Datenschutz bei Künstlicher Intelligenz: Müssen sich Unter­nehmen in ihre Algo­rithmen schauen lassen?

Gastbeitrag von Dr. Markus Häuser

12.07.2018

Von der Gen-Forschung bis zur Kreditvergabe: Die DSGVO bringt erweiterte Transparenzpflichten beim Einsatz von Künstlicher Intelligenz. Offenlegungspflichten enden aber beim Schutz der Geschäftsgeheimnisse der Unternehmen, meint Markus Häuser.

Bereits Ende April hat die EU-Kommission ein europäisches Konzept auf dem Gebiet der künstlichen Intelligenz (KI, auch: artifizielle Intelligenz, AI) vorgestellt (vgl. Pressemitteilung der Europäischen Kommission). Ende Juni hat der Bundestag auf Antrag der Fraktionen von CDU/CSU, SPD, FDP und DIE LINKE den Einsatz einer Enquete-Kommission mit dem Titel "Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale" beim Deutschen Bundestag beschlossen (vgl. BT-Drs. 19/2978).

Aufgabe der Enquete-Kommission soll es sein, bis zur Sommerpause 2020 Handlungsempfehlungen im Umgang mit künstlicher Intelligenz zu erarbeiten. Die Kommission umfasst derzeit 19 Mitglieder des Bundestags und ebenso viele externe Sachverständige (vgl. Pressemitteilung des Deutschen Bundestags). Die Fraktion BÜNDNIS 90/Die Grünen hatte versucht, die Sitzungen der Enquete-Kommission der Öffentlichkeit – beispielsweise durch öffentliche Tagungen oder Livestreaming ins Internet – zugänglich zu machen. Dieser Änderungsantrag wurde von den Fraktionen mehrstimmig abgelehnt (vgl. BT-Drs. 19/3016).

Einig sind sich EU-Kommission und Enquete-Kommission darin, dass beim Einsatz von KI auch rechtliche – beispielsweise Haftungsfragen – und ethische Herausforderungen, wie beispielsweise ethische Prinzipien für die Entwicklung, Programmierung und den Einsatz von KI, gemeistert werden müssen. Oberstes Kredo beim Einsatz von KI soll dabei stets der Grundsatz sein, dass der Mensch bei allen automatisierten Entscheidungen immer im Mittelpunkt stehen muss.

Rechtsfragen bereits bekannt aus Robotik und automatisiertem Fahren

Dass diese rechtlichen und ethischen Fragestellungen auch an frühere Untersuchungen und Entschließungen, etwa im Bereich des automatisierte Fahrens (vgl. Bericht der Ethik-Kommission zum automatisierten und vernetzten Fahren) oder der Robotik (vgl. Entschließung des Europäischen Parlaments mit Empfehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik) erinnern, ist kein Zufall: Künstliche Intelligenz ist keine abgrenzbare und eigenständige Technologie, sondern findet als Querschnitts- und Schlüsseltechnologie vielmehr in einer Vielzahl von technischen Entwicklungen Einsatz.

So kann KI etwa in der medizinischen Forschung zur Auswertung großer und komplexer Datenmengen, beispielsweise Genomdaten, oder im Polizei- und Sicherheitsbereich zur Wahrscheinlichkeitsberechnung zukünftiger Straftaten, dem sogenannten "Predictive Policing", eingesetzt werden. Aber auch beim automatisierten Fahren zur sekundenschnellen Erkennung von Personen und Gegenständen, auch als "Computer Vision" bekannt, wird KI eingesetzt. Insbesondere aber im Versicherungs- und Bankenwesen kann KI auch heute bereits zur Anwendung kommen, wenn ausschließlich intelligente Algorithmen etwa über die Versicherbarkeit oder die Kreditwürdigkeit von Personen entscheiden.

Transparenzpflichten bei automatisierten Einzelentscheidungen

Der Grundsatz, dass der Mensch beim Einsatz von KI weiterhin im Mittelpunkt stehen muss und demnach nicht als quasi bloßes Objekt unter die Entscheidungen einer Maschine unterworfen werden darf, sieht auch Art. 22 DSGVO vor. Dieser war aber im Wesentlichen auch schon in § 6a Bundesdatenschutzgesetz alter Fassung (BDSG a.F.) verankert. Trotz der Regelung in der DSGVO ist Art. 22 DSGVO dabei in erster Linie gar nicht auf den Schutz personenbezogener Daten ausgerichtet, sondern vielmehr darauf, dass auch in einer überall automatisierten und vernetzten Welt die Würde des Menschen unantastbar bleiben muss.

