Schalast | Datenschutz

Die zielgerichtete Verwendung von Informationen aller Art in Form von Daten ist ein zentraler Aspekt Künstlicher Intelligenz. KI-Modelle werden umfassend mit riesigen Datenmengen gespeist. Selbstlernende KI-Systeme sammeln und aggregieren fortlaufend und autonom Daten. Anwender von KI-Systemen verwenden diese Daten im Rahmen der Nutzung, direkt oder indirekt, und erzeugen damit neue Daten und (sonstige) Informationen.

Gesammelt, eingespeist und verwendet werden dabei Daten jeglicher Art und Herkunft, häufig (aber nicht nur) aus öffentlichen Quellen. Darunter sind vielfach auch personenbezogene Daten (kurz „Personendaten“) sowie solche Daten, die durch Aggregation oder Verknüpfung einen Personenbezug (wieder) erlangen können. Konsequenterweise kann demgemäß auch der „Output“ von KI-Modellen und -Anwendungen Personendaten enthalten.

Durch die Kombination von Daten mittels KI können zudem neue Daten(-sammlungen) und Informationen entstehen – die auch werthaltig sein können, mithin ggf. monetarisierbar sind. Auch Unternehmen, die KI als Anwender gezielt einsetzen, können hierdurch schutzbedürftige Werte erzeugen.

Aus alledem ergeben sich sowohl rechtliche Fragestellungen als auch lösungsbedürftige Herausforderungen für Hersteller, Anbieter und Anwender von KI-Technologien.

Datenschutzkonforme Gestaltung und Nutzung von KI-Technologien

Zum einen werden KI-Modelle auch mittels personenbezogener Daten trainiert. Demzufolge geben KI-Systeme angelernte Personendaten im Rahmen der Nutzung auch wieder aus. Zum anderen können durch die Nutzung von KI-Anwendungen weitere Personendaten originär gewonnen werden – z. B. durch die Analyse des (Online-) Nutzerverhaltens, im Kundensupport oder unternehmensintern bei der Verwendung virtueller Assistenten sowie im Rahmen betriebsinterner Analysen mittels KI-basierter Softwaretools.

Entwickler, Anbieter und Unternehmen als Anwender von KI-Systemen sind mithin gehalten, in ihrem Verantwortungsbereich die Anforderungen des gesetzlichen (Personen-) Datenschutzes zu beachten:

Auch für den Betrieb und das Angebot von KI-Anwendungen gilt grundsätzlich das Niederlassung- bzw. Marktortprinzip des Art. 3 Abs. 1, Abs. 2 der europäischen Datenschutz-Grundverordnung (DSGVO). Mithin wird die DSGVO in der Regel Anwendung finden, wenn sich der Sitz des Betreibers innerhalb der EU befindet oder wenn sich die jeweiligen KI-Anwendungen (auch) an Personen in der EU richten (oder wenn hierdurch deren Verhalten beobachtet wird). Dasselbe gilt dem Grunde nach für Unternehmen als Anwender von KI-Systemen.

Je nach Konstellation können aber andere (oder weitere) datenschutzrelevante Gesetze anwendbar sein. Zudem können aktuelle Gesetzesvorhaben und neue gesetzliche Regelungen wie z. B. das Gesetz über Künstliche Intelligenz bereits jetzt oder zukünftig Auswirkungen auf die Gestaltung, das Angebot und die Nutzung von KI-Anwendungen haben.

Anbieter tun mithin gut daran, ihre KI-Systeme und -Anwendungen bereits im Rahmen der Produktentwicklung so zu gestalten, dass deren Betrieb und Nutzung im Einklang mit den datenschutzgesetzlichen Anforderungen erfolgt. Denn Unternehmen sind gehalten zu prüfen, ob die Nutzung ihrer KI-Dienste datenschutzkonform erfolgen kann. Eine KI-Anwendung, die diesem Umstand nicht ausreichend Rechnung trägt, wird sich am Markt in der Regel nicht längerfristig behaupten können.

Im Anwendungsbereich der DSGVO spielt dabei der datenschutzrechtliche Grundsatz des „Privacy by design“ eine wichtige Rolle: Wer mittels einer KI-Software auch Personendaten verarbeitet, wird den betroffenen Personen über ein Consent Management oder eine vergleichbare Technologie ggf. eine Regulierungs- und Widerspruchsmöglichkeit für die Erfassung und Verwendung ihrer Personendaten zur Verfügung stellen (müssen). Soweit innerhalb des nutzenden Unternehmens mittels der KI-Anwendung auch Mitarbeiter(innen)daten erfasst und verarbeitet werden, sind zudem die Anforderungen des Arbeitnehmerdatenschutzes und ggf. das Mitbestimmungsrecht des Betriebsrats zu beachten.

