Welche Folgen haben KI-Services für den Datenschutz?
Bei der Wahl eines KI-Services zur Betrugsbekämpfung muss aber auch der Datenschutz eine Rolle spielen, das zeigt nicht nur die bereits zitierte Bitkom-Umfrage zur Akzeptanz von KI. Auch die Aufsichtsbehörden für den Datenschutz haben dies klargestellt.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert in Artikel 35 für bestimmte Verfahren der Datenverarbeitung eine Datenschutz-Folgenabschätzung, also eine Art Risikoanalyse aus Datenschutzsicht. Das gilt insbesondere bei Verwendung neuer Technologien und bei "systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen."
Diese sperrige Formulierung aus der DSGVO wird klarer, wenn man sich die weiteren Informationen der Aufsichtsbehörden zu der Datenschutz-Folgenabschätzung ansieht. Gemäß DSGVO haben die Aufsichtsbehörden Listen veröffentlicht mit Verarbeitungstätigkeiten, bei denen verpflichtend eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese "Muss-Liste" der deutschen Datenschutzaufsichtsbehörden (für den nichtöffentlichen Bereich) enthält auch konkrete Beispiele, wann die Datenrisiken einer Verarbeitung genauer analysiert werden müssen.
Dort werden auch Fraud-Prevention-Systeme als Fall für eine Datenschutzfolgenabschätzung genannt. Bei KI-Services zur Betrugsbekämpfung muss deshalb geprüft werden,
ob eine Verarbeitung personenbezogener oder personenbeziehbarer Daten in großem Umfang vorgenommen wird,
ob dabei auch Daten zu anderen Zwecken und aus anderen Quellen genutzt werden, die nicht bei den betroffenen Personen erhoben wurden,
ob die Anwendung von Algorithmen erfolgt, die für die betroffenen Personen nicht nachvollziehbar sind, und
ob Entscheidungen getroffen werden, die die betroffenen Personen in erheblicher Weise beeinträchtigen können.
Die Sicherstellung des Datenschutzes beim Einsatz von KI-Services zur Betrugserkennung mag einiges an Aufwand verursachen, ist aber für die Compliance erforderlich und sollte Unternehmen nicht davon abhalten, die Vorteile der künstlichen Intelligenz zu nutzen. Ohne KI-Services wird es jedenfalls zunehmend schwierig werden, Betrüger zu enttarnen und unschuldige Nutzer nicht unbegründet zu blockieren.