Seite wählen
Orientierungshilfe der DSK zur datenschutzkonformen Nutzung von KI

Orientierungshilfe der DSK zur datenschutzkonformen Nutzung von KI

von | Feb. 27, 2025 | Datenschutz, Digitale Aufklärung, KI

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Die Nutzung von Künstlicher Intelligenz (KI) bringt zahlreiche Chancen, aber auch Herausforderungen mit sich – insbesondere im Hinblick auf den Datenschutz. Unternehmen, Behörden und andere Organisationen stehen vor der Frage, wie sie KI-Anwendungen datenschutzkonform einsetzen können. Die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat daher am 6. Mai 2024 eine Orientierungshilfe zu KI und Datenschutz veröffentlicht.

Zielgruppe der Orientierungshilfe

Die Orientierungshilfe richtet sich vorrangig an Unternehmen und Behörden, die KI-Anwendungen in ihren Arbeitsprozessen nutzen oder einführen möchten. Sie bietet einen praxisnahen Leitfaden, um Datenschutzanforderungen einzuhalten und Risiken zu minimieren. Auch Personen, die KI-Systeme entwickeln, herstellen oder bereitstellen, finden hier wertvolle Hinweise, um datenschutzfreundliche Lösungen zu konzipieren. Die Orientierungshilfe ist kein abschließender Anforderungskatalog, sondern eine laufend aktualisierte Empfehlung, die an neue technologische und rechtliche Entwicklungen angepasst wird.

Inhaltlicher Überblick

Die Orientierungshilfe ist sehr umfangreich und behandelt verschiedene Aspekte des Datenschutzes bei der Nutzung von KI. Dabei konzentriert sie sich besonders auf Large Language Models (LLMs), die in den letzten Jahren verstärkt zum Einsatz kommen – sei es als Chatbots oder als Grundlage für weitere Anwendungen.

  1. Auswahl und Konzeption von KI-Anwendungen

Bevor eine KI-Anwendung genutzt wird, sollten Organisationen klar definieren, für welche Zwecke sie eingesetzt werden soll und ob personenbezogene Daten verarbeitet werden. Hierbei sind folgende Fragen entscheidend:

  • Ist der Einsatz der KI rechtlich zulässig?
  • Werden personenbezogene Daten benötigt, oder kann die Anwendung ohne sie betrieben werden?
  • Ist die Verarbeitung von sensiblen Daten, wie Gesundheits- oder biometrischen Daten, überhaupt erlaubt?

Ein besonderes Augenmerk liegt darauf, dass keine automatisierten Letztentscheidungen getroffen werden, da diese nach der Datenschutz-Grundverordnung (DSGVO) nur in engen Ausnahmefällen zulässig sind.

  1. Implementierung von KI in den Arbeitsalltag

Nach der Auswahl einer KI-Anwendung muss sichergestellt werden, dass sie sicher und rechtskonform integriert wird. Dazu gehören unter anderem:

  • Verantwortlichkeiten klären: Wer entscheidet über den Einsatz und die Datenverarbeitung?
  • Datenschutz-Folgenabschätzung durchführen: Falls ein hohes Risiko für Betroffene besteht, muss geprüft werden, welche Maßnahmen notwendig sind.

Nehmt die Leute mit! Es ist wichtig, die Beschäftigten zu sensibilisieren und in den Prozess einzubeziehen. Unternehmen sollten klare Regeln für den Umgang mit KI aufstellen, das Personal schulen und aktiv in die Entwicklung einbinden. Auch der Betriebsrat sollte von Beginn an involviert sein.

Außerdem betont die Orientierungshilfe, dass KI-Systeme am besten als geschlossene Systeme betrieben werden sollten, um Datenschutzrisiken zu minimieren. Offene Systeme, insbesondere solche, die Eingaben für weiteres Training verwenden, sind mit zusätzlichen Herausforderungen verbunden.

  1. Nutzung von KI-Anwendungen

Auch während des laufenden Betriebs gibt es zahlreiche Datenschutzaspekte zu beachten:

  • Transparenz: Nutzende müssen darüber informiert werden, welche Daten verarbeitet werden und wofür.
  • Richtigkeit der Ergebnisse überprüfen: KI-generierte Inhalte können fehlerhaft oder sogar diskriminierend sein. Daher sollte ihre Nutzung immer kritisch hinterfragt werden.
  • Betroffenenrechte umsetzen: Personen haben ein Recht auf Berichtigung, Löschung und Auskunft über ihre Daten. Unternehmen müssen technische Lösungen finden, um diese Rechte durchzusetzen.

Gerade im Umgang mit sensiblen Daten warnt die DSK davor, unkritisch auf KI-Modelle zu vertrauen, da diese Falschinformationen oder diskriminierende Vorurteile enthalten können.