Art. 22 DSGVO regelt nur Fälle, in denen eine Entscheidung ausschließlich auf einer automatisierten Datenverarbeitung beruht. Der Computer ist in diesem Fall also nicht nur Hilfsmittel, sondern es findet gar keine menschliche Überprüfung der Verarbeitungsergebnisse statt.

Die in Art. 22 DSGVO enthaltenen Zulässigkeitsvoraussetzungen für solche automatisierten Einzelentscheidungen werden durch die Transparenzpflichten der Art. 13 Abs. 2 lit. f DSGVO, Art. 14 Abs. 2 lit. g DSGVO und Art. 15 Abs. 1 lit. h DSGVO flankiert. Weiterhin müssen neben der DSGVO auch ausfüllende oder erweiternde nationale Bestimmungen beachtet werden.

Unabhängig von der Zulässigkeit einer automatisierten Entscheidungsfindung im jeweiligen Einzelfall werden insbesondere diese Transparenzpflichten vor dem Hintergrund des Schutzes von Betriebs- und Geschäftsgeheimnissen oftmals kritisch gesehen. Denn: Dem Betroffenen müssen hiernach auch "aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung" zur Verfügung gestellt werden. Bislang ist ungeklärt, in welchem Umfang und in welcher Intensität dies zu erfolgen hat.

Diese Frage war, jedenfalls bis zu einer Entscheidung des BGH im Jahre 2014, schon im Rahmen der alten Rechtslage umstritten. Auch § 6a Abs. 3 BDSG a.F. bestimmte bereits, dass sich das Auskunftsrecht des Betroffenen "auch auf den logischen Aufbau der automatisierten Verarbeitung" erstreckt. Fraglich war und ist dabei insbesondere, ob der Verantwortliche hierdurch tatsächlich auch verpflichtet sein kann, die bei einer automatisierten Einzelentscheidung herangezogenen Berechnungsformeln und Parameter, im Fall von Kreditentscheidungen beispielsweise eine Score-Formel, oder sogar Algorithmen selbst offenzulegen. Dies könnte einen erheblichen Eingriff in Betriebs- und Geschäftsgeheimnisse darstellen.

Beschreibung der zugrundeliegenden Prinzipien reicht aus

Mit der hier vertretenen Auffassung ergibt sich eine solche Offenlegungspflicht nicht aus dem Wortlaut der Art. 13 Abs. 2 lit. f DSGVO, Art. 14 Abs. 2 lit. g DSGVO und Art. 15 Abs. 1 lit. h DSGVO. Zudem sprechen auch Systematik sowie Sinn und Zweck der Transparenzvorschriften gegen eine solche strenge Auslegung.

Zu beachten ist, dass die Transparenzvorschriften dem Wortlaut nach lediglich "aussagekräftige Informationen über die involvierte Logik" fordern, nicht aber verlangen, dass die involvierten Logiken selbst offengelegt werden müssen. Demnach müssen die einer automatisierten Entscheidungsfindung zugrunde liegenden Prinzipien lediglich informierend beschrieben werden. Das bedeutet, dass die grundlegenden Gesetzmäßigkeiten und Prinzipien, nach denen der Algorithmus Entscheidungen trifft, zu schildern sind.

Dies steht auch nicht dem Erfordernis der "Aussagekräftigkeit" entgegen. Ganz im Gegenteil dürfte für den Durchschnittsanwender eine verständliche Beschreibung der zugrundeliegenden Prozesse einen größeren Mehrwert darstellen als die Offenlegung der mathematisch-technischen Prozesse selbst. Nur durch eine allgemeinverständliche Beschreibung kann demnach auch den Vorgaben des Art. 12 Abs. 1 S. 1 DSGVO entsprochen werden. Die Informationen müssen nämlich in verständlicher Form und in einer "klaren und einfachen Sprache" bereitgestellt werden.

Zusammenfassend sehen die Transparenzpflichten der Art. 13 ff. DSGVO – solange diese nicht überinterpretiert werden – einen angemessenen Interessensausgleich zwischen Betroffenenrechten und Know-How-Schutz vor. Anbieter und Anwender von KI-Technologien müssen damit auch in Zeiten der Datenschutzgrundverordnung nicht um ihre Geschäftsgeheimnisse fürchten.

Dr. Markus Häuser ist Rechtsanwalt und Partner bei CMS in Deutschland. Er ist auf rechtliche Fragen digitaler Geschäftsmodelle und des Technologierechts spezialisiert und berät sowohl internationale Unternehmen der Technologie- und Medienbranche als auch zahlreiche IT-Anwender, beispielsweise aus dem Finanz- und Versicherungssektor und dem Gesundheitswesen.

