Seit dem 25. Mai 2018 ist die Verarbeitung personenbezogener Daten in der Europäischen Union durch die Datenschutzgrundverordnung (DSGVO) geregelt. Künstliche Intelligenz (KI) ist schon seit einiger Zeit das bestimmende Thema der digitalen Transformation. Da es wesentlich durch Daten getrieben wird, müssen sich KI-Expert:innen mit den Auswirkungen der DSGVO intensiv auseinandersetzen. Dies gilt ganz besonders in Europa, wo soziale Belange und ethische Fragen einen besonders hohen Stellenwert haben.
Die DSGVO als Rahmen für eine leistungsfähige und vertrauenswolle KI
Mit der DSGVO hat der Gesetzgeber Transparenz als einen Grundsatz (Art. 5 Abs. 1 lit a.) für den Umgang mit personenbezogenen Daten etabliert. Die Informationspflichten (Art. 12 ff.), das Recht auf Auskunft (Art. 15) und die Interventionsrechte (Art. 16 ff.) machen Datentransparenz zu einem Muss und zwingen die Verarbeitenden von personenbezogenen Daten dazu, ihre Geschäftsprozesse diesbezüglich gründlich „aufzuräumen“. Das bedeutet, mit den Worten der Europäischen Kommission, „dass Unternehmen wie Facebook und Google, zumindest wenn sie Dienstleistungen für europäische Nutzer:innen erbringen, ihre algorithmischen Entscheidungsprozesse erklären müssen.“
Dieser Standard für den Umgang mit personenbezogenen Daten, den Unternehmen und die öffentliche Hand erreichen müssen, wird den zu erreichenden Qualitätsstandard von Künstlicher Intelligenz hinsichtlich Nachvollziehbarkeit und Kontrollierbarkeit erhöhen. Dies mag kurzfristig wie eine Beschränkung erscheinen, wird Unternehmen und staatlichen Stellen aber mittel- und langfristig dabei helfen, ein auf wechselseitiges Vertrauen gegründetes Verhältnis mit ihren Kund:innen bzw. Bürger:innen aufzubauen. Dies ist ein Wert, der für die erfolgreiche Einführung jeder neuen Technologie in unserer Gesellschaft absolut unerlässlich ist.
Neben der erhöhten Transparenz besteht der größte Gewinn der DSGVO für Künstliche Intelligenz in der verbesserten Datenqualität. Dieses Argument für die positive Wirkung der DSGVO auf KI hat die Kommission bei der Vorstellung ihrer KI-Strategie an erster Stelle angeführt: „Der in der DSGVO verankerte Grundsatz der Rechenschaftspflicht soll die Genauigkeit der Daten fördern. […] Die Datenqualität, wie sie durch die DSGVO gefördert wird, ist entscheidend.”
In der Tat ist es so, dass die Nutzung schlechter Datensätze für KI-Anwendungen in der Regel schnell zu gleichfalls schlechten Resultaten führt. Zur Illustration dieses Zusammenhangs ist “Garbage in, garbage out“ („Schrott rein, Schrott raus“) zu einem Bonmot geworden. Die Inkaufnahme von Daten minderer Qualität hat zwei unmittelbare Konsequenzen: Erstens erhöht sich der Aufwand für die Korrektur geschätzter Ergebnisse – eine aufwendige Arbeit, die von hochbezahlten Data Scientists verrichtet und von diesen nicht gerade geliebt wird. Der zweite Aspekt sind die möglichen Verzerrungen und Diskriminierungen, die sich aus KI mit schlechter Datenbasis ergeben können. Wenn Algorithmen mit falschen Daten gefüttert werden, dann treffen sie auch die falschen Entscheidungen. Vor diesem Hintergrund könnte die DSGVO durch ihren Zwang zur Datenqualität gewissermaßen zum „besten Freund“ einer jeden KI werden.
Die „All you can eat”-Option für KI
Indem die Verarbeitung personenbezogener Daten transparent und qualitativ hochwertig erfolgt, wird mit dem freien Datenaustausch ein weiteres Ziel der Europäischen Union überhaupt erst ermöglicht: „Sie [DSGVO] garantiert den freien Verkehr personenbezogener Daten innerhalb der Union.” Dieser freie Datenverkehr, der nur auf der Basis eines einheitlichen Verständnisses von Datentransparenz und Datenqualität existieren kann, wird am Ende – so die Rechnung der EU-Strateg:innen – zu einem reichhaltigen und gesunden Buffet führen, für das KI eine ständige „All you can eat“-Option hat.
