Die fortschreitende Nutzung von Künstlicher Intelligenz (KI) in verschiedenen Branchen bringt nicht nur innovative Möglichkeiten mit sich, sondern stellt auch erhebliche datenschutzrechtliche Herausforderungen dar. Insbesondere die Datenschutz-Grundverordnung (DSGVO) setzt strenge Grenzen, wie personenbezogene Daten verarbeitet und verwendet werden dürfen. Dieser Beitrag beleuchtet die wichtigsten datenschutzrechtlichen Anforderungen, aktuelle rechtliche Auseinandersetzungen und wegweisende Urteile.
1. Herausforderungen für den Datenschutz
Die Fähigkeit von KI-Systemen, große Datenmengen zu analysieren und daraus Prognosen zu treffen, steht oft im Konflikt mit den strengen Anforderungen der DSGVO. Besonders problematisch ist die Einhaltung der Grundsätze der Datenminimierung und Zweckbindung, da KI häufig große Datenmengen benötigt, um präzise Ergebnisse zu liefern.
a) Grundsätze der DSGVO und KI
Gemäß Art. 5 DSGVO müssen personenbezogene Daten rechtmäßig, zweckgebunden und transparent verarbeitet werden. Diese Anforderungen stehen jedoch häufig im Widerspruch zu den Arbeitsweisen von KI-Systemen, die datengetrieben arbeiten. Ein Beispiel hierfür ist der Einsatz von KI im Targeted Advertising . Hier werden Nutzerdaten ausgewertet, um maßgeschneiderte Werbung zu schalten, was zu datenschutzrechtlichen Konflikten führen kann, wie in dem Fall „Facebook vs. Bundeskartellamt“ . Hier wurde entschieden, dass Facebook die Daten seiner Nutzer nicht ohne deren ausdrückliche Zustimmung für personalisierte Werbung verwenden darf, da dies gegen die DSGVO verstößt.
b) Automatisierte Entscheidungen und Profiling
Die DSGVO (Art. 22) legt fest, dass betroffene Personen nicht einer ausschließlich automatisierten Entscheidung unterworfen sein dürfen, die rechtliche oder ähnliche erhebliche Auswirkungen auf sie hat. Ein prominentes Beispiel ist der Fall „Uber UK“ , bei dem festgestellt wurde, dass die automatisierte Deaktivierung von Fahrern auf Basis von KI-basierten Bewertungen rechtswidrig war. In diesem Fall hat das Gericht entschieden, dass diese automatisierten Entscheidungen ohne umfassende menschliche Überprüfung gegen die DSGVO verstoßen, da sie schwerwiegende Auswirkungen auf die betroffenen Personen haben.
2. Rechtliche Risiken und Sanktionen
Das Nichteinhalten der DSGVO kann erhebliche Konsequenzen nach sich ziehen. Ein Beispiel ist der Fall „H&M“ , in dem das Unternehmen ein der höchsten Bußgelder aufgrund von Datenschutzverstößen in Deutschland zahlen musste. H&M hatte interne Mitarbeiterdaten gesammelt und ausgewertet, um Leistungsbewertungen durchzuführen – ein klarer Verstoß gegen die DSGVO.
In einem weiteren Fall wurde das Unternehmen Clearview AI , das KI für Gesichtserkennung nutzt, von europäischen Datenschutzbehörden angeklagt, da es gegen mehrere Vorschriften der DSGVO verstoßen haben soll, indem es ohne Zustimmung Millionen von Bildern aus dem Internet gesammelt und verarbeitet hat. Dies zeigt, dass Unternehmen beim Einsatz von KI besonders darauf achten müssen, dass die Verarbeitung personenbezogener Daten nur mit ausdrücklicher Zustimmung und unter Einhaltung der gesetzlichen Vorgaben erfolgt.
3. Wegweisende Urteile und aktuelle Rechtsentwicklungen
BGH-Urteil zur automatisierten Bonitätsprüfung (2020)
In einem weiteren wichtigen Urteil entschied der BGH im Jahr 2020, dass automatisierte Bonitätsprüfungen nur dann DSGVO-konform sind, wenn der Betroffene transparent über die Entscheidungsprozesse informiert wird. Hier geht es um die automatisierte Kreditbewertung durch Schufa-Algorithmen. Der BGH stellte klar, dass Betroffene das Recht haben, eine Erklärung zu den Grundlagen der Entscheidung zu erhalten, wenn diese auf einer automatisierten Datenverarbeitung basiert.
EuGH-Urteil zur Speicherung von Gesundheitsdaten (2021)
Der Europäische Gerichtshof (EuGH) entschied im Jahr 2021, dass der Einsatz von KI zur Verarbeitung von Gesundheitsdaten nur unter strengsten Voraussetzungen möglich ist. In einem Fall ging es um die Verwendung von KI-gestützten Systemen zur Diagnose von Patienten in einem Krankenhaus in Finnland. Das Gericht stellte fest, dass die Verarbeitung sensibler Daten wie Gesundheitsdaten nur mit ausdrücklicher und informierter Zustimmung der Betroffenen erfolgen darf.
4. Spezifische Herausforderungen bei der Anwendung von KI im Gesundheitswesen
Eine der Branchen, die durch den Einsatz von KI erhebliche Vorteile zieht, ist das Gesundheitswesen . KI kann dazu beitragen, Diagnosen schneller und präziser zu stellen, neue Therapien zu entwickeln und Forschungsergebnisse zu verbessern. Allerdings sind gerade hier datenschutzrechtliche Herausforderungen besonders vorhanden, da Gesundheitsdaten gemäß Art. Als besonders schützenswert gelten Art. 9 DSGVO.
Ein Beispiel ist der Einsatz von KI-basierten Gesundheitsanwendungen wie Wearables oder Telemedizin-Diensten. Diese Geräte sammeln ständig Daten über den Gesundheitszustand der Nutzer, wie Herzfrequenz, Aktivität oder Schlafmuster. Solche sensiblen Informationen müssen nach der DSGVO besonders geschützt werden, und die Verarbeitung dieser Daten ist nur dann zulässig, wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt. Ein Problem entsteht häufig, wenn Unternehmen diese Daten weiterverarbeiten oder an Dritte weitergeben, ohne den Nutzer ausreichend zu informieren oder die nötige Einwilligung einzuholen.
Fallbeispiel: Google DeepMind und das Royal Free Hospital (2017)
Ein prominenter Herbst, der 2017 Aufmerksamkeit erregte, war die Zusammenarbeit zwischen Google DeepMind und dem Royal Free Hospital in Großbritannien. Hier wurden über 1,6 Millionen Gesundheitsdaten ohne ausreichende rechtliche Grundlage an Google weitergegeben, um ein KI-basiertes Diagnose-Tool zu entwickeln. Die britische Datenschutzbehörde ICO entschied, dass dies einen klaren Verstoß gegen den Datenschutz vertritt, da die Patienten nicht informiert und ihre Zustimmung nicht eingeholt wurde.
Dieser Fall zeigt, dass selbst renommierte Unternehmen und Institutionen Schwierigkeiten haben, die komplexen Anforderungen der DSGVO im Gesundheitswesen einzuhalten, insbesondere wenn es um die Zusammenarbeit mit externen KI-Entwicklern geht.
5. Transparenz und Aufklärung von KI-Entscheidungen
Ein weiteres wichtiges Thema im Kontext von KI und Datenschutz ist die Transparenz und Erklärbarkeit von KI-Entscheidungen. Oft sind die Entscheidungsprozesse von KI-Systemen so komplex, dass selbst Entwickler nicht immer genau erklären können, wie ein bestimmter Ergebniszustand gekommen ist – das sogenannte „Black Box“-Problem. Dies entspricht jedoch den Transparenzanforderungen der DSGVO, insbesondere wenn Entscheidungen erhebliche Auswirkungen auf die betroffene Person haben.
Urteil des Bundesverfassungsgerichts zur automatisierten Rasterfahndung (2006)
Ein relevanter Fall zur Transparenz und Rechtmäßigkeit automatisierter Systeme ist das Urteil des Bundesverfassungsgerichts zur Rasterfahndung im Jahr 2006. Obwohl es sich nicht um KI im heutigen Sinne handelt, ist der Fall hierbei ein wegweisendes Beispiel für die datenschutzrechtliche Überprüfung von Algorithmen und automatisierten Entscheidungssystemen. Das Gericht entschied, dass automatisierte Fahndungssysteme, die auf Daten von Millionen von Bürgern zugreifen, ohne ausreichende Rechtsgrundlagen verfassungswidrig sind, da sie die Privatsphäre der Betroffenen unangemessen einschränken.
Dieses Urteil betont, dass auch bei KI-Systemen eine ausreichende Rechtsgrundlage und Transparenz erforderlich ist, um sicherzustellen, dass die Betroffenen nachvollziehen können, wie und warum bestimmte Entscheidungen getroffen wurden.
6. Datenschutz by Design und Default
Ein weiteres zentrales Prinzip der DSGVO ist der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO). Unternehmen, die KI-Lösungen entwickeln, müssen von Anfang an sicherstellen, dass ihre Systeme so konzipiert sind, dass Datenschutzmaßnahmen integriert sind. Das bedeutet, dass Privacy by Design eine zentrale Rolle bei der Entwicklung von KI-Anwendungen spielen muss.
Ein Unternehmen, das gegen diesen Grundsatz verstoßen hat, ist Clearview AI , das eine Gesichtserkennungssoftware entwickelt hat, die ohne ausdrückliche Zustimmung Milliarden von Fotos aus dem Internet für seine Algorithmen verwendet hat. Die Datenschutzbehörden in verschiedenen europäischen Ländern, darunter Frankreich und Italien, haben gegen Clearview AI schwere Strafen verhängt, da das Unternehmen die DSGVO in mehrfacher Hinsicht verletzt hat, unter anderem, indem es keine angemessenen Maßnahmen zur Datensicherung implementierte und keine Einwilligungen einholte.
 in verschiedenen Branchen bringt nicht nur innovative Möglichkeiten mit sich, sondern stellt auch erhebliche datenschutzrechtliche Herausforderungen dar. Insbesondere die Datenschutz-Grundverordnung (DSGVO) setzt strenge Grenzen, wie personenbezogene Daten verarbeitet und verwendet werden dürfen. Dieser Beitrag beleuchtet die wichtigsten datenschutzrechtlichen Anforderungen, aktuelle rechtliche Auseinandersetzungen und wegweisende Urteile.){kind=link}