Zitiervorschlag

Dr. Markus Häuser, Datenschutz bei Künstlicher Intelligenz: Müssen sich Unternehmen in ihre Algorithmen schauen lassen? . In: Legal Tribune Online, 12.07.2018 , https://www.lto.de/persistent/a_id/29711/ (abgerufen am: 22.07.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 12.07.2018 21:07, Jörn Erbguth

    Interessantes Argument aus der "Allgemeinverständlichkeit" zu schließen, dass die Informationen nicht "aussagekräftig" sein müssen. Was ist aussagekräftig? Was ist Ziel der Vorschrift? Ein allgemeinverständliches Blabla aus dem ich nicht ableiten kann, warum wie entschieden worden ist oder eine nur Spezialist*innen verständliche Detaildarstellung, mit der ich dann meine konkrete Benachteiligung und die Rechtswidrigkeit des Vorgehens beweisen kann? Wenn ich eine negative Schufa-Auskunft bekomme, möchte ich mich dagegen wehren können. Eine allgemeinverständliche Auskunft über ein paar Rahmenaspekte der verwendeten Logik erlaubt mir dies nicht. Wenn Jurist*innen dieses Prinzip auf ihre eigene Domain anwenden würden, würde das bedeuten, dass eine Begründung eines Verwaltungsaktes auf Grund der Allgemeinverständlichkeit nicht erlauben müsse, das Ergebnis nachzuvollziehen. Aber hier nehmen wir selbstverständlich an, dass den vom VA beschwerten Bürger*innen eine für sie nicht verständliche Begründung zugemutet werden kann - ja sogar muss - damit diese dann ihr Rechtschutzinteresse mit Hilfe von zugezogenen juristischen Expert*innen verfolgen können. Eine allgemein verständliche Darstellung wie VAs ergehen, würde keine Jurist*in als ausreichend ansehen. Geht es um Technik, soll das nun anders sein? Aus meiner Sicht muss vielmehr aus der Formulierung "aussagekräftige Informationen über die involvierte Logik" geschlossen werden, dass zwar nicht der Code selbst, aber doch der damit realisierte Algorithmus dargestellt werden muss. Dabei können nur solche internen Details entfallen, die keinen Einfluss auf das Ergebnis haben. Es ist sicher richtig, dass das Leerlaufen dieser Auskunftspflicht durch den BGH mit seiner Schufa-Entscheidung 2014 abgesegnet wurde. Es ist aber glücklicherweise fraglich, ob die spezifisch deutsche Schufa-freundliche Interpretation des Datenschutzes Bestand haben wird.
    Beim Deep Learning ergibt sich allerdings noch ein zusätzliches Problem. Das trainierte System ist auch für Informatiker*innen nicht verständlich. Es geht da nicht um Geschäftsgeheimnisse, sondern um die Charakteristik von Neuronalen Netzen. Wenn man die Informationspflicht, wie oben beschrieben, von vornherein effektiv ins Leere laufen lässt, hat man sich dieses Problems natürlich elegant entledigt. Damit sind Facebook, Google & Co fein raus, denn sie müssen dann eben nicht offenlegen, warum ihre Systeme wie entscheiden. Bei selbstfahrenden Autos würde das bedeuten, dass der Hersteller nicht offen legen müsste, warum das Auto einen Unfall verursacht hatte. In diesem Kontext erscheint es kaum wahrscheinlich, dass eine Reduktion der Informationspflicht auf allgemeinverständliche oberflächliche Informationen Akzeptanz finden wird, so dass wir uns der Problematik der Intransparenz der Deep Learning Systeme stellen müssen.

    Auf diesen Kommentar antworten
  • 13.07.2018 14:04, Dr. A.Peus

    Juristisch, ethisch und gesellschaftspolitisch wäre viel wichtiger, Pressearchive zu öffnen.

    Auf diesen Kommentar antworten
Neuer Kommentar
TopJOBS
Be­auf­trag­ter für Ver­ga­be­ver­fah­ren / Voll­ju­rist Öf­f­ent­li­ches Recht (d/m/w)

VDI/VDE Innovation + Technik GmbH, Ber­lin

Rechts­an­walt (m/w) für den Be­reich Pa­tent Li­ti­ga­ti­on

Bird & Bird LLP, Düs­sel­dorf

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te Un­ter­neh­mens­nach­fol­ge

Hennerkes, Kirchdörfer & Lorz, Stutt­gart

Rechts­an­walt (m/w/d) mit Schwer­punkt für den Be­reich Mar­ken- und Wett­be­werbs­recht / für den Be­reich IT- und Da­ten­schutz­recht

CBH Rechtsanwälte, Köln

Voll­ju­ris­ten (m/w) Li­ti­ga­ti­on

PERCONEX, Düs­sel­dorf und 2 wei­te­re

Rechts­an­wäl­te w/m Ver­ga­be­recht

Heuking Kühn Lüer Wojtek, Frank­furt/M.

