Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Gartner-Studie

Gefährdet Künstliche Intelligenz den Datenschutz?

Dr. Markus Häuser ist Rechtsanwalt und Partner bei CMS Hasche Sigle, Partnerschaft von Rechtsanwälten und Steuerberatern mbB in Deutschland. Er ist Experte im Technologierecht und Mitherausgeber der Studie "Digital Economy & Recht". Die Studie befasst sich mit den rechtlichen Herausforderungen der digitalen Transformation und den Auswirkungen der Digitalisierung auf die Rechtsabteilung.
Der Einsatz von Künstlicher Intelligenz unter der Datenschutz-Grundverordnung (DSGVO): Besteht ein Risiko für den Know-how-Schutz?

Dem aktuellen "Gartner Hype Cycle for Emerging Technologies" zufolge stellt Künstliche Intelligenz (KI, auch: "Artificial Intelligence", AI) nach wie vor einen der drei "emerging technology mega-trends" dar. In der Tat nimmt KI als Querschnitts- und Schlüsseltechnologie auch heute bereits eine unüberschaubare Anzahl an Lebensbereichen ein: Vom automatisierten Fahren über Drohnen bis hin zu Smart Robotics. Wie sich diese Entwicklung zukünftig fortsetzen wird, lässt sich dabei nur erahnen. Auch die "2018 AI Predictions" (Prognosen für die Entwicklung von KI im Jahr 2018) von PricewaterhouseCoopers International (PwC) sind daher eher konservativ auf die nach dem Bericht folgenden 12 Monate beschränkt worden. Aufgrund des rasanten Entwicklungstempos lassen sich kaum mehr längerfristige Aussagen treffen.

Gefährdet Künstliche Intelligenz den Datenschutz?
Gefährdet Künstliche Intelligenz den Datenschutz?
Foto: LeoWolfert - shutterstock.com

Ebenso unwägbar wie die zukünftige Entwicklung von KI ist für außenstehende Betrachter auch heute bereits oftmals die konkrete Funktionsweise eines KI-Algorithmus. PwC (vgl. "Prediction" Nr. 6) bezeichnet KI daher richtigerweise auch als "Black Box". Zukünftig würde deren "Öffnung" essentielle Bedeutung haben, um das Vertrauen in KI herzustellen oder weiter zu steigern. Laut PwC bestehe diese Öffnung der Black Box dabei aus den drei Stufen "Transparency" (Transparenz), "Explainability" (Erklärbarkeit) sowie "Proveability" (Nachweisbarkeit, oder: Beweisbarkeit).

Transparenz, Erklärbarkeit und Nachweisbarkeit

Mit dem Begriff "Transparenz" ist dabei eine an die Allgemeinheit gerichtete abstrakte Beschreibung der einem KI-Algorithmus zugrundeliegenden Prinzipien und Gesetzmäßigkeiten gemeint. Unter "Erklärbarkeit" wird die Darlegung der einer konkreten automatisierten Entscheidung zugrundeliegenden Entscheidungsgründe im jeweiligen Einzelfall verstanden. "Nachweisbarkeit" bedeutet schließlich, dass die automatisierten Einzelentscheidungen eines KI-Algorithmus vom Betroffenen oder einem Dritten auch mathematisch überprüft werden können, also festgestellt werden kann, ob diese objektiv korrekt sind.

Deutlich wird dabei aber auch, dass jede dieser drei Transparenzstufen mit einer unterschiedlichen Intensität in Betriebs- und Geschäftsgeheimnisse eingreifen kann. Auch wenn Transparenz aus Betroffenensicht generell begrüßenswert ist, so ist eine präzise Abwägung der gegenüberstehenden Interessen hierbei daher unabdingbar. Einerseits wären da die von den Entscheidungen einer KI Betroffenen. Auf der anderen Seite stehen die KI-Anwender - beispielsweise Unternehmen - und KI-Entwickler.

Dabei sind diesbezügliche Informationspflichten der Rechtsordnung auch heute bereits nicht unbekannt. Insbesondere die seit Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) sieht im Falle sogenannter automatisierter Einzelentscheidungen erweiterte Transparenzpflichten des Verantwortlichen vor. Hierbei müssen insbesondere auch "aussagekräftige Informationen über die involvierte Logik" bereitgestellt werden. Eine solche automatisierte Einzelentscheidung ist nach der DSGVO dabei eine Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung von Persönlichkeitsmerkmalen beruht und gegenüber dem Betroffenen rechtliche Wirkung entfaltet oder diesen in ähnlicher Weise erheblich beeinträchtigt. Zu nennen wäre hier beispielsweise ein sogenanntes Kredit-Scoring, bei dem auf Grundlage von in einem Kreditantrag gemachten Angaben sowie von Persönlichkeitsmerkmalen die Kreditwürdigkeit des Antragstellers berechnet wird.

Der Umfang und die Intensität dieser Informationspflichten, also die Frage, ob hierdurch im Sinne der obigen Dreiteilung lediglich "Transparenz" oder aber auch "Erklärbarkeit" und "Nachweisbarkeit" gefordert wird, ist dabei bislang jedoch weitestgehend ungeklärt. Diese Unklarheit hat auch im Rahmen des alten Bundesdatenschutzgesetzes, das eine ähnliche Regelung vorgesehen hat, bereits zu zahlreichen Kontroversen geführt.

