KI & DSGVO: Wann sind Trainingsdaten anonym?
Ein KI-Training ohne Daten ist nicht möglich. Die für das Training und die Validierung notwendigen Daten sind dabei oftmals personenbezogen, sodass die DSGVO zu beachten ist — oder vielleicht doch nicht? In der kompakten Onlineveranstaltung wird auf die technischen und rechtlichen Aspekte eingegangen. Insbesondere wird die Frage beleuchtet, welche Daten überhaupt personenbezogen sind, und ob und ggf. wie diese anonymisiert werden können. Dies gilt für gesundheitsbezogene Daten ebenso wie für industrielle Daten.
Anonymisierung bedeutet keine DSGVO
Wenn die Daten anonym sind, ist vieles einfacher. Denn die DSGVO gilt dann nicht. Sind die Daten hingegen personenbezogen, muss eine Rechtfertigung für die Datenverarbeitung gefunden werden, die oftmals in einer Einwilligung besteht. Das KI-Training unter Beachtung von Einwilligungen ist ebenfalls möglich – allerdings nur unter Einhaltung verschiedener Anforderungen. Unter anderem ist auch ein Widerruf der Einwilligung zu ermöglichen.
Rechtsfolgen bei vorschneller Annahme einer Anonymisierung
Werden vermeintlich anonyme Daten verarbeitet, die der DSGVO unterliegen, gilt dennoch die DSGVO. Der dann aber vorliegende Verstoß kann dazu führen, dass sämtliche Daten, ggf. einschließlich des trainierten neuronales Netzes und der trainierten KI, zu löschen sind – und dies auch lange Zeit nach dem Training.
Dabei ist zu beachten, dass der rechtliche Begriff der Anonymität dynamisch ist. Das heißt, dass Daten heute als anonym betrachtet werden können, dieselben Daten im nächsten Jahr jedoch als personenbezogene Daten anzusehen sein können. Dies kann etwa dann der Fall sein, wenn eine „Reidentifizierung“ aufgrund neuer Ereignisse, z. B. neuer rechtlicher Auskunftsansprüche, neuer technischer Möglichkeiten oder der Veröffentlichung von Metadaten, auf einmal nicht mehr ganz so unrealistisch ist.
Beispielhafte Szenarien
Für das Training einer Medizin-KI werden Blutbilddaten von 100.000 Menschen verarbeitet. Dem KI-Anbieter liegen nur die Blutbilddaten ohne jegliche Metadaten vor, also ohne Informationen zu Spender, Herkunft der Daten etc. Sind die Daten für den KI-Anbieter anonym — oder muss er die DSGVO beachten?
Ein Unternehmen sammelt Daten über die Herzfrequenz von Autofahrern, um „Brennpunkte“ im Straßenverkehr zu identifizieren. Das Unternehmen meint, dass es die Namen der Autofahrer nicht kenne und mit der Herzfrequenz allein niemand identifizierbar sei. Sind diese Daten anonym — oder muss er die DSGVO beachten?
Der Anbieter einer Smart-Home-Lösung sammelt Daten über den Temperaturverlauf in den Wohnungen seiner Kunden. Der Smart-Home-Anbieter möchte diese Daten in einem Datenpool speichern und Dritten für ein KI-Training anbieten. Sind die Temperaturdaten anonym — oder muss er die DSGVO beachten?
Ein Callcenter möchte die internen Abläufe über eine KI optimieren hierzu werden Telefonnummer und Gesprächsdauer der Anrufe aufgezeichnet. Um eine Anonymisierung herbeizuführen, löscht das Callcenter jedoch die letzten drei Ziffern der Rufnummer und rundet die Gesprächszeit auf bzw. ab. Genügt dies für eine Anonymisierung?
Ein Auszug aus den Themen
In der Veranstaltung wird Herr Prof. Dr. Christian Thies die technischen Abläufe und die Einbeziehung der Daten in das Training einer KI darstellen. Herr Dr. Gerrit Hötzel wird ausführen, welche Daten personenbezogen und welche anonym sind und Herr Marius Adler wird den aktuellen Stand zum Entwurf der KI-Verordnung der EU-Kommission vorstellen. Im Anschluss — und gerne auch während der Vorträge — besteht Gelegenheit für Fragen:
Technischer Ablauf der KI-Trainings
Modellierung medizinischer Information
Erhebung und Verwaltung klinischer Daten
Trainig und Valdierung in der KI
Entwicklung und Evaluation KI basierter Medizinanwendungen
Datenschutz
Welche Daten sind personenbezogen?
Wann ist eine Anonymisierung erzielt?
Methoden der Anonymisierung
Rechtsfolgen bei KI-Training mit personenbezogenen Daten
Widerruf der Einwilligung vor, während und nach dem KI-Training
KI-Verordnung der EU
Grobübersicht über den Entwurf
Aktueller Stand der KI-Verordnung
Sonderregelungen zur Datenverabeitung zwecks KI-Training?
im Anschluss: Gelegenheit für Fragen
Termin & Kosten
Die Veranstaltung findet am Dienstag, den 22.03.2022 (16:30 - 18:30 Uhr) statt. Die Teilnahme an der Veranstaltung ist kostenfrei. Wir bitten um zeitnahe Anmeldung.
Online-Veranstaltung
Die Veranstaltung findet in diesem Jahr als Online-Veranstaltung statt. Die technischen Details zur Teilnahme werden noch bekannt gegeben.
Referent
Prof. Dr. rer. medic. Christian Thies
Medizinische Informationssysteme Fakultät Informatik
FH Reutlingen
Prof. Dr. Christian Thies befasst sich seit fast 30 Jahren mit der Entwicklung digitaler Anwendungen im Gesundheitswesen. Aktuell realisiert und evaluiert er mit klinischen Partnern Pilotprojekte zur digitalen Unterstützung der ärztlichen Versorgung. Zuvor hat er als Entwickler, Projektmanager, Entwicklungsleiter und Produktmanager, Methoden in den unterschiedlichsten Anwendungsgebieten entwickelt und betrieben. Dies umfasst KI-basierte biomedizinische Bildauswertung, medizinische Geräteentwicklung, Integration medizinischer Informationssysteme sowie dezentrales Patientenmonitoring. Eine durchgängige Grundlage seiner praxisorientierten Arbeit bilden Anwendungsrealität, Nutzenbetrachtung sowie Datenschutz und -sicherheit.