print logo

Künstliche Intelligenz – trotz DSGVO ein Markt der Zukunft?

Was steckt hinter der Strategie „Künstliche Intelligenz“ der Bundesregierung und was hat die DSGVO damit zu tun?
Simone Rosenthal | 01.10.2018
© Pixabay / Geralt
 

Unternehmen sammeln Daten der Bürger, die etwa bei Behörden hinterlegt sind, um die Entwicklung und Nutzung von Künstlicher Intelligenz zu beschleunigen? Sieht so der Plan der Bundesregierung aus? Oder was steckt hinter der Strategie „Künstliche Intelligenz“? Und was hat die DSGVO eigentlich damit zu tun?

Hintergund


Das Bundeskabinett hat die Eckpunkte für die Strategie „Künstliche Intelligenz“ in Deutschland beschlossen. Die Strategie soll Ende des Jahres 2018 vorgestellt werden. Diese Eckpunkte betreffen Forschung, Lehre und Entwicklung sowie Nutzung der Künstlichen Intelligenz. Deutschland soll in diesem Bereich weltweit führendes Niveau erreichen. In der entsprechenden Pressemitteilung heißt es: „Die Nutzung Künstlicher Intelligenz soll verantwortungsvoll und zum Wohle der Gesellschaft vorangebracht und neue Wertschöpfungspotenziale sollen erschlossen werden“.

Dabei scheint es ein Ziel der Strategie zu sein, Kooperationen zwischen privater Wirtschaft und dem Staat zu ermöglichen und dabei auch Zugriff auf Bürgerdaten, d.h. „Daten der öffentlichen Hand und Wissenschaft“ zu nehmen. Die Menge an zu verarbeitenden Daten soll dabei deutlich erhöht werden, da sich gerade damit wirtschaftliche Gewinne einstellen würden, zugleich solle aber der Schutz personenbezogener Daten gewährleistet werden. Die DSGVO stelle dafür nur einen ersten Schritt dar, in Zukunft sollen nationale Gesetze folgen, die speziell die Nutzung von personenbezogenen Daten im Falle von KI regeln und Unternehmen dabei den Zugriff auf solche Daten (etwa anonymisierte Nahverkehrsdaten zur Erstellung von Fahrplänen) ermöglichen, ohne den Datenschutz zu vernachlässigen. Dabei stellt sich allerdings die Frage, ob die DSGVO selbst der Entwicklung und Nutzung der Künstlichen Intelligenz in Deutschland im Wege steht.

KI im Ausland versus KI in Deutschland


Die Bundesregierung sieht China und die USA als aktuell führend im Bereich der Nutzung personenbezogener Daten für Zwecke der Künstlichen Intelligenz an, was u.a. auf die größere Menge an zur Verfügung stehenden Daten zurückgeführt wird. Diese Datenmenge lässt sich u.a. mit dem geltenden Recht in China und den USA begründen, das die Verarbeitung personenbezogener Daten erleichtert. Zudem sieht die Bundesregierung das Fehlen einer eigenen KI-Strategie als mitursächlich an und versucht diesem Problem nun entgegenzuwirken. Experten in der Wirtschaft sehen vor allem die massive Datensammlung gerade durch den Staat in den USA und v.a. durch das chinesische „Social Scoring“ als Ursache für den Vorsprung beider Länder im KI-Bereich. Entsprechende Hemmnisse könnten in Deutschland durch die DSGVO begründet sein.

Dagegen sieht jedoch die Bunderegierung die DSGVO als geeigneten rechtlichen Rahmen zum Umgang mit KI an: „Die Datenschutz-Grundverordnung (DSGVO) bildet einen verlässlichen gesetzlichen Rahmen für innovative Technologien und Anwendungen auch im Bereich der KI. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Die Überarbeitung der E-Privacy-Verordnung soll dieses Schutzkonzept abrunden.“

Wann wird KI im Alltag relevant?


