Künstliche Intelligenz und Datenschutz

Das Thema um die Künstliche Intelligenz (KI) ist weit verbreitet. Jedoch fehlt es an einem grundlegenden anerkannten Verständnis hiervon. Dies ist nicht verwunderlich, denn KI-Systeme sind äußerst vielgestaltig und besitzen eine große Bandbreite an Ausgestaltungen und Einsatzmöglichkeiten. Nicht jede Datenverarbeitung ist jedoch schon deshalb modern und innovativ, weil sie auf dem Einsatz von KI-Systemen beruht. Gesellschaftlich akzeptierte und rechtlich zulässige Datenverarbeitungen sollten zukunftsorientierte informationstechnische Lösungen mit einem hohen Standard an Datenschutz und Informationssicherheit verbinden.

KI-Systeme verwenden bei ihrem Einsatz Algorithmen, die regelmäßig in Anwendungen eingesetzt werden, die mit Big Data arbeiten. Algorithmen prägen bekanntermaßen unseren Alltag bereits seit längerem in besonderem Maße. Algorithmen selbst sind weder gut noch schlecht, sie sind lediglich nützlich oder weniger nützlich und sind von Menschen geschaffen. Algorithmen benötigen Daten, welche sie dann verarbeiten. Datenverarbeitung geschieht aber nicht im rechtsfreien Raum. Der Einsatz von KI-Systemen ist daher mit dem Datenschutzrecht in Einklang zu bringen.

Die EU-Kommission hatte eine Expertengruppe in Form eines Gremiums beauftragt, einen Leitfaden für KI auf Grundlage von ethnischen Grundsätzen für die Entwicklung und Anwendung von KI-Systemen zu formulieren. Dieser wurde letztes Jahr vorgelegt, ist nicht bindend, aber wegweisend. Dabei entstanden Anforderungen wie technische Robustheit und Sicherheit, Vertraulichkeit und klare Datenhaltungsregeln, Transparenz, Nichtdiskriminierung sowie Berücksichtigung gesamtgesellschaftlicher Effekte und Maßnahmen zur Rechenschaftslegung. Darüber hinaus möchten die Europäischen Mitgliedstaaten parallel zu dem Leitfaden ein Investitionsprogramm starten und in eine vertrauenswürdige KI Made in Europe investieren, um am Rennen des von China und den USA dominierten Marktes teilzunehmen.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ebenfalls im April 2019 eine Erklärung zu sieben datenschutzrechtlichen Anforderungen an KI veröffentlicht. Die Hambacher Erklärung zur Künstlichen Intelligenz ist als Grundsatzpapier gedacht, das dem Datenschutzrecht verpflichtet ist. Der DSK geht es in der Erklärung darum, die rechtlichen Anforderungen an den Einsatz von KI-Systemen herauszuarbeiten und aus datenschutzrechtlicher Sicht die Entwicklung zu begleiten. Die DSK hat jedoch ausdrücklich einen rechtlichen Ansatz gewählt, um deutlich zu machen, dass es insoweit auf der Grundlage der Datenschutz-Grundverordnung bereits rechtliche Anforderungen an den Einsatz von KI-Systemen gibt.

Ziel der Erklärung ist es, den Grundrechtsschutz und den Datenschutz mit dem Prozess der Digitalisierung in Einklang zu bringen, um in Zukunft weiterhin als Mensch über Maschinen zu entscheiden und nicht umgekehrt. Die Umsetzung einer Künstliche Intelligenz in Verbindung mit der Wahrung der Freiheit und Demokratie stellt eine Herausforderung dar. Denn Entwicklungen und Anwendungen von KI müssen in demokratisch-rechtsstaatlicher Weise den Grundrechten entsprechen. Dies gilt vor allem für den Einsatz von selbstlernenden Systemen, die massenhaft Daten benötigen, um sich selber stetig zu verbessern.

Der Mensch darf durch KI nicht zum Objekt gemacht werden
Die Würde des Menschen steht gem. Art. 1 Abs. 1 GG im Vordergrund, denn im Falle staatlichen Handelns mittels KI darf der einzelne Bürger nicht zum Objekt gemacht werden. Für Unternehmen ist es zudem gem. Art. 22 DS-GVO nur bedingt möglich, KI einzusetzen, um automatisierte Entscheidungen mit rechtlicher Wirkung zu treffen.
Die DS-GVO findet bei der Verarbeitung personenbezogener Daten Anwendung, sodass die Grundsätze nach Art. 5 DS-GVO eingehalten werden müssen. Doch wie soll sich die KI nach dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO stetig verbessern?

Personenbezogene Daten dürfen i.S.d. Datenminimierung ausschließlich für einen angemessenen und erheblichen Zweck sowie in dem dafür erforderlichen erheblichen Maße verarbeitet werden. Dies kann jedoch zu einem Konflikt führen. KI benötigt eine große Datenmenge, um ihre Aufgabe zuverlässig ausführen zu können und eine stetige Verbesserung zu ermöglichen. Der Entwicklungsprozess könnte so zu Gunsten des Datenschutzes durch eine Limitierung gehemmt werden.

