Von der Gen-Forschung bis zur Kreditvergabe: Die DSGVO bringt erweiterte Transparenzpflichten beim Einsatz von Künstlicher Intelligenz. Offenlegungspflichten enden aber beim Schutz der Geschäftsgeheimnisse der Unternehmen, meint Markus Häuser.
Bereits Ende April hat die EU-Kommission ein europäisches Konzept auf dem Gebiet der künstlichen Intelligenz (KI, auch: artifizielle Intelligenz, AI) vorgestellt (vgl. Pressemitteilung der Europäischen Kommission). Ende Juni hat der Bundestag auf Antrag der Fraktionen von CDU/CSU, SPD, FDP und DIE LINKE den Einsatz einer Enquete-Kommission mit dem Titel "Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale" beim Deutschen Bundestag beschlossen (vgl. BT-Drs. 19/2978).
Aufgabe der Enquete-Kommission soll es sein, bis zur Sommerpause 2020 Handlungsempfehlungen im Umgang mit künstlicher Intelligenz zu erarbeiten. Die Kommission umfasst derzeit 19 Mitglieder des Bundestags und ebenso viele externe Sachverständige (vgl. Pressemitteilung des Deutschen Bundestags). Die Fraktion BÜNDNIS 90/Die Grünen hatte versucht, die Sitzungen der Enquete-Kommission der Öffentlichkeit – beispielsweise durch öffentliche Tagungen oder Livestreaming ins Internet – zugänglich zu machen. Dieser Änderungsantrag wurde von den Fraktionen mehrstimmig abgelehnt (vgl. BT-Drs. 19/3016).
Einig sind sich EU-Kommission und Enquete-Kommission darin, dass beim Einsatz von KI auch rechtliche – beispielsweise Haftungsfragen – und ethische Herausforderungen, wie beispielsweise ethische Prinzipien für die Entwicklung, Programmierung und den Einsatz von KI, gemeistert werden müssen. Oberstes Kredo beim Einsatz von KI soll dabei stets der Grundsatz sein, dass der Mensch bei allen automatisierten Entscheidungen immer im Mittelpunkt stehen muss.
Rechtsfragen bereits bekannt aus Robotik und automatisiertem Fahren
Dass diese rechtlichen und ethischen Fragestellungen auch an frühere Untersuchungen und Entschließungen, etwa im Bereich des automatisierte Fahrens (vgl. Bericht der Ethik-Kommission zum automatisierten und vernetzten Fahren) oder der Robotik (vgl. Entschließung des Europäischen Parlaments mit Empfehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik) erinnern, ist kein Zufall: Künstliche Intelligenz ist keine abgrenzbare und eigenständige Technologie, sondern findet als Querschnitts- und Schlüsseltechnologie vielmehr in einer Vielzahl von technischen Entwicklungen Einsatz.
So kann KI etwa in der medizinischen Forschung zur Auswertung großer und komplexer Datenmengen, beispielsweise Genomdaten, oder im Polizei- und Sicherheitsbereich zur Wahrscheinlichkeitsberechnung zukünftiger Straftaten, dem sogenannten "Predictive Policing", eingesetzt werden. Aber auch beim automatisierten Fahren zur sekundenschnellen Erkennung von Personen und Gegenständen, auch als "Computer Vision" bekannt, wird KI eingesetzt. Insbesondere aber im Versicherungs- und Bankenwesen kann KI auch heute bereits zur Anwendung kommen, wenn ausschließlich intelligente Algorithmen etwa über die Versicherbarkeit oder die Kreditwürdigkeit von Personen entscheiden.
Transparenzpflichten bei automatisierten Einzelentscheidungen
Der Grundsatz, dass der Mensch beim Einsatz von KI weiterhin im Mittelpunkt stehen muss und demnach nicht als quasi bloßes Objekt unter die Entscheidungen einer Maschine unterworfen werden darf, sieht auch Art. 22 DSGVO vor. Dieser war aber im Wesentlichen auch schon in § 6a Bundesdatenschutzgesetz alter Fassung (BDSG a.F.) verankert. Trotz der Regelung in der DSGVO ist Art. 22 DSGVO dabei in erster Linie gar nicht auf den Schutz personenbezogener Daten ausgerichtet, sondern vielmehr darauf, dass auch in einer überall automatisierten und vernetzten Welt die Würde des Menschen unantastbar bleiben muss.
Art. 22 DSGVO regelt nur Fälle, in denen eine Entscheidung ausschließlich auf einer automatisierten Datenverarbeitung beruht. Der Computer ist in diesem Fall also nicht nur Hilfsmittel, sondern es findet gar keine menschliche Überprüfung der Verarbeitungsergebnisse statt.