Die DSGVO mag hier ein wenig spitzfindig wirken, aber sie passt im Grunde perfekt zur Europas Vision des komparativen Wettbewerbsvorteils durch datenschutzfreundliche Technologien: „Hier schafft der nachhaltige Technologieansatz der EU einen Wettbewerbsvorteil.” Diese Vision ist nicht nur auf der supranationalen Ebene anzutreffen, sondern auch auf der nationalen, wie beispielsweise vom französischen Präsidenten Emmanuel Macron ausgedrückt:: „Europa hat nicht genau die gleichen kollektiven Wertvorstellungen wie die USA oder China.“ Mit diesem Ansatz, der einen Rahmen für die fruchtbare Vereinbarung von Innovationsförderung, den Schutz von Grund- und Bürgerrechten sowie Grundsätze wie Transparenz und Rechenschaftslegung schaffen soll, wettet die EU gewissermaßen darauf, dass der internationale KI-Wettbewerb auch ein Wettrennen um Vertrauen impliziert. Aus diesem Grund, so die Annahme, ist die verbraucherseitige Akzeptanz genauso wichtig wie der Bedarf an technischen Innovationen. In diesem Kontext stellt die DSGVO den ersten regulativen Rahmen dar: „Auf diese Weise kann die EU etwas bewirken – und sich für einen Ansatz zur KI einsetzen, der den Menschen und der Gesellschaft als Ganzes zugutekommt.”
Die DSGVO als eine Herausforderung für KI
Das Verhältnis zwischen KI und Datenschutzgrundverordnung ist allerdings vielschichtig. Auf der einen Seite lässt sich KI für das Aufspüren von Verstößen gegen die DSGVO einsetzen. Auf der anderen Seite wäre es aber unredlich zu behaupten, die DSGVO-Bestimmungen stellten keine Herausforderung für KI dar. Es sind insbesondere vier Aspekte der DSGVO, die derzeit für Unisicherheit bei der Entwicklung und beim Einsatz von KI sorgen: Datensparsamkeit, Transparenz, Auskunftsrecht bezüglich automatisierter Einzelfallentscheidungen sowie die Zulässigkeit von automatisierten Einzelfallentscheidungen.
Datensparsamkeit
Das Gebot der Datenminimierung meint, dass die Erhebung von personenbezogenen Daten auf ein für die Zwecke der Verarbeitung notwendiges Maß beschränkt sein soll (Art. 5 Abs. 1 lit. c DSGVO). Mit diesem Grundsatz will der Gesetzgeber einer ausufernden Datensammelwut Einhalt gebieten und verhindern, dass unter dem Vorwand der verbesserten Leistungserbringung immer mehr Informationen über die Lebensführung von Bürger:innen gesammelt werden. Der grundsätzliche Zusammenhang bei der KI ist jedoch zunächst einmal der, dass die Qualität der Ergebnisse oftmals proportional zur Menge der verfügbaren Daten steigt. Je mehr Abbildungen von Gesichtern beispielsweise einem Machine-Learning-Algorithmus zur Verfügung stehen, desto zuverlässiger kann am Ende das entsprechende Gesichtserkennungsprogramm sein. Allerdings gilt die Regel „Je mehr Daten, desto besser für KI“ nicht streng allgemein, wie wir im Folgenden noch zeigen werden.
Obwohl die Intention des Gesetzgebers nicht geradezu auf eine Einschränkung des KI-Einsatzes zielte, steht der Datenminimierungsgrundsatz dennoch in einem grundsätzlichen Spannungsverhältnis zu KI-Technologien. Auch die „Hambacher Erklärung zur Künstlichen Intelligenz“ der Datenschutzkonferenz (DSK) von April 2019 betont die Notwendigkeit der Beschränkung der Verarbeitung personenbezogener Daten bei KI, ohne jedoch die Art und Weise der Beschränkung hinreichend zu präzisieren.
Anonymisierung, Pseudonymisierung sowie die Verwendung synthetischer Daten (jedenfalls dort, wo es angesichts des dabei anfallenden Aufwands sinnvoll ist) sind seitens der Datenbasis derzeit die einzigen probaten Mittel, um dem Grundsatz der Datenminimierung zu entsprechen. Hinzu kommen technologieseitig KI-Ansätze, die mit weniger Daten auskommen (mitunter aber sehr aufwendig zu implementieren sind, wie z. B. das Reinforcement Learning). Ferner werden nicht zur Lösung jeden Problems, für das sich KI qualifiziert, Massen an Daten benötigt. Denn Häufig kommt es mehr auf Qualitätsaspekte (Passgenauigkeit, Repräsentativität, Vollständigkeit, Sauberkeit etc.) als auf Quantität an. Bei einem neuronalen Netz beispielsweise, das bereits auf die Erkennung der Gesichter von Kleinsittichen trainiert ist, werden keine drei Millionen Bilder von Papageiengesichtern (Großsittiche) benötigt, um ein sogenanntes „Übertragungslernen“ (Transfer Learning) vollziehen zu können.
