Datenschätze heben, Datenschutz wahren

Ein Expertenbeitrag von Detlef Houdeau, Senior Director Business Development in der Abteilung Digital Security Solution bei der Infineon Technologies AG und Leiter der UAG IT-Sicherheit und Privacy

Künstliche Intelligenz (KI) kann einen großen Beitrag zur Zukunftsfähigkeit unserer Wirtschaft und Gesellschaft leisten – sei es durch Verbesserung bestehender Prozesse oder neue Produkte und Services, die mehr Effizienz, robustere Strukturen und mehr Klimaschutz versprechen. Aktuell zeigen sich insbesondere Mittelständler beim Einsatz von KI-Systemen jedoch noch zurückhaltend. Der häufig genannte Grund: Die datenschutzrechtlichen Hürden erscheinen zu hoch. Der Beitrag ventiliert die Chancen einer datenbasierten Wertschöpfung. Zentrale Frage ist, wie sich in der Industrie mit KI-Anwendungen aus Daten wirtschaftlicher Mehrwert generieren lässt und dabei Datenschutz und -sicherheit zu wahren.

Obwohl Künstliche Intelligenz (KI) in der Wirtschaft als Schlüsseltechnologie wahrgenommen wird, nutzen sie laut einer repräsentativen Umfrage des Bitkom von 2021 bisher nur 13 Prozent der deutschen Unternehmen – und dass, obwohl viele nicht-personenbezogene bzw. nicht-personenbeziehbare Daten, die im unternehmerischen Kontext anfallen, verhältnismäßig aufwandsarm genutzt werden könnten. Als wesentliche Hürde für den Einsatz von KI benennt jedes zweite Unternehmen die Anforderungen an den Datenschutz bei der Verwendung personenbezogener Daten. Die daraus resultierende Rechtsunsicherheit ist das zweitgrößte Hindernis für den Einsatz von KI in der deutschen Wirtschaft.

In ihrem Whitepaper zur datenschutzkonformen, gemeinwohlorientierten Datennutzung stellt die Arbeitsgruppe IT-Sicherheit und Privacy, Recht und Ethik der Plattform Lernende Systeme mögliche technische und juristische Gestaltungsoptionen vor, wie eine vertrauenswürdige Datennutzung für Entwicklerinnen und Entwickler sowie Anwenderinnen und Anwender von KI-Systemen – seien es Unternehmen, Behörden oder Nichtregierungsorganisationen – unter Gewährleistung von Datenschutz rechtssicher erfolgen kann. Die Arbeitsgruppe definiert Empfehlungen, wie Interpretationsspielräume durch anwendungsspezifische Gesetzgebung geschlossen werden können, um die nachhaltige Realisierung ökonomischer Wertschöpfungspotenziale zum Wohle der Gesellschaft zu ermöglichen. Nachfolgend werden die Ergebnisse des Whitepapers vorgestellt und anhand Beispielen aus der Industrie 4.0 illustriert.

KI-Systeme sind in der Entwicklung für das Training ihrer Machine Learning (ML)-Modelle sowie für ihre Anwendung auf teilweise große Datenmengen angewiesen. Während viele Unternehmensdaten für KI-Systeme wie Logistik- oder Qualitätsdaten unbedenklicher nutzbar sind, werden besonders bei KI-basierten Dienstleistungen und Produkten, die für Endverbraucher konzipiert sind – sei es im Handel, im Mobilitäts- oder Gesundheitsbereich –, für klassische ML-Modelle in hohem Maße personenbezogene Daten erhoben und verarbeitet. Voraussetzung für die gesellschaftliche Akzeptanz von KI als Schlüsseltechnologie ist es, die informationelle Selbstbestimmung zu sichern – also das Recht des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden. Dies zeigt eine repräsentative Umfrage des TÜV-Verbandes von 2020, in der sich 78 Prozent der deutschen Bevölkerung für eine entsprechende gesetzliche Regelung aussprachen. Die Rechtsverordnung für personenbezogene Daten wird in der Europäischen Union (EU) aktuell vor allem über die Datenschutzgrundverordnung (DSGVO) und zukünftig über den derzeit in Erarbeitung befindlichen Artificial Intelligence Act (AI Act) vollzogen. Datenschutz ist damit im Sinne der Wahrung informationeller Selbstbestimmung ein Kernerfordernis.

