Künstliche Intelligenz und Datenschutz – die Hambacher Erklärung der Aufsichtsbehörden

Künstliche Intelligenz und Datenschutz – die Hambacher Erklärung der Aufsichtsbehörden

Entwicklungen und Systeme von künstlicher Intelligenz (KI) stellen eine gesellschaftliche Herausforderung dar. Der Begriff der Künstlichen Intelligenz lässt sich vielfältig definieren. Grundsätzlich beschäftigt sich KI mit der Simulation menschlicher Intelligenz durch Maschinen und Computersysteme. Hintergrund der Entwicklung von KI sind Daten, die oft personenbezogen sind, die in der Regel auf Basis von Algorithmen verarbeitet werden.

Die deutschen Datenschutzaufsichtsbehörden haben am 3. April 2019 die „Hambacher Erklärung zur Künstlichen Intelligenz“ veröffentlicht, in welcher sie datenschutzrechtliche Anforderungen herausstellen. Bemerkenswert sind insbesondere die folgenden Themen:

 

  1. KI bedingt Verantwortlichkeit

Für die als künstliche Intelligenz handelnde Instanz muss Verantwortlichkeit bestehen. Unternehmen, die KI entwickeln oder betreiben besitzen eine Verantwortung, die sich aus der fortschreitenden Entwicklung und dem Erfordernis des Verarbeitens enormer Datenmengen ergibt. Daraus folgt, dass die Unternehmen datenschutzrechtliche Vorgaben einzuhalten haben.

Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die Stelle, die die Verarbeitung von personenbezogenen Daten entscheidet. Die Aufsichtsbehörden greifen mit ihrer Erklärung zum Zusammenhang von KI und datenschutzrechtlicher Verantwortlichkeit zu kurz, da keine Anhaltspunkte gegeben werden, wie die Verantwortlichkeit bei KI ermittelt werden soll.

Bei KI-Systemen lässt sich die Entscheidung über die Daten nicht klar zuweisen, denn diese trifft der Algorithmus in der Regel selbst. Der Verantwortliche im Rahmen eines KI-Systems muss demnach umso klarer definiert und kommuniziert werden. Es muss klar bleiben, wer die jeweils notwendigen Maßnahmen für eine rechtmäßige und sichere Verarbeitung der Daten, zur Einhaltung der Betroffenenrechte und zur Beherrschbarkeit des KI-Systems zu treffen hat. Der Verantwortliche unterliegt zudem einer aus Art. 5 Abs. 2 DSGVO folgenden Rechenschaftspflicht, wonach er nachweisen muss, dass er die Vorgaben der DSGVO erfüllt.

 

  1. Transparenz und Nachvollziehbarkeit bei KI

Art. 5 Abs. 1 lit. a DSGVO gibt vor, dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Das betrifft natürlich die Transparenz-Anforderungen nach Art. 13 f. DSGVO (Nennung von Verarbeitungszwecken, mögliche Übermittlung der Daten usw.).

Entscheidungen, die auf einem automatisierten Prozess beruhen, sollen nachvollziehbar und erklärbar gestaltet werden, um Betroffenen das Verständnis zu ermöglichen, wie die Entscheidungen zu Stande kommen. Die Schwierigkeit besteht darin, die Komplexität der Systeme so zu beschreiben, dass die Tragweite des Systems für den Betroffenen verständlich erscheint. Es wären die Mechanismen darzustellen, durch welche die KI-Systeme Entscheidungen treffen, sich weiterentwickeln und inwieweit die Herkunft und Entwicklung der Daten vom System verwendet werden. Besondere Berücksichtigung bedarf dabei nicht nur der Blick auf das Ergebnis, sondern auch auf den Prozess und das Zustandekommen der Entscheidungen. Ansonsten wäre eine Erfassung des technischen Systems und die Rückverfolgbarkeit der Daten nicht gewährleistet.

  1. Weitere datenschutzrechtliche Anforderungen

Grundsätzlich sind Entscheidungen mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung, die ausschließlich automatisierten Verarbeitungen überlassen werden, gemäß Art. 22 DSGVO nur unter den dort in Absatz 2 genannten Ausnahmen möglich. Die Freiheit des Einzelnen sollen gewährt bleiben, indem ein anderes Individuum die Entscheidungen trifft und nicht ungeprüft maschinelle Prozesse genutzt werden.

Weiterhin stellen die Aufsichtsbehörden klar, dass bei einer Verarbeitung personenbezogener Daten alle Vorgaben der Aufsichtsbehörden getroffen werden müssen. Für die geeigneten technischen und organisatorischen Maßnahmen für KI sollen/müssen spezielle Standards und detaillierte Anforderungen erst noch in Wirtschaft und Wissenschaft entwickelt werden.

Im Rahmen von KI-Systemen können direkte oder indirekte Diskriminierungen durch Erzielung voreingenommener Ergebnisse und Manipulation oder Unvollständigkeit von Daten dazu führen, dass Vorurteile ausgenutzt und Personengruppen ausgeschlossen werden. Unternehmen müssen sich dementsprechend bei Anwendung von KI mit dem Missbrauchspotenzial auseinandersetzen. Es bedarf einer weitreichenden Kontrolle bei Eingabe der Daten, denn unzureichende Dateneingaben und Konzeptionen sollen vermieden werden. Wichtig wäre, eine Möglichkeit zu schaffen, die eingegebenen Daten im Vorhinein zu überprüfen und zu dokumentieren, um die Entscheidungsfindung technisch nachvollziehen zu können. Die Aufsichtsbehörden fordern zwar, dass Diskriminierungen vermieden werden und eine Risikoüberwachung vorgenommen werden soll, bieten aber keinen entsprechenden Lösungsansatz für die Umsetzung an.

Fazit zur Hambacher Erklärung zur Künstlichen Intelligenz

Die Aufsichtsbehörden haben mit ihrer „Hambacher Erklärung zur Künstlichen Intelligenz“ einen ersten Schritt in die richtige Richtung gemacht und auf die datenschutzrechtliche Problematik, die sich bei der Anwendung von Künstlicher Intelligenz ergibt, hingewiesen. Allerdings ist die Ausarbeitung erst ein erster Ansatzpunkt, der zur rechtlichen Bewertung heranzuziehen ist. Die Ausarbeitung der Umsetzung der DSGVO-Anforderungen obliegt noch der Praxis.

Autor: Dr. Matthias Lachenmann