Die Nutzung von Künstlicher Intelligenz (KI) findet in verschiedenen Bereichen statt. Dabei ist der Datenschutz entscheidend, insbesondere wenn es um die Verarbeitung personenbezogener Daten geht. In diesem Kontext ist die Anonymisierung eine Technik, um datenschutzkonform zu arbeiten. Doch was bedeutet Anonymisierung und welche Voraussetzungen müssen erfüllt sein, um diese anonymisierten Daten in einer KI rechtmäßig zu verwenden?
Was bedeutet Anonymisierung in der DSGVO?
Nach Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gem. Erwägungsgrund 26 sollen die Grundsätze des Datenschutzes aber nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.
Dabei müssen alle Mittel berücksichtigt werden, die vernünftigerweise zur Identifizierung einer Person genutzt werden können. Sollte eine Re-Identifizierung durch den Einsatz von Dritten oder zukünftige technische Entwicklungen wieder möglich sein, so gelten die Daten ab diesem Zeitpunkt wieder als personenbezogen und unterliegen der DS-GVO.
Pseudonymisierung und Anonymisierung
Pseudonymisierung und Anonymisierung sind zwei unterschiedliche Konzepte. Pseudonymisierte Daten bleiben personenbezogene Daten, da sie mit zusätzlichen Informationen verknüpft werden können, die zur Identifikation führen. Anonymisierte Daten jedoch sind dauerhaft von einer Person trennbar und gelten nicht mehr als personenbezogen im rechtlichen Sinne.
Voraussetzungen für die Verarbeitung anonymisierter Daten in der KI
Um anonymisierte Daten in einer KI-Anwendung zu verwenden, müssen bestimmte Voraussetzungen erfüllt sein. Diese Anforderungen betreffen die technische Umsetzung der Anonymisierung als auch die rechtlichen Rahmenbedingungen.
Unumkehrbarkeit der Anonymisierung
Auch wenn die DSGVO keine Techniken für die Anonymisierung vorschreibt, ist der wichtigste Aspekt der Anonymisierung ihre Unumkehrbarkeit. Die Anonymisierung muss so durchgeführt werden, dass die betroffene Person unter keinen Umständen mehr identifiziert werden kann. Auch nicht durch den Einsatz neuer Technologien oder durch die Kombination mit anderen Datensätzen. Wenn diese Voraussetzung nicht erfüllt ist, gelten die Daten weiterhin als personenbezogene Daten und müssen gemäß der DSGVO verarbeitet werden, vergleiche dazu auch.
Keine Identifizierbarkeit der betroffenen Person
Ein weiteres wichtiges Kriterium ist, dass die anonymisierten Daten nicht mehr einer bestimmten Person zugeordnet werden können. Wenn dies der Fall ist, fallen sie nicht mehr unter die DS-GVO. Diese Tatsache muss jedoch regelmäßig überprüft werden, weil neue technologische Entwicklungen dazu führen können, dass anonymisierte Daten wieder identifizierbar werden.
Dokumentation und Transparenz
Für die rechtmäßige Nutzung anonymisierter Daten müssen Unternehmen sicherstellen, dass alle Verarbeitungsprozesse dokumentiert sind. Die Pflicht zur Dokumentation der gewählten Anonymisierungsverfahren folgt aus den Nachweis- und Dokumentationspflichten gemäß der Rechenschaftspflicht in Art. 5 Abs. 2 DS-GVO. Auch wenn die Daten anonymisiert wurden, ist eine ausreichende Transparenz erforderlich. Die betroffenen Personen sollten darüber informiert werden, dass ihre Daten anonymisiert wurden und welche Zwecke damit verfolgt werden.
Datensicherheit und technische Maßnahmen
Die Sicherheit der anonymisierten Daten muss während der gesamten Verarbeitung gewährleistet sein. Unternehmen müssen technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass die anonymisierten Daten in der KI-Anwendung nicht versehentlich wieder mit der Identität einer betroffenen Person verknüpft werden können. Dazu gehören Maßnahmen wie Verschlüsselung, Zugriffssteuerung und Datensicherung.
Risikoanalyse und Datenschutz-Folgenabschätzung
Auch anonymisierte Daten können Risiken für den Datenschutz darstellen, insbesondere wenn sie in sensiblen Bereichen wie Gesundheitsdaten oder Verhaltensdaten verwendet werden. Unternehmen sind daher verpflichtet, regelmäßig eine Risikoanalyse durchführen und, falls notwendig, eine Datenschutz-Folgenabschätzung (DSFA) erstellen.
Best Practices für die Anonymisierung von Daten in der KI
Um sicherzustellen, dass anonymisierte Daten in einer KI-Anwendung datenschutzkonform verarbeitet werden, sollten Unternehmen folgende Best Practices beachten:
- Prüfung der Anonymisierungsprozesse: Vor der Verwendung von anonymisierten Daten in KI-Systemen sollte überprüft werden, ob die Anonymisierung tatsächlich unumkehrbar ist. Insbesondere ist auch das Problem der „maschinenlesbaren“ Daten zu beachten. Nicht jede Unlesbarkeit für das menschliche Auge ist eine Unlesbarkeit für eine Maschine.
- Verwendung sicherer Technologien: Setzen Sie Technologien ein, die eine sichere Anonymisierung und Verarbeitung der Daten gewährleisten.
- Regelmäßige Evaluierung: Angesichts technischer Fortschritte ist es notwendig, die Anonymisierungsprozesse regelmäßig zu überprüfen, um sicherzustellen, dass keine Rückverfolgbarkeit zu einer betroffenen Person möglich ist („Risikominimierung“).
Fazit: DSGVO-konforme KI-Verarbeitung mit anonymisierten Daten
Die Verarbeitung anonymisierter Daten in KI-Anwendungen ist eine Möglichkeit, die Vorteile von KI zu nutzen, ohne gegen die DS-GVO zu verstoßen. Unternehmen müssen dazu sicherstellen, dass die Anonymisierung der Daten unumkehrbar ist und die Daten sicher verarbeitet werden, ohne dass der Personenbezug – auch zukünftig – wiederhergestellt werden kann. Durch die Implementierung geeigneter technischer Maßnahmen und eine kontinuierliche Risikoanalyse können Unternehmen sicherstellen, dass sie die datenschutzrechtlichen Anforderungen erfüllen und die Rechte der betroffenen Personen wahren.
Gern berate ich Sie bei der datenschutzrechtlichen Umsetzung:
Christof Kolyvas
Rechtsanwalt
Datenschutzbeauftragter (TÜV)
Fachberater für Finanzdienstleistungen (IHK)
Tel: +49 234 29831858 Mail: anwalt@kolyvas.legal
