Trends Magazin

metamorworks / Adobe Stock

Bankkunden: Datenschutz bei KI-basierten Identifizierungsverfahren   🎧

Unser Leben verschiebt sich mehr und mehr ins Digitale. In einigen anderen Bereichen werden die technologischen Möglichkeiten allerdings noch nicht flächendeckend eingesetzt. Ein Beispiel dafür ist die Identitätsverifizierung. Damit eine Person bei einer Bank ein Konto eröffnen kann, muss sie identifiziert werden. Denn die Geldwäscheprävention verlangt, dass Finanzinstitute die Personen genau kennen, mit denen sie Transaktionen abwickeln (Know Your Customer, KYC), damit sie bei Auffälligkeiten Vorgänge und Personen den Behörden melden können. Die Identifizierung geschieht heutzutage häufig noch analog durch persönliche Vorsprache bei der Bank, obwohl es bereits elektronische Lösungen unter Einsatz von KI gibt.

So funktioniert KI beim Identifizierungsverfahren
In einer digitalen Welt mit einer digitalaffinen jungen Kundschaft erscheint das Verfahren der Identitätsüberprüfung durch Mitarbeitende in der Filiale obsolet. Eine zuverlässige Identifizierung ist nämlich genauso gut wie eine physische Prüfung durch einen Menschen und problemlos per Smartphone oder Tablet möglich. Automatisierte Identifizierungsverfahren, die mit KI ihre Algorithmen ständig optimieren, bieten eine hohe Genauigkeit. Für ein KI-basiertes Identifikationsverfahren muss die Kundin oder der Kunde ein Personaldokument fotografieren und ein kurzes Selfie-Video aufnehmen, damit überprüft werden kann, ob die Person zum Ausweis passt.

Dieses Matching nimmt bei automatisierten Verfahren ein Algorithmus vor. Dieser erkennt sehr zuverlässig, was ein gültiges Ausweisdokument ist und was nicht, und er kann biometrische Daten auswerten und abgleichen. Um dies zu bewerkstelligen, muss die KI trainiert werden, um so die notwendigen Zusammenhänge zu lernen. Zuverlässig wird der Prozess erst dann, wenn der Algorithmus mit einer großen Datenmenge (Big Data) trainiert wird – und genau das ist heute bereits gängige Praxis von Unternehmen.

Datenschutz und KI: Das sind die Regularien
Wie steht es jedoch um den Datenschutz, wenn Big Data genutzt wird, um eine KI zu verbessern? In der Europäischen Union (EU) gilt seit dem Jahr 2018 die Datenschutzgrundverordnung (DSGVO). Über deren Inhalte wurde bereits viel geschrieben und diskutiert. Klar ist: Alle Unternehmen sind gesetzlich dazu angehalten, personenbezogene Daten am jeweiligen Verwendungszweck orientiert zu verarbeiten und diese technisch und organisatorisch so gut zu schützen, wie der Stand der Technik es zulässt. Über diesen Sachverhalt besteht in der Industrie auch kein Zweifel.

Doch was bedeutet dies konkret für die Anwendung von Künstlicher Intelligenz, etwa bei Identifizierungsverfahren mit biometrischen Daten? Im Prinzip sind die Verfahren ähnlich wie bei jedem anderen Umgang mit personenbezogenen Daten: Identitätsüberprüfungsverfahren unter Zuhilfenahme von KI benötigen im Prinzip keine zusätzlichen gesetzgeberischen Anforderungen, wenn die dahinterstehenden Prozesse sicher gestaltet sind, Nutzende umfassend und verständlich informiert und aufgeklärt werden und gegebenenfalls erforderliche Einwilligungen eingeholt werden.

Das bedeutet konkret zweierlei: Wenn ein Unternehmen personenbezogene Daten speichern will, muss dieses die Nutzenden transparent und verständlich informieren, für welche konkreten Zwecke dies erfolgt – und es muss durch Sicherheitsmaßnahmen, die hohen technischen Standards entsprechen, gewährleisten, dass die Daten gegen Zugriff von Fremden gesichert sind und auch nur für die Zwecke verwendet werden, die den Nutzenden vorab bereits erläutert wurden.