Ein dynamischer Leitfaden für die Zukunft

Die Datenschutzkonferenz hebt hervor, dass die Orientierungshilfe fortlaufend weiterentwickelt wird, um den sich ändernden rechtlichen und technischen Rahmenbedingungen gerecht zu werden. Die rasanten Fortschritte im Bereich KI machen es notwendig, datenschutzrechtliche Anforderungen regelmäßig zu überprüfen und neue Risiken frühzeitig zu erkennen.

Smarte Geräte, große Fragen: Datenschutz im IoT-Zeitalter

Smarte Geräte, große Fragen: Datenschutz im IoT-Zeitalter

von | Aug. 11, 2024 | Aktuelles, Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Smarte Geräte, große Fragen: Datenschutz im IoT-Zeitalter

 

Die Entwicklung des IoT begann bereits in den 1970er-Jahren mit einem vernetzten Getränkeautomaten an der Carnegie Mellon University. Heute sind smarte Geräte aus Haushalten und Unternehmen nicht mehr wegzudenken. Prognosen zeigen, dass der IoT-Markt in Deutschland bis 2028 auf über 51 Milliarden Euro anwachsen wird. Doch während sich die Technologie rasant weiterentwickelt, bleibt der Datenschutz weitgehend ungeklärt.

Ungewisse Datenströme und fehlende Transparenz

Das Internet der Dinge (IoT) vernetzt smarte Geräte mit dem Internet und ermöglicht ihnen den Austausch von Daten. Doch während die Zahl der IoT-Geräte exponentiell wächst, bleiben zentrale Datenschutzfragen ungeklärt. Nutzer wissen oft nicht, welche Daten ihre Geräte sammeln, wohin sie gesendet werden und wer davon profitiert.

Was ist IoT und wo begegnet es uns?

IoT-Geräte sind technische Geräte, die mit einer Software ausgestattet sind und dauerhaft mit dem Internet verbunden sind. Sie generieren Daten, tauschen sie aus und kommunizieren mit anderen Geräten. Der Ursprung dieser Technologie reicht bis in die 1970er-Jahre zurück, als Informatiker der Carnegie Mellon University einen Getränkeautomaten mit Sensoren ausstatteten, um den Füllstand aus der Ferne zu überwachen.

Heute sind IoT-Geräte allgegenwärtig: von Smartphones, Smartwatches und Saugrobotern über intelligente Kaffeemaschinen und Rasenmäher bis hin zu vernetzten Produktionsanlagen und Arbeitsschutzkleidung (Wearables). Insbesondere in der Industrie und im Arbeitsleben gewinnen sie an Bedeutung.

Die Zukunft des IoT: Eine neue technologische Revolution?

Während einige Experten IoT als eine technische Revolution wie das Telefon oder das Internet betrachten, gibt es auch skeptische Stimmen. Dennoch sprechen die Prognosen eine klare Sprache: Der IoT-Markt wird in den nächsten Jahren drastisch wachsen. In Deutschland soll sich der Umsatz bis 2028 auf 51,05 Milliarden Euro vervierfachen. Besonders rasant wächst der Bereich der Konsumgüter, auch wenn er nicht der Haupttreiber der Entwicklung ist.

Welche Daten sammeln IoT-Geräte – und wohin werden sie gesendet?

Eine der drängendsten Fragen ist die Datenverarbeitung durch IoT-Geräte. Nutzer haben derzeit keinen Einblick, welche Daten ihre Geräte erfassen und wohin sie gesendet werden. Dies ist aus datenschutzrechtlicher Sicht problematisch, da sich hier potenzielle Risiken für Verbraucher ergeben.

Warum ist das relevant?

  • Es ist oft nicht ersichtlich, ob und in welchem Umfang personenbezogene Daten übertragen werden.
  • Die Datenschutz-Grundverordnung (DS-GVO) schützt zwar personenbezogene Daten, doch die Abgrenzung zu anonymen oder nicht personenbezogenen Daten ist schwierig.
  • Unternehmen, die IoT-Daten sammeln, sind nicht immer transparent über deren Nutzung.
  • Nutzer haben keinen finanziellen Ausgleich für die durch sie generierten Daten, obwohl diese für Unternehmen einen hohen wirtschaftlichen Wert haben.

Regulierungen: Reicht die DS-GVO aus?

Auf EU-Ebene sind bereits erste Regulierungen in Planung oder Umsetzung, doch ein umfassender Schutz der Verbraucher besteht noch nicht. Die DS-GVO schützt personenbezogene Daten, allerdings bleibt unklar, wer die Kontrolle über nicht-personenbezogene Daten hat.