KI wird u.a. bei der Optimierung der bezahlten Suchergebnisse von Suchmaschinen relevant. Algorithmen ermöglichen es durch Auswertung von Daten Suchbegriffe zu filtern und gezielte Werbeanzeigen einzublenden. Auch Smarthomes und Smartcars basieren auf dem automatischen Erkennen von Bedürfnissen durch Auswertung personenbezogener Daten wie Standortdaten. Im Unternehmensalltag wird KI v.a. im Zusammenhang mit Machine Learning und Prozessoptimierung relevant. So erregte die selbstlernende App AlphaGo 2016 Aufmerksamkeit, nach dem sie Millionen von Partien eines Brettspiels analysierte und dann einen menschlichen Großmeister besiegte. Mit leichten Modifikationen soll die App auch außerhalb von Spielen zur Verbesserung der Abläufe in Unternehmen einsetzbar sein. Auch bei der Kreditvergabe werden zunehmend selbstlernende Algorithmen herangezogen, um aus einer Menge zur Verfügung stehender Daten wie Pünktlichkeit von Zahlungen, Gehalt etc. die Kreditwürdigkeit eines Bewerbers zu beurteilen.

Welche Herausforderungen stellen sich bei Anwendung der DSGVO auf KI?


Die DSGVO stärkt entsprechend einem ihrer Primärziele die Rechte des Betroffenen. Als gänzlich neues Recht führt die DSGVO dabei das Recht auf Datenübertragbarkeit ein. Dieses Recht ermöglicht es Betroffenen von Unternehmen die vollständige Übertragung ihrer personenbezogenen Daten auf ein anderes Unternehmen zu verlangen. Es stellt sich die Frage wie dieses Recht etwa im Falle von Machine Learning umgesetzt werden kann. So können selbstlernende Apps etwa nicht ohne weiteres vorher verwendete Daten vollständig „übertragen“ werden, da die Daten bereits Grundlage der selbstlernenden Vorgänge der Apps wurden und selbst bei Übertragung der Ausgangsdaten noch im System vorhanden sind. Hier ist es sowohl an Unternehmen technische Möglichkeiten für eine solche vollständige Übertragung zu entwickeln als auch an der Rechtsprechung konkrete Leitlinien für die Umsetzung dieses Rechts vorzugeben. Diese Leitlinien müssen das (von der DSGVO geschützte) wirtschaftliche Interesse von Unternehmen an der Verarbeitung personenbezogener Daten und das Recht des Betroffenen auf Informationelle Selbstbestimmung sowie die Grundsätze der Datensparsamkeit und Transparenz einem fairen Ausgleich zuführen.

Dasselbe Problem stellt sich darüber hinaus bezüglich des Rechts auf Löschung. Auch hier kann es für Unternehmen insbesondere im Bereich des Machine Learning schwer werden das Recht auf Löschung umzusetzen. Vor allem in Zusammenhang mit Smart Cars (Berechnung von Unfallwahrscheinlichkeiten, Stauumgehungen durch Auswertung des bevorstehenden Andrangs von Fahrzeugen) und Smart Homes (Energieersparnis) stellt sich zudem die Frage, ob das Recht auf Vergessenwerden ausnahmsweise nicht besteht, weil gemäß Art. 17 Abs.3c. ein öffentliches Interesse an der Datenverarbeitung und Sammlung besteht. Sollte das Recht auf Vergessenwerden jedoch auch hier greifen, ohne dass eine Ausnahme besteht, so wäre der Verstoß gegen dieses Betroffenenrecht, wie bei allen Betroffenenrechten, bußgeldbewehrt.

Macht der Betroffene von seinem Recht auf Auskunft Gebrauch, ist ihm nicht nur mitzuteilen welche personenbezogenen Daten für welche Zwecke verarbeitet werden; vielmehr ist ihm darüber hinaus auch in transparenter, verständlicher Sprache Auskunft über die Art und Weise der Verarbeitung zu geben. Dies kann u.U. mit dem Interesse von Unternehmen an der Wahrung von Geschäftsgeheimnissen – wie Algorithmen – kollidieren – aber auch schlichtweg an mangelndem Wissen bei selbstlernenden Technologien, insbesondere im Bereich Deep Learning, scheitern. Auch hier gilt es technische Möglichkeiten und Vorgaben durch die Rechtsprechung zu entwickeln, die sowohl Auskunftsrecht und Transparenzgebot als auch die wirtschaftlichen Interessen von Unternehmen schützen.

KI basiert häufig auf dem Einsatz von Big-Data-Analysen und automatisierter Entscheidungsfindung. Dagegen räumt Art. 22 DSGVO jedem Betroffenen das Recht „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden“, wenn sie rechtliche oder ähnliche Wirkung entfaltet. Der Betroffene hat also das Recht, dass immer eine menschliche Entscheidung ergeht und er seinen Standpunkt gegenüber einem menschlichen Entscheidungsträger vortragen kann. Demgemäß müssen Unternehmen für einen solchen Fall in der Regel eine Einwilligung des Betroffenen einholen oder Verträge abschließen, die solche Analysen ermöglichen. Betroffenen muss das Recht auf eine menschliche Intervention und auf Widerspruch eingeräumt werden, wenn etwa Fragen zur Kreditwürdigkeit von einem KI-basierten System entschieden werden.

