Zwar ist Künstliche Intelligenz seit der Veröffentlichung von ChatGPT in aller Munde, neu ist sie jedoch nicht. Beispielsweise hatte bereits Ende 2019 Prof. Dr. Hisaki Makimoto in einer Studie darauf hingewiesen, dass Künstliche Intelligenz Myokardinfarkte im EKG erkennen kann – dies laut Makimoto sogar besser als Kardiologen.1 Die Anwendungsmöglichkeiten der KI sind darüber hinaus vielfältig: Von der Bildanalyse zur Tumorerkennung über roboterassistierte Krankenhäuser, bis hin zu klinischer Entscheidungsfindung oder einer intelligenten Prothese ist vieles denkbar.
Dabei sind die Berührungspunkte von personenbezogenen Daten und der künstlichen Intelligenz groß. Um Probleme eigenständig zu bearbeiten, sich selbstständig auf veränderte Bedingungen einzustellen und neue Daten zu lernen, greift KI auf das sogenannte maschinelle Lernen zurück. Durch riesige Mengen an Daten ("Big Data"), welche von der KI analysiert werden, kann diese Strukturen erkennen, sich aneignen und sodann auf andere Fälle übertragen. Welche datenschutzrechtlichen Probleme gerade dieser Ablauf produziert, soll im Folgenden dargestellt werden.
Die Datenschutz-Grundverordnung definiert in Artikel 5 verschiedene Grundsätze, die es bei der Verarbeitung von personenbezogenen Daten zu beachten gilt. Demnach müssen personenbezogene Daten:
Bereits der Transparenz-Grundsatz kann nur schwer gewahrt werden. Aufgrund der Komplexität der Verarbeitungstätigkeit kann der Herausgeber einer KI-Lösung eine transparente Darstellung dieser Verarbeitung in der Regel nicht gewährleisten. Beispielsweise ist es für Nutzer von ChatGPT nicht möglich, nachzuvollziehen, wie das Programm personenbezogene Daten verarbeitet, die in das Chat-Fenster eingetragen worden sind.
Darüber hinaus steht das Konzept von Big Data im Spannungsverhältnis mit den anderen obig beschriebenen datenschutzrechtlichen Grundsätzen. Beispielsweise soll eine KI verschiedene Myokardinfarkte im EKG erkennen können. Um dieses Ziel zu erreichen, lässt man die KI möglichst viele EKGs lernen. Schon die Zielrichtung indiziert, dass keine Datenminimierung stattfinden kann und Daten über ihren Zweck hinaus verarbeitet werden. Zudem hat das Konzept inne, dass die eingespeisten Daten möglichst lange gespeichert werden.
Ein weiteres datenschutzrechtliches Problem liegt in der Beziehung zum Betroffenen. Gemäß Art. 12 ff. DSGVO müssen die Betroffenen vor der Datenverarbeitung darüber informiert werden, wer die Daten zu welchem Zweck verarbeitet. Bei dem Konzept Big Data ist jedoch die Sammlung der Daten so intransparent, dass oftmals selbst der Hersteller nicht weiß, auf welche Daten die KI gerade zugreift, sodass die Betroffenen in der Regel nicht informiert werden können.
Zudem ist teilweise die Masse an Daten so groß, dass eine Benachrichtigung jedes Betroffenen tatsächlich nicht möglich erscheint. In diesem Kontext wird auch die Ausübung von Betroffenenrechte relevant. So stellt sich vornehmlich die Frage, wie personenbezogene Daten, die von der KI weiterverarbeitet wurden, gemäß Art. 17 DSGVO gelöscht werden bzw. wie Betroffenen Auskünfte über diese Daten gegeben werden können.
Zusätzlich zu den Risiken der künstlichen Intelligenz ist in der Medizinbranche zu beachten, dass Gesundheitsdaten nach der DSGVO eines besonderen Schutzes unterliegen, da sie besonders sensibel sind. Grundsätzlich gilt hier ein Verarbeitungsverbot. Ausnahmen finden sich in Art. 9 Abs. 2 DSGVO. Darunter fällt vor allem die informierte Einwilligung. Hier wird jedoch das oben beschriebene Problem der Intransparenz relevant, sodass die Informationen an den Betroffenen regelmäßig zu gering ausfallen und somit eine Einwilligung problematisch wird.
Art. 35 DSGVO macht die Durchführung einer Datenschutz-Folgenabschätzung erforderlich, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Regelmäßig macht der Einsatz von künstlicher Intelligenz eine solche Abschätzung erforderlich. Diese kann maßgeblich dazu beitragen, die Datenverarbeitung durch KI-Systeme (rechts-)sicherer zu gestalten. Zudem kann der Nutzende so abschätzen, ob eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO notwendig wird.
Ferner sollten Nutzende von KI bezüglich der Datensicherheit ein Maximum anstreben. Es ist zu empfehlen, alle technischen und organisatorischen Maßnahmen zu treffen, um die personenbezogenen Daten vor fremden Zugriffen zu schützen.