Die wirtschaftliche Bedeutung von Machine Learning und künstlicher Intelligenz ist immens. Doch wie ist dieser Trend mit der Datenschutz-Grundverordnung zu vereinbaren? Und geraten die Europäer möglicherweise ins Hintertreffen?
Die wirtschaftliche Relevanz von künstlicher Intelligenz ist unbestritten. Eine Studie von McKinsey geht davon aus, dass bis 2030 von einem durchschnittlichen Wachstum der europäischen Wirtschaft durch künstliche Intelligenz von 20 % und einer absoluten Wertsteigerung von bis zu 3,6 Billionen Euro zu rechnen ist. Auch in der anwaltlichen Praxis nimmt die Bedeutung von KI zu. Kaum ein Softwareprojekt, dass nicht mit aggregierten Daten – künstlicher Intelligenz im weiteren Sinne – arbeitet.
Schnell wird dabei klar, dass KI sehr viele Daten benötigt. Dabei stellt sich dann oft die Frage: Ist das überhaupt zulässig? Sobald die Daten nämlich einen Personenbezug aufweisen, kollidiert KI mit dem Datenschutzrecht, in Europa vornehmlich mit der DSGVO. Aber soll die DSGVO diesen Megatrend tatsächlich aufhalten? Welche Konsequenzen hätte dies für Europa – vor allem im Vergleich zum asiatischen oder amerikanischen Wirtschaftsraum?
Rechtliche Gretchenfrage
Eine für das Geschäftsmodell wegweisende Frage ist: Werden personenbezogene Daten verarbeitet oder nicht? Rechtlich übersetzt: Gelangt die DSGVO zur Anwendung? Dies ist nämlich nur dann der Fall, wenn ein Personenbezug hergestellt werden kann. Damit stellt sich die Frage, ab wann von einer Anonymisierung der Daten gesprochen werden kann.
Genau an diesem Punkt tritt die Rechtsunsicherheit ein. Erwägungsgrund 26 zur DSGVO verlangt, dass für eine Anonymisierung »die betroffenen Personen nicht oder nicht mehr identifiziert werden können«. Zur Feststellung dieses Zustands sollen »alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden«.
Zur Beurteilung, welche Mittel unter diese Bedingungen fallen, sollen »alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand herangezogenen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind«.
Fazit: Wann eine Anonymisierung im Sinne der DSGVO vorliegt, ist von den Umständen des Einzelfalles abhängig – und damit mit einer Rechtsunsicherheit behaftet.
Meine Einschätzung und Handlungsempfehlung: Die rechtlichen Unsicherheiten in Bezug auf die Auslegung der Anonymisierung sind bedauerlich. An dieser Stelle wird gewöhnlich ein Appell an den Gesetzgeber ausgesprochen, hier Klarheit zu schaffen. Doch wie soll er das tun? Ein Gesetzestext kann niemals mit dem rasanten Tempo unsere Zeit mithalten.
Die Lösung liegt daher darin, dass die Unternehmen bestmöglich – im Sinne von Privacy by Design – ihre Hausaufgaben erfüllen.
Das bedeutet, dass bereits in der Konzeptionsphase der Software die Interessen der betroffenen Personen bestmöglich geschützt und respektiert werden.
Wenn es dann eines Tages zu einer Prüfung des Geschäftsmodelles durch nationale Gerichte und Behörden kommt, bleibt zu hoffen, dass diese sich der volkswirtschaftlichen Tragweite ihrer Entscheidung bewusst sind.