Beim Identifikationsverfahren haben wir einen klaren Prozess. Wie bereits beschrieben, analysiert der Algorithmus zunächst, ob es sich um ein Ausweisdokument handelt oder nicht. Dann folgt das Matching, also der Abgleich, ob die gezeigte Person auf dem Ausweisfoto auch wirklich diejenige ist, die gerade das Video von sich aufgenommen hat. An dieser Stelle werden bereits biometrische Daten verarbeitet.

Dieser Identifizierungsprozess und der Vorgang des Maschinellen Lernens (ML), bei dem mithilfe der erhobenen Daten der Algorithmus verbessert wird, sind dabei eindeutig voneinander zu trennen. Bereits für die Identifizierung ist ausdrücklich eine Zustimmung der Kundschaft notwendig. Selbstverständlich werden diese Daten nur für den Zweck der Identifizierung in einem getrennten System gespeichert – und zwar nur für die Dauer der Identifizierung und auf diesen Prozess beschränkt.

Weitergehende Einwilligung der Nutzer notwendig
Der anspruchsvolle Teil des Vorgangs tritt ein, sobald Daten dazu genutzt werden, das bestehende System zu verbessern – damit der Algorithmus mit der Zeit immer präziser arbeiten kann. In diesem Sinne benötigt ein Unternehmen, das seine KI-Lösungen nutzt, um biometrische Daten oder Dokumente zu erkennen, selbstverständlich eine weitergehende Einwilligung der Nutzer für genau diesen Zweck.

Das Unternehmen muss die Nutzenden zuvor verständlich und transparent über den weiteren Prozess informieren und klar signalisieren: Liebe Kundin / lieber Kunde, wir benötigen an dieser Stelle Ihr Einverständnis, dass wir Ihre Daten speichern und zu KI- und Machine-Learning-Verfahren nutzen dürfen, um unsere Systeme und Leistungen zu verbessern. Denn ja: Es müssen sensible Daten gespeichert werden, um eine KI langfristig zu verbessern. Es muss darüber hinaus auch klar sein, dass die Kunden zwar im Moment der Datenerhebung nicht selbst von der Verbesserung profitieren, sondern dass zunächst das Identifikationsverfahren für zukünftige Nutzerinnen und Nutzer besser funktioniert.

Wichtig ist, dass bei der Datenverarbeitung mit KI eng am Zweck gearbeitet wird und nicht mehr aus dem Big-Data-Material herausgeholt wird, als für die Verbesserung der Algorithmen notwendig ist. Beispielsweise ist es nicht erforderlich, Daten auf eine Weise zu verarbeiten, sodass Individuen wiedererkannt werden können – zum Beispiel, indem die Daten mit bereits in einer Datenbank gespeicherten Gesichtsdatensätzen abgeglichen werden.

Der Prozess sollte sich also ausschließlich darauf beschränken, die Daten des Dokuments auszuwerten und mit dem Selfie-Video abzugleichen. Mit den hierbei erhobenen Daten – zum Beispiel dem Bild des Dokuments und dem Selfie – wird das System allerdings kontinuierlich weiter trainiert, wenn die Nutzerin oder der Nutzer dem zustimmt. Verbraucher müssen aber nicht befürchten, aufgrund der Big-Data-Basis in anderem Zusammenhang wiedererkannt zu werden.

Ausblick: Die EU-Verordnung für Künstliche Intelligenz
Die rasanten technologischen Entwicklungen und der vermehrte Einsatz von KI-Lösungen bringen weitere rechtliche Fragestellungen mit sich. Auch auf EU-Ebene wird das Thema stark diskutiert. Im April 2021 hat die EU-Kommission einen ersten Rechtsrahmen vorgelegt. Der Entwurf sieht unter anderem eine Risikoeinstufung für KI-Systeme hinsichtlich der Grundrechte, der Sicherheit und der Privatsphäre vor. Die Spannbreite reicht dabei von Verfahren mit minimalen Risiken bis hin zu verbotenen Praktiken, wie etwa der Wiedererkennung von Personen im öffentlichen Raum.

