Künstliche Intelligenz und Kundendatenbanken. Datenschutzrechtliche Anforderungen an Verhaltensanalysen


Projektarbeit, 2021

15 Seiten, Note: 1,3


Leseprobe

Inhaltsverzeichnis

B.) Abkürzungsverzeichnis

C.) Ausarbeitung
I.) Einleitung
1.) Künstliche Intelligenz
2.) Kundendatenbank
II.) Denkbare Einsatzmöglichkeit
III.) Datenschutzrechtliche Problematik
1.) datenschutzrechtliche Einordnung
2.) Prinzip der Datensparsamkeit
3.) Zweckbindung
4.) Informationspflichten
5.) Speicher- und Löschfristen
IV.) Erlaubnistatbestände
1.) Art. 6 DS-GVO
a.) lit. a – Die Einwilligung
b.) lit. b – für die Erfüllung eines Vertrages
c.) lit. f – das berechtigte Interesse
2.) Art. 6 Abs. 4 DS-GVO
3.) besondere Kategorien nach Art. 9 DS-GVO
V.) Betroffenenrechte
1.) Art. 13 Abs. 2 lit. f DS-GVO
2.) Art. 15 Abs. 1 lit, h DS-GVO
3.) Art. 17 Abs. 1 lit. a DS-GVO
VI.) Datenschutz-Folgenabschätzung
VII.) Möglichkeiten durch Pseudo- oder Anonymisierung
VIII.) Fazit

D.) Literaturverzeichnis

B.) Abkürzungsverzeichnis

Ds. = Drucksache

S. = Seite

f. = folgende

z. B. = zum Beispiel

etc. = et cetera

bzw. = beziehungsweise

ggf. = gegebenenfalls

gem. = gemäß

DS-GVO = Datenschutz-Grundverordnung

DSRITB = Deutsche Stiftung für Recht und Informatik Tagungsband Herbstakademie

ZD = Zeitung für Datenschutz

Art. = Artikel

i.V.m. = in Verbindung mit

Nr. = Nummer

Abs. = Absatz

Lit. = litera

BDSG = Bundesdatenschutzgesetz

Rdnr. = Randnummer

BVerfG = Bundesverfassungsgericht

Bspw. = beispielsweise

VuR = Verbraucher und Recht

NJW = Neue Juristische Wochenschrift

Alt. = Alternative

Hs. = Halbsatz

n. F. = neue Fassung

EuGH = Europäischer Gerichtshof

UWG = Gesetz gegen den unlauteren Wettbewerb

BGB = Bürgerliches Gesetzbuch

C.) Ausarbeitung

I.) Einleitung

In Zeiten von Nutzerverhaltensanalysen1 durch Cookies und präferenzbezogene Werbeanzeigen im Internet ist klar, Big Data und die Analyse von Kundendaten ist präsent und wird von einer Vielzahl von Unternehmen genutzt, um die Angebote an Kunden stetig zu optimieren. Vielfach gehörte Zitate wie „Daten sind das neue Öl“ oder „Daten sind das Gold des 21. Jahrhunderts“, verdeutlichen nicht nur den Wert der Daten, sondern auch, dass immer mehr Daten erzeugt werden. Durch intelligente Geräte, wie beispielsweise mit dem Internet verbundene Kühlschränke oder Sprachassistenten im eigenen Haushalt, dem so genannten Internet of Things, werden immer mehr Daten erzeugt. Eine Studie der International Data Corporation geht davon aus, dass die jährlich generierte Datenmenge von 33 Milliarden Terabytes im Jahr 2018, auf 175 Milliarden Terabytes im Jahr 2025 steigen wird.2 Aus einer Unmenge von Kundendaten wie dem Kauf-, oder Click-Verhalten, der Altersgruppe oder dem Geschlecht lassen sich Informationen ableiten, die für Unternehmen enorm wertvoll sein können. Fraglich ist allerdings, ob sich der Einsatz künstlicher Intelligenz bei Kundendatenbanken mit dem Datenschutzrecht in Einklang bringen lässt. Gerade die Zweckbindung personenbezogener Daten könnte in diesem Zusammenhang problematisch sein.