Obwohl Künstliche Intelligenz (KI) in der Wirtschaft als Schlüsseltechnologie wahrgenommen wird, nutzen sie laut einer repräsentativen Umfrage des Bitkom von 2021 [1] bisher nur 13 Prozent der deutschen Unternehmen – und dass, obwohl viele nicht-personenbezogene bzw. nicht-personenbeziehbare Daten, die im unternehmerischen Kontext anfallen, verhältnismäßig aufwandsarm genutzt werden könnten. Als wesentliche Hürde für den Einsatz von KI benennt jedes zweite Unternehmen die Anforderungen an den Datenschutz bei der Verwendung personenbezogener Daten. Die daraus resultierende Rechtsunsicherheit ist das zweitgrößte Hindernis für den Einsatz von KI in der deutschen Wirtschaft.

In ihrem Whitepaper [5] zur datenschutzkonformen, gemeinwohlorientierten Datennutzung stellt die Arbeitsgruppe IT-Sicherheit und Privacy, Recht und Ethik der Plattform Lernende Systeme mögliche technische und juristische Gestaltungsoptionen vor, wie eine vertrauenswürdige Datennutzung für Entwicklerinnen und Entwickler sowie Anwenderinnen und Anwender von KI-Systemen – seien es Unternehmen, Behörden oder Nichtregierungsorganisationen – unter Gewährleistung von Datenschutz rechtssicher erfolgen kann. Die Arbeitsgruppe definiert Empfehlungen, wie Interpretationsspielräume durch anwendungsspezifische Gesetzgebung geschlossen werden können, um die nachhaltige Realisierung ökonomischer Wertschöpfungspotenziale zum Wohle der Gesellschaft zu ermöglichen. Nachfolgend werden die Ergebnisse des Whitepapers vorgestellt und anhand Beispielen aus der Industrie 4.0 illustriert.

KI-Systeme sind in der Entwicklung für das Training ihrer Machine Learning (ML)-Modelle sowie für ihre Anwendung auf teilweise große Datenmengen angewiesen. Während viele Unternehmensdaten für KI-Systeme wie Logistik- oder Qualitätsdaten unbedenklicher nutzbar sind, werden besonders bei KI-basierten Dienstleistungen und Produkten, die für Endverbraucher konzipiert sind – sei es im Handel, im Mobilitäts- oder Gesundheitsbereich –, für klassische ML-Modelle in hohem Maße personenbezogene Daten erhoben und verarbeitet. Voraussetzung für die gesellschaftliche Akzeptanz von KI als Schlüsseltechnologie ist es, die informationelle Selbstbestimmung zu sichern – also das Recht des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden. Dies zeigt eine repräsentative Umfrage des TÜV-Verbandes von 2020 [2], in der sich 78 Prozent der deutschen Bevölkerung für eine entsprechende gesetzliche Regelung aussprachen. Die Rechtsverordnung für personenbezogene Daten wird in der Europäischen Union (EU) aktuell vor allem über die Datenschutzgrundverordnung (DSGVO) und zukünftig über den derzeit in Erarbeitung befindlichen Artificial Intelligence Act (AI Act) vollzogen. Datenschutz ist damit im Sinne der Wahrung informationeller Selbstbestimmung ein Kernerfordernis.

Gleichzeitig ist es notwendig, den Datenschatz – noch häufig ungenutzte, aber wertvolle (un-)strukturierte Daten – für eine KI-Nutzung brauchbar zu machen: Einerseits, um Wertschöpfungspotenziale durch KI zu realisieren und KI so als Schlüsseltechnologie zur Wahrung und Stärkung der Wettbewerbsfähigkeit der deutschen Wirtschaft zu etablieren; andererseits, um KI vor allem zum Wohl der Gesellschaft einzusetzen [3, 4]. Im letzteren Punkt liegt das besondere Potenzial des derzeit kaum gehobenen Datenschatzes: So könnten beispielsweise Gesundheitsdaten von Patientinnen und Patienten in großer Menge dafür verwendet werden, die Entstehung von Erkrankungen besser vorhersagen zu können oder eine personalisierte Gesundheitsversorgung zu ermöglichen. Die Bewegungsdaten von Personen und Fahrzeugen könnten dafür eingesetzt werden, Risiken im Straßenverkehr – beispielsweise beim autonomen Fahren – zu reduzieren, oder auch für die Routen- und Flottenoptimierung. Die Analyse von menschlichen Verhaltensdaten in großer Menge bietet zudem das Potenzial, maßgeschneiderte Unterstützungsdienstleistungen für individuelles Verhalten zu entwickeln – beispielsweise Lernangebote im Bildungsbereich.

