BIG DATA, Künstliche Intelligenz und Urheberrecht

Schutz personenbezogener Daten in der digitalen Welt

Der Rechtsrahmen wird auch im digitalen Umfeld im Wesentlichen durch die Datenschutz-Grundverordnung (DSGVO) vorgegeben. Daneben sind das Bundesdatenschutzgesetz (BDSG) und das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) relevant. Es gelten auch hier die grundlegenden Anforderungen der DSGVO, die u.a. die Sicherstellung geeigneter Rechtsgrundlagen für alle Verarbeitungsvorgänge, die Vereinbarung und Umsetzung von angemessenen technisch-organisatorischen Schutzmaßnahmen, die Gewährleistung der Transparenz-, der Dokumentations- und Rechenschaftspflichten oder die Anwendung des Grundsatzes der Datensparsamkeit und der Zweckbindung umfassen.

Digitalisierung aber auch internationaler Datenaustausch bringen stets neue Herausforderungen an den Schutz personenbezogener Daten. Unternehmen sollten daher stets auch ein Augenmerk auf den Gesetzgeber aber auch auf die Rechtsprechung z.B. des EuGH legen, der durch seine Entscheidungen betroffene Unternehmen unmittelbar vor rechtliche Herausforderungen stellen kann (wie z.B. im Fall „Schrems II“ link zum Leistungen-> Datenschutz hinterlegen).

Die Anforderungen der DSGVO sind auf KI-Systeme ebenso anwendbar wie auf jede andere Form der digitalen Datenverarbeitung. Das gilt sowohl für das Sammeln der Daten, die Lernphase, wenn also das KI-System entwickelt und trainiert wird bis hin zu seinem operativen Einsatz. Auch hier muss der Zweck der Verarbeitung personenbezogener Daten in jeder typischen Verarbeitungsphase bestimmt, legitim und explizit sein. Es sind die Grundsätze der Datenverarbeitung, Artikel 5 DSGVO, Betroffenenrechte und Informationspflichten gemäß den Artikeln 13 und 14 DSGVO zu beachten. Im Bereich KI kommt den Bestimmungen zu automatisierten Entscheidungen und Profiling (Artikel 22 DSGVO) besondere Bedeutung zu. Aussagekräftige Informationen über die Funktionsweise der KI und die Art der Verarbeitung der personenbezogenen Daten müssen bereitgestellt werden, und zwar in einer Weise, die für die Betroffenen verständlich und nachvollziehbar ist. Aber auch die Einhaltung der übrigen Betroffenenrechte, wie etwa des Rechts auf Auskunft, auf Richtigstellung und auf Löschung sind relevant. Im Bereich des Risikomanagements gelten für KI-Systeme aufgrund ihrer Funktionsweise besondere Anforderungen. So besteht beim maschinellen Lernen die Gefahr, dass der Computer menschliche Vorurteile oder Fehleinschätzungen übernimmt, die in den ursprünglich von Menschen stammenden Trainings-Datensätzen enthalten sind. Gesellschaftliche Ungleichheiten und Diskriminierung finden so Eingang in die vermeintlich neutrale Entscheidungsfindung des Computers. Dieses Risiko muss erkannt, analysiert und vermieden werden. Aber auch aus den äußeren Umständen der Datenverarbeitung können sich spezifische Risiken ergeben, die besonderer Aufmerksamkeit bedürfen.

Da es sich bei KI-Anwendungen regelmäßig um den Einsatz neuerer Technologien handelt, wird während der Entwicklung und auch im Betrieb mit sehr hoher Wahrscheinlichkeit eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) erforderlich sein. Aus der Verantwortlichkeitsregelung des Artikel 24 DSGVO wird ggf. auch eine Verpflichtung zur Auditierung von KI-Systemen (über gesamten Lebenszyklus) herleitbar sein. Die Geeignetheit der ergriffenen Maßnahmen zur Begrenzung der spezifischen KI-Risiken bei der Datenverarbeitung muss nachgewiesen werden.

Da der EU-Verordnung zu KI (AI-Act) auch datenschutzrechtliche Regelungen enthält, wird das Zusammenspiel von DSGVO und KI-Verordnung zukünftig eine wichtige Rolle einnehmen.

Melden Sie sich gerne unter: +49 221 420 748 00 oder info@frey.eu

Ihr Ansprechpartner: Dr. Matthias Rudolph und Olaf Radtke