In der dynamischen Landschaft des Einsatzes Künstlicher Intelligenz (KI) gewinnt auch der Datenschutz zunehmend an Bedeutung. Insbesondere die Datenschutz-Folgenabschätzung (DSFA) rückt in den Fokus, da KI-Systeme immer komplexer werden und tiefgreifende Auswirkungen auf die Privatsphäre von Nutzern haben können.
Die DSFA ist gemäß Datenschutz-Grundverordnung (DSGVO) ein Instrument zur systematischen Einschätzung und Bewertung von Risiken für die Datenschutzrechte von Personen. Eine DSFA wird verpflichtend, wenn die Verarbeitung von personenbezogenen Daten „zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen“ führen kann, wie z.B. bei der systematischen und umfangreichen Bewertung persönlicher Aspekte basierend auf automatisierter Verarbeitung, einschließlich Profiling (Artikel 35 Absatz 3 lit. a DSGVO).
Da KI-Systeme in der Regel große Datenmengen verarbeiten, komplexe Algorithmen verwenden oder Entscheidungen mit potenziell weitreichenden Auswirkungen treffen, könnten KI-gestützte Prozesse unter die DSGVO-Forderung nach einer DSFA fallen. Unternehmen in Mecklenburg-Vorpommern sollten bei Einsatz von KI also die Risiken für die Daten betroffener Personen genau bewerten und Ihre Entscheidung, ob eine DSFA durchgeführt werden muss, von dieser Bewertung abhängig machen.
Fallbeispiel: Personalisierte Empfehlungssysteme in einem E-Commerce-Unternehmen in Greifswald
Das fiktive E-Commerce-Unternehmen Hanse Fisch und Meer GmbH betreibt einen Online-Shop mit maritimen Produkten aus Mecklenburg-Vorpommern. Das Unternehmen plant die Implementierung eines KI-gestützten personalisierten Empfehlungssystems auf seiner Website. Das Ziel ist es, das Einkaufserlebnis für Kunden zu verbessern, indem Produkte basierend auf dem bisherigen Verhalten und den Präferenzen der Nutzer empfohlen werden. Das System soll automatisch Entscheidungen treffen, welche Produkte den Kunden angezeigt werden, basierend auf Daten wie bisherigen Einkäufen, angesehenen Produkten, Klickverhalten und demografischen Informationen.
Eine Analyse der potenziellen Datenschutzrisiken bringt folgendes Ergebnis:
- Art der verarbeiteten Daten: Das Empfehlungssystem verarbeitet personenbezogene Daten der Nutzer, einschließlich Name, E-Mail-Adresse, Kaufhistorie, Produktbewertungen und Interaktionen auf der Website.
- Sensibilität der Daten: Obwohl die meisten Daten wahrscheinlich nicht hoch sensibel sind, können aggregierte Informationen über persönliche Vorlieben und Interessen sensible Schlüsse zulassen, insbesondere wenn sie mit anderen Datenquellen kombiniert werden.
- Risiken für die Rechte und Freiheiten der Nutzer: Das Empfehlungssystem könnte potenziell zu einer Filterblase führen, in der Nutzer nur bestimmte Informationen oder Produkte sehen, was ihre Entscheidungsfreiheit beeinträchtigen könnte. Außerdem besteht das Risiko, dass ungenaue oder diskriminierende Empfehlungen basierend auf unzureichenden oder fehlerhaften Algorithmen gegeben werden könnten.
- Verarbeitungsumfang und -komplexität: Da das System kontinuierlich lernen und sich anpassen soll, ist die Verarbeitung von großen Datenmengen und die Nutzung komplexer Algorithmen erforderlich. Dies erhöht die Komplexität der Datenschutzfolgenabschätzung.
Aufgrund des analysierten hohen Risikopotenzials erkennt die Geschäftsleitung der Hanse Fisch und Meer GmbH, dass durch den geplanten KI-Einsatz eine Pflicht zur Durchführung einer DSFA entsteht, damit potenzielle Risiken für die Datenschutzrechte der Nutzer frühzeitig identifiziert und angemessene Schutzmaßnahmen ergriffen werden können.
Das Fallbeispiel zeigt, dass Sie bei Einsatz von KI in Ihrem Unternehmen eine Verpflichtung zur DSFA in jedem Falle prüfen sollten. Unsere Datenschutz-Experten von Datenschutz Nordost helfen Ihnen in allen Zweifelsfällen gerne weiter – bei der Einschätzung, ob eine Datenschutz-Folgenabschätzung in Ihrem Falle wirklich notwendig ist genauso wie bei der Durchführung einer DSFA.