Viele KI-Anwendungen im Kontext Industrie 4.0 erzeugen auf dem ersten Blick keine personenbeziehbaren oder -bezogene Daten. Dazu zählen KI-Nutzungen zur Optimierung von Produktions-, Logistik- und Qualitätsprozessen. Jede elektronische bzw. digitale Vernetzung von Personendaten mit den exemplarisch genannten Prozessen birgt jedoch die Gefahr, dass personenbeziehbare oder -bezogene Daten erhoben, verarbeitet, gespeichert oder sogar an Dritte weitergeleitet werden könnten. Drei Zielgruppen können darunter fallen a) der Kunde, der einen individuellen Auftrag erteilt hat und b) der Mitarbeiter, der moderne Assistenz-Systeme, wie Tablet, Datenbrille oder mobile Terminals im Shopfloor nutzt und c) ein autorisierter Unterauftragnehmer, als Teil eines Wertschöpfungsnetzwerks.

Für Kundenaufträge können personenbeziehbare oder -bezogene Daten insbesondere bei der Losgröße 1-Fertigung bis in den Shopfloor hinein erzeugt werden. Nach dem späteren Produkterwerb durch den Kunden können über Jahre hinweg Kundendaten für Services, z.B. für Software-Updates (Stichwort „EU Cyber Resilience Act“) genutzt werden, aber auch um Störungen zum Beispiel im Online-Verfahren zu beheben oder Garantiefälle schneller zu bearbeiten. Ein Kundenbindungsprogramm bzw. ein After-Sales-Servicepaket stellen dabei die wirtschaftlichen Aspekte dar, die DSGVO bildet den datenschutzrechtlichen Rahmen dafür.

Neue Technologien, wie die Zero-Trust-Architektur (ZTA), ermöglichen unter anderem neue Zugangsverfahren, wie ein Attribut-basiertes Zugangssystem (ABAC) für Mitarbeiter in der Produktion, aber auch für Produktionsmittel. Damit sollen etwa Berechtigungen an Mitarbeiter für die Überprüfung von automatisierten Prozessen und für den Eingriff in bestehende Abläufe ermöglicht werden. Andererseits soll auch nachvollziehbar sein, wann und von wem diese Überprüfung und gegebenenfalls der Eingriff erfolgt ist. Da diese Daten über einen längeren Zeitraum gespeichert werden, ist die Rückverfolgbarkeit auf Mitarbeitende aus wirtschaftlichen Gründen notwendig, fällt aber unter die DSGVO.

Auch beim Outsourcing von Wertschöpfungsleistungen sind digitale Identitäten, Authentisierung und Autorisierung der Unterauftragsnehmer angezeigt, um vertrauliche Daten, wie Kundenaufträge, technische und logistische Informationen an Dritte übermitteln zu können. Damit werden die DSGVO-Vorgaben an den Unterauftragnehmer weitergegeben. Dies gilt auch für das Outsourcing von After-Sales-Dienstleistungen.

All die genannten Möglichkeiten machen deutlich, dass die Hebung dieses Datenschatzes durch KI zahlreiche Chancen für unsere Gesellschaft und Wirtschaft bietet. Um diese Potenziale nicht zu verschenken, sollten diese in ein produktives Verhältnis zum Datenschutz gesetzt werden: im Sinne einer flexibilisierten Datennutzung im Gemeinwohlinteresse bei gleichzeitiger Wahrung von Datenschutz.

