Blog-Übersicht
3 Teil: Scraping, Crawling, Text- und Data-Mining - ist das rechtlich zulässig?
Text- und Data Mining (Scraping) und der Datenschutz
Dieser Blog-Beitrag behandelt die datenschutzrechtlichen Aspekte beim Training von KI-Systemen.
KI und DSGVO: Was ist zu beachten?
Text- und Data-Mining: Ist eine Identifizierbarkeit gegeben
Bei der Erhebung von Traingsdaten für KI-Systeme, der Verarbeitung von Daten für das Training, dem Bereitstellen der Anwendung und der Nutzung des KI-Systems können personenbezogene Daten verarbeitet werden. Demnach sind Implikation des Datenschutzrechtes beim Einsatz von KI-Systemen zu behandeln.
Der sachliche Anwendungsbereich der DSGVO ist eröffnet, sofern personenbezogene Daten verarbeitet werden. Daten weisen dann einen Personenbezug auf, wenn direkt oder indirekt, eine Zuordnung zu einer natürlichen Person erfolgen kann. Ausreichend kann für einen Personenbezug sein, wenn eine Identifizierbarkeit der natürlichen Person aufgrund weiterer(zusätzlicher) Information gegeben ist. Bei der Prüfung eines Personenbezugs sind darüber hinaus sämtliche Mittel zu berücksichtigen, deren Nutzung nach allgemeinem Ermessen wahrscheinlich ist. Jedoch bedarf es für die Annahme eines Personenbezugs einer bestehenden oder potentiellen Zugriffsmöglichkeit auf die für die Identifizierung der natürlichen Person erforderlichen Zusatzinformationen. Dabei müssen sich die zur Identifizierung erforderlichen Informationen nicht in den Händen einer einzigen Stelle befinden.
Die Frage nach dem Personenbezug kommt auch bei KI-Systemen eine maßgebliche Relevanz zu, da hiervon die Anwendbarkeit der DSGVO abhängt. In diesem Zusammenhang stellt sich vor allem die Frage, ob und inwieweit ein abgeschlossenes trainiertes KI-Modell die Identifizierbarkeit natürlicher Personen aktuell und in Zukunft, direkt oder indirekt, ermöglicht. Ob KI-Systeme personenbezogene Daten verarbeiten, ist damit auch abhängig vom Zeitpunkt der Bewertung.
Dabei darf nicht ausschließlich darauf abgestellt werden, um „in“ den verarbeiten Daten personenbezogene Daten vorkommen, wie etwa der Name oder ein Gesicht auf einem Foto. Vielmehr wird regelmäßig bereits dadurch ein Personenbezug gegeben sein, dass diese Daten, also beispielsweise ein Text, dem Autor zugeordnet wird. Selbiges gilt bei der Auswertung von Nachrichten in sozialen Netzwerken die unweigerlich mit dem Account des Plattform-Nutzer verknüpft sind. Ein Personenbezug kann demnach entweder im KI-System selbst enthalten sein oder aber hergestellt werden, indem Daten gespeichert werden, die mittelbar einer natürlichen Person zugeordnet werden können.
In der Praxis wird die Anwendbarkeit der DSGVO beim Training der KI-Systeme von den Entwicklern und Betreibern häufig verneint, da ein Personenbezug auf technischem Wege beseitigt werden soll. Sohin werden die Daten anonymisiert, weshalb gar kein Personenbezug mehr vorhanden sei und der Anwendungsbereich der DSGVO gar nicht mehr eröffnet sein soll. Zu beachten ist dabei allerdings, dass die Erfassung der Daten vor der Anonymisierung bereits eine Verarbeitungstätigkeit darstellt, weshalb diesbezüglich die DSGVO sehr wohl anwendbar ist.
KI und DSGVO: Auf Basis welcher Rechtsgrundlage ist Scraping zulässig?
Ist der Anwendungsbereich der DSGVO eröffnet, stellt sich unter anderem die Frage der Rechtsgrundlage im Sinne des Art 6 DSGVO für die Verarbeitung der Daten. Sofern besonders schützenswerte Daten verarbeitet werden, ist zusätzlich die Bestimmung des Art 9 DSGVO zu prüfen.
Beim Trainieren eines KI-Systemen kommt praktisch betrachtet nur die Rechtsgrundlage der berechtigten Interessen des Verantwortlichen nach Art 6 Abs 1 lit f DSGVO in Betracht. Im Bereich der Datenverarbeitung durch KI-Systeme dürfte dieser Rechtsgrundlage eine besondere Bedeutung zukommen. Gerechtfertigt ist demnach diese Verarbeitung dann, wenn die Interessen des Verantwortlichen jene der betroffenen Person überwiegen. In der Literatur besteht weitgehend Einigkeit, dass auch das Erheben von Daten im Rahmen von Big Data Anwendungen generell und insbesondere auch beim Text und Data Mining auf Art 6 Abs 1 lit f DSGVO zu stützen ist.
