KI & DSGVO: Wann sind Trainingsdaten anonym?

Online am Dienstag, den 22.03.2022 (16:30 - 18:30 Uhr)

Ein KI-Training ohne Daten ist nicht möglich. Die für das Training und die Validierung notwendigen Daten sind dabei oftmals personenbezogen, sodass die DSGVO zu beachten ist — oder vielleicht doch nicht? In der kompakten Onlineveranstaltung wird auf die technischen und rechtlichen Aspekte eingegangen. Insbesondere wird die Frage beleuchtet, welche Daten überhaupt personenbezogen sind, und ob und ggf. wie diese anonymisiert werden können. Dies gilt für gesundheitsbezogene Daten ebenso wie für industrielle Daten.

Anonymisierung bedeutet keine DSGVO

Wenn die Daten anonym sind, ist vieles einfacher. Denn die DSGVO gilt dann nicht. Sind die Daten hingegen personenbezogen, muss eine Rechtfertigung für die Datenverarbeitung gefunden werden, die oftmals in einer Einwilligung besteht. Das KI-Training unter Beachtung von Einwilligungen ist ebenfalls möglich – allerdings nur unter Einhaltung verschiedener Anforderungen. Unter anderem ist auch ein Widerruf der Einwilligung zu ermöglichen.

Rechtsfolgen bei vorschneller Annahme einer Anonymisierung

Werden vermeintlich anonyme Daten verarbeitet, die der DSGVO unterliegen, gilt dennoch die DSGVO. Der dann aber vorliegende Verstoß kann dazu führen, dass sämtliche Daten, ggf. einschließlich des trainierten neuronales Netzes und der trainierten KI, zu löschen sind – und dies auch lange Zeit nach dem Training.

Dabei ist zu beachten, dass der rechtliche Begriff der Anonymität dynamisch ist. Das heißt, dass Daten heute als anonym betrachtet werden können, dieselben Daten im nächsten Jahr jedoch als personenbezogene Daten anzusehen sein können. Dies kann etwa dann der Fall sein, wenn eine „Reidentifizierung“ aufgrund neuer Ereignisse, z. B. neuer rechtlicher Auskunftsansprüche, neuer technischer Möglichkeiten oder der Veröffentlichung von Metadaten, auf einmal nicht mehr ganz so unrealistisch ist.

Beispielhafte Szenarien

Für das Training einer Medizin-KI werden Blutbilddaten von 100.000 Menschen verarbeitet. Dem KI-Anbieter liegen nur die Blutbilddaten ohne jegliche Metadaten vor, also ohne Informationen zu Spender, Herkunft der Daten etc. Sind die Daten für den KI-Anbieter anonym — oder muss er die DSGVO beachten?

Ein Unternehmen sammelt Daten über die Herzfrequenz von Autofahrern, um „Brennpunkte“ im Straßenverkehr zu identifizieren. Das Unternehmen meint, dass es die Namen der Autofahrer nicht kenne und mit der Herzfrequenz allein niemand identifizierbar sei. Sind diese Daten anonym — oder muss er die DSGVO beachten?

Der Anbieter einer Smart-Home-Lösung sammelt Daten über den Temperaturverlauf in den Wohnungen seiner Kunden. Der Smart-Home-Anbieter möchte diese Daten in einem Datenpool speichern und Dritten für ein KI-Training anbieten. Sind die Temperaturdaten anonym — oder muss er die DSGVO beachten?

Ein Callcenter möchte die internen Abläufe über eine KI optimieren hierzu werden Telefonnummer und Gesprächsdauer der Anrufe aufgezeichnet. Um eine Anonymisierung herbeizuführen, löscht das Callcenter jedoch die letzten drei Ziffern der Rufnummer und rundet die Gesprächszeit auf bzw. ab. Genügt dies für eine Anonymisierung?

