Das Datenschutzrecht, beispielsweise durch die Datenschutz-Grundverordnung (DSGVO) und in Deutschland das Bundesdatenschutzgesetz (BDSG) haben das Ziel, den Schutz personenbezogener Daten, also Informationen zu einzelnen Menschen gerecht zu werden. Mittlerweile gibt es finale Entwürfe einer KI-Verordnung.
Dem stehen viele Trends der Digitalisierung, wie auch der zunehmenden Künstlichen Intelligenz (KI) oder englisch: Artificial Intelligence (AI) gegenüber. Diese neuen Methoden verarbeiten viele Daten, teils davon aber auch personenbezogene Daten. Das erfolgt beim Trainieren, aber auch bei der Anwendung – sei es der Output oder ein Reportings oder die Auswertung (Ergebnis). Im Datenschutz wird hier zwischen unterschiedlichen Phasen getrennt, wobei die Übergänge und auch die gleichzeitigen Prozesse in der Praxis kaum trennbar sind. Aber nach dem Datenschutzrecht wird im Rahmen des Zwecks der Datenverarbeitung und somit auch Basis der konkreten Rechtsgrundlage der Datenverarbeitung differenziert.
Ist die KI überhaupt erlaubt?
Was ist überhaupt eine „KI“? Sind damit rein technische Methoden gemeint oder eine selbstlernende, sich selbst verbessernde technische „Intelligenz“, quasi ein Computerprogramm? Wenn dieses nur nach vorgegebenen Formen eine Rechnung ausführt und somit nach bestimmten Vorgaben ein Ergebnis auswirkt, ist dies nicht gleich als intelligent zu bezeichnen. Derartige Computerprogramme gab es schon vor 50 Jahren.
Aber möglicherweise kann die KI bald mehr als nur ein Ergebnis ausgeben, sondern die Methodik selbst optimieren und somit eine bessere, gleichwohl umfangreichere Datenverarbeitung vornehmen. Es werden immer mehr Daten benötigt und auch von der Welt, primär aus Quellen wie dem Internet zur Verfügung gestellt, um eine aussagekräftigere Datenverarbeitung bzw. Analyse anzustreben. Es werden immer mehr Daten verarbeitet.
Steht dieses im Konflikt zum Datenschutzrecht und dem Datenschutz der einzelnen Menschen, derer Daten verarbeitet werden?
Ein Fallbeispiel: Wenn die KI-Systeme die Schuhgröße oder Hautfarbe oder einfach nur die Einwohneranzahl an einem bestimmten Ort verarbeiten und zählen bzw. daraus einen Mittelwert bilden, dann sind es zu Beginn personenbezogene oder personenbeziehbare Daten, vielleicht aber am Ende auf Grund der Vielzahl an Daten in einem „Mischwert“ gar keine personenbeziehbare Daten. Die durchschnittliche Schuhgröße von Männern zwischen 20 und 30 Jahren im Stadtteil Altona in Hamburg – auch vielleicht noch gefiltert nach Marken (Nike, Adidas, Puma…) dürfte wohl im Ergebnis kein personenbeziehbares Datum sein. Also dieser Wert und die damit verbundenen Aussagen lassen eigentlich keinen Personenbezug mehr zu. Dafür wohnen einfach zu viele Menschen in Altona und die bekannten Marken sind auch entsprechend oft verkauft worden. Das sind vielleicht hundert oder tausend Personen, die in Altona in Hamburg in diesem Alter leben und derartige Schuhe tagtäglich tragen. Die Marktforschung arbeitet grundsätzlich mit solchen Methoden und Ergebnissen.
Aber auf dem Weg dahin verarbeitet die KI natürlich für einen kurzen Moment von jeder Person, in diesem Beispiel von allen Männern in dieser Altersgruppe kurz die Info: Dieser Mensch ist X Jahre alt (PS: Die KI müsste sogar das exakte Geburtstag wissen, um eine dauerhafte Richtigkeit der Angaben zu gewährleisten), wohnt derzeit in Hamburg, im Stadtteil Altona, hat die Schuhgröße Y und trägt die Marke Z. Das ist dann ein personenbezogenes Datum. Man stelle sich vor, die KI fragt exakt diese Info von jedem Menschen ab uns speichert es in einer Datenbank. Also wäre zu jedem Mensch eine Spalte in einer Datenbank theroetisch vorhanden. Da braucht es nicht des Namens oder eines Fotos, sondern es liegt so schon eine Verarbeitung nach der DSGVO vor. Am Ende wäre also die Information auf den einzelnen Menschen herunterzubrechen.
Und in der Praxis sind die KI-Systeme längst viel weiter und verarbeiten anhand von Gesichtsfotos, Hintergrundinformationen, Meta-Daten und sonstigen Angaben, die die Personen direkt oder indirekt machen, so viele Daten, dass ein krasses Bild entstehen kann. Möglicherweise erkennt die KI dann sogar schon ein gewisses Krankenbild zur Person, könnte eine Wahrscheinlichkeit einer Erkrankung vorhersagen oder bald vielleicht sogar Emotionen, Ängste usw. erkennen und interpretieren, gar auch zu weiteren Zwecken ausnutzen. Wenn bei der Gesichtserkennung oder der Sprachanalyse auch diese sensiblen Daten ausgewertet werden, bestehen hohe Zweifel an der Datenschutzkoformität dieser Datenverarbeitung. Oftmals ist hier keine Rechtsgrundlage aus der DSGVO denkbar – mit Ausnahme der Einwilligung, die aber wohl selten abgefragt wird. Das System stößt somit an die Grenzen aus dem Datenschutzrecht. Wie sollen die datenschutzrechtlichen Anforderungen umgesetzt werden?
Das wird ergänzt durch unzählige weitere Daten und Infos aus den sozialen Netzwerken und allgemein dem Internet.
Aber es geht noch weiter. Die KI kann neue Menschen und Geschichten erfinden, so dass es bald kaum mehr zu erkennen ist, ob das Foto oder die Information einer realen Person zuzuschreiben ist oder nicht. Ist das aber vielleicht dann wiederum positiv für den Datenschutz? Oder begrenzt das Datenschutzrecht die KI bzw. die KI-Systeme und KI-Anwendungen, weil die Datenverarbeitung nur unter strengen Vorgaben erlaubt ist? Wer hat schon einmal seine Einwilligung oder allgemeine Zustimmung erteilt, dass die KI-Systeme und chatGPT und Co. Den Namen, den Wohnort, die Schuhgröße usw. von einem verarbeiten? Und wo wurden wir hierüber informiert? Ich wette, diese Abfragen existieren bereits.
Fazit – Was bleibt von KI?
Es bleiben Fragen und Risiken, die sich derzeit kaum auflösen lassen. Das Datenschutzrecht muss sich der KI widmen, die KI muss sich an das Datenschutzrecht halten. Das ist in Einklang zu bringen. Wir werden sehen, wie das in Zukunft funktionieren wird. Und ob KI überhaupt frei agieren kann und darf oder durch Regulierungen derart stark gehemmt wird, dass wir gar nicht über den Begriff „KI“ sprechen können?