Datenschutzrecht: Interpretationsoffenheit hemmt Datennutzung für KI

Ein KI-spezifisches Datenschutzrecht gibt es nicht. Mit der Datenschutzgrundverordnung (DSGVO) werden im bestehenden EU-Rechtsrahmen jedoch [6] hohe Anforderungen bei der Datennutzung für KI-Systeme gestellt. Mit der Zielsetzung, die informationelle Selbstbestimmung von Betroffenen zu wahren, gelten diese für Erhebende, Erwerbende, Nutzende und Weiterverwertende von personenbezogenen Daten – somit alle beteiligten Akteure in der Wertschöpfungskette der Datenökonomie. Es sind sowohl die Trainingsdaten als auch der KI-Algorithmus eines bereits trainierten Modells zu schützen und es ist grundsätzlich unerheblich, ob eine etwaige Datennutzung im Gemeinwohlinteresse vollzogen wird. Dabei gelten für die einzelnen Stadien des Daten-Lebenszyklus verschiedene rechtliche Vorgaben, die beachtet werden müssen, wenn Unternehmen Daten für KI-Systeme nutzen möchten.

Die Vorgaben bei der Verwendung personenbezogener Daten aus der DSGVO scheinen – auf den ersten Blick – klar formuliert. Jedoch behindert eine hohe Unsicherheit in der Interpretation und Rechtsauslegung der DSGVO-Vorgaben aktuell den breiten Einsatz von KI. So können die Potenziale des Datenschatzes für KI-Anwendungen zum aktuellen Zeitpunkt nicht vollständig ausgeschöpft werden.

Nicht das Recht an sich, sondern die Unsicherheit durch uneinheitliche Rechtsauslegung hemmt also den KI-Einsatz. Obwohl die rechtlichen Vorgaben klar und eindeutig im Wortlaut erscheinen, erzeugen sie in der unternehmerischen Praxis erheblichen Interpretationsspielraum verbunden mit rechtlichen und/oder finanziellen Konsequenzen (s. Tab. 1). Dies beginnt aufgrund des unklaren Anwendungsbereichs der DSGVO mit der Rechtsdefinition der Personenbezogenheit, die in der Praxis dazu führt, dass Daten im Zweifel als personenbezogen geführt werden (6), und erstreckt sich weiter auf Interpretationsspielräume bei der Einzelfallabwägung und Zweckbindung bei der Nutzung personenbezogener Daten. Die Nutzbarmachung von Daten für KI-Systeme ist für Unternehmen also nicht nur finanziell, sondern auch zeitlich, personell und rechtlich teuer sowie risikobehaftet. Viele von ihnen nehmen deshalb teilweise oder ganz Abstand vom Einsatz bzw. der (Weiter-)Entwicklung von KI-Systemen – auch dann, wenn sich Potenziale für das Gemeinwohl bieten.

Technische Möglichkeiten zur sicheren Datennutzung

Verschiedene technische Wege zur datenschutzwahrenden Datennutzung sind denkbar, die in verschiedenen Phasen des Datenlebenszyklus ansetzen – von der Anonymisierung/Pseudonymisierung der Daten vor dem Training des KI-Systems über die Verschlüsselung während dem maschinellen Lernen bis hin zum verteilten maschinellen Lernen, bei dem das Modell lokal an den jeweiligen Datenquellen trainiert wird.

Auch der Ansatz des Privacy-Preserving Machine Learning (kurz: PPML) könnte die datenbasierte Entwicklung von KI-Systemen und damit final auch die KI-Anwendung erleichtern. Diese PPML-Ansätze versprechen, Datenschutz qua Design sicherzustellen, und sind ein möglicher Alternativweg für eine flexibilisierte Datennutzung im Allgemeinwohl im Vergleich zu den hohen ex-ante-Anforderungen an die Datenverarbeitung aus der DSGVO.

Auch andere, nicht direkt KI-Modell-bezogene technische Maßnahmen, wie der Einsatz von Personal Information Management Systemen (PIMS) oder Datentreuhändern, könnten eine gemeinwohlorientierte flexibilisierte Datennutzung für KI-Systeme erleichtern und gleichzeitig die Souveränität von datengebenden Personen in der Datenökonomie stärken. Beide Ansätze versprechen, dass datengebende Betroffene in der Datenökonomie die Hoheit über ihre Daten behalten und sogar selbst an der Monetarisierung ihrer Daten partizipieren können. Dadurch ließe sich das Abhängigkeitsverhältnis zu Datenprozessierenden reduzieren. In B2B-Konstellationen oder B2C-Konstellationen können nachgeschaltete Akteure in der Wertschöpfungskette bzw. Unternehmenskunden in ein gleichberechtigteres Verhältnis mit KI-nutzenden Anbietern treten. Ähnliches gilt für individuelle Personen im B2C-Verhältnis mit KI-nutzenden Anbietern. Ein solcher Paradigmenwechsel könnte eine höhere gesellschaftliche Akzeptanz des Datenteilens hervorrufen, die für KI-Systeme angesichts ihres Bedarfs an personenbezogenen Daten elementar ist.

Diese technischen Möglichkeiten, Daten im Sinne der Gesellschaft zu nutzen und gleichzeitig den Datenschutz zu wahren, sind allerdings häufig wenig bekannt und juristisch kaum anerkannt. Deshalb können sie die Interpretationsspielräume und Unsicherheiten in der Rechtsauslegung bei der Nutzbarmachung des Datenschatzes noch nicht auflösen. Die Folge ist und bleibt: Die wirtschaftliche Anwendung von KI in der Breite sowie die Ausschöpfung möglicher Gemeinwohlpotenziale wird erschwert.

Ausblick

Der bestehende Datenschutz-Rechtsrahmen in Europa versucht, Datengebende umfassend zu schützen. Dabei schafft er aber Interpretationsspielräume und Unsicherheiten in der Rechtsauslegung, die eine Hebung des Datenschatzes für die Entwicklung datengetriebener Dienste und Services erschweren. Dies gilt insbesondere für die Daten, die für das Training und die kontinuierliche Verbesserung der Machine-Learning-Modelle eingesetzt werden. Dabei bietet gerade der Einsatz von KI-Systemen große Chancen für unsere Gesellschaft, beispielsweise für die frühzeitige Gefahrenerkennung oder die Reduktion ökologischer Footprints.

Datenschutz und eine flexibilisierte Datennutzung müssen zusammengedacht werden. Ihre symbiotische Verknüpfung in technischen Ansätzen (Privacy Tech) basierend auf der europäischen Werteordnung kann Motor für die europäische KI-Entwicklung und innovative Anwendungen sein. Zum Wohle der Gesellschaft sollte die flexibilisierte Nutzung von Daten für KI-Systeme im Gemeinwohlinteresse handlungssichere Anerkennung finden. Dafür bedarf es eines Dialogs zwischen Regulatoren, Datenschützenden, Zivilgesellschaft und Unternehmen, den die Plattform Lernende Systeme fördert.

Literatur:

• [1] Bitkom Research, Tata Consultancy Services (2021): Nachhaltig geht nur digital. Wie Deutschland mit KI und Co. die Zukunft gestaltet. Abrufbar unter: https://www.tcs.com/de-de/trendstudie-digitalisierung/studie-digitalisierung-2021-nachhaltigkeit/kuenstliche-intelligenz
• [2] TÜV-Verband (2020): Sicherheit und Künstliche Intelligenz. Einstellungen, Hoffnungen, Emotionen. Abrufbar unter https://www.tuev-verband.de/?tx_epxelo_file[id]=824710&cHash=5b6624273d780ebc87cafc44bc821a35
• [3] Enquete-Kommission Künstliche Intelligenz (2020): Bericht der Enquete-Kommission Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale Drucksache 19/23700. Deutscher Bundestag. Online unter https://dserver.bundestag.de/btd/19/237/1923700.pdf
• [4] PricewaterhouseCooper (2018): Auswirkungen der Nutzung von künstlicher Intelligenz in Deutschland. Abrufbar unter https://store.pwc.de/de/publications/auswirkungen-der-nutzung-von-kuenstlicher-intelligenz-in-deutschland
• [5] Plattform Lernende Systeme (2023): Datenschatz für KI nutzen, Datenschutz mit KI wahren – Technische und rechtliche Ansätze für eine datenschutzkonforme, gemeinwohlorientierte Datennutzung für KI-Systeme. In Kürze unter Plattform-lernende-systeme.de
• [6] Stiftung Datenschutz (2021): Potenziale von Künstlicher Intelligenz mit Blick auf das Datenschutzrecht. Gutachten. Abrufbar unter: https://stiftungdatenschutz.org/fileadmin/Redaktion/Gutachten-Studien/Stiftung-Datenschutz_Gutachten-Georg-Borges-Potenziale-Kuenstliche-Intelligenz-Datenschutzrecht-2021-12.pdf