Entwickler, Anbieter und Betreiber von KI-Anwendungen sollten mithin den Anwendern möglichst optimale technische Möglichkeiten für die Umsetzung dieser Anforderungen zur Verfügung stellen. Andernfalls wird die KI-Anwendung u.U. nicht (ohne weiteres) rechtskonform nutzbar sein.

Schalast Law | Tax erarbeitet datenschutzkonforme Lösungen für Ihre KI-Anwendungen so, dass der Datenschutz nicht hemmt, sondern sich als Qualitätsmerkmal Ihrer KI-Produkte versteht. Anwendern ermöglichen wir durch unsere rechtliche Expertise eine rechtssichere Einführung sowie eine rechts- und datenschutzkonforme Nutzung von KI-Anwendungen im Unternehmen.

KI & BIG DATA

Auch im Bereich der KI-Anwendungen kommt für die Gestaltung von Big Data Services und -Funktionen der Betrachtung der unterschiedlichen Datentypen erhöhte Bedeutung zu. Denn die Verarbeitung z. B. von Nutzungs- und Transaktionsdaten, von ortsbezogenen und/oder sozialdemografischen Daten oder von Daten aus dem Medizinbereich unterliegt verschiedenen – und unterschiedlichen – rechtlichen Anforderungen.

Auch hier gilt es wieder, diese Anforderungen sorgfältig und frühzeitig zu berücksichtigen und rechtskonform sowie interessengerecht umzusetzen – möglichst bereits während der Gestaltung der jeweiligen Big Data-Anwendung. Dabei ist das Erfassungs- und Verwertungsinteresse des KI-Anbieters im Rahmen der Wertschöpfung in Einklang zu bringen mit etwaigen Abwehrrechten betroffener (natürlicher oder juristischer) Personen gegen die Verarbeitung ihrer Daten. Damit hat ggf. bereits das „Design“ der Big Data-Anwendung eine wesentliche rechtliche Komponente – deren sorgfältige und sachgerechte Behandlung für den Markterfolg der Anwendung von erheblicher Bedeutung sein kann.

Schutz und Monetarisierung eigener Daten und Informationen aus dem KI-Output

Durch die Nutzung von KI-Anwendungen können neue, werthaltige Daten und Informationen entstehen. Es stellt sich die Frage, ob und wie diese Werte geschützt und ggf. monetarisiert werden können. Die Schutzinstitute des Urheberrechts helfen hier nicht, soweit es sich nicht um diesem gesetzlichen Schutzbereich unterliegende Werke handelt.

Die im hiesigen Rechtsraum anwendbaren Datenschutzgesetze gelten ausschließlich für Personendaten, nicht jedoch sonstige Daten und Informationen („Maschinendaten“). Das gilt auch für den Output von KI-Systemen. Insbesondere zum Schutz der Maschinendaten bestehen damit (derzeit noch) keine übergreifenden gesetzlichen Regelungen.

Damit muss der Schutz der eigenen, mittels der KI-Systeme generierten Daten und Informationen ggf. „by design“ erfolgen. Wichtiger Bestandteil einer solchen Lösung kann z. B. ein technischer Schutz vor unbefugtem Zugriff sein. Womöglich kann durch die Gestaltung einer strukturierten Datensammlung der spezialgesetzliche Datenbankschutz (§ 87a UrhG) erlangt werden. Weil dieser allerdings nur die Datenmenge in ihrer Gesamtheit erfasst, nicht jedoch die jeweiligen Einzeldaten, wird hierdurch das Ziel eines umfassenden Schutzes der eigenen werthaltigen Informationen ggf. nicht erreicht. Ein solcher kann aber womöglich durch gestalterische Methoden im Sinne der Erzeugung von Geschäftsgeheimnissen erzielt werden.

Nutzungsbefugnisse Dritter an den eigenen, werthaltigen Daten und Informationen können sodann auf vertraglicher Ebene gestaltet werden. Dabei können Inhalt und Grenzen der Nutzung ebenso bestimmt werden wie die hierfür zu entrichtende Vergütung. Für die Wirksamkeit und Durchsetzbarkeit solcher Nutzungsvereinbarungen müssen wiederum einige Anforderungen aus Gesetz und Rechtsprechung beachtet werden.