auswirken. Diskriminierende Verarbeitungen stellen eine Verletzung der Rechte und Freiheiten der
betroffenen Personen dar. Sie verstoßen u. a. gegen bestimmte Anforderungen der DSGVO, etwa den
Grundsatz der Verarbeitung nach Treu und Glauben, die Bindung der Verarbeitung an legitime Zwecke
oder die Angemessenheit der Verarbeitung.
Diese Diskriminierungsneigungen sind nicht immer von vornherein erkennbar. Vor dem Einsatz von
KISystemen müssen deshalb die Risiken für die Rechte und Freiheiten von Personen mit dem Ziel
bewertet werden, auch verdeckte Diskriminierungen durch Gegenmaßnahmen zuverlässig auszu
schließen. Auch während der Anwendung von KISystemen muss eine entsprechende Risikoüber
wachung erfolgen.
5. Für KI gilt der Grundsatz der Datenminimierung
Für KISysteme werden typischerweise große Bestände von Trainingsdaten genutzt. Für personenbezo
gene Daten gilt dabei auch in KISystemen der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).
Die Verarbeitung personenbezogener Daten muss daher stets auf das notwendige Maß beschränkt sein.
Die Prüfung der Erforderlichkeit kann ergeben, dass die Verarbeitung vollständig anonymer Daten zur
Erreichung des legitimen Zwecks ausreicht.
6. KI braucht Verantwortlichkeit
Die Beteiligten beim Einsatz eines KISystems müssen die Verantwortlichkeit ermitteln und klar kom
munizieren und jeweils die notwendigen Maßnahmen treffen, um die rechtmäßige Verarbeitung, die
Betroffenenrechte, die Sicherheit der Verarbeitung und die Beherrschbarkeit des KI-Systems zu gewähr
leisten. Der Verantwortliche muss sicherstellen, dass die Grundsätze nach Art. 5 DSGVO eingehalten
werden. Er muss seine Pflichten im Hinblick auf die Betroffenenrechte aus Art. 12 ff DSGVO erfüllen. Der
Verantwortliche muss die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO gewährleisten und somit
auch Manipulationen durch Dritte, die sich auf die Ergebnisse der Systeme auswirken, verhindern. Beim
Einsatz eines KISystems, in dem personenbezogene Daten verarbeitet werden, wird in der Regel eine
DatenschutzFolgenabschätzung gemäß Art. 35 DSGVO erforderlich sein.
7. KI benötigt technische und organisatorische Standards
Um eine datenschutzgerechte Verarbeitung sicherzustellen, sind für Konzeption und Einsatz von KI
Systemen technische und organisatorische Maßnahmen gem. Art. 24 und 25 DSGVO zu treffen, wie z. B.
Pseudonymisierung. Diese erfolgt nicht allein dadurch, dass der Einzelne in einer großen Menge perso
nenbezogener Daten scheinbar verschwindet. Für den datenschutzkonformen Einsatz von KISystemen
gibt es gegenwärtig noch keine speziellen Standards oder detaillierte Anforderungen an technische und
organisatorische Maßnahmen. Die Erkenntnisse in diesem Bereich zu mehren und BestPracticeBeispiele
zu entwickeln ist eine wichtige Aufgabe von Wirtschaft und Wissenschaft. Die Datenschutzaufsichtsbehörden werden diesen Prozess aktiv begleiten.
III. Die Entwicklung von KI bedarf der Steuerung
Die Datenschutzaufsichtsbehörden überwachen die Anwendung des Datenschutzrechts, setzen es durch
und haben die Aufgabe, bei der Weiterentwicklung für einen effektiven Grundrechtsschutz einzutreten.
Angesichts der hohen Dynamik in der Entwicklung der Technologien von künstlicher Intelligenz und der
vielfältigen Einsatzfelder zeichnen sich die Grenzen der Entwicklung noch nicht ab. Gleichermaßen sind
die Risiken der Verarbeitung personenbezogener Daten in KISystemen nicht pauschal einzuschätzen.
Auch ethische Grundsätze sind zu beachten. Wissenschaft, Datenschutzaufsichtsbehörden, die Anwender
und besonders die Politik sind gefordert, die Entwicklung von KI zu begleiten und im Sinne des Daten
schutzes zu steuern.
Tätigkeitsbericht zum Datenschutz für 2019
19