KI trifft Datenschutz

Machine Learning aus rechtlicher Sicht

08.02.2021
Von    und
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Weitere Artikel des Autors
Matthias Bergmann ist wissenschaftlicher Mitarbeiter bei Luther Rechtsanwaltsgesellschaft mbH. Seine Tätigkeitsschwerpunkte liegen im IT- und Datenschutzrecht.
Weitere Artikel des Autors
Eine Voraussetzung für Machine Learning ist ein umfangreicher Datenbestand, um die Algorithmen zu füttern. Welche rechtlichen Fallstricke es dabei zu beachten gilt und wie Unternehmen gesetzeskonforme Plattformen aufbauen.
  • Urheberrecht und geistiges Eigentum
  • Künstliche Intelligenz und Datenschutz
  • Mitarbeiterüberwachung
  • Geplante Bundes- und EU-Gesetze
Machine Learning erfreut sich im Unternehmensumfeld weiterhin großer Beliebtheit. Allerdings wirft der Einsatz von KI-Technologien auch rechtliche Fragen auf.
Machine Learning erfreut sich im Unternehmensumfeld weiterhin großer Beliebtheit. Allerdings wirft der Einsatz von KI-Technologien auch rechtliche Fragen auf.
Foto: sdecoret - shutterstock.com

Ein Lerneffekt ist in deutschen Management-Ebenen eingetreten: Die Wichtigkeit von Künstlicher Intelligenz wurde erkannt. Das zeigt die IDG-Studie "Machine Learning 2020", nach der sich knapp drei Viertel der befragten Unternehmen mit dem ThemaThema zumindest beschäftigen. Alles zu Machine Learning auf CIO.de

Die Studie fördert darüber hinaus weitere Ergebnisse zu Tage, so zum Beispiel zu den wichtigsten Anwendungsfeldern und verbleibenden Hemmnissen. Aus rechtlicher Perspektive werfen die Ergebnisse der Untersuchung einige Fragen auf, die von Entscheider/innen beachtet werden sollten. Das Recht bietet allerdings auch Lösungen, wobei insbesondere geplante Gesetzesvorhaben auf Bundes- und EU-Ebene zukünftig die Entwicklung von Machine-Learning-Anwendungen erleichtern dürften.

Fast drei Viertel der Unternehmen in Deutschland nutzen bereits maschinelles Lernen oder planen den Einsatz dieser Technologie.
Fast drei Viertel der Unternehmen in Deutschland nutzen bereits maschinelles Lernen oder planen den Einsatz dieser Technologie.
Foto: IDG Research Services: Patrick Birnbreier

Data Mining und das Urheberrecht

Spracherkennung sowie Text- und Bildanalyse macht die IDG-Studie "Machine Learning 2020" als bisher wichtigste Anwendungsfelder aus. Dabei ist neben dem DatenschutzDatenschutz auch das Urheberrecht zu beachten, da es sich bei Texten und Bildern in der Regel um geschützte Werke handeln kann. Solche geschützten Werke dürfen nicht einfach im Sinne des Text und Data Minings kopiert werden, da dies eine Nutzungshandlung ist, die dem Urheber vorbehalten ist. Alles zu Datenschutz auf CIO.de

Dafür ist entweder eine Lizenz vom Urheber erforderlich oder das Urhebergesetz sieht eine besondere Privilegierung vor. Besondere Privilegierungen sieht das deutsche Recht zur Zeit aber nur für wissenschaftliches, nichtkommerzielles Text und Data Mining vor. Für kommerzielle Zwecke ist daher eine Vereinbarung mit dem Urheber erforderlich, die praktisch kaum zu erlangen ist.

Lesetipp: Geistiges Eigentum - Wie Sie Ihre Algorithmen schützen

Zukünftig soll die europäische Urheberrechtsreform eine weitergehende Privilegierung vorsehen. Durch sie dürfen allgemein zum Zwecke des Text und Data Mining rechtmäßig zugängliche Werke genutzt werden, wenn die Rechteinhaber/innen dem nicht ausdrücklich in maschinenlesbarer Form widersprochen haben. Damit kann das Text und Data Mining auch für kommerzielle Zwecke eingesetzt werden.

KI - im Konflikt mit dem Datenschutz?

