Künstliche Intelligenz und Datenschutz
Künstliche Intelligenz (KI) ist längst kein Zukunftsthema mehr, sondern eine Technologie, die unser tägliches Leben auf vielfältige Weise beeinflusst – von personalisierten Empfehlungen in Online-Shops über autonome Fahrzeuge bis hin zu komplexen medizinischen Diagnosen. Doch mit den zunehmenden Einsatzmöglichkeiten von KI wachsen auch die datenschutzrechtlichen Herausforderungen, insbesondere in der Europäischen Union (EU) und den USA.
KI und Datenschutz: Eine komplexe Beziehung
Eine der zentralen Fragen, die sich in Bezug auf KI stellt, betrifft die Verarbeitung personenbezogener Daten. KI-Systeme sind oft auf große Datenmengen angewiesen, um Muster zu erkennen und Entscheidungen zu treffen. Diese Daten sind nicht selten personenbezogen oder leicht zu personenbezogenen Daten rückführbar, was sie besonders sensibel macht. Laut der DSGVO sind Unternehmen dazu verpflichtet, personenbezogene Daten nur dann zu verarbeiten, wenn es eine klare Rechtsgrundlage dafür gibt. Hier kollidieren oft die Anforderungen der DSGVO mit den Bedürfnissen der KI-Systeme, die auf umfangreiche Datenmengen und oft auch auf Daten, die nicht unmittelbar dem jeweiligen Zweck zuzuordnen sind, angewiesen sind.
KI und DSGVO: Rechtliche Herausforderungen in der EU
In der EU wird die Debatte um KI stark von der Datenschutz-Grundverordnung (DSGVO) geprägt.
- So gibt z.B. Art. 22 DSGVO den Betroffenen das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die erhebliche Auswirkungen auf sie hat. Dies gilt insbesondere für Entscheidungen, die rechtliche Konsequenzen haben oder das Leben einer Person maßgeblich beeinflussen, wie zum Beispiel Kreditanträge oder Versicherungspolicen.
- Ein weiterer wichtiger Aspekt ist die Transparenz (vergl. Art. 5 Abs. 1 DSGVO). Die DSGVO schreibt vor, dass die betroffene Person über die Art und Weise, wie ihre Daten verarbeitet werden, informiert werden muss (vergl. Art. 12 ff. DSGVO).
- Werden personenbezogene Daten durch die KI verarbeitet muss ggf. ein Auftragsverarbeitungsvertrag pp. geschlossen werden.
Bei komplexen KI-Systemen kann dies problematisch sein, da die Algorithmen der KI oft als „Black Box“ fungieren und Entscheidungen der KI für Außenstehende kaum nachvollziehbar sind. Unternehmen, die KI einsetzen, müssen daher sicherstellen, dass sie die Erklärbarkeit und Nachvollziehbarkeit ihrer KI-Entscheidungen gewährleisten, was technisch und rechtlich aber sicherlich anspruchsvoll ist.
Der AI-Act der EU
Der europäische AI Act trat am 1. August 2024 in Kraft, und die meisten Bestimmungen werden nach einer Übergangsfrist ab August 2026 verbindlich. Der AI Act setzt auf einen risikobasierten Ansatz und teilt KI-Systeme in vier Risikoklassen ein:
- Unannehmbares Risiko: Bestimmte KI-Praktiken, die die Grundrechte gefährden, wie etwa Social Scoring durch Behörden, sind vollständig verboten.
- Hohes Risiko: KI-Systeme, die in sensiblen Bereichen wie Medizin, Verkehr oder Strafverfolgung zum Einsatz kommen, unterliegen strengen Anforderungen in Bezug auf Transparenz, Sicherheit und Überwachung.
- Begrenztes Risiko: KI-Anwendungen, die direkt mit Personen interagieren, wie Chatbots, müssen offengelegt werden, sodass Nutzer über den Einsatz von KI informiert sind.
- Minimales oder kein Risiko: Systeme mit geringem Risiko unterliegen keinen spezifischen Anforderungen.
Diese Übergangsphase gibt Unternehmen Zeit, ihre KI-Anwendungen zu überprüfen und, falls notwendig, den neuen Anforderungen anzupassen, um ab 2026 vollständig konform zu sein.
Datenschutz in den USA: Fragmentierte Regulierung
Im Gegensatz zur EU gibt es in den USA kein einheitliches Datenschutzgesetz, das den Einsatz von KI regelt. Stattdessen existiert eine Vielzahl von Gesetzen auf Bundes- und Landesebene, die oft nur spezifische Branchen oder Datentypen abdecken. Das wohl bekannteste ist der California Consumer Privacy Act (CCPA), das Verbrauchern in Kalifornien Rechte über ihre Daten gewährt, einschließlich des Rechts, Informationen über die Sammlung und Verarbeitung ihrer Daten zu erhalten.
Die fehlende Kohärenz in den USA erschwert es Unternehmen, die in mehreren Staaten tätig sind, einheitliche Datenschutzstandards einzuhalten. Dennoch gewinnt das Thema KI und Datenschutz auch in den USA zunehmend an Bedeutung. Auf Bundesebene gibt es Initiativen, die darauf abzielen, verbindliche Rahmenbedingungen für den Einsatz von KI zu schaffen, doch diese stecken derzeit noch in den Kinderschuhen. Das White House Office of Science and Technology Policy veröffentlichte 2022 einen Leitfaden für die Entwicklung, Nutzung und den Einsatz automatisierter Systeme.
Einige US-Bundesstaaten haben eigene Gesetze zur Regulierung von KI erlassen:
- Colorado AI Act (Mai 2024): Colorado verabschiedete das erste umfassende KI-Gesetz in den USA, das am 1. Februar 2026 in Kraft tritt. Es verlangt von Entwicklern und Betreibern von Hochrisiko-KI-Systemen, algorithmische Diskriminierung zu vermeiden, und schreibt die Meldung aller Fälle von Diskriminierung an die Generalstaatsanwaltschaft von Colorado vor.
- California Consumer Privacy Act (CCPA, seit 2018): Der CCPA enthält Bestimmungen über die Verwendung automatisierter Entscheidungsfindungssysteme und räumt Verbrauchern ein Widerspruchsrecht in Bezug auf die Verwendung solcher Technologien durch Unternehmen ein.
Herausforderungen für Unternehmen
Für Unternehmen, die KI-Technologien einsetzen, ergeben sich somit zahlreiche Herausforderungen. Sie müssen nicht nur sicherstellen, dass sie die geltenden Datenschutzgesetze einhalten, sondern auch, dass ihre Systeme so transparent wie möglich sind und die Privatsphäre der Nutzer schützen. Darüber hinaus müssen sie Mechanismen implementieren, die es Nutzern ermöglichen, ihre Rechte wahrzunehmen, insbesondere das Recht auf Auskunft und Löschung ihrer Daten.
Ein weiteres Problem ist die Frage der Verantwortung: Wer haftet, wenn ein KI-System eine falsche Entscheidung trifft oder personenbezogene Daten missbräuchlich verwendet? Diese Fragen sind rechtlich noch nicht abschließend geklärt und werden in Zukunft sicherlich verstärkt diskutiert werden.
Der richtige Umgang mit KI im Datenschutz
Die wachsende Bedeutung von KI stellt Unternehmen weltweit vor große Herausforderungen im Hinblick auf den Datenschutz. Während die EU mit der DSGVO und dem „AI Act“ bereits strengere Vorschriften erlassen hat, sind die USA noch dabei, ihre Regulierungen zu harmonisieren. Für Unternehmen, die international tätig sind, ist es daher essenziell, die verschiedenen Rechtsvorschriften genau zu kennen und ihre KI-Systeme entsprechend anzupassen. Nur so können sie sicherstellen, dass sie sowohl datenschutzrechtlich als auch ethisch auf der sicheren Seite sind.
Der Umgang mit KI und Datenschutz bleibt ein dynamisches und herausforderndes Feld, das in den kommenden Jahren weiter an Komplexität gewinnen wird. Unternehmen sollten daher in die Entwicklung von Datenschutzstrategien investieren, die auch zukünftigen gesetzlichen Anforderungen gerecht werden.