Transparenz
Die Umsetzung des Grundsatzes der Transparenz (Art. 5 Abs. 1 lit. a und insb. Art. 13 Abs. 2 lit. f. sowie Art. 14 Abs, 2 lit. g. DSGVO), demzufolge die Datenverarbeitungsprozesse und die Logik der datenbasierten Entscheidungen für die Bürger:innen nachvollziehbar sein sollen, ist bei KI-Systemen oft nur bedingt umsetzbar. So ist etwa das, was innerhalb eines neuronalen Netzes im Zuge des maschinellen Lernens im Einzelnen passiert, auch für Expert:innen nicht unmittelbar nachvollziehbar und erklärbar. Zwar wird an einer technischen Zusatzausstattung solcher Systeme mit entsprechenden Auskunftsmodulen (z. B. zur Erläuterung durch Markierung von Pixelfeldern, an denen eine KI ein menschliches Gesicht erkannt hat) geforscht; doch diese Ansätze sind jedenfalls noch nicht flächendeckend marktreif. Daher dürfte die Erfüllung des Auskunftsanspruchs über die involvierte Logik von automatisierten Einzelfallentscheidungen (Art. 15 Abs. 1 lit. h. DSGVO) nicht immer leicht zu realisieren sein. Die Datenschutzkonferenz bleibt jedenfalls der Präzisierung, wie genau die „Nachvollziehbarkeit im Hinblick auf die Prozesse und das Zustandekommen von Entscheidungen gewährleistet sein“ kann, schuldig. Jedenfalls sind hierbei zwei Extrempositionen denkbar: Entweder würde eine solche Auskunft aufgrund von „Blackboxing“ nicht möglich oder aber so allgemein gefasst sein, dass sie wiederum keinen echten Mehrwert für die Informiertheit der Bürger:innen bildet. Dabei ist die Klarstellung, welche Informationen über die „involvierte Logik“ genau für die Informiertheit der Nutzer erforderlich und zielführend sind, genau das, was viele wünschen und wir alle brauchen.
Automatisierte Einzelfallentscheidungen
Schließlich ist auch eine Einordnung der KI im Kontext des Art. 22 DSGVO problematisch. Dort wird die Zulässigkeit von automatisierten Einzelfallentscheidungen geregelt. Jede Person hat demnach das Recht darauf, nicht zum Objekt von vollautomatischen Entscheidungen zu werden. Gegenstand von Art. 22 DSGVO ist dabei vor allem die gezielte Analyse von Daten, die nicht zur Diskriminierung, Manipulation oder Fremdbestimmung führen darf. Zum einen ist hierbei allerdings fraglich, ob diese Regelung auch Anwendung auf KI-basierte Entscheidungen findet, die zwar nicht eine konkrete Einzelperson, sondern Personengruppen (z. B. Einwohner eines bestimmten Stadtviertels) betreffen; der hierfür mittlerweile geläufige Terminus ist „Group Privacy“. Zum anderen wirft das Gebot der menschlichen Intervention bei automatisierten Einzelentscheidungen mit einer „beträchtlichen Beeinträchtigung“, wie es heißt, Fragen auf: Ab wann ist eine Beeinträchtigung „beträchtlich“? Was ist mit Beeinträchtigungen, die zum gegenwärtigen Zeitpunkt noch nicht absehbar sein können? Wie weit oder wie eng soll die „menschliche Intervention“ ausgelegt, praktisch gestaltet und in technische Prozesse eingebunden werden? Reicht es hier etwa aus, dass der automatisierte Prozess an einer Stelle durch einen menschlichen Mausklick unterbrochen wird? Wie wenig wert solch niedrigschwellige Hürden sind, ist aus der Praxis der (schon seit Langem rechtlich gebotenen) Einwilligung in die Verarbeitung personenbezogener Daten durch das betroffene Individuum bekannt.
In der gegenwärtigen Fassung ist die DSGVO gegenüber dem Einsatz von KI zwar weitgehend liberal. Die oben angerissenen offenen Fragen sorgen jedoch bei den Entwickler:innen und einsetzenden Organisationen für Unsicherheit. Deshalb ist es zu begrüßen, dass die Europäische Kommission im Frühjahr 2019 die von einer hochrangigen Expert:innengruppe ausgearbeiteten Leitlinien für KI-Ethik vorgelegt hat. Es ist ebenfalls zu begrüßen, dass diese Leitlinien von Herbst 2019 zu einer Verordnung ausgearbeitet werden sollen. Zu wünschen ist aber, dass dabei noch mehr Ethikexpert:innen eingebunden und auch mit entsprechendem Gewicht gegenüber den Industrievertreter:innen ausgestattet werden. Am Ende sollte die Ethik nicht „der Industrie weggenommen werden“, wie der Philosoph Thomas Metzinger als Mitglied der Expert:innenkommission gefordert hat. Vielmehr muss ein auf die Industrie anwendbarer und für sie verständlicher Ethikrahmen entwickelt werden. Die DSGVO ist mit ihren Vorgaben für die Datenverarbeitung hier, wie in vielem anderen, ein Anfang und nicht das Ende.
Kommentar schreiben