Viele Punkte sind dabei durchaus einleuchtend – etwa dass einfache KI-Systeme, die für die Interaktion mit Menschen gedacht sind (u. a. Service-Chatbots) als geringes Risiko eingestuft werden. Allerdings bedeuten laut Kommission zum Beispiel Chatbots, die in eine Spielzeugpuppe eingebaut werden, ein hohes und ethisch nicht tragbares Risiko. Verständlich ist grundsätzlich, dass Echtzeit-Fernidentifizierung stärker reguliert werden soll und zum Beispiel eine generelle biometrische Identifizierung über Überwachungskameras im öffentlichen Raum gar nicht möglich sein soll. Doch auch auf dem Gebiet der biometrischen Erkennung sind – wie schon bei den Chatbots – nicht alle Anwendungsfälle gleichermaßen risikobehaftet.

Zu den Hochrisikosystemen sollen demnach in dem Entwurf der KI-Verordnung alle Systeme zur biometrischen Gesichtserkennung gezählt werden – und zwar unabhängig von ihrem Einsatzzweck und den damit verbundenen Risiken. Sprich: KI-basierte Identifizierungsverfahren werden pauschal als hohes Risiko eingestuft. Dabei wird allerdings nicht unterschieden, ob die Datennutzung etwa für eine Re-Identifizierung genutzt wird oder nicht.

Das kann man als fraglich bezeichnen. Denn es macht durchaus ein Unterschied, ob ein Cloud-Provider seine KI nutzt, um die Gesichter auf gespeicherten Bildern zu analysieren und über Suchmaschinen nach der Person zu suchen, und zum Beispiel fragt: „Ist das deine Freundin Katrin?“, oder ob die Daten rein dafür verwendet werden, bestehende KI-Systeme zu optimieren, wo keine Re-Identifizierung möglich ist.

Fazit
Datenschutz hat in einer digitalisierten Lebens- und Arbeitswelt einen hohen Stellenwert und sollte gerade bei Künstlicher Intelligenz besonders sorgfältig beachtet werden. Wie stark die Daten zu schützen sind, ist allerdings nach wie vor eine politische und juristische Frage, die international unterschiedlich beantwortet
wird. Derzeit gilt die EU-Datenschutzgrundverordnung hier nach wie vor als wichtigste Richtlinie in der Gesetzgebung und hat den Verbrauchern wichtige Rechte eingeräumt.

Wie auch immer sich der Entwurf der EU-Verordnung für KI entwickeln und in seiner finalen Fassung aussehen wird, bleibt abzuwarten. Deutlich wird vor allem eines: Neue Technologien bringen auch stets neue Debatten mit sich, wie viel Regulierung und Schutz notwendig ist. Die Industrie tut bereits sehr viel zum Schutz der Daten. Wo hohe Risiken liegen und wie Risiken bewertet werden, bleibt letztlich eine Frage der Zeit und des Orts – und speziell Finanzinstitute sind am besten dazu in der Lage, diese Risiken und die notwendigen Maßnahmen zu ihrer Verhinderung einzuschätzen.

Autor




Thomas Börner ist Rechtsanwalt mit mehr als 20 Jahren Erfahrung in der Beratung von Firmen im Bereich des Datenschutzes und des Internetrechts. Derzeit arbeitet er als Datenschutzbeauftragter der PXL Vision Gruppe.

+++

Was versteht man unter „Data Science“ und wie ist dies in den Themenkomplex KI einzuordnen? Wozu benötigt eine Bank überhaupt einen Data Scientist und mit welchen Daten und Tools wird hier gearbeitet? Diese und weitere Fragen stellen wir Torsten Nahm im Podcast aus der Reihe „durch die bank“. Nahm leitet das Kompetenzzentrum für Data Science bei der DKB.

Nehmen sie bei Interesse an unserem Web-Seminar „KI-gestützte Prognosemodelle zur Ermittlung von Kreditausfallwahrscheinlichkeit in Kreditinstituten" teil.

Stichworte

Verwandte Artikel

Anzeige

Lexikoneinträge