Rechts­an­walt / Rechts­an­wäl­tin für Ar­beits­recht, insb. kol­lek­ti­ves Ar­beits­recht

APITZSCH SCHMIDT KLEBE, Frank­furt/M.

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial Con­tracts (Schwer­punkt: Au­to­mo­ti­ve)

Bird & Bird LLP, Frank­furt/M.

Rechts­an­walt (m/w) Schnitt­s­tel­le Steu­er­recht - Ge­sell­schafts­recht

P + P Pöllath + Partners, Mün­chen

Rechts­an­wäl­te w/m im Be­reich M&A | Pri­va­te Equi­ty | Ven­tu­re Ca­pi­tal

Heuking Kühn Lüer Wojtek, Stutt­gart

Rechts­an­wäl­te (m/w) Cor­po­ra­te

Noerr LLP, Ber­lin und 7 wei­te­re

As­so­cia­te (w/m) M&A

Taylor Wessing, Ham­burg

Le­gal Pro­ject Ma­na­ger (m/w/d)

Clifford Chance, Düs­sel­dorf und 1 wei­te­re

As­so­cia­tes (m/w/d) im Im­mo­bi­li­en­recht

DLA Piper UK LLP, Frank­furt/M. und 2 wei­te­re

Rechts­an­walt (m/w/d) für den Be­reich Bau- und Im­mo­bi­li­en­recht, ins­be­son­de­re im ge­werb­li­chen Miet­recht

Melchers Rechtsanwälte, Hei­del­berg

RECHTS­AN­WALT (M/W/D) im Be­reich GE­SELL­SCHAFTS­RECHT / M&A

FPS Fritze Wicke Seelig Partnerschaftsgesellschaft von Rechtsanwälten mbB, Düs­sel­dorf

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Com­mer­cial (Da­ten­schutz/IT)

Bird & Bird LLP, Mün­chen

Rechts­an­wäl­te (m/w)

DLA Piper UK LLP, Köln

RECHTS­AN­WALT (m/w) im Be­reich Cor­po­ra­te/Trans­ak­ti­on

GSK Stockmann, Ber­lin

WIRT­SCHAFTS­JU­RIST (W/M)

Hella Aglaia, Ber­lin

Rechts­an­walt (m/w) für den Be­reich Dis­pu­te Re­so­lu­ti­on

Bird & Bird LLP, Frank­furt/M.

Rechts­an­wäl­tin­nen und Rechts­an­wäl­te

Kliemt.Arbeitsrecht, Düs­sel­dorf und 3 wei­te­re

Rechts­an­walt (m/w) Ge­werb­li­cher Rechts­schutz - IP (mit/oh­ne Be­ruf­s­er­fah­rung)

Luther Rechtsanwaltsgesellschaft mbH, Köln

Rechts­an­walt (m/w/d) für den Be­reich Straf­recht

Melchers Rechtsanwälte, Hei­del­berg

Mit­ar­bei­ter (m/w) Qua­li­ty & Risk Ma­na­ge­ment – Da­ten­schutz

KPMG, Ber­lin

As­so­cia­te (w/m) M&A

Taylor Wessing, Düs­sel­dorf

Rechts­an­walt (m/w/d) im Be­reich Ar­beits­recht

Melchers Rechtsanwälte, Hei­del­berg

RECHTS­AN­WÄL­TE (M/W/D) im Be­reich Li­ti­ga­ti­on & Dis­pu­te Re­so­lu­ti­on

Clifford Chance, Mün­chen

Rechts­an­wäl­tin/Rechts­an­walt im Fach­be­reich Da­ten­schutz

REDEKER SELLNER DAHS, Ber­lin

Neueste Stellenangebote
Da­ten­schutz­be­auf­trag­ten (w/m)
Fach­an­ge­s­tell­te/n
Voll­ju­rist als Ju­nior Le­gal Coun­sel (m/w)
Rechts­an­walts­fach­an­ge­s­tell­te (m/w/d)
Buch­hal­ter (m/w) für den Kun­den­sup­port
Re­fe­ren­ten Steu­ern (m/w/div.)
Tax Ana­lyst (m/f)
Steu­er­re­fe­rent (m/w)