Ein Beitrag von Von Nils Klute, IT-Fachredakteur und Projektmanager IoT beim eco – Verband der Internetwirtschaft e. V.
Obwohl immer mehr Branchen Daten mit künstlicher Intelligenz (KI) verarbeiten, gibt es kein dediziertes KI-Recht. „Solange KI-Regeln fehlen, lassen sich die Anforderungen nur aus den geltenden Recht ableiten“, sagte Dr. Lutz M. Keppeler, Fachanwalt für IT-Recht, kürzlich im Webinar von Serivce-Meister.
Krankenkassen bewerten individuelle Gesundheitsrisiken ihrer Versicherten mit KI. Banken erkennen verdächtige Kontobewegungen durch KI. Und die Fertigung setzt auf Maschinendaten und KI, um Prozesse zu optimieren, Anlagen verfügbar zu halten und Abläufe im Service zu beschleunigen. „Kaum eine Branche arbeitet heute nicht mit KI“, sagte Dr. Lutz M. Keppeler im Webinar von Service-Meister. Der Fachanwalt für IT-Recht bei Heuking Kühn Lüer Wojtek sprach über die rechtlichen Rahmenbedingungen, die für Anwender relevant sind, wenn sie Daten erheben und mit KI verarbeiten möchten. „Obwohl KI heute breit im Einsatz ist, gibt es kein dediziertes KI-Recht“, sagte Keppler. „Die EU-Kommission arbeitet aber an einem Weißbuch zur Regulierung von KI.“
KI-Weißbuch der EU-Kommission: Mindestanforderungen vom möglichen Risiko ableiten
Welche Anforderungen gelten für Trainingsdaten? Was müssen Anwender dokumentieren und aufbewahren? Wo bleibt der Mensch aufsichtspflichtig? „Egal, ob autonomes Fahren oder biometrische Daten – das Weißbuch wird alle relevanten Aspekte regulieren und dazu gewisse Mindestanforderungen vom möglichen Risiko her ableiten“, sagte Keppler. Aktuell hat die EU-Kommission aber noch kein abschließendes Ergebnis vorgestellt. „Solange KI-Regeln fehlen, lassen sich die Anforderungen nur aus den geltenden Recht ableiten.“
Beispiel Datenschutzrecht:
„Juristen werden immer gefragt, wem Daten eigentlich gehören“, sagte Keppler. „Aber ein Eigentumsrecht an Informationen gibt es gar nicht.“
Ausnahmen sind:
- Geschäftsgeheimnisse und
- Datenbankwerke.
Ob die Zustands- und Betriebsparameter von Maschinen überhaupt ein Geschäftsgeheimnis sein können, bleibt fraglich. Anders bei KI-Trainingsdaten und Informationssammlungen für die vorausschauende Wartung: Diese gelten als Datenbankwerke, weil die Firmen investiert haben, um Informationen derart zielgerichtet zu sammeln, aufzubereiten und strukturiert abzulegen. Heißt praktisch: Wer Service- oder Trainingsdaten mit Dritten teilen möchten, sollte das vertraglich regeln.
Fallstricke beim Schutz personenbezogener Daten
Auch dann, wenn personenbezogene Daten zu schützen sind, gilt es, die Fallstricke zu kennen. So lassen sich in der Praxis weit mehr Daten einem Menschen zuordnen, als vielen Anwendern bewusst ist. Beispielsweise sind nicht nur einzelne Namen und E-Mail-Adressen als personenbezogen anzusehen, sondern außerdem gesamte Datensätze, die sich auf Personen beziehen lassen. „Das trifft auf Zeitstempel, Logfiles und IP-Adressen zu, wenn sie sich mit einem gewissen Aufwand einer Person zuordnen lassen“, sagte Keppler.
KI-Anwender sollten sich darüber hinaus die Frage stellen, wer für Daten verantwortlich ist. „Eine KI kann selbst noch nicht verantwortlich sein“, sagte Keppler. Jeder, der ein KI-System betreibt und steuert, ist am Ende haftbar. In einem Projekt wie Service-Meister ist zudem eine gemeinschaftliche Verantwortlichkeit möglich, die sich über alle Akteure im Ökosystem erstreckt. Wie das praktisch aussieht, zeigt das Beispiel Facebook: „Für alle Daten, die die Follower auf den sogenannten Fanpages der Social Media-Plattform teilen, sind die Betreiber und der US-Anbieter gemeinsam verantwortlich“, sagte Keppler.
Datenverarbeitung mit drei Ausnahmen erlaubt
„Jeder, der Informationen mit KI verarbeiten möchte, sollte klären, ob er die Daten überhaupt nutzen darf“, sagte Keppler. So untersagen Datenschutzrecht und DSGVO generell jede Verarbeitung – mit drei Ausnahmen:
- Die Betroffenen haben eingewilligt. Die Voraussetzung: Damit eine Einwilligung gültig ist, müssen die Datenverarbeiter den Nutzern verständlich und nachvollziehbar erklären, was mit den Informationen genau geschieht. Komplexe KI-Systeme machen es teilweise schwer, diese rechtliche Anforderung zu erfüllen.
- Die Datenverarbeitung ist erforderlich, um einen Vertrag zu erfüllen. Beispielsweise dürfen Online-Shops Namen und Adressen verarbeiten, um Kaufverträge zu erfüllen und bestellte Produkte zu liefern.
- Es besteht ein berechtigtes Interesse. Sichern Kameras und KI öffentliche Plätze, sind Personen oft zu erkennen. Hier rechtfertigt das berechtigtes Interesse dennoch eine Datenverarbeitung.
KI-Systeme brauchen aus rechtlicher Sicht Transparenz
Egal, vor welchem Hintergrund Unternehmen KI-Systeme einsetzen möchten – Anwender sollten genau abwägen. „Welche Daten nutzt meine KI, auf welcher Rechtsgrundlage erfolgt die Verarbeitung und zu welchem Zweck werden Informationen analysiert“, sagte Keppler. „KI-Systeme brauchen auch aus rechtlicher Sicht Transparenz.“ Aber: Alle Denk- und Entscheidungswege eines neuronalen Netzes nachvollziehbar erklären zu können, ist aus juristischer Sicht nicht erforderlich. Denn: „Liegt die Einwilligung der Betroffenen vor, ist die Frage hinfällig.“ Anwender sind jedoch jederzeit verpflichtet, die Folgen ihrer Datenverarbeitung abzuschätzen und zu dokumentieren. „Die DSGVO hat dazu Regelungen getroffen, was etwa auch die Löschung oder Berichtigung von personenbezogenen Daten betrifft“, sagte Keppler.
Dieser Artikel hat Ihnen gefallen? Dann abonnieren Sie unseren Newsletter und erhalten Sie regelmäßige Updates zu ähnlichen Themen und zum Projekt Service-Meister und diskutieren Sie mit uns zu diesem und ähnlichen spannenden Themen in unserer LinkedIn Gruppe.