Verfassungsrechtliche legitimierte Zwecke und das Zweckbindungsgebot
KI-Systeme sind zudem an das Zweckbindungsgebot des Art. 5 Abs. 1 lit. b DS-GVO gebunden. D.h. erweiterte Verarbeitungszweck müssen mit dem ursprünglichen Erhebungszweck vereinbar sein. Dies ist erforderlich, um ausschließen zu können, dass die KI ihren Verarbeitungszweck jederzeit ändern kann. Zum Beispiel soll ein Chatbot, der zu Beginn Ihre Daten zum Zweck der Kundenbetreuung erhalten hat, diese jedoch nicht zusätzlich zu Werbezwecke verwenden, nur weil er einen möglichen wirtschaftlichen Vorteil darin erkennt.

Transparenz und Nachvollziehbarkeit
Auch ist der Grundsatz der Transparenz des Art. 5 Abs. 1 lit. a DS-GVO nicht außer Acht zu lassen. Die KI-Systeme dürfen die personenbezogenen Daten betroffener Personen also nur in einer nachvollziehbaren Art und Weise verarbeiten. Entscheidend ist hierbei, auf welcher Grundlage der Einsatz dieser Systeme erfolgt. Nicht ausreichend ist daher die Erklärbarkeit im Hinblick auf das Ergebnis, vielmehr muss darüber hinaus auch die Nachvollziehbarkeit auf die Prozesse und das Zustandekommen von Entscheidungen gewährleistet sein. Es muss also ausreichend über die Logik aufgeklärt werden, die hinter dem System steckt. Dies ist Aufgabe der Verantwortlichen, die KI-Systeme einsetzen. Nur dann können Diskriminierungen vermieden werden. Es geht auch um Intervenierbarkeit. Wenn ein selbstlernendes System eingesetzt wird, wenn also neuronale Netze insoweit eigenständig Datenverarbeitungen vornehmen, muss sichergestellt sein, dass ein Eingreifen des Menschen möglich ist und auch noch rechtzeitig kommen kann, um Datenschutzverletzungen zu verhindern.

Verantwortlichkeit
Die KI stellt keine eigenständige natürliche oder juristische Person dar, auch wenn die Entwickler die menschliche Wahrnehmung und das menschliche Handeln durch eine Maschine nachbilden und teils ersetzen möchten. Beim Einsatz von KI-Systemen sind die Anforderungen höher als bei der Forschung unter Laborbedingungen. Es geht auch darum, dass der für den Einsatz Verantwortliche für die Sicherstellung der rechtlichen Vereinbarkeit des KI-Systems Verantwortung trägt.

Ein Verantwortlicher ist also erforderlich. In Betracht kommen die Entwickler oder das Unternehmen hinter der Entwicklung und dem Einsatz der KI. Diese haben notwendige Maßnahmen und Vorkehrungen zu treffen, um die rechtmäßige Verarbeitung, die Betroffenenrechte, die Beherrschbarkeit und die Sicherheit der Verarbeitung zu gewährleisten.

Da eine Verarbeitung personenbezogener Daten durch ein KI-System ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist gem. Art. 35 DS-DSGVO auch eine Datenschutz-Folgeabschätzung durch die Verantwortlichen erforderlich. Die Einschätzung der Risiken, die durch die ausgeführte Datenverarbeitung hervorgerufen werden, kann wesentlich davon beeinflusst werden, ob ein simples neuronales Netz zum Einsatz kommt. Es bedarf vor diesem Hintergrund einer möglichst spezifischen Einschätzung bestimmter Datenverarbeitungen. Da ethische und weitere Grundsätze von übergeordnetem Charakter bei der Auslegung des Datenschutzrechts eine Rolle spielen, sind nicht nur die Gesetzgeber auf europäischer und innerstaatlicher Ebene gefordert, sich mit diesen Fragen auseinander zu setzen, sondern auch die Behörden, die die entsprechende Verarbeitung zu beurteilen haben.

KI erfordert TOM´s
Da Datenschutz und Datensicherheit bekanntlich Hand in Hand gehen und KI-Systeme im digitalen Umfeld ausgeführt werden, sind gemäß der Art. 24, 25 DS-GVO technische und organisatorische Maßnahmen zu treffen. Aufgrund des aktuellen Stands der Entwicklung erscheint dies jedoch problematische., denn für einen datenschutzkonformen Einsatz von KI-Systemen gibt es aktuell noch keine speziellen Standards oder detaillierte Anforderungen. Dennoch ist bei der Entwicklung von KI-Systemen stets darauf zu achten, den Grundsätzen des Privacy by design und Privacy by default zu folgen.