Oberflächlich betrachtet scheinen Prinzipien des Datenschutzrechts im Widerspruch zu Künstlicher Intelligenz zu stehen. So benötigt ein lernender Algorithmus möglichst große Datenmengen, während die DSGVODSGVO Datenminimierung vorschreibt. Zudem müssen nach dem Transparenzgebot Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden, wohingegen selbstlernende Algorithmen häufig überaus komplex sind und das Zustandekommen ihrer Ergebnisse selbst für Experten nicht immer nachvollziehbar ist. Automatisierte Entscheidungen sind nach Art. 22 DSGVO grundsätzlich verboten. Diese Beobachtung könnte eine Erklärung dafür sein, warum die Studie Machine Learning 2020 den Datenschutz als eines der Hemmnisse bei der Etablierung benennt. Alles zu DSGVO auf CIO.de

Bei näherer Betrachtung lassen sich die Konflikte im Einzelfall aber auflösen. Der Grundsatz der Datenminimierung ist im Zusammenhang mit dem Prinzip der Zweckbindung zu verstehen, also relativ und nicht absolut. Ein selbstlernender Algorithmus dient der Entdeckung unbekannter Korrelationen. Entscheidend ist, ob die Daten zur Erreichung dieses Zwecks erforderlich sind, nicht ihre Menge. Bezüglich der Transparenz wird eine generelle Erklärung der Funktionsweise häufig ausreichend sein.

Und Art. 22 DSGVO verbietet nicht die automatisierte Verarbeitung, sondern eine darauf beruhende automatisierte Entscheidung und auch das nur, wenn sie für den Betroffenen negativ ausfällt. Damit bestehen immer noch eine Reihe von Stolperfallen im Datenschutzrecht. Allerdings stellt die DSGVO kein unüberwindbares Hindernis für die Künstliche IntelligenzKünstliche Intelligenz in Europa dar, sondern sie setzt Leitplanken, innerhalb derer Künstliche Intelligenz eingesetzt werden kann. Alles zu Künstliche Intelligenz auf CIO.de

Jeglichen Konflikt mit der DSGVO kann vermeiden, wer anonyme oder anonymisierte Daten verarbeitet. Das ist der Fall, wenn kein Personenbezug besteht, also gar keine natürliche Person betroffen oder die Person nicht identifizierbar ist. Die Datenschutzbehörden empfehlen soweit möglich die Verwendung anonymer Daten. Verwendet eine KI also ausschließlich anonyme Daten, ist das Datenschutzrecht nicht anwendbar.

Ob eine Person identifizierbar ist richtet sich vor allem nach dem Aufwand, der dafür erforderlich ist. Hierbei müssen technische Entwicklungen berücksichtigt werden und Bewertungen können sich im Laufe der Zeit ändern. Hier wird kann Künstliche Intelligenz dazu führen, dass Datensätze, die bislang als anonym galten, doch als personenbezogen einzustufen sind, weil mit Hilfe der Technologie natürliche Personen identifiziert werden können.

Datenschutzrechtlich schwierig bleibt es hingegen, wenn bereits bestehende Datentöpfe nun mit Hilfe Künstlicher Intelligenz zu anderen Zwecken als den ursprünglich vorgesehenen verarbeitet werden. Möchte ein Unternehmen seine Kundendatenbank analysieren, um Aussagen dazu zu erhalten, welcher Kunde mit hoher Wahrscheinlichkeit ein bestimmtes Produkt erwerben möchte, wird dies nicht durch die gängigen Rechtsgrundlagen gestattet sein. Auf der anderen Seite kann es aber zulässig sein, die bestehende Kundendatenbank dazu zu verwenden, die Künstliche Intelligenz zu trainieren. Auch hier kommt es auf eine Bewertung im Einzelfall an.

Gerade im Zusammenhang stellen sich eine Reihe von Fragen, die noch nicht abschließend bewertet sind. Dennoch bietet das Datenschutzrecht eine Reihe von Möglichkeiten, Künstliche Intelligenz rechtskonform einzusetzen. Dabei ist aber stets der vom Gesetzgeber gewollte, besonnene Umgang mit personenbezogenen Daten erforderlich.

