In der vergangenen Woche stellte die EU-Kommission in Brüssel die Strategien für Daten und künstliche Intelligenz vor. Der Plan sieht „Ideen und Maßnahmen für einen digitalen Wandel“ vor und soll Europa an die Weltspitze der Datenwirtschaft und vertrauenswürdigen Künstlichen Intelligenz (KI) befördern.
Im Zentrum der weitflächigen Strategie steht das sog. Whitepaper zur künstlichen Intelligenz. Das gut 31 Seiten schwere Dokument soll einen allgemeinen Rechtsrahmen für die Entwicklung und Umsetzung von KI-Anwendungen zeichnen und stützt sich auf Empfehlungen der hochrangigen Expertengruppe für künstliche Intelligenz, die im April 2019 ihre Ethik-Leitlinien für eine vertrauenswürdige KI veröffentlicht hatte. Es ist überschrieben mit den Begriffen „Exzellenz“ und „Vertrauen“.
Auch wenn in dem gesamten Dokument gerade einmal 15-Mal das Wort „Datenschutz“ auftaucht, enthält das Weißbuch einige interessante Gedankenansätze, die sich auch für die datenschutzrechtliche Bewertung und Umsetzung der zukunftsträchtigen Systeme heranziehen lassen – vielleicht sogar Anpassungen der DSGVO bedeuten.
Die Eckpunkte des KI-Whitepapers
Zunächst wird in dem Papier festgestellt, dass die darin genannten Anforderungen hinsichtlich einer Regulierung der Technologie grundsätzlich nur für solche KI-Systemen gelten, die als Anwendungen „mit hohem Risiko“ eingestuft werden (S. 21). Und für die übrigen Anwendungen sollen die allgemeinen Vorschriften greifen. Letzter können sich aber