertungen negative Konsequenzen haben können.
5. Zweckbindung und Verhältnismäßigkeit: Die Verwendung von Daten für Social Scoring muss einem legitimen Zweck dienen und verhältnismäßig sein. Daten dürfen nicht für Zwecke verwendet werden, die über das hinausgehen, was als notwendig und angemessen angesehen wird.
6. Konsens: In vielen Fällen ist die Zustimmung der Person erforderlich, bevor ihre Daten für Social Scoring verwendet werden können.
7. Gesellschaftliche und ethische Bedenken: Neben rechtlichen Überlegungen gibt es auch wichtige gesellschaftliche und ethische Bedenken hinsichtlich des Einflusses von Social Scoring auf die Privatsphäre, die Autonomie und die soziale Gerechtigkeit.

Es ist wichtig zu beachten, dass die spezifischen Gesetze und Vorschriften, die auf KI und Social Scoring Anwendung finden, von Land zu Land variieren können. Deshalb ist es ratsam, sich über die in einem bestimmten Rechtsraum geltenden Regeln zu informieren.

Was ist Social Scoring?

Social Scoring ist ein Konzept, das in verschiedenen Kontexten Anwendung findet und insbesondere in der Kreditwirtschaft zur Bonitätsbewertung genutzt wird. Dabei werden die Kreditwürdigkeit eines Kunden und weitere relevante Merkmale anhand von Daten beurteilt, die in sozialen Netzwerken oder anderweitig im Internet öffentlich verfügbar sind. Dies umfasst Informationen, die der Kunde über sich selbst in sozialen Medien hinterlässt (Gabler Banklexikon).

In der Gesellschaft führt Social Scoring zu Diskussionen über seine potenziellen Auswirkungen. Es ermöglicht eine standardisierte Analyse unter Einbeziehung vielseitiger Faktoren, was theoretisch zu einer vorurteilsfreieren Bewertung führen könnte. Beispielsweise könnte ein Social Score bei der Bewerbung um eine Beschäftigung genutzt werden, der Aktivitäten wie ehrenamtliches Engagement, Weiterbildungen und Fürsorgearbeit berücksichtigt. Allerdings gibt es auch Risiken wie mittelbare Diskriminierung über Verhaltensvariablen und die Gefahr der gesellschaftlichen Benachteiligung, wenn sensitive Merkmale wie Geschlecht oder Herkunft als Input zur Berechnung genutzt werden (Kompetenzzentrum Öffentliche IT).

Ein prominentes Beispiel für Social Scoring ist das Social-Credit-System in China. Dieses System ist noch im Aufbau, und es gibt unterschiedliche Auffassungen über seine Funktionsweise. Es beinhaltet sowohl Blacklists für Personen, die gegen Gesetze oder Vorschriften verstoßen haben, als auch Redlists für systemkonforme Akteure. Es wird angenommen, dass das System auch ein Punktesystem umfassen wird, bei dem sich das Verhalten der Bürger auf ihre Punktzahl auswirkt. In der Stadt Rongcheng beispielsweise leben bereits Menschen mit einem Social Score, der bei verschiedenen Alltagsaktivitäten wie Kreditanträgen eine Rolle spielt. Im nationalen System startet jeder Akteur mit einer bestimmten Punktzahl, die sich je nach Verhalten erhöht oder verringert (IONOS).

Beim Einsatz von Social Scoring im Zusammenhang mit Künstlicher Intelligenz sind sowohl die Risiken als auch die Vorteile abzuwägen. Während KI die Effizienz und Genauigkeit von Social Scoring-Systemen verbessern kann, werfen diese Systeme Fragen hinsichtlich der Transparenz, Fairness und möglicher dystopischer Zukunftsszenarien auf (bpb.de).

In Bezug auf die Datenschutz-Grundverordnung (DSGVO) der EU müssen bei der Anwendung von Social Scoring die Prinzipien des Datenschutzes, wie die Rechtmäßigkeit der Verarbeitung, Transparenz, Datenminimierung und die Wahrung der Betroffenenrechte, beachtet werden. Die DSGVO stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten, insbesondere wenn es um die Bewertung und Klassifizierung von Personen geht. Daher ist es entscheidend, dass Social Scoring-Systeme, insbesondere solche, die KI nutzen, die DSGVO-Standards erfüllen, um rechtskonform zu sein.

Fazit

Der Einsatz von KI im Einklang mit der DSGVO erfordert ein hohes Maß an Sorgfalt, um die genannten Risiken zu minimieren und die Datenschutzrechte der betroffenen Personen zu wahren.