Umgang mit Daten und Algorithmen – Datenethikkommission veröffentlicht Gutachten
Die von der Bundesregierung eingesetzte Datenethikkommission (DEK) entwickelt allgemeine ethische Prinzipien für den Umgang mit Daten und formuliert Anforderungen an das Design algorithmischer Systeme und deren Regulierung. Am Mittwoch, den 23.10.2019, veröffentlichte die Datenethikkommission ihren Abschlussbericht, in dem sie 75 Empfehlungen aussprach.
Wer darf den ökonomischen Nutzen aus Daten ziehen? Sollten Daten oder der Zugang zu ihnen in bestimmten Fällen zum Allgemeingut erklärt werden? Welche ethischen Grenzen gibt es für den Einsatz von Algorithmen basierten Prognose- und Entscheidungsprozessen bzw. sollte es geben? Wie kann sichergestellt werden, dass Maschinen, die auf KI-Basis arbeiten, kontrollierbar sind?
Ziel der Datenethikkommission war es, Handlungsempfehlungen zu entwerfen und Regulierungsmöglichkeiten vorzuschlagen, um Deutschland für die bestehenden und kommenden Herausforderungen bei der Nutzung datenbasierter Technologien zu wappnen. Der Grundtenor des Abschlussberichts lautet: ohne staatliche Kontrolle im Netz nehmen Grundrechte Schaden. Einen Überblick über die wesentlichen Vorschläge der Kommission haben wir in diesem Artikel zusammengestellt.
- „Daten-Perspektive“
Die Daten-Perspektive richtet die Sicht auf die digitalen Daten, die zum Maschinellen Lernen, als Datenbasis für algorithmisch geprägte Entscheidungen und für eine Fülle weiterer Zwecke verwendet werden. Für den Umgang mit Daten formuliert die Kommission Anforderungen an die Nutzung personenbezogener Daten und an die Verbesserung des kontrollierten Zugangs zu solchen Daten. Ferner sollen Unternehmen und der öffentliche Sektor einen verbesserten Zugang zu Daten jenseits des Personenbezugs erhalten, indem Datenbestände in einer nationalen Infrastruktur erschlossen, gesichert und zugänglich gemacht werden.
So formuliert die DEK allgemeine Grundsätze für die verantwortungsvolle Nutzung von Daten. Datengenerierung soll nicht zu exklusiven Eigentumsrechten, sondern zu sinnvollen Mitsprache- und Teilhaberechte führen. Korrespondierend müssen Betroffenenrechte gewahrt bleiben. (siehe Abbildung 1, für größere Darstellung anklicken) Insbesondere werden folgende Maßnahmen aus der „Daten-Perspektive“ empfohlen:
- Konkret fordert die Kommission u.a. einen effizienteren Vollzug des geltenden Datenschutzrechts und empfiehlt gleichzeitig eine punktuelle Verschärfung des Rechtsrahmens. Die Wirkungskraft der Aufsichtsbehörden soll erhöht werden, indem eine zentralisierte Datenschutzaufsichtsbehörde auf Bundesebene geschaffen wird.
- Ferner empfiehlt die Kommission eine gesetzliche Konkretisierung des Beschäftigungsdatenschutzes ausgehend von den z.B. in Tarifverträgen bereits bestehenden „Best Practices“.
- Vorgaben bezüglich des Datenschutzes „by design“ und „by default“ sollen bereits auf Ebene der Hersteller bzw. Dienstleistungsanbieter beachtet werden und so ein datenschutzfreundliches Design von Produkten und Dienstleistungen gewährleisten. Diese Implementierung soll neben wirksamen Rechtsbehelfen entlang der Vertriebskette insbesondere durch neue Vorgaben in Ausschreibungsbedingungen und Beschaffungsrichtlinien für die öffentliche Hand verwirklicht werden.