Der Data Act der EU hat diese Frage bislang nicht eindeutig beantwortet. Besonders unklar bleibt, ob Nutzer Eigentumsrechte an den von ihnen generierten Daten haben sollten und welche Pflichten Hersteller bei der Offenlegung der Datennutzung haben.

Herausforderungen für Verbraucher

Selbst wenn Nutzer technisch in der Lage wären, den Datenfluss ihrer IoT-Geräte zu unterbinden, stellt sich die Frage, ob die Geräte dann noch ordnungsgemäß funktionieren. Hersteller könnten dies als „Mangel“ werten, wodurch Garantieansprüche erlöschen. Zudem bleibt die Frage offen, ob Unternehmen verpflichtet sind, schon vor dem Kauf über die Datenverarbeitung ihrer Geräte zu informieren.

Besonders kritisch ist die Mitbetroffenheit Dritter:

  • Was passiert mit Gästen oder Mitbewohnern, die nicht eingewilligt haben, aber von Kameras oder Sensoren in IoT-Geräten erfasst werden?
  • Welche Rechte haben Personen, die unbeabsichtigt von IoT-Geräten in fremden Haushalten erfasst werden?

Nutzer müssen sich ihrer Daten bewusst werden

Das Internet der Dinge erleichtert unseren Alltag – doch es bringt auch Risiken mit sich. Smarte Geräte wie Sprachassistenten, vernetzte Kameras oder Fitness-Tracker sammeln und übermitteln ständig Daten. Doch wer kontrolliert, was mit diesen Informationen geschieht? Viele Nutzer unterschätzen die Gefahr für ihre Privatsphäre. Ohne klare Einwilligung werden persönliche Daten oft an Unternehmen weitergegeben, gespeichert oder für Werbezwecke genutzt. In einigen Fällen können sogar Bewegungsprofile erstellt oder Gespräche analysiert werden. Viele Geräte scheinen keine Datensicherheit zu gewährleisten, so dass unberechtigte Dritte über die Geräte die Nutzer ausspähen und beispielsweise zur Vorbereitung von Einbruchsdiebstählen nutzen können.

Datenschutz bedeutet, selbst zu entscheiden, welche Daten gesammelt werden und wer darauf Zugriff hat. Nur wer sich dieser Risiken bewusst ist, kann aktiv Maßnahmen ergreifen: Datenschutzeinstellungen anpassen, bewusster Geräte auswählen und gezielt Funktionen deaktivieren. Datenschutz ist kein Luxus, sondern ein Schutzschild für die eigene Privatsphäre. Wer sich informiert, bleibt souverän – auch in einer vernetzten Welt!

Es braucht mehr Transparenz und Regulierung

IoT ist nicht mehr aus unserem Alltag wegzudenken, doch der Datenschutz hinkt hinterher. Nutzer haben weder Einblick in die Datenströme noch die Möglichkeit, ihre Daten zu kontrollieren oder zu monetarisieren.

Dringende Fragen, die geklärt werden müssen:

  • Welche europäischen Rechtsgrundlagen regeln die Datenverarbeitung von IoT-Geräten?
  • Welche Rechte brauchen Verbraucher?
  • Welche Pflichten sollten IoT-Herstellern auferlegt werden?
  • Brauchen wir eine „Datenampel“ zur besseren Kennzeichnung?

Mehr zu diesem Thema in der DANA – Zeitschrift der Deutschen Vereinigung für Datenschutz: DANA-Archiv 2023.

Datenschutzrechtliche Anforderungen an die Bildungsdokumentation im Kindergarten

Datenschutzrechtliche Anforderungen an die Bildungsdokumentation im Kindergarten

von | Juni 14, 2022 | Aktuelles, Kinderrechte und Kindergarten

Der Kindergarten ist ein Ort der frühkindlichen Bildung. Er soll eine auf jedes Kind abgestimmte Begleitung und Unterstützung gewährleisten. Gerade in der frühkindlichen Entwicklung durchlebt jedes Kind individuell für sich wahre Quantensprünge. Hier ist es wichtig, dass die Bedürfnisse und Unterstützungsmöglichkeiten für jedes Kind erkannt werden. Die Bildungsdokumentation durch die pädagogischen Fachkräfte ist ein Hilfsmittel hierfür.

Im aktuellen Thüringer Bildungsplan für Kinder bis zum 18. Lebensjahr mit Stand 2019 wird dieses Hilfsmittel als „Erfassen und Dokumentation von Bildungsprozessen“ umschrieben. Hierunter versteht der Bildungsplan nicht nur die professionelle Dokumentation der Erwachsenen, sondern auch Berichte von Kindern und Jugendlichen als Selbstreflexionen. 

