Von den zahlreichen Konfliktpunkten des Datenschutzrechts mit der Digitalisierung der Versicherungsbranche hatte Vomhof drei Aspekten zur näheren Konkretisierung besonderes Augenmerk gewidmet: Den automatisierten Einzelfallentscheidungen nach Art. 22 DSGVO, der Datenübermittlung in Drittstaaten (Art. 44 ff. DSGVO) und der Nutzung von Echtdaten für die Entwicklung und Tests von Produkten und Systemen.

Hinsichtlich der automatisierten Einzelfallentscheidungen seien vorbereitende Maßnahmen wie etwa Produktinformationen und Chatbots vom Anwendungsbereich ausgenommen. Der Einsatz beim Vertragsschluss, wie etwa die automatisierte Annahme oder Ablehnung eines Vertrags oder die Leistungsgewährung, falle unter Art. 22 Abs. 1 DSGVO. Dieser gewährt dem Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu sein. Nach überwiegender Auffassung gelte dies jedoch nicht bei positiven Entscheidungen im Leistungsfall. Gleiches sei auch bei ausdrücklicher Einwilligung des Betroffenen (Art. 22 Abs. 2 lit. c) DSGVO) der Fall, auch wenn Bedenken an der Freiwilligkeit des Einverständnisses bestünden, solange der Versicherer die menschliche Entscheidung nicht ausdrücklich als Alternative anbiete. Ein derartiges Modell stellte Vomhof im Hinblick auf Massengeschäfte als gangbare und zukunftsfähige Lösung vor: Automatisierte Entscheidungen könnten als grundsätzlich vorrangige Prüfung des Sachverhalts auch im Interesse des Versicherungsnehmers durchaus zweckdienlich sein. Dem Betroffenen bliebe hierbei jederzeit die inhaltliche Nachprüfung „auf zweiter Ebene“ durch einen Sachbearbeiter vorbehalten. Ebenso sei eine teleologische Reduktion des Art. 22 DSGVO mit beschränkender Wirkung auf den Anwendungsbereich auf Entscheidungen mit schwerwiegenden Auswirkungen wünschenswert.

Zur Datenübermittlung in Drittstaaten stellte Vomhof die Vorgehensweise der EU nach der Aufhebung des Privacy Shields durch das Schrems-II-Urteil des EuGH vor. Hier erachtet sie die Anwendung des risikobasierten Ansatzes der DSGVO auch für Datenübermittlung in Drittstaaten oder Angemessenheitsbeschlüsse für weitere Staaten als sehr hilfreich.

Zuletzt hob Vomhof hervor, wie wichtig für die Anwendung automatisierter Systeme der vorherige Test mit Echtdaten sei. Dafür bestehe ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f) DSGVO, gegebenenfalls auch eine Zweckänderung nach Art. 6 Abs. 4 DSGVO. Hierbei seien jedoch Sicherheitsvorkehrungen wie die Anonymisierung der Daten und keine negativen Folgen der Weiterverarbeitung wichtig. Besondere Anwendungsfälle stellten die Verarbeitung von Gesundheitsdaten und die Arbeit mit Hochrisiko-KI dar. Hierfür sähen besondere Rechtsgrundlagen wie Art. 10 Abs. 5 und Art. 6 Abs. 4 DSGVO höhere Anforderungen vor, wobei die Qualifizierung als Rechtsgrundlage von Art. 6 Abs. 4 DSGVO umstritten sei. Die strengeren Anforderungen seien im Hinblick auf den Schutz von Grundrechten und Grundfreiheiten zweckdienlich.

Vomhof resümierte, dass gesetzliche Klarstellungen im Wege der Digitalisierung hilfreich wären. Außerdem sei eine „digitalisierungsfreundliche Auslegung“ der einschlägigen Normen wünschenswert. Trotz allem aber hielt sie fest, dass das aktuelle Datenschutzrecht der Digitalisierung grundsätzlich nicht zwingend im Weg stehe.