Pflicht zur Ermöglichung von "Nachweisbarkeit" nach der Datenschutzgrundverordnung

Aus den Transparenzvorschriften der DSGVO ergibt sich mit der hier vertretenen Auffassung jedenfalls keine Pflicht zur Offenlegung von Berechnungsformeln, Parametern und Algorithmen. Hierzu zählen beispielsweise sogenannte Score-Formeln, die zur Ermöglichung von "Nachweisbarkeit" erforderlich wären.

Dies lässt sich letztendlich bereits aus dem Wortlaut, aber auch aus dem Sinn und Zweck der zugrundeliegenden Vorschriften, der DSGVO folgern. Die entsprechenden Paragraphen verlangen lediglich "aussagekräftige Informationen über die involvierte Logik" einer automatisierten Entscheidungsfindung, nicht aber eine tatsächliche Herausgabe dieser Logiken. Sinn und Zweck der Transparenzvorschriften ist demnach gerade nicht, wie oftmals vertreten, dem Betroffenen zu ermöglichen, die Resultate einer automatisierten Entscheidungsfindung, zum Beispiel den sogenannten "Score", selbst nachzurechnen. Auch bei einer "manuellen" Entscheidungsfindung hat der Betroffene in der Regel keinen Anspruch auf Herausgabe von Berechnungsformeln oder von Entscheidungsmatrizen.

Lesetipp: Data Security Confidence Index - DSGVO-Stress ist nicht vorbei

Dieser Auffassung steht letztendlich auch nicht das Erfordernis der "Aussagekräftigkeit" der herauszugebenden Informationen entgegen. Ganz im Gegenteil dürfte für den Durchschnittsanwender eine verständliche Beschreibung der zugrundeliegenden Prinzipien aussagekräftiger sein, als die Offenlegung der mathematisch-technischen Prozesse selbst.

Pflicht zur Ermöglichung von "Erklärbarkeit" nach der Datenschutzgrundverordnung

Umstritten ist dagegen die Existenz einer Pflicht zur Darlegung der Entscheidungsgründe, die im jeweiligen Einzelfall ("Erklärbarkeit") einer konkreten automatisierten Entscheidung zugrunde liegen.

Wortlaut, Systematik sowie Sinn und Zweck der Transparenzvorschriften der DSGVO sprechen auch hier eher gegen eine entsprechende Verpflichtung des Verantwortlichen. Die Informationspflichten der DSGVO (Art. 13 und 14 DSGVO) sind mehrheitlich auf eine von der konkreten Datenverarbeitung losgelöste, abstrakte Darstellung der von dem Verantwortlichen geplanten Datenverarbeitungsvorgänge ausgerichtet. Die Vorgänge müssen dem Betroffenen dabei in der Regel vorab - also bevor der Verantwortliche mit der Datenverarbeitung beginnt - bereitgestellt werden. Die geschieht beispielweise im Rahmen einer allgemeinen Datenschutzerklärung. Nachträgliche Informationspflichten sehen dagegen zwar die Auskunftspflichten nach Art. 15 DSGVO vor. Allerdings ist Art. 15 bezüglich des KI-Einsatzes ansonsten wortlautgleich zu den Informationspflichten nach Art. 13 und 14 DSGVO formuliert, was eher gegen die Annahme eines erweiterten Pflichtenkatalogs (Auskunft über Details zu konkreten Entscheidungen) spricht. Auch die an eine Datenverarbeitung anschließenden Auskunftspflichten der DSGVO sind daher wohl eher als abstrakte Informationspflichten aufzufassen.

Pflicht zur Ermöglichung von "Transparenz" nach der Datenschutzgrundverordnung

Die KI-spezifischen Informationspflichten der DSGVO sind demnach insgesamt eher als abstrakte Transparenzpflichten anzusehen, die den Verantwortlichen lediglich dazu verpflichten, die einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien und Gesetzmäßigkeiten deskriptiv zu erläutern. Eine solche Erläuterung stellt jedoch derzeit keine wirkliche Gefahr für die Betriebs- und Geschäftsgeheimnisse von KI-Anwendern und KI-Entwicklern dar.

Lesen Sie auch: Künstliche Intelligenz kann viel, aber nicht alles

Diese Transparenzpflichten sind dabei stimmig und interessensgerecht: Menschliche Individuen sollen nicht undurchsichtigen Entscheidungen von Maschinen unterworfen werden. Diesem Bedürfnis nach Transparenz könnte durch eine zukünftige Erweiterung der Informationspflichten, beispielsweise zur Ermöglichung von "Erklärbarkeit" zwar noch besser entsprochen werden. Dabei ist der Verordnungs- und Gesetzgeber aber angehalten, einen adäquaten Interessensausgleich zwischen Betroffenen und KI-Anwendern und KI-Entwicklern zu finden. Dies bedarf insbesondere normenbestimmter Regelungen, die Umfang und Ausmaß der Informationspflichten beim Einsatz von KI explizit regeln und damit den interpretatorischen Spielraum und entstehende Auslegungsschwierigkeiten zukünftig auf ein Minimum reduzieren. (oe)