So oder so werden durch das pädagogische Personal des Kindergartens im Rahmen der Bildungsdokumentation persönliche Daten des Kindes erhoben, gespeichert und verarbeitet. Das Datenschutzrecht ist zu beachten. Hierbei macht es keinen Unterschied, ob die Dokumentation analog oder digital erfolgt.

Eine Rechtsgrundlage für die Erhebung, Speicherung und Verarbeitung der persönlichen Daten des Kindes zur Bildungsdokumentation muss somit vorliegen. Der frühere und der aktuelle Thüringer Bildungsplan sind keine Rechtsgrundlage hierfür, wie der Thüringer Landesdatenschutzbeauftragte bereits ausgeführt hat: 

 „Vielmehr ist es so, dass bei Anwendung des Bildungsplanes zur Erreichung seiner pädagogischen Ziele jeweils der Datenschutz separat zu betrachten ist und dementsprechend separat die Frage beantwortet werden muss, ob die Verarbeitung datenschutzkonform ist. Dies betrifft insbesondere die Prüfung, ob die Voraussetzungen der Art.6 und Art. 9 DSGVO gegeben sind. Zu beachten ist auch, dass in der Regel bei individuellen Fotos oder Videos eine Einwilligung nach Art.6 Abs.1 Satz 1 lit.a) iVm Art.7 Abs.7 Abs.1 DSGVO erforderlich ist.“

Essenziell ist also, dass immer eine aktuelle und ausreichende Einwilligung der Sorgeberechtigten vorliegt. Diese sollte zum Zweck der Beweissicherung schriftlich erfolgen und muss, im Falle der gemeinsamen Sorge, von beiden Eltern unterschrieben sein. Notwendig ist, dass die Eltern umfassend darüber aufgeklärt werden in was und in welchem Umfang sie zu welchem Zweck einwilligen. Die Formulierung sollte daher lieber in die Tiefe gehen. Inhaltsleere Beschreibungen können im schlimmsten Fall zu einer unwirksamen bzw. für einen bestimmten Fall nicht erteilten Einwilligung führen.

Mit der Einwilligung allein ist es aber nicht getan. Die Maximen des Datenschutzes müssen beachtet werden. Dies bedeutet, dass sich bei jeder Dokumentation der Ersteller zu hinterfragen hat: „Ist dies jetzt unbedingt erforderlich?“. Nur durch eine ständige kritische Selbstüberprüfung kann der Grundsatz der Datensparsamkeit beachtet werden. Dies ist wichtig, denn je mehr Daten erhoben werden, umso mehr wird das Persönlichkeitsrecht des Kindes berührt und ggf. betroffen.

Letztlich führt auch eine größere „Datenmenge“ zu einem höheren Verwaltungs- und Schutzaufwand, denn der Träger des Kindergartens muss als „Verantwortlicher“ sicherstellen, dass unberechtigte Dritte keinen Zugriff auf die Daten haben können und die Daten so gespeichert sind, dass sie gefunden werden. Das Abspeichern der Daten bei unsicheren Cloud-Diensten oder auf privater Hardware des Personals ist ein absolutes No-Go. Es muss zudem sichergestellt sein, dass alle diejenigen, die sich aufgrund ihrer Anwesenheit im Gebäude einen Zugang zu den Daten verschaffen könnten, eine Verschwiegenheitsvereinbarung unterzeichnet haben. Dies gilt für die angestellten Personen der Reinigungsfirma ebenso wie  für hospitierende Eltern oder Eltern in der Eingewöhnungszeit. Um von vornherein einen Rückschluss durch unberechtigte Dritte auf ein bestimmtes Kind anhand einer Aufzeichnung zu verhindern, ist eine frühzeitige Anonymisierung der Daten ein effektives und sicheres Werkzeug zur Gewährleistung des Datenschutzes. 

Zu beachten ist, dass die Daten auf keinen Fall an Dritte, wie beispielsweise eine Schule, ohne ausdrückliche Einwilligung der Eltern weitergegeben werden dürfen. Die Einwilligung muss vor der Weitergabe vorliegen. Eine nachträgliche Genehmigung heilt den Verstoß gegen den Datenschutz nicht.

Es zeigt sich anhand der Ausführungen, dass jeder Kindergarten auch ein schlüssiges und praktikables Datenschutzkonzept entwickeln muss. Dieses Konzept kann die Anforderungen an die Bildungsdokumentation und den Datenschutz in Einklang bringen. Dies klingt schwieriger, als es ist. Von großer Bedeutung ist es, dass das Thema angegangen und durchdacht wird ohne sich davor zu ängstigen.  

 

Cookie Consent mit Real Cookie Banner