Zwei Rahmen, ein KI-System

Jedes KI-System, das personenbezogene Daten über EU-Bürger verarbeitet, muss sowohl DSGVO als auch, falls zutreffend, den EU AI Act einhalten. Das sind keine alternativen Rahmen, sie sind kumulative Pflichten, die gleichzeitig gelten und beide erfüllt werden müssen. Organisationen, die ihre KI-Governance um einen Rahmen ohne Berücksichtigung des anderen strukturiert haben, stehen vor erheblichen Compliance-Lücken.

Automatisierte Entscheidungsfindung: Artikel 22 DSGVO

DSGVO Artikel 22 schafft ein Recht für Personen, nicht Entscheidungen auf Basis ausschließlich automatisierter Verarbeitung, einschließlich Profiling, zu unterliegen, die rechtliche Wirkungen oder ähnlich erhebliche Wirkungen auf sie produzieren. Das Recht gilt, wenn automatisierte Verarbeitung allein ein Ergebnis bestimmt, das eine Person betrifft, ohne bedeutungsvolle menschliche Beteiligung an der Entscheidung.

Die "ausschließlich automatisierte" Schwelle wird von Datenschutzbehörden auf Weisen interpretiert, die einschränken, was bedeutungsvolle menschliche Beteiligung darstellt. Ein Mensch, der eine KI-Empfehlung abnickt, ohne sie wirklich zu überprüfen, stellt keine bedeutungsvolle menschliche Beteiligung dar. Der Mensch muss in der Lage sein, die KI-Logik zu verstehen, auf relevante Informationen zuzugreifen und eine unabhängige Entscheidung zu treffen.

Dateminimierung versus Modellleistung

Das Dateminimierungsprinzip der DSGVO verlangt, dass personenbezogene Daten auf das für die Zwecke, für die sie verarbeitet werden, notwendige Minimum beschränkt sein müssen. Dieses Prinzip schafft direkte Spannung mit der KI-Modellentwicklung, wo das allgemeine Prinzip lautet, dass mehr Daten bessere Modelle produzieren.

Ein Kreditrisikomodell auf einem großen, merkmalreichen Datensatz zu trainieren, einschließlich Variablen, die sich als nicht vorhersagend herausstellen, ist gängige ML-Praxis. Aus DSGVO-Sicht kann das Sammeln personenbezogener Daten von Personen, die dann als Trainingsinput verwendet werden, ohne spezifischen Zweck das Dateminimierungsprinzip verletzen.

Zweckbindung und Trainingsdaten

Das Zweckbindungsprinzip der DSGVO verlangt, dass für einen Zweck gesammelte personenbezogene Daten nicht für einen materiell anderen Zweck wiederverwendet werden, ohne eine neue Rechtsgrundlage oder eine Kompatibilitätsbewertung. Die Verwendung von Kundentransaktionsdaten, die für die Leistungserbringung gesammelt wurden, um ein Betrugserkennungsmodell für ein anderes Produkt zu trainieren, ist nicht automatisch rechtmäßig, sie erfordert eine Bewertung, ob die Trainingsverwendung mit dem ursprünglichen Sammlungszweck kompatibel ist.