Datenschutzaufsichtsbehörden sind gefordert in der Anwendung des Datenschutzrechts und der Beratung beim Einsatz von KI-Systemen ihren Beitrag zu leisten. Aufgrund der Demokratie ist es jedoch die grundlegende Aufgabe des Gesetzgebers, die Freiheit und Gleichheit der Menschen zu gewährleisten. Es hat daher die wesentlichen Rahmenbedingungen für die Entwicklung und den Einsatz von KI festzulegen. Hierbei bietet die DS-GVO eine rechtliche Grundlage, auf die weitere Regelungen aufgebaut werden können.

Vom Werden und Wirken der Blockchain, Teil 1

Ein Ende des Hypes um Blockchains und Smart Contracts ist nicht abzusehen. Informationstechnisch betrachtet stehen wir dabei noch ganz am Anfang. Dennoch oder gerade deswegen reißt die Kette immer neuer Einsatzvorschläge oder Anwendungsmodelle für die Blockchain nicht ab; Ideen aus den verschiedensten Bereichen von Industrie und Gesellschaft scheinen nur auf genau diese Initialzündung für ihre Umsetzung gewartet zu haben. Eine konkrete Bewertung, was gegenwärtig oder in absehbarer Zukunft machbar und umsetzbar ist, fällt dagegen noch schwer. Eine objektive Definition, wofür das Konzept der Blockchain steht, was ihre Vorteile und Perspektiven sind, steht noch aus.

Worum handelt es sich bei der Blockchain?

Die Blockchain ist eine neue Technologie für die transparente, anonyme und fälschungssichere Übertragung und Verifizierung von Daten. Die Blöcke einer Datenbank erhalten neben einer oder mehreren Transaktionen auch eine Zusammenfassung aller vorherigen Blöcke in Form eines sogenannten Hash-Werts, also einer Prüfziffer, wie sie z.B. bei der Bildung einer IBAN im Bankenwesen angewandt wird. Dieser Hash-Wert dient als Fälschungssicherung, mit der die Echtheit einer Transaktionskette überprüft werden kann – bei Manipulationsversuchen würde er nicht mehr stimmen.

Ein weiteres Blockchain-Paradigma ist die Gleichberechtigung aller Teilnehmer ohne die Autorität einer zentralen Verwaltungsstelle: Jeder Netzwerkteilnehmer darf neue Einträge zur Blockchain hinzufügen. Seine Einträge sind schreibgeschützt und können im Nachhinein nicht mehr verändert oder entfernt werden, es sei denn, die Mehrheit der Teilnehmer stimmt dem zu – was aber bei der Vielzahl der Teilnehmer fast ausgeschlossen ist. Dass die Anwendungsmöglichkeiten in Zeiten immer neuer Fragen zu Digitalisierung, Datengenerierung, Datenverarbeitung und Datenschutz vielfältig sind, liegt auf der Hand.

In deutschen Krankenhäusern zum Beispiel ist die Weitergabe von Daten immer noch die Ausnahme. Betreibt man Ursachenforschung, stößt man schnell auf das Problem der mangelnden Interoperabilität, zu Deutsch: Zusammenarbeit und Kommunikation über die Sektorengrenzen hinaus funktionieren nicht reibungslos, man spricht verschiedene Sprachen. Das Gebot der Stunde ist also die Schaffung einer technischen Infrastruktur, die allen Teilnehmern zur Verfügung steht und die die Integration verschiedener Bereiche sicherstellt.

Die Blockchain-Technologie leistet genau das. Sie ermöglicht erstmals, digitale Werte nicht nur von einem Ort an einen anderen Ort zu versenden, sondern sie über ein dezentralisiertes Netzwerk so zu transferieren, dass jeder Teilnehmer des Netzwerks zweifelsfrei und anonym feststellen kann, dass dieser Wert valide ist. Die Blockchain steht neben der hohen Fälschungssicherheit daher im besonderen Maße für die Integrität und die Transparenz der dort gespeicherten Daten.

Was sind Smart Contracts?

Das Potential dieser neuen Technologie ist damit jedoch nicht erschöpft: Teilnehmer an der Blockchain-Technologie können in einer weiteren Stufe ihre Systeme durch die Verwendung sogenannter Smart Contracts noch konkreter strukturieren.

Smart Contracts sind automatisch ausführbare Programme, die auf der Blockchain aufbauen und vordefinierte Transaktionsspielregeln im Programmcode abbilden. Eine Transaktion, die über einen Smart Contract läuft, wird automatisch ausgeführt, wenn alle beteiligten Parteien die zuvor definierten Konditionen erfüllen. Dadurch erübrigt sich die Notwendigkeit einer zentralen, zwischengelagerten Instanz insbesondere dann, wenn die beteiligten Parteien sich nicht kennen – und somit wahrscheinlich auch nicht vertrauen – und senkt zudem die Transaktionskosten.