Überwachung von Mitarbeiter/innen

Laut der IDG-Studie stellt Prozessoptimierung ein Hauptziel und Qualitätssicherung einen bedeutenden Use Case dar. Ob dazu auch Arbeitnehmer/innen durch Künstliche Intelligenz überwacht werden dürfen, ist noch nicht geklärt und wird wesentlich von den Umständen des Einzelfalls abhängen. Eine anlasslose, stichprobenartige offene Überwachungsmaßnahme kann unter besonderen Umständen erlaubt sein, z.B. die vorübergehende Speicherung und eine stichprobenartige Kontrolle von Browserverläufen.

Ein selbstlernendes Programm könnte aber je nach Ausgestaltung, genutztem Datenpool und der möglichen Ergebnisse eine unzulässige Atmosphäre ständigen Überwachungsdrucks erzeugen. Allgemein gilt daher: Idealerweise sollten Erhebung und Ergebnisse aggregiert vorliegen, individuelle Erkenntnisse nur im erforderlichen Bedarfsfall angestrebt werden.

Zur Studie "Machine Learning 2020"

Geplante Gesetzesvorhaben auf Bundes- und EU-Ebene

In gleich mehreren Initiativen beschäftigt sich die EU mit der Datenwirtschaft und insbesondere Künstlicher Intelligenz. Ziel ist dabei, einen Binnenmarkt für Daten zu schaffen, in dem ein einfacher Zugang zu nicht-personenbezogenen Daten für alle besteht. Es sollen bestehende Gesetze durch spezielle Regelungen zu Künstlicher Intelligenz flankiert werden, die zum Beispiel Haftungsfragen und Datenschutz im Blick haben. Der Versuch ist, ein Ökosystem der Exzellenz, das einen innovationsfreudigen Rahmen schafft, mit einem Ökosystem des Vertrauens, das die Sicherheit und Rechte der Bürger/innen schützt, in Einklang zu bringen.

Lesetipp: Die teuersten Datenschutz-Fails

Datenzugangsrechte können sich auch durch das geplante Digitalisierungsgesetz der Bundesregierung ergeben. Es sieht Änderungen im Kartellrecht vor. Schon jetzt gibt es in eingeschränkter Form und unter bestimmten Umständen die Möglichkeit für Unternehmen, Zugang zu Daten zu verlangen, wenn sich die Zurückhaltung als Missbrauch der Marktmacht eines anderen Unternehmens darstellt. Durch die geplanten Änderungen wird sich der Kreis derer, die Daten verlangen können, genauso erweitern wie die Gruppe jener, die sie herausgeben müssen.

Gegen marktbeherrschende Unternehmen sieht der aktuelle Entwurf ausdrücklich ein Datenzugangsrecht vor. Aber auch unterhalb der Schwelle der Marktbeherrschung kann ein Unternehmen mit dem Vorwurf des Missbrauchs seiner Marktmacht konfrontiert sein, wenn andere Unternehmen relativ schwächer und vom Zugang zu Daten abhängig sind, die das stärkere Unternehmen zurückhält. Hieraus folgt:

  1. Auch gegen Unternehmen unterhalb der Schwelle der Marktbeherrschung kann ein Zugang zu Daten durchgesetzt werden. Man muss also nicht erst Google sein, um mit Forderungen konfrontiert zu werden, die gesammelten Daten zu teilen.

  2. Die Vorgängerregelung begünstigte nur kleine und mittlere Unternehmen. Nun kommt es allein auf die Abhängigkeit und eine möglicherweise entsprechende Gegenmacht an. Es ist also vorstellbar, dass auf dieser Grundlage ein Konzern wie Siemens gegen Google vorgehen könnte. Als Anwendungsfeld stellt sich die Begründung zum Gesetzesentwurf vor allem Wertschöpfungsnetzwerke in Aftermarkt- und IoT-Kontexten vor. Es soll dabei vor allem um bereits bestehende Vertragsverhältnisse gehen.

Zwar ist der Zugang zu Daten laut der IDG-Studie weniger ein Problem als die Nutzung bereits vorhandener Daten und die mangelnde Datenqualität. Mit einheitlichen Regelungen und Verpflichtungen auf Bundes- und EU-Ebene könnte allerdings auch eine StandardisierungStandardisierung und bessere Strukturierung von Daten einhergehen. (bw) Alles zu Standardisierung auf CIO.de

Zur Startseite