1.) Künstliche Intelligenz

Zunächst eine kurze Einleitung in die Thematik der Künstlichen Intelligenz. Unter Künstlicher Intelligenz versteht man ein von Menschenhand gemachtes System, dass verschiedenste Aufgabenstellungen und Problematiken selbst lösen kann. Hierbei wird zwischen der klassischen, regelbasierten und der neueren, lernenden Künstlichen Intelligenz unterschieden.3

2.) Kundendatenbank

Eine Kundendatenbank, welche meist Teil eines Customer-Relationship-Management-Tools ist, speichert verschiedenste Formen von Kundendaten. Diese können z.B. aus grundsätzlichen Daten wie der Adresse, Titel, etc. bestehen. Ebenso könnten diese spezifischen Aktions- oder Reaktionsdaten, die aus Werbung, Angeboten oder Kundenaktivität, bzw. Aufträge, Anfragen oder Reklamationen bestehen.4 Diese Möglichkeiten werden jedoch stets weiterentwickelt, sodass z.B. durch Big-Data-Analysen auch Variable, wie Click-Verhalten oder persönliche Bedürfnisse, Teil einer Kundendatenbank sein können.

II.) Denkbare Einsatzmöglichkeit

Gerade in der heutigen Zeit ist eine gängige Form der Einsatzmöglichkeit die Nutzung von Künstlicher Intelligenz zur Analyse eines enorm großen Datensatzes, um das voraussichtlich in der Zukunft stattfindende Verhalten des Kundens einzuschätzen und die Angebote für diesen Kunden zu personalisieren oder ggf. nur auf ihn anzupassen.5 Ebenso könnten so verschiedene Kundengruppen erfasst werden, die das Unternehmen grundsätzlich kategorisiert um deren voraussichtliches Marktverhalten abzuschätzen.6 Ein weiterer nicht ganz so umfänglicher Einsatz wäre der Einsatz von Künstlicher Intelligenz, für die Analyse reiner Stammdaten wie dem Alter, Geschlecht oder dem Familienstand, um Produkte in gewissen Zielgruppen besser zu bewerben.

III.) Datenschutzrechtliche Problematik

Die Anforderungen der Künstlichen Intelligenz an Kundendatenbanken steht in weiten Teilen schon gegensätzlich zu Grundprinzipien des Datenschutzes. Allein die Voraussetzung riesiger Datenmengen für die Wirksamkeit der Künstlichen Intelligenz wirkt grundverschieden zu dem Prinzip der Datensparsamkeit aus der DS-GVO. Ebenfalls wird es problematisch das Untersuchen verschiedenster Datensätze auf diverse Verwertungsmöglichkeiten mit dem Zweckbindungsgrundsatz der DS-GVO in Einklang zu bringen.

1.) datenschutzrechtliche Einordnung

Versucht man die Thematik datenschutzrechtlich einzuordnen, befindet man sich im Bereich der automatisierten Entscheidungen nach Art. 22 DS-GVO oder des Profilings nach Art. 22 DS-GVO i.V.m. Art. 4 Nr. 4 DS-GVO. Das Profiling wird hierbei explizit dadurch gekennzeichnet, dass das daraus resultierende Profil die Grundlage einer rechtlich, wirkenden Folge für den Betroffenen ist.7 Die speziellen Regelungen zu diesen automatisierten Entscheidungen spiegeln sich in den Betroffenenrechten, explizit der Informationspflicht gem. Art. 13 DS-GVO und dem Auskunftsrecht nach Art. 15 DS-GVO wieder.8 Dies wird zu späterem Zeitpunkt vertieft.

2.) Prinzip der Datensparsamkeit

Das schon lange bestehende Prinzip der Datensparsamkeit sieht vor, dass immer dann, wenn nicht grundsätzlich personenbezogene Daten erforderlich sind und eine anonyme oder pseudonyme Nutzung der Daten ohne unverhältnismäßigen Aufwand denkbar ist, diese auch genutzt werden soll.9 Eine umfassende Analyse um das persönliche zukünftige Marktverhalten einzuschätzen, bedarf jedoch einer enormen Anzahl an Daten, dass die Künstliche Intelligenz hieraus Schlüsse ziehen kann. Eine mildere Form der Nutzung, wie bereits genannt, ist jedoch durchaus auch nach einer unumkehrbaren Anonymisierung oder ggf. Pseudonymisierung denkbar.

3.) Zweckbindung

Ein weiterer, elementarer Grundsatz des Datenschutzrechtes, schon 1983 im Zuge des „Volkszählungsurteils“ verdeutlicht, ist die Zweckbindung aus Art. 5 Abs. 1 lit. b DS-GVO.10 Diese besagt, dass die personenbezogenen Daten nur in einem Umfang verarbeitet werden dürfen, die für die Erreichung des Zweckes notwendig ist. Bei einem Kauf werden Kundendaten gespeichert, um die Vertragsbeziehung durchführen zu können, was den Zweck der Verarbeitung der personenbezogenen Daten darstellt.11 Verarbeitet man diese Daten innerhalb einer Kundendatenbank nun weiter, um durch Künstliche Intelligenz wertvolle Daten zu analysieren, ist dies nicht durch den Zweck einer Vertragsbeziehung gerechtfertigt. Vielmehr ist dies ein Beispiel für eine Zweckänderung. Bei umfassender Betrachtung der Analyse mit Künstlicher Intelligenz wird schnell deutlich, dass diese Analyse nur durch die Zusammenführung mehrerer verschiedener Datensätze sinngemäß funktioniert, was eine Einhaltung des Zweckbindungsgrundsatzes sehr erschwert bis gar unmöglich macht.12