Dem schloss sich der Vortrag von Spittka zum Thema „Datenschutzrechtliche Anforderungen an den Einsatz künstlicher Intelligenz“ nahtlos an. Für allgemeines Schmunzeln sorgte Spittkas Einstieg mit Blick auf die alptraumhaften KI-Weltuntergangsszenarien aus bekannten Science-Fiction-Filmen der frühen Neunzigerjahre, zu denen er erleichternd feststellen konnte, dass derartige Programme unter der geltenden DSGVO heutzutage schlicht verboten worden wären. So war es jüngst – jedenfalls vorübergehend – zumindest ChatGPT in Italien ergangen. Sodann stellte Spittka die 18 agierenden deutschen Behörden vor, die sich mit dem Vordringen künstlicher Intelligenz in Deutschland befassen. Herausforderungen hier seien jedoch schon die Uneinigkeit über eine Definition von KI sowie die Bindung der Betreiber einzig nach dem Marktortprinzip der DSGVO.

Sodann zeigte Spittka die enorme Bandbreite der vielfältigen Einsatzmöglichkeiten künstlicher Intelligenzen im Versicherungssektor auf und zog hierzu vielerlei Fallbeispiele heran. Enorme Risiken zeigten sich jedoch in der Anwendung künstlicher Intelligenzen, insbesondere solcher, die nicht vom Versicherer selbst hergestellt würden, sondern von externen Programmierunternehmen. Dies dürfte nach Ansicht Spittkas sogar den Regelfall darstellen. Wenn künstliche Intelligenzen jedoch falsch programmiert seien oder unter Einspeisung falscher oder fehlerhafter Daten betrieben würden, seien die Folgen weitreichend. So seien etwa Diskriminierungen zu befürchten. Als Beispiel formulierte Spittka, dass eine unausgewogene Personalstruktur eines Unternehmens eine KI dazu bewegen könne, seinerseits unausgewogen Bewerbungen und Einstellungen zu bearbeiten. Derartige Diskriminierungen wegen falsch programmierter KIs seien schon in den Vereinigten Staaten vorgekommen.

Spittka griff den Gedanken von Vomhof, dass automatisierte Systeme mit Echtdaten „trainiert“ werden müssten, in Bezug auf künstliche Intelligenzen erneut auf. Insbesondere sieht er eine Gefahr, wenn eine KI dazu in der Lage sei, anonymisierte Daten wieder zu „entanonymisieren“. Zum Schutz vor derartigen Gefahren stellte er die Anforderungen der Datenschutzaufsicht dar. Zunächst widmete er sich den aus Art. 25 und Art. 32 DSGVO folgenden Anforderungen an die Sicherheit der Verarbeitung und dem Datenschutz durch Technikgestaltung. Dabei wies er darauf hin, dass der Aspekt des Datenschutzes bei der Entwicklung neuer Produkte und Anwendungen stets berücksichtigt werden sollte. Danach stellte Spittka die sieben datenschutzrechtlichen Grundsätze aus der Hambacher Erklärung zur Künstlichen Intelligenz vom 3. April 2019 vor. Besonderes Augenmerk widmete er der zwingenden Verantwortlichkeit für das Handeln von KI. Auch wenn Programme und Anwendungen oftmals von externen Herstellern eingekauft oder „outgesourced“ würden, sei kein „Outsourcing aus der Verantwortlichkeit“ möglich, so Spittka. Aus dem Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder folge, dass neben den allgemeinen technischen und organisatorischen Anforderungen insbesondere datenschutzrechtliche Anforderungen an die Verarbeitungsschritte, wie der Grundsatz der Transparenz und der Datenminimierung, zu berücksichtigen seien.

Spittka endete mit einem Vergleich, zu dem er die seinerzeitige Skepsis zur Vereinbarkeit der DSGVO mit Clouddiensten in der Versicherungsbranche des Jahres 2010 heranzog. Schon damals gab es weitgehend ähnliche Kritik und Diskussionen, die Zulässigkeit von Clouddiensten sei aber mittlerweile einhellig anerkannt. Daher zeigt sich Spittka mit der Vereinbarkeit von KI und Datenschutz doch insgesamt zuversichtlich.