Die in Art. 22 DSGVO enthaltenen Zulässigkeitsvoraussetzungen für solche automatisierten Einzelentscheidungen werden durch die Transparenzpflichten der Art. 13 Abs. 2 lit. f DSGVO, Art. 14 Abs. 2 lit. g DSGVO und Art. 15 Abs. 1 lit. h DSGVO flankiert. Weiterhin müssen neben der DSGVO auch ausfüllende oder erweiternde nationale Bestimmungen beachtet werden.
Unabhängig von der Zulässigkeit einer automatisierten Entscheidungsfindung im jeweiligen Einzelfall werden insbesondere diese Transparenzpflichten vor dem Hintergrund des Schutzes von Betriebs- und Geschäftsgeheimnissen oftmals kritisch gesehen. Denn: Dem Betroffenen müssen hiernach auch "aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung" zur Verfügung gestellt werden. Bislang ist ungeklärt, in welchem Umfang und in welcher Intensität dies zu erfolgen hat.
Diese Frage war, jedenfalls bis zu einer Entscheidung des BGH im Jahre 2014, schon im Rahmen der alten Rechtslage umstritten. Auch § 6a Abs. 3 BDSG a.F. bestimmte bereits, dass sich das Auskunftsrecht des Betroffenen "auch auf den logischen Aufbau der automatisierten Verarbeitung" erstreckt. Fraglich war und ist dabei insbesondere, ob der Verantwortliche hierdurch tatsächlich auch verpflichtet sein kann, die bei einer automatisierten Einzelentscheidung herangezogenen Berechnungsformeln und Parameter, im Fall von Kreditentscheidungen beispielsweise eine Score-Formel, oder sogar Algorithmen selbst offenzulegen. Dies könnte einen erheblichen Eingriff in Betriebs- und Geschäftsgeheimnisse darstellen.
Beschreibung der zugrundeliegenden Prinzipien reicht aus
Mit der hier vertretenen Auffassung ergibt sich eine solche Offenlegungspflicht nicht aus dem Wortlaut der Art. 13 Abs. 2 lit. f DSGVO, Art. 14 Abs. 2 lit. g DSGVO und Art. 15 Abs. 1 lit. h DSGVO. Zudem sprechen auch Systematik sowie Sinn und Zweck der Transparenzvorschriften gegen eine solche strenge Auslegung.
Zu beachten ist, dass die Transparenzvorschriften dem Wortlaut nach lediglich "aussagekräftige Informationen über die involvierte Logik" fordern, nicht aber verlangen, dass die involvierten Logiken selbst offengelegt werden müssen. Demnach müssen die einer automatisierten Entscheidungsfindung zugrunde liegenden Prinzipien lediglich informierend beschrieben werden. Das bedeutet, dass die grundlegenden Gesetzmäßigkeiten und Prinzipien, nach denen der Algorithmus Entscheidungen trifft, zu schildern sind.
Dies steht auch nicht dem Erfordernis der "Aussagekräftigkeit" entgegen. Ganz im Gegenteil dürfte für den Durchschnittsanwender eine verständliche Beschreibung der zugrundeliegenden Prozesse einen größeren Mehrwert darstellen als die Offenlegung der mathematisch-technischen Prozesse selbst. Nur durch eine allgemeinverständliche Beschreibung kann demnach auch den Vorgaben des Art. 12 Abs. 1 S. 1 DSGVO entsprochen werden. Die Informationen müssen nämlich in verständlicher Form und in einer "klaren und einfachen Sprache" bereitgestellt werden.
Zusammenfassend sehen die Transparenzpflichten der Art. 13 ff. DSGVO – solange diese nicht überinterpretiert werden – einen angemessenen Interessensausgleich zwischen Betroffenenrechten und Know-How-Schutz vor. Anbieter und Anwender von KI-Technologien müssen damit auch in Zeiten der Datenschutzgrundverordnung nicht um ihre Geschäftsgeheimnisse fürchten.
Dr. Markus Häuser ist Rechtsanwalt und Partner bei CMS in Deutschland. Er ist auf rechtliche Fragen digitaler Geschäftsmodelle und des Technologierechts spezialisiert und berät sowohl internationale Unternehmen der Technologie- und Medienbranche als auch zahlreiche IT-Anwender, beispielsweise aus dem Finanz- und Versicherungssektor und dem Gesundheitswesen.
Dr. Markus Häuser, Datenschutz bei Künstlicher Intelligenz: Müssen sich Unternehmen in ihre Algorithmen schauen lassen? . In: Legal Tribune Online, 12.07.2018 , https://www.lto.de/persistent/a_id/29711/ (abgerufen am: 18.04.2024 )
Infos zum Zitiervorschlag