4.) Informationspflichten

Die Informationspflichten sind ein Instrument der DS-GVO, um ein möglichst hohes Maß an Transparenz zu gewährleisten. Erreicht werden soll, dass der Betroffene in Kenntnis über die Art des Verarbeitungsvorgangs ist und zumindest über den Zweck und den Verantwortlichen der Verarbeitung informiert wurde.13 Bei automatisierten Entscheidungen nach Art. 22 DS-GVO findet sich in Art 13 Abs. 2 lit. f eine weitere Voraussetzung zur Erfüllung der Informationspflicht. So muss dem Betroffenen dieser Umstand, die dahinterstehende Logik der Künstlichen Intelligenz und die voraussichtlichen Folgen aus den Ergebnissen der Entscheidungsfindung bekannt gemacht werden.14 Dem Betroffenen muss erkennbar sein wie die Verarbeitung funktioniert und welche Erkenntnisse daraus gezogen werden sollen. Explizit nicht informiert werden muss bspw. über die dahinterstehende, mathematische Logik der Künstlichen Intelligenz, da diese als Geschäftsgeheimnis besonders schutzbedürftig ist.15

5.) Speicher- und Löschfristen

Grundsätzlich dürfen personenbezogene Daten nur in einem angemessenen, erforderlichen Umfang für die Erreichung des Zweckes verarbeitet werden.16 Darüber hinaus dürfen Daten gem. Art. 5 Abs. 1 lit. e DS-GVO ebenso nur über einen Zeitraum verarbeitet bzw. gespeichert werden, solange dies erforderlich ist. Um diesem Umstand gerecht zu werden, muss der Verantwortliche gem. Erwägungsgrund 39 geeignete Fristen für die Speicherdauer von personenbezogenen Daten implementieren, die sich ebenfalls an den gesetzlichen Aufbewahrungsfristen orientieren müssen.17 Dies schafft Transparenz für die Verarbeitung. Fraglich ist, ob dies möglich ist, wenn die Künstliche Intelligenz durch komplizierte Verarbeitungsvorgänge großer Datensätze oft selbst durch den Verantwortlichen nicht voll und ganz nachvollzogen werden kann.

IV.) Erlaubnistatbestände

Die grundsätzliche Auslegung der Rechtmäßigkeitsvoraussetzungen ist in der Literatur nicht stimmig und schwankt zwischen dem Regelungsgehalt als Verbot mit Erlaubnisvorbehalt18, während andere Ansichten der Fachliteratur sind, dass es als Erlaubnisprinzip zu verstehen ist.19 Ungeachtet dessen ist festzuhalten, dass gleich welcher Auffassung man folgt, eine Verarbeitung nur dann rechtmäßig ist, wenn ein Erlaubnistatbestand der DS-GVO zu entnehmen ist. Bei der Verarbeitung besonderer Kategorien von personenbezogenen Daten, nach Art. 9 DS-GVO, wird die Verarbeitung allerdings grundsätzlich erst einmal verboten.

1.) Art. 6 DS-GVO

Art. 6 DS-GVO stellt die elementaren Bedingungen für Verarbeitungen. Die einzelnen Tatbestände begründen jeweils Zulässigkeiten unter bestimmten Umständen.20