Weiteres zentrales Anliegen der DSGVO ist der Schutz von Transparenz- und Informationspflichten der Betroffenen. Willigt der Betroffene in die Verarbeitung personenbezogener Daten mittels KI ein, sind folgende Grundsätze zu beachten:

Allgemein muss der Betroffene bei Einwilligung über alle Betroffenenrechte informiert werden, also über das eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Person die Informationen sofort bei Einwilligung in die Datenerhebung übermittelt werden. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Allerdings ist es im Zusammenhang mit KI häufig nicht möglich vollständige Informationen zur Datenverarbeitung zu übermitteln, da KI-basierte Systeme häufig selbst Analysen durchführen und Daten selbstständig weiterentwickeln, sodass dem Betreiber im Vorfeld gar nicht möglich sein kann zu erfassen, welche Daten in welcher Weise verarbeitet werden. Auch hier müssen Rechtsprechung und Unternehmen praktikable Lösungen entwickeln.

Zudem können dieselben Logarithmen zu Berechnung von Kreditfähigkeit, Zuverlässigkeit (z.B. bei Anmietung von Wohnungen) etc. herangezogen werden. Dabei ist das Diskriminierungsverbot der DSGVO zu berücksichtigen. Die Diskriminierung kann zum Beispiel bereits dann beginnen, wenn trotz gleicher Suchbegriffe, bestimmte Dienstleistungen oder Waren nicht jedem Kunden, der diese Suchbegriffe eingibt, angeboten oder angezeigt werden. Auch dies kann einen Verstoß gegen Betroffenenrechte und das Transparenzgebot darstellen und bußgeldbewehrt sein.

Welche Chancen bietet die DSGVO für den Einsatz von KI?


Während die Umsetzung der Betroffenenrechte und des Diskriminierungsverbotes der DSGVO in Verbindung mit KI zur Herausforderung werden kann, bietet die DSGVO auch Chancen. Die von der DSGVO verlangte Datenschutz-Folgenabschätzung kann eine Möglichkeit darstellen, um die datenschutzrechtlichen aber auch ökonomischen Risiken beim Einsatz von KI bereits während der Planungsphase (etwa der Software-Entwicklung) abzuschätzen und Bußgelder zu vermeiden. Zudem lässt die Datenschutz-Folgenabschätzung Risiken erkennen, die aus dem Design und den technischen Voreinstellungen von Produkten oder Anwendungen resultieren. Damit lassen sich die Vorgaben der DSGVO an Privacy by Design und Privacy by Default, also datenschutzfreundliches Design und datenschutzfreundliche technische Voreinstellungen ebenfalls erkennen und Bußgelder können vermieden werden. Zudem privilegiert die DSGVO die Nutzung pseudonymisierter Daten (etwa im Rahmen einer Interessenabwägung zwischen Unternehmensinteressen und Rechten der Betroffenen). Gerade solche werden im Zusammenhang mit KI häufig verwendet und können daher gerade innerhalb des Geltungsbereichs der DSGVO gewinnbringend genutzt werden.
Ausblick

Trotz der Herausforderungen v.a. im Bereich der Betroffenenrechte, automatischer Entscheidungsfindung und Transparenz bietet die DSGVO auch Vorteile beim Einsatz von KI. Die zunehmenden Datenskandale um NSA, Facebook und Cambridge Analytica zeigen, dass das Vertrauen der Nutzer in KI in kürzester Zeit schwinden und damit die zur Verfügung stehende Datenmenge abnehmen kann. Gerade das Vertrauen in den sicheren Umgang mit personenbezogenen Bürgerdaten auf Grundlage der DSGVO kann zukünftig also einen erheblichen Wettbewerbsvorteil darstellen. Auf diese Weise kann insbesondere der Vorsprung Chinas und der USA bezüglich der zur Verfügung stehenden Datenmenge dadurch ausgeglichen werden, dass wegen der größeren Sicherheit qualitativ hochwertigere Daten im deutschen und europäischen Markt zunehmen.


Der Fachartikel ist auch als Blogbeitrag der Kanzlei Schürmann Rosenthal Dreyer Rechtsanwälte erschienen.