Referenten

Prof. Dr. rer. medic. Christian Thies
Medizinische Informationssysteme Fakultät Informatik
FH Reutlingen
Prof. Dr. Christian Thies befasst sich seit fast 30 Jahren mit der Entwicklung digitaler Anwendungen im Gesundheitswesen. Aktuell realisiert und evaluiert er mit klinischen Partnern Pilotprojekte zur digitalen Unterstützung der ärztlichen Versorgung. Zuvor hat er als Entwickler, Projektmanager, Entwicklungsleiter und Produktmanager, Methoden in den unterschiedlichsten Anwendungsgebieten entwickelt und betrieben. Dies umfasst KI-basierte biomedizinische Bildauswertung, medizinische Geräteentwicklung, Integration medizinischer Informationssysteme sowie dezentrales Patientenmonitoring. Eine durchgängige Grundlage seiner praxisorientierten Arbeit bilden Anwendungsrealität, Nutzenbetrachtung sowie Datenschutz und -sicherheit.
Dr. Gerrit Hötzel
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für Informationstechnologierecht
Dr. Gerrit Hötzel berät anwaltlich im Bereich IT-Recht und Digitalisierung. Hervorzuheben ist dabei die Tätigkeit an der Schnittstelle zu medizinischen Anwendungen. Dr. Hötzel begleitet dabei einzelne Projekt über den gesamten Lebensyzklus hinweg oder berät punktuell zu einzelnen Fragestellungen. Von seiner Tätigkeit umfasst ist weiter unter anderem die Vertragsgestaltung sowie die Prozessführung und Vertretung vor amtlichen Stellen.
Marius Adler
Rechtsanwalt
Marius Adler ist Rechtsanwalt auf dem Gebiet der Digitalisierung sowie des Vertriebs- und Handelsrechts. Herr Adler ist unter anderem auf den neuen Rechtsrahmen zur Künstlichen Intelligenz spezialisiert, berät hierzu und hält verschiedene Vorträge.

Ein Auszug aus den Themen

In der Veranstaltung wird Herr Prof. Dr. Christian Thies die technischen Abläufe und die Einbeziehung der Daten in das Training einer KI darstellen. Herr Dr. Gerrit Hötzel wird ausführen, welche Daten personenbezogen und welche anonym sind und Herr Marius Adler wird den aktuellen Stand zum Entwurf der KI-Verordnung der EU-Kommission vorstellen. Im Anschluss — und gerne auch während der Vorträge — besteht Gelegenheit für Fragen:
  • Technischer Ablauf der KI-Trainings
    • Modellierung medizinischer Information
    • Erhebung und Verwaltung klinischer Daten
    • Trainig und Valdierung in der KI
    • Entwicklung und Evaluation KI basierter Medizinanwendungen
  • Datenschutz
    • Welche Daten sind personenbezogen?
    • Wann ist eine Anonymisierung erzielt?
    • Methoden der Anonymisierung
    • Rechtsfolgen bei KI-Training mit personenbezogenen Daten
    • Widerruf der Einwilligung vor, während und nach dem KI-Training
  • KI-Verordnung der EU
    • Grobübersicht über den Entwurf
    • Aktueller Stand der KI-Verordnung
    • Sonderregelungen zur Datenverabeitung zwecks KI-Training?
  • im Anschluss: Gelegenheit für Fragen

Termin & Kosten

Die Veranstaltung findet am Dienstag, den 22.03.2022 (16:30 - 18:30 Uhr) statt. Die Teilnahme an der Veranstaltung ist kostenfrei. Wir bitten um zeitnahe Anmeldung.

Online-Veranstaltung

Die Veranstaltung findet in diesem Jahr als Online-Veranstaltung statt. Die technischen Details zur Teilnahme werden noch bekannt gegeben.

Anmeldung per Web-Form

Wir freuen uns über Ihre Anmeldung:

Datenschutzinformation: Mit der Versendung der Anfrage werden die obigen Angaben über unseren Webserver verschlüsselt an uns per E-Mail gesendet. Ein Widerruf Ihrer Einwilligung ist jederzeit z. B. per Antwort-E-Mail oder ein gesondertes E-Mail an uns möglich; durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Weitere Datenschutzinformationen finden Sie hier.

Anmeldung per E-Mail

Wir freuen uns alternativ über Ihre Anmeldung per E-Mail an: info@voelker-gruppe.com.

Weitere Informationen

Weitere Informationen zu unserer Reihe „Forum Digitalisierungsrecht und Industrie 4.0“ finden Sie hier.

Die besonderen Datenschutzinformationen finden Sie hier.

VOELKER & Partner
Rechtsanwälte Wirtschaftsprüfer Steuerberater mbB

info@voeker-gruppe.com
www.voelker-gruppe.com

 voelker-partner-mbb

Standort Reutlingen
Am Echazufer 24, Dominohaus
D-72764 Reutlingen
T +49 7121 9202-0
F +49 7121 9202-19
reutlingen@voelker-gruppe.com
Standort Stuttgart
Tübinger Straße 26
D-70178 Stuttgart
T +49 711 2207098-0
F +49 711 2207098-35
stuttgart@voelker-gruppe.com
Standort Balingen
Hauptwasen 3
D-72336 Balingen
T +49 7433 26026-0
F +49 7433 26026-20
balingen@voelker-gruppe.com