a.) lit. a – Die Einwilligung

Das Erlaubnisprinzip aus Art. 6 Abs. 1 lit. a. setzt eine Einwilligung voraus, die sich nach den Erfordernissen des Art. 7 DS-GVO richtet. Essenziell für den Zusammenhang zu Datenbankanalysen durch Künstliche Intelligenz ist, dass dem Betroffenen der Zweck der Verarbeitung seiner personenbezogenen Daten im Voraus deutlich wird, sodass die Verarbeitung hierdurch transparent ist und die Erweiterung des Zweckes oder gar eine Zweckänderung grundsätzlich vermieden werden soll.21 Wirksam ist eine Einwilligung darüber hinaus nur, wenn diese durch eine zustimmende Handlung erklärt wird. Vorgefertigte Optionen sind demnach nicht mehr gestattet.22 Fraglich ist allerdings ob die Informiertheit des Betroffenen bei solch umfangreichen Analysen durch Künstliche Intelligenz überhaupt möglich ist. Dies ist in jeder Hinsicht kritisch zu hinterfragen, da eine Künstliche Intelligenz geradezu davon lebt, eigenständig aus verschiedensten Datensätzen eine Erkenntnis abzuleiten. Oft arbeitet eine Künstliche Intelligenz so selbstständig, dass nicht einmal der Verantwortliche die Verarbeitungstätigkeit vollständig erklären kann.23 Unter Berücksichtigung dieser Punkte wirkt eine Einwilligung geradezu ungeeignet als Erlaubnistatbestand, für die Analyse einer Kundendatenbank durch Künstliche Intelligenz. Ist keine allumfassende, sondern erfassbare Analyse durch eine klassische bzw. regelbasierte Künstliche Intelligenz angedacht, die anhand grundsätzlicher Daten wie dem Alter oder des Geschlechtes Einschätzungen trifft, ist eine Einwilligung in diesen Fällen durchaus denkbar.

[...]


1 In der folgenden Arbeit wird aus Gründen der besseren Lesbarkeit ausschließlich die männliche Form verwendet. Sie bezieht sich auf Personen jedes Geschlechts.

2 Reinsel/Gantz/Rydning, The Digitization of the World – From Edge to Core – IDC (https://de.statista.com/statistik/daten/studie/267974/umfrage/prognose-zum-weltweit-generierten-datenvolumen/), zuletzt abgerufen am 03.02.2021.

3 Deutscher Bundestag, Ds. 19/23700, S. 48f..

4 Schulze, CRM erfolgreich einführen, S. 35.

5 Matajek/Neugebauer, DSRITB 2019, 465, 467f..

6 Gausling, ZD 2019, 335, 337f..

7 Buchner, in: DS-GVO BDSG, Art. 4 Abs. 4, Rdnr. 1.

8 Gausling, ZD 2019, 335, 340f.

9 Schröder, Datenschutzrecht für die Praxis, S. 26.

10 BVerfG, Urteil v. 15.12.1983 - 1 BvR 209/83 -, Rdnr. 1-215.

11 Weichert, in: EU-DSGVO und BDSG, Art. 5, Rdnr. 28f..

12 Specht, Handbuch Europäisches und deutsches Datenschutzrecht, §9, Rdnr. 91.

13 Paal/Hennemann, in: DS-GVO BDSG, Art. 13, Rdnr. 4.

14 Lorenz, VuR 2019, 213, 219.

15 Bäcker, in: DS-GVO BDSG, Art. 13, Rdnr. 54-56.

16 Weichert, in EU-DSGVO und BDSG, Art. 5, Rdnr. 45f..

17 Conrad, Handbuch IT- und Datenschutzrecht, §34, Rdnr. 753-757

18 Däubler, in EU-DSGVO und BDSG, Art. 3, Rdnr, 6;

19 Roßnagel, NJW 2019, 1, 3f.

20 Heberlein, in: Datenschutz-Grundverordnung, Art. 6, Rdnr. 1

21 Frenzel, in: DS-GVO BDSG, Art. 6, Rdnr. 10

22 Albers/Veit, in: BeckOK Datenschutzrecht, Art. 6, Rdnr. 23f.

23 Matejek/Neugebauer, DSRITB, 465, 471

Ende der Leseprobe aus 15 Seiten

Details

Titel
Künstliche Intelligenz und Kundendatenbanken. Datenschutzrechtliche Anforderungen an Verhaltensanalysen
Hochschule
Hochschule Darmstadt
Veranstaltung
Projekt I
Note
1,3
Autor
Jahr
2021
Seiten
15
Katalognummer
V1042540
ISBN (eBook)
9783346463388
ISBN (Buch)
9783346463395
Sprache
Deutsch
Schlagworte
Datenschutz, Künstliche Intelligenz, KI, AI, DSGVO, BDSG, Big Data, Kundendatenbank, Analyse, Datenschutzrecht, Daten, Profiling, Zweckbindung, Datensparsamkeit, Datenbank, Betroffenenrechte, DSFA, Pseudonymisierung, Anonymisierung
Arbeit zitieren
Justin Bleh (Autor:in), 2021, Künstliche Intelligenz und Kundendatenbanken. Datenschutzrechtliche Anforderungen an Verhaltensanalysen, München, GRIN Verlag, https://www.grin.com/document/1042540

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Künstliche Intelligenz und Kundendatenbanken. Datenschutzrechtliche Anforderungen an Verhaltensanalysen



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden