Wenn Algorithmen zum Problem werden

Die Vernachlässigung des Datenschutzes kann teuer werden, das musste nun der italienische Lieferdienst Foodinho am eigenen Leib erfahren.

Dieser Lieferdienst führte eine digitale Plattform ein, auf welcher Foodinho die Aufträge automatisiert an die 19.000 Lieferfahrer des Unternehmens verteilt, wie üblich läuft auch diese digitale Plattform mit Hilfe von Algorithmen. Ein Verstoß ergibt sich daraus, dass die betroffenen Personen diese automatisierte Entscheidung nicht widerrufen konnten. Außerdem erhielten die Lieferfahrer keinerlei Einweisung in das von ihnen benutzte System und hatten dadurch keinerlei Einblick in die Funktionsweise.

Die Plattform verlangte eine Vielzahl von Daten der Arbeiter, da ein Nutzerprofil für die Nutzung der Software erforderlich war, es mussten mehr Daten angegeben werden, als notwendig gewesen wären außerdem wurde die Speicherdauer der Daten nicht vorab definiert. Die Algorithmen könnten teilweise dazu führen, dass manche Lieferfahrer aufgrund ihrer abgegebenen Daten und der folgenden Datenanalyse der Algorithmen keine Aufträge mehr erhalten würden.

Ein weiter Verstoß lag darin, dass kein Datenschutzbeauftragter benannt wurde, außerdem wurde keine Datenschutz-Folgenabschätzung vorgenommen; diese wäre allerdings notwendig gewesen, da es laut der italienischen Aufsichtsbehörde eine Verarbeitung innovativer Natur sei. Diese Annahme bezieht sich darauf, dass eine große Menge unterschiedlicher Daten von einer großen Menge an Personen über eine digitale Plattform mit Hilfe von Algorithmen verarbeitet wird. Zudem bemängelte die italienische Aufsichtsbehörde, dass datenschutzfreundliche Voreinstellungen fehlten und keine technischen und organisatorischen Maßnahmen entwickelt wurden, um das Schutzniveau der Nutzer zu erhöhen. Generell hat Foodinho Verstöße aller Art in Kauf genommen und die DSGVO in einigen Punkten vollständig ignoriert.

Diese Verstöße ziehen nun eine erhebliche Menge an Bußgeldern auf sich. Dieses Bußgeld kann entweder bis zu 20.000 € oder aber 4% des Jahresumsatzes betragen.

Künstliche Intelligenz und Datenschutz

Das Thema um die Künstliche Intelligenz (KI) ist weit verbreitet. Jedoch fehlt es an einem grundlegenden anerkannten Verständnis hiervon. Dies ist nicht verwunderlich, denn KI-Systeme sind äußerst vielgestaltig und besitzen eine große Bandbreite an Ausgestaltungen und Einsatzmöglichkeiten. Nicht jede Datenverarbeitung ist jedoch schon deshalb modern und innovativ, weil sie auf dem Einsatz von KI-Systemen beruht. Gesellschaftlich akzeptierte und rechtlich zulässige Datenverarbeitungen sollten zukunftsorientierte informationstechnische Lösungen mit einem hohen Standard an Datenschutz und Informationssicherheit verbinden.

KI-Systeme verwenden bei ihrem Einsatz Algorithmen, die regelmäßig in Anwendungen eingesetzt werden, die mit Big Data arbeiten. Algorithmen prägen bekanntermaßen unseren Alltag bereits seit längerem in besonderem Maße. Algorithmen selbst sind weder gut noch schlecht, sie sind lediglich nützlich oder weniger nützlich und sind von Menschen geschaffen. Algorithmen benötigen Daten, welche sie dann verarbeiten. Datenverarbeitung geschieht aber nicht im rechtsfreien Raum. Der Einsatz von KI-Systemen ist daher mit dem Datenschutzrecht in Einklang zu bringen.

Die EU-Kommission hatte eine Expertengruppe in Form eines Gremiums beauftragt, einen Leitfaden für KI auf Grundlage von ethnischen Grundsätzen für die Entwicklung und Anwendung von KI-Systemen zu formulieren. Dieser wurde letztes Jahr vorgelegt, ist nicht bindend, aber wegweisend. Dabei entstanden Anforderungen wie technische Robustheit und Sicherheit, Vertraulichkeit und klare Datenhaltungsregeln, Transparenz, Nichtdiskriminierung sowie Berücksichtigung gesamtgesellschaftlicher Effekte und Maßnahmen zur Rechenschaftslegung. Darüber hinaus möchten die Europäischen Mitgliedstaaten parallel zu dem Leitfaden ein Investitionsprogramm starten und in eine vertrauenswürdige KI Made in Europe investieren, um am Rennen des von China und den USA dominierten Marktes teilzunehmen.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ebenfalls im April 2019 eine Erklärung zu sieben datenschutzrechtlichen Anforderungen an KI veröffentlicht. Die Hambacher Erklärung zur Künstlichen Intelligenz ist als Grundsatzpapier gedacht, das dem Datenschutzrecht verpflichtet ist. Der DSK geht es in der Erklärung darum, die rechtlichen Anforderungen an den Einsatz von KI-Systemen herauszuarbeiten und aus datenschutzrechtlicher Sicht die Entwicklung zu begleiten. Die DSK hat jedoch ausdrücklich einen rechtlichen Ansatz gewählt, um deutlich zu machen, dass es insoweit auf der Grundlage der Datenschutz-Grundverordnung bereits rechtliche Anforderungen an den Einsatz von KI-Systemen gibt.

Ziel der Erklärung ist es, den Grundrechtsschutz und den Datenschutz mit dem Prozess der Digitalisierung in Einklang zu bringen, um in Zukunft weiterhin als Mensch über Maschinen zu entscheiden und nicht umgekehrt. Die Umsetzung einer Künstliche Intelligenz in Verbindung mit der Wahrung der Freiheit und Demokratie stellt eine Herausforderung dar. Denn Entwicklungen und Anwendungen von KI müssen in demokratisch-rechtsstaatlicher Weise den Grundrechten entsprechen. Dies gilt vor allem für den Einsatz von selbstlernenden Systemen, die massenhaft Daten benötigen, um sich selber stetig zu verbessern.

Der Mensch darf durch KI nicht zum Objekt gemacht werden
Die Würde des Menschen steht gem. Art. 1 Abs. 1 GG im Vordergrund, denn im Falle staatlichen Handelns mittels KI darf der einzelne Bürger nicht zum Objekt gemacht werden. Für Unternehmen ist es zudem gem. Art. 22 DS-GVO nur bedingt möglich, KI einzusetzen, um automatisierte Entscheidungen mit rechtlicher Wirkung zu treffen.
Die DS-GVO findet bei der Verarbeitung personenbezogener Daten Anwendung, sodass die Grundsätze nach Art. 5 DS-GVO eingehalten werden müssen. Doch wie soll sich die KI nach dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO stetig verbessern?

Personenbezogene Daten dürfen i.S.d. Datenminimierung ausschließlich für einen angemessenen und erheblichen Zweck sowie in dem dafür erforderlichen erheblichen Maße verarbeitet werden. Dies kann jedoch zu einem Konflikt führen. KI benötigt eine große Datenmenge, um ihre Aufgabe zuverlässig ausführen zu können und eine stetige Verbesserung zu ermöglichen. Der Entwicklungsprozess könnte so zu Gunsten des Datenschutzes durch eine Limitierung gehemmt werden.

Verfassungsrechtliche legitimierte Zwecke und das Zweckbindungsgebot
KI-Systeme sind zudem an das Zweckbindungsgebot des Art. 5 Abs. 1 lit. b DS-GVO gebunden. D.h. erweiterte Verarbeitungszweck müssen mit dem ursprünglichen Erhebungszweck vereinbar sein. Dies ist erforderlich, um ausschließen zu können, dass die KI ihren Verarbeitungszweck jederzeit ändern kann. Zum Beispiel soll ein Chatbot, der zu Beginn Ihre Daten zum Zweck der Kundenbetreuung erhalten hat, diese jedoch nicht zusätzlich zu Werbezwecke verwenden, nur weil er einen möglichen wirtschaftlichen Vorteil darin erkennt.