- Datennutzung in der gemeinwohlorientierten Forschung sieht die DEK als besonders wichtig an und fordert sowohl die Harmonisierung forschungsspezifischer Regelungen als auch eine Überarbeitung des bestehenden Rechtsrahmens, insbesondere hinsichtlich des sogenannten Weiterverarbeitungsprivilegs. Die teils hochsensiblen Daten sollen standardisiert geschützt werden, der Zugang hingegen – z.B. durch Anerkennung innovativer Einwilligungsmodelle (z.B. Meta Consent oder digitale Einwilligungsassistenten) – vereinfacht werden.
- In Bezug auf das Recht auf Datenportabilität aus Art. 20 DSGVO empfiehlt die DEK die Erarbeitung branchenbezogener Verhaltensregeln und Standards betreffend Datenformate.Die Kommission schlägt eine Pflicht zu Interoperabilität bzw. Interkonnektivität in bestimmten Sektoren vor (z.B. für Messenger-Dienste und Soziale Netzwerke) um den Marktzugang für neue Marktteilnehmer zu erleichtern. Das heißt zum Beispiel, dass ein marktmächtiger Anbieter von Messenger-Diensten verpflichtet werden kann, den Kunden kleinerer Anbieter das unmittelbare Versenden von Nachrichten an seine Kunden und umgekehrt das Empfangen von deren Nachrichten zu ermöglichen.
- Insbesondere für den öffentlichen Sektor sieht die DEK großes Potential hinsichtlich des offenen Zugangs nicht-personenbezogener Daten (Open Government Data, OGD). Das Teilen von Daten durch den öffentlichen Sektor soll durch die Verwendung von Standardlizenzen und Modellkonditionen entwickelt und ggf. sektorspezifisch als bindend vorgeschrieben werden. Für den privaten Sektor sollen Anreize für das Konzept offener Daten durch Ermutigung und Förderung eines freiwilligen Teilens gesetzt werden.
- „Algorithmen-Perspektive“
Der zweite Teil des Kommissionsberichts fokussiert sich auf die Architektur und Dynamik des datenverarbeitenden algorithmischen Systems und seiner Auswirkungen auf Einzelne und die Gesellschaft.
Die DEK empfiehlt grundsätzlich einen risiko-adaptierten Regulierungsansatz für Algorithmen. Darunter ist zu verstehen, dass ein steigendes Schädigungspotenzial der Systeme mit wachsenden Anforderungen und Eingriffstiefen der regulatorischen Instrumente einhergeht. Dabei soll zwischen fünf Gefährdungsstufen anhand eines festgelegten Prüfschemas unterschieden werden (siehe Abbildung 2, für größere Darstellung anklicken). Die Kommission formuliert dabei bereits konkrete Instrumente zur Regulierung, wie eine Kennzeichnungspflicht für Betreiber, wann und in welchem Umfang algorithmische Systeme zum Einsatz kommen, der Schaffung von Auskunfts- und Informationszugangsrechten über die Systeme, Dokumentationspflichten für Betreiber, sowie verpflichtende Zulassungsverfahren und die Durchführung von Risikofolgeabschätzungen, weiterhin eine Verleihung von Gütesiegeln für Betreiber. Ferner soll künftig in Unternehmen und Behörden, die kritische algorithmische Systeme (ab Stufe 2) betreiben ein Ansprechpartner für die Kommunikation mit Behörden, ähnlich eines Datenschutzbeauftragten, zur Verfügung stehen.
Das Verbotsprinzip des Art. 22 DSGVO soll einem flexibleren, risikoadaptierten Regulierungsregime weichen, dass dem Einzelnen angemessene Schutzgarantien (insbesondere im Falle von Profiling) und Verteidigungsmöglichkeiten gegen Fehler und Bedrohungen seiner Rechte vermittelt.
Kritisch sieht die Kommission den Einsatz von Algorithmen durch Medienintermediäre. So sieht die Co-Sprecherin der Kommission, Christiane Woopen, die Gefahr, dass gesellschaftliche Debatten aus einer Quasi-Monopolstellung der Intermediäre gestaltet und beeinflusst werden kann und hält den Einsatz von Algorithmen daher für besonders kritisch (Stufe 4).
Darüber hinaus fordert die DEK eine Überarbeitung des Haftungsregimes für den Einsatz algorithmischer Systeme. So soll der Einsatz autonomer Systeme – abhängig von der Natur der dem System übertragenen Aufgaben – dem Betreiber über die Grundsätze der Haftung für Gehilfen (wie z.B. gem. § 278 BGB) im gleichen Maße wie menschliches Handeln zuzurechnen sein. Die Schaffung neuer Tatbestände der Gefährdungshaftung kommt daneben in Betracht.
- Bewertung
Es bleibt abzuwarten, ob und inwiefern die Vorschläge der Kommission umgesetzt werden. Manche Vorschläge beruhen auf Vorgaben der Rechtsprechung (z.B. das Urteil des BGH zum digitalen Nachlass, BGH, Urt. v. 12.07.2018, Az. III ZR 183/17) und sind dementsprechend leichter rechtlich zu konkretisieren, während es sich z.B. bei der Schaffung einer neuen Aufsichtsbehörde auf Bundesebene um eine Umsetzungsaufgabe handelt, die vermutlich auf größere Widerstände treffen wird.
Geht es nach der Datenethikkommission, soll der Gesetzgeber zudem nicht nur auf nationaler Ebene tätig werden, sondern auch auf europäischer Ebene: Durch Erlass einer neuen Verordnung („EU Verordnung für Algorithmische Systeme“, EUVAS).
Kaum veröffentlicht, erhielt der Bericht daher bereits Gegenwind aus der Industrie und der Rechtswissenschaft. Insbesondere die Algorithmen-Perspektive wird kritisch gesehen. Die Industrie sieht sich bereits einer neuen Regulierungswelle ausgesetzt. Rechtswissenschaftlich wird zum einen der Vorschlag einer vornehmlich technischen Lösung für ethisch Probleme, ohne vorher ethische Leitlinien zu definieren kritisiert, zum anderen wird die Einordnung der Algorithmen in ein Pyramidenschema als zu undifferenziert betrachtet (Lorena Jaume-Palasí, „Nicht zu begrüßen: Der Bericht der Datenethikkommission“, CR-online.de Blog vom 29.10.2019) Der Begriff der digitalen Selbstbestimmung führe zudem zu einer unnötigen Dichotomie zwischen der analogen und digitalen Welt und könne so zu rechtlichen Unschärfen führen (Thomas Kienle, Das Recht auf digitale Selbstbestimmung, JuWiss Blog vom 24.10.2019).
Die Vorbehalte der Industrie sind durchaus begründet. Zwar handelt sich bei der Datenschutz-Perspektive weniger um völlig neue Ansätze, sondern vielmehr um die Ergänzung bereits bestehender Regeln und deren Durchsetzbarkeit. Allerdings besteht die Gefahr einer „Doppelregulierung“ durch DSGVO und der oben angesprochenen EUVAS. Neben dem Datenschutz könnte durch einen weiteren präventiven Ansatz die Regulierungstechniken verschiedener Rechtsgebiete vermengt und zumindest verkompliziert werden. Es gilt zudem, sich frühzeitig mit neuen bürokratischen Mechanismen, z.B. der Benennung eines „Ansprechpartners für algorithmische Systeme“ auseinanderzusetzen. Inwiefern derartige Vorschläge, insbesondere für kleinere Unternehmen, förderlich sind, bleibt abzuwarten. Ebenso kann die Verpflichtung für Unternehmen, alternative Bezahlmodelle anzubieten, datenbasierte Geschäftsmodelle vor ernsthafte Probleme stellen.
Den Bericht der Datenethikkommission finden Sie hier. Eine Kurzfassung des Berichtes ist hier abrufbar.