Verarbeitungen personenbezogener Daten auf Basis der Rechtsgrundlage des Art 6 Abs 1 lit f DSGVO sind nach der Rechtsprechung desEuGH unter drei kumulativen Voraussetzungen rechtmäßig:
KI und Recht: Schwierigkeit der Informationspflichten nach DSGVO
Eine besondere Herausforderung im Zusammenhang zwischen der Verarbeitung von personenbezogenen Daten und dem Training und dem Betrieb von KI-Systemen stellen die Informationspflichten nach Art 14 DSGVO dar. Die betroffenen Personen müssen informiert werden, wenn ein Verantwortlicher deren Daten verarbeitet. Dazu gehört nach Art 14 Abs 2 lit fDSGVO unter anderem die Angabe, aus welcher Quelle die personenbezogenen Daten und gegebenenfalls ob die Daten aus öffentlichen Quellen stammen. Die Informationspflicht dient nicht zuletzt der Eröffnung der Möglichkeit zur Wahrnehmung des Widerspruchsrechtes der betroffenen Personen gegen die Verarbeitung im Sinne des Art 21 Abs 1 DSGVO.
DSGVO und Crawling: Was ist zu beachten?
Weite Implikationen bei Umsetzung von KI-Systemen unter datenschutzrechtlichen Gesichtspunkten sind etwa:
- das Vorliegen einer gemeinsamen Verantwortlichkeit oder eines Auftragsverarbeiterverhältnisses
- Die Einhaltung der Grundsätze der DSGVO nach Art 5 DSGVO
- Generell die Beachtung der Betroffenenrecchte nach Art 12 ff DSGVO
- Die Umsetzung der technischen und organisatorischen Maßnahmen nach Art 24 ff DSGVO
- Gegebenenfalls die Anfertigung einer Datenschutz-Folgenabschätzung nach Art 35 DSGVO
- Gegebenenfalls die Benennung eines Datenschutzbeauftragten
- Löschfristen. Auch hinsichtlich Daten, die aus öffentlichen Registern stammen und in ein etwaiges KI-System einfließen, dürfen Speicherdauern nicht überschritten werden.
- Gegebenenfalls das Vorliegen von Profiling. Relativ unverdächtig, dürfte eine aktuelle Entscheidung des EuGH zum weiten Anwendungsbereich des Profilings nach Art 22 DSGVO für die Anwendung von KI-Systemen eine hohe praktische Relevanz haben. Demnach liegt eine „automatisierte Entscheidung im Einzelfall“ im Sinne des Art 22 Abs 1 DSGVO (bereits) dann vor, wenn ein Wahrscheinlichkeitswert für die Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen automatisiert erstellt wird.
Konflikt: KI-Systeme und Profiling
Die Konsequenzen dieser weiten Auslegung von Profiling sind weitgehend. Diese reichen von den Informationspflichten nach Art 13 Abs 2 lit f DSGVO, Art 14 Abs 2 lit g DSGVO, dem Auskunftsrecht nach Art 15 Abs 1 litb DSGVO über die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art 35 Abs 1 lit a DSGVO, die ausschließlich an ein Profiling im Zusammenhang mit automatisierten Entscheidungen im Einzelfall anknüpfen, bis hin zu einem besonderen Widerspruchsrecht nach Art 21 Abs 1 DSGVO insbesondere bei einem auf einer Interessensabwägung gestützten Profiling.
Die an weitest gehende Konsequenz ist aber das, wie ein Verarbeitungverbot wirkende, Recht der betroffenen Person nach Art 22 Abs 1DSGVO: Demnach hat jede betroffene Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüberrechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.
Mit Blick auf die Anwendung von KI-Systemen wird maßgeblich sein, wann die Ermittlung des Wahrscheinlichkeitswertes durch dasKI-System oder dessen spätere Anwendung gegenüber einer betroffenen Person„rechtliche Wirkung entfaltet“ oder diese „in ähnlicher Weise erheblich beeinträchtigt“.
Das Spannungsverhältnis zwischen KI-Systemen und der DSGVO ist gleichsam spannend wie relevant. In den nächsten Jahren wird die aktuell bestehende Rechtsunsicherheit zunehmend aufgelöst werden.
Blog-Übersicht