Transparenz und Nachvollziehbarkeit
Auch ist der Grundsatz der Transparenz des Art. 5 Abs. 1 lit. a DS-GVO nicht außer Acht zu lassen. Die KI-Systeme dürfen die personenbezogenen Daten betroffener Personen also nur in einer nachvollziehbaren Art und Weise verarbeiten. Entscheidend ist hierbei, auf welcher Grundlage der Einsatz dieser Systeme erfolgt. Nicht ausreichend ist daher die Erklärbarkeit im Hinblick auf das Ergebnis, vielmehr muss darüber hinaus auch die Nachvollziehbarkeit auf die Prozesse und das Zustandekommen von Entscheidungen gewährleistet sein. Es muss also ausreichend über die Logik aufgeklärt werden, die hinter dem System steckt. Dies ist Aufgabe der Verantwortlichen, die KI-Systeme einsetzen. Nur dann können Diskriminierungen vermieden werden. Es geht auch um Intervenierbarkeit. Wenn ein selbstlernendes System eingesetzt wird, wenn also neuronale Netze insoweit eigenständig Datenverarbeitungen vornehmen, muss sichergestellt sein, dass ein Eingreifen des Menschen möglich ist und auch noch rechtzeitig kommen kann, um Datenschutzverletzungen zu verhindern.

Verantwortlichkeit
Die KI stellt keine eigenständige natürliche oder juristische Person dar, auch wenn die Entwickler die menschliche Wahrnehmung und das menschliche Handeln durch eine Maschine nachbilden und teils ersetzen möchten. Beim Einsatz von KI-Systemen sind die Anforderungen höher als bei der Forschung unter Laborbedingungen. Es geht auch darum, dass der für den Einsatz Verantwortliche für die Sicherstellung der rechtlichen Vereinbarkeit des KI-Systems Verantwortung trägt.

Ein Verantwortlicher ist also erforderlich. In Betracht kommen die Entwickler oder das Unternehmen hinter der Entwicklung und dem Einsatz der KI. Diese haben notwendige Maßnahmen und Vorkehrungen zu treffen, um die rechtmäßige Verarbeitung, die Betroffenenrechte, die Beherrschbarkeit und die Sicherheit der Verarbeitung zu gewährleisten.

Da eine Verarbeitung personenbezogener Daten durch ein KI-System ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist gem. Art. 35 DS-DSGVO auch eine Datenschutz-Folgeabschätzung durch die Verantwortlichen erforderlich. Die Einschätzung der Risiken, die durch die ausgeführte Datenverarbeitung hervorgerufen werden, kann wesentlich davon beeinflusst werden, ob ein simples neuronales Netz zum Einsatz kommt. Es bedarf vor diesem Hintergrund einer möglichst spezifischen Einschätzung bestimmter Datenverarbeitungen. Da ethische und weitere Grundsätze von übergeordnetem Charakter bei der Auslegung des Datenschutzrechts eine Rolle spielen, sind nicht nur die Gesetzgeber auf europäischer und innerstaatlicher Ebene gefordert, sich mit diesen Fragen auseinander zu setzen, sondern auch die Behörden, die die entsprechende Verarbeitung zu beurteilen haben.

KI erfordert TOM´s
Da Datenschutz und Datensicherheit bekanntlich Hand in Hand gehen und KI-Systeme im digitalen Umfeld ausgeführt werden, sind gemäß der Art. 24, 25 DS-GVO technische und organisatorische Maßnahmen zu treffen. Aufgrund des aktuellen Stands der Entwicklung erscheint dies jedoch problematische., denn für einen datenschutzkonformen Einsatz von KI-Systemen gibt es aktuell noch keine speziellen Standards oder detaillierte Anforderungen. Dennoch ist bei der Entwicklung von KI-Systemen stets darauf zu achten, den Grundsätzen des Privacy by design und Privacy by default zu folgen.

Datenschutzaufsichtsbehörden sind gefordert in der Anwendung des Datenschutzrechts und der Beratung beim Einsatz von KI-Systemen ihren Beitrag zu leisten. Aufgrund der Demokratie ist es jedoch die grundlegende Aufgabe des Gesetzgebers, die Freiheit und Gleichheit der Menschen zu gewährleisten. Es hat daher die wesentlichen Rahmenbedingungen für die Entwicklung und den Einsatz von KI festzulegen. Hierbei bietet die DS-GVO eine rechtliche Grundlage, auf die weitere Regelungen aufgebaut werden können.