Mehr als ein Jahr ist seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) vergangen. Jetzt sind die ersten Abstrafungen erfolgt. Zeit für eine erste Bilanz: Wo stehen wir eigentlich beim Datenschutz? Wie wird die Gesetzeslage schon umgesetzt und welche Hürden gibt es immer noch? Mit diesen Fragen hat sich Arnd Böken, Rechtsanwalt und Notar der Wirtschaftskanzlei GvW Graf von Westphalen, auseinandergesetzt.

Kein Hype mehr, aber ernstzunehmendes Thema

2018 war die DSGVO in aller Munde. Unternehmen haben noch in den Tagen vor Inkrafttreten letzte Schritte unternommen, um konform zu werden. Inzwischen scheint das Thema an Aufmerksamkeit verloren zu haben. Es macht sich die Einstellung breit: Wir haben das Schlimmste erwartet und es ist nicht eingetreten, also war die Aufregung womöglich umsonst. Aber statt sich entspannt zurückzulehnen, sollten Unternehmen das Thema ernst nehmen, denn die Aufsichtsbehörden tun dies auch. Bestes Beispiel: die jüngst von der französischen Datenschutzbehörde gegen Google verhängte 50 Millionen-Euro-Strafe.

Bußgelder und Prüfungsverfahren nehmen zu. Es zeichnen sich auch bereits Schwerpunkte bei den Prüfungen ab: Technische und organisatorische Sicherheitsmaßnahmen stehen ebenso im Fokus der Prüfer wie der Umgang mit Data Leaks, also inwieweit Unternehmen ihrer Anzeigepflicht nachkommen, wenn Daten in die falschen Hände geraten.

KI und Legal Tech fordern mehr Beratung

Die DSGVO an sich stellt bereits eine Herausforderung dar. Was den Beratungsbedarf bei Unternehmen aber insbesondere steigert, ist zum einen das verstärkte Interesse am Einsatz von Anwendungen mit künstlicher Intelligenz (KI). Begründet liegt dies in der technologischen Weiterentwicklung und Leistungsstärke der Anwendungen sowie dem Kostendruck mancher Branchen, dem sich mit der Automatisierung von Prozessen entgegenwirken lässt. Zum anderen fordern Legal-Tech-Anwendungen, bei denen standardisierte Rechtsberatungen und Prozesse auf die IT übertragen werden, ein höheres Maß an Beratung.

Eine KI-Anwendung bei einer Versicherung kann beispielsweise eingereichte Rechnungen auf Plausibilität hin prüfen – schneller, genauer und kostensparender, als ein Mensch dies jemals könnte. Doch gerade für automatisierte Entscheidungen sind die rechtlichen Anforderungen sehr hoch. Denn der Verbraucher, Kunde (in diesem Fall der Versicherungsnehmer) darf nicht bis in die letzte Instanz einer Maschine ausgeliefert sein. Es bedarf immer noch einer menschlichen Kontrolle.

Verständnis setzt Transparenz voraus

Die Notwendigkeit einer Sensibilisierung im Umgang mit personenbezogenen Daten auf Unternehmensseite liegt auf der Hand. Aber auch auf Kundenseite muss eine Sensibilisierung erfolgen. Denn Verbraucher haben durch die DSGVO sehr viel mehr Mitspracherecht bei der Verwendung ihrer Daten, schöpfen diese Möglichkeit aber längst nicht aus. Betroffene sollen die Kontrolle über ihre Datenverarbeitung haben, und Unternehmen müssen ihnen die dafür notwendigen Informationen erteilen.

Transparenz ist das große Stichwort im Zusammenhang mit der DSGVO. Der Softwareanbieter, der die KI-Anwendung zur Verfügung stellt, muss ebenso erklären können, wie Daten damit verarbeitet werden wie das Unternehmen gegenüber seinen Kunden. Und das bedeutet nicht nur einen Mehraufwand, sondern bietet auch Vorteile: Unternehmen haben aufsichtsrechtlich weniger Probleme, wenn sie nachweisen können, was die KI-Anwendung macht und was mit den Daten passiert. Und wenn man das den Endkunden erklären kann und ihnen auch noch die Vorteile zeigt, die sie davon haben (beispielsweise objektive Entscheidungen und Kostenvorteile, die sich aus Einsparungen durch automatisierte Prozesse ergeben), dann ist die Akzeptanz für den Einsatz von KI auch höher, als wenn das System lediglich eine nackte Zahl ausspuckt.

Nachvollziehbare Entscheidungen statt menschlicher Willkür

Es muss ein interdisziplinärer Dialog stattfinden. Erst im Unternehmen: zwischen IT-Spezialisten, Marketingleuten, Juristen, Mitarbeitern der Fachabteilungen. Und dann auch auf Kundenseite: Einem Endkunden muss man die Parameter darlegen, die zu einer Entscheidung herangezogen werden. Für die Vergabe eines Kredits sind immer noch Faktoren wie Einkommen, Belastungen, Sicherheiten ausschlaggebend – daran ändert auch die KI nichts. Und das Verständnis für die Parameter und die darauf basierende Entscheidung erzeugt letztlich Akzeptanz.

Datenschutz: 2019 ist das Jahr der Überprüfung. Hier geht es zu einem Podcast mit Arnd Böken und Andreas Gödde. Click To Tweet

Datenschutz ist zwar kein Wettbewerbsvorteil. Big Data Analytics und auch KI-Anwendungen haben in Europa mit größeren Problemen zu kämpfen als in den USA oder in Asien. Aber: ohne geht es nicht! Denn der Schutz des Persönlichkeitsrechts von Verbrauchern ist ein Grundrecht und damit eine immens wichtige Aufgabe für die Wirtschaft. Die Herausforderung besteht darin, Datenschutz auf der einen und KI-Anwendungen auf der anderen Seite in Einklang zu bringen. Denn ohne moderne Technologie wie KI werden wichtige Entwicklungen wie Energiewende oder neue Mobilitätskonzepte auf der Strecke bleiben. Unternehmen müssen Lösungen findet, die mit datenschutzrechtlichen Regelungen kompatibel sind und die letztlich auch vom Endkunden akzeptiert werden.

Erfahren Sie mehr zu KI und Datenschutz in der Podcast-Serie KI Kompakt. Hier können Sie auch das komplette Interview mit Rechtsanwalt Arnd Böken zum Thema Datenschutz anhören (Folge 11).