KI-Projekte DSGVO-konform umsetzen

by Tobias Tretzmüller

Aktuelle News, Datenschutz, IT-Recht16. September 20200 comments

Die Implementierung von KI-Lösungen gewinnt durch immer leistungsstärkere CPU stetig an Bedeutung. Häufig handelt es sich bei den dabei verarbeiteten Daten um personenbezogene Daten im Sinne der DSGVO. Somit rückt die Frage in das Rampenlicht: Können KI-basierte Geschäftsmodelle überhaupt DSGVO-konform umgesetzt werden?

Mehr dazu in diesem Artikel:

Gretchenfrage: Anonymisierung ja oder nein?

Eine für das Geschäftsmodell wegweisende Frage ist: Werden personenbezogene Daten verarbeitet oder nicht? Rechtlich übersetzt: Gelangt die DSGVO zur Anwendung? Dies ist nämlich nur dann der Fall, wenn ein Personenbezug hergestellt werden kann.

Damit stellt sich die Frage, ab wann von einer Anonymisierung der Daten gesprochen werden kann. Genau an diesem Punkt tritt die Rechtsunsicherheit ein. Erwägungsgrund 26 zur DSGVO verlangt, dass für eine Anonymisierung “die betroffenen Personen nicht oder nicht mehr identifiziert werden können“. Zur Feststellung dieses Zustands sollen “alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“. Zur Beurteilung, welche Mittel unter diese Bedingungen fallen, sollen “alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogenen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“.

Zusammengefasst: Entscheidend ist, ob eine Re-Identifizierung ausgeschlossen ist oder nicht. Dabei müssen auch aktuelle technische Verfahren und organisatorische Vorgehensweisen berücksichtigt werden. Täuscht man sich hier und kommt eine Identifizierung mit vertretbarem Aufwand doch in Betracht, befindet sich das Unternehmen in einem Dilemma, denn dann hätte dieses schon zu Beginn weitreichende DSGVO-Pflichten beachtet und umgesetzt (Stichwort: Privacy by Design).

Ob daher eine Anonymisierung vorliegt oder nicht, hängt von den Umständen des Einzelfalles ab.

An dieser Stelle soll angemerkt werden, dass eine Anonymisierung von Daten oft eine wesentlich schlechtere Datenqualität bedingt.

Was ist zu unternehmen, wenn die DSGVO anzuwenden ist?

Gelangt bei KI-getriebenen Geschäftsmodellen die DSGVO zur Anwendung, bedeutet dies nicht das viel zitierte Ende der Fahnenstange! Mit anderen Worten: KI und DSGVO sind durchaus kompatibel. Allerdings wird der Compliance-Aufwand ungleich größer. Maßnahmen, die zu einer rechtskonformen Umsetzung von KI-Geschäftsideen beitragen können sind:

• Eine transparente Kennzeichnung jener „Devices“ (Auto, Kamera, Software etc), welche die Daten speichern;
• Bereitstellung der erforderlichen datenschutzrechtlichen Informationen (etwa über einen QR-Code);
• Die Durchführung einer Datenschutz-Folgenabschätzung;
• Evtl Abschluss einer Betriebsvereinbarung, sofern Belegschaftsdaten verarbeitet werden;
• Der Abschluss eines Auftragsverarbeitervertrages oder eine Joint-Controllership-Vereinbarung.

Weiters besteht auf Infrastrukturebene die Notwendigkeit, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko der Datenverarbeitung angemessenes Sicherheitsniveau zu gewährleisten.

Fazit:

KI und DSGVO bedeutet keinen Widerspruch. Eine konsequente Umsetzung der erforderlichen Maßnahmen vorausgesetzt, lassen sich auch KI-basierte Geschäftsmodelle umsetzen. Entwicklern ist jedoch anzuraten, nicht den Weg des scheinbar geringsten Widerstands, nämlich der Anonymisierung, einzuschlagen. Sollte sich nämlich im Nachhinein herausstellen, dass tatsächlich eine Re-Identifizierung sehr wohl möglich ist – was oft der Fall ist –, kann dieser Umstand in einem späten Entwicklungsstadium oft nicht mehr saniert werden.

„Forschungsnahen“ Institutionen sei das Forschungsorganisationsgesetz ans Herz gelegt. Dieses Gesetz sieht gewisse Privilegierung (auch) im Bereich der KI-basierten Forschung vor.

Möglicherweise interessant: DSGVO und KI