Künstliche Intelligenz im Datenschutzfokus
Datenautomat
Künstliche Intelligenz braucht viele Daten für ihre Analysen. Das kollidiert häufig mit dem Datenschutz, insbesondere der Datenschutz-Grundverordnung. Es kommt aber immer auf die Ausgestaltung im Einzelfall an.
Mit der Datenschutz-Grundverordnung (DSGVO) hat der EU-Gesetzgeber auf die Veränderungen beim Umgang mit personenbezogenen Daten seit 1995 reagiert und die damals verabschiedete Datenschutz-Richtlinie ersetzt. Dort, wo ihnen die DSGVO einen Spielraum gelassen hat, haben die nationalen Gesetzgeber nachgezogen und ihre jeweiligen Datenschutzgesetze angepasst. Nur wenige Monate nach Inkrafttreten beschäftigt das neue Datenschutzregime immer noch Scharen von Juristen, IT-Fachleuten, Geschäftsführern und schließlich die Aufsichtsbehörden. Vieles ist weiterhin unklar und wird erst im Laufe der Zeit, womöglich erst nach Jahren, abschließend geklärt werden. Im Zweifel müssen auch hier die Gerichte und nicht zuletzt der Europäische Gerichtshof entscheiden.
Eines dieser zunehmend kontrovers diskutierten Themen ist das Zusammenspiel zwischen dem, was man landläufig unter künstlicher Intelligenz versteht, und dem Datenschutzrecht. „Müssen sich Unternehmen in ihre Algorithmen schauen lassen?“ oder „Künstliche Intelligenz – Die Risiken für den Datenschutz“ lauten nur zwei Überschriften von Onlineartikeln zu diesem Thema. Wie immer kommt es zum einen darauf an, ob verarbeitete Daten tatsächlich einen Personenbezug haben, und zum anderen, wer sie wie und für welchen Zweck erhebt und verarbeitet.
Für das Datenschutzrecht spielt es keine Rolle, ob neue Technologien und Geschäftsmodelle unter der Bezeichnung „künstliche Intelligenz“ oder anderen Schlagwörtern diskutiert werden. Diesen Begriffen kommt juristisch keine Bedeutung zu, da sie (noch) nicht gesetzlich definiert sind. Es gilt der juristische Grundsatz, dass es nicht darauf ankommt, was auf der Verpackung einer Technologie draufsteht, sondern was im Detail in ihr enthalten ist.
Wenn allerdings künstliche Intelligenz oder ihr Teilbereich Deep Learning auf Big-Data-Analysen beruhen, ist der Datenschutz nicht weit. Es geht stets um große Mengen an Daten, die zu bestimmten Erkenntnisse führen sollen – sei es für von Menschen gesteuerte Anwendungen oder um „intelligente Maschinen“ in die Lage zu versetzen, eigenständig Entscheidungen in bestimmten Bereichen zu treffen. Selbst auf den ersten Blick reine Maschinendaten können einen Personenbezug haben, wenn man von ihnen womöglich auf die die Maschinen bedienenden Menschen oder die hinter einer Produktion stehenden Kunden schließen kann.
Gibt es noch Daten ohne Personenbezug?
Datenschutzrechtler fassen personenbezogene Daten sehr weit. Aus diesem Grund sind dynamische IP-Adressen mit zugehörigem Zeitstempel als personenbezogene Daten einzustufen. Erst recht gilt das für IPv6-Adressen. Da meist ein rein objektiver Datenbegriff verwendet wird, sprechen manche bereits davon, dass es angesichts der heutigen technischen Möglichkeiten gar keine nicht personenbezogenen Daten mehr geben kann, denn jedes Datum könne mit anderen Daten kombiniert auf eine Person schließen lassen. Der objektive Datenbegriff bedeutet, dass ein Personenbezug auch dann vorliegt – und damit das Datenschutzrecht greift –, wenn irgendjemand aus einem Datum auf eine Person schließen kann. Ob der jeweilige Datenverarbeiter das kann, spielt danach keine Rolle.