Mit der Digitalisierung von Prozessen in Verwaltung und Wirtschaft fallen riesige Mengen an digitalen Datensätzen aus verschiedenen Quellen und in ganz unterschiedlichen Formaten an (Big Data). Die Verarbeitung dieser großen Datensätze birgt erhebliche Chancen für Wirtschaft und Gesellschaft. Sie beinhaltet aber auch Risiken das Persönlichkeitsrecht von Bürgern zu verletzen.
Anwendungen, die Künstliche Intelligenz (KI) nutzen, wie Chat-GPT, Midjourney und Co., sind zurzeit in aller Munde. Diese und andere KI-Anwendungen verarbeiten riesige, reale Datenmengen – was viele rechtliche Fragen aufwirft: Dürfen für das Training von KI-Anwendungen beliebige Daten aus dem Internet genutzt werden, welche Schutzrechte greifen hier? Wenn Daten rechtmäßig gewonnen wurden, wem gehören die Ergebnisse der Verarbeitung, also die KI-generierten Daten? Wer haftet im Zweifel für die Ergebnisse?
KI in der Medizin: Was Medical Device Regulation und der Artificial Intelligence Act fordern
KI-Verordnung der EU nicht ausreichend
Die Studie untersucht, welche Antworten geltendes Recht (Urheberrecht, Datenschutzrecht, IT-Sicherheitsrecht) liefert. Dabei geht sie besonders auf die geplante KI-Verordnung der EU (KI-VO-E) ein.
Die Autoren fassen wichtige Bestimmungen zusammen. Sie sehen allerdings aktuell noch viele Herausforderungen für KI-Betreiber. Diese müssen hier sichere vertragliche Regelungen für die Datenverarbeitung finden, ohne den eigenen Spielraum zur Verwertung der Ergebnisse zu sehr einzuengen.
Die Autoren der Studie sehen ein grundlegendes Problem bei der Anonymisierung von personenbezogenen Daten, um sie zu verarbeiten. Ab wann sind (ehemals) personenbezogene Daten verlässlich und rechtssicher anonymisiert? Hier gibt das geltende Recht (insbesondere die DSGVO) keine abschließende Antwort. Das führt zu Rechtsunsicherheiten für verarbeitende Unternehmen und Einrichtungen. Eine mögliche Lösung wäre, einen Grad der Anonymisierung durch ein einheitliches Verfahren zu berechnen und einen Schwellenwert für die legale Nutzung anzusetzen. Dadurch könnten Unternehmen Rechtssicherheit erreichen.
Big Data für die Medizin: Nicht China als Vorbild, sondern Dänemark
Ganzheitlicher Rechtsrahmen für Big Data und KI nötig
Die jetzige Rechtslage für Big Data lässt viele Fragen offen. Die Studie kommt zu dem Schluss, dass ein ganzheitlicher Ansatz vonnöten ist. Dieser sollte übergreifend verschiedene Rechtsgebiete berücksichtigen. Damit schützt er einerseits Bürger. Andererseits gebt er Unternehmen wie Herstellern Rechtssicherheit und ermöglicht somit die Nutzung neuer Technologien unter Berücksichtigung von Datenschutz und IT-Sicherheit.
Die Studie ist im Athene-Projekt „Systematic Privacy in real-life Data Processing Systems“ entstanden. Im Projekt werden die Wissenschaftler noch weiter zu den aufgeworfenen Fragen forschen und konkrete Vorschläge erarbeiten. Ihr Ziel: Die Vorteile von Big Data und KI rechtssicher nutzen zu können, ohne dass dies unangemessene Eingriffe in die Rechte und Freiheiten betroffener Personen mit sich bringt.
Das Nationale Forschungszentrum für angewandte Cybersicherheit Athene ist das größte Forschungszentrum für IT-Sicherheit und Privatsphärenschutz in Europa. Athene ist eine Forschungseinrichtung der Fraunhofer-Gesellschaft mit ihren beiden Instituten Fraunhofer SIT und IGD unter Beteiligung der TU Darmstadt, der Goethe-Universität Frankfurt und der Hochschule Darmstadt.
www.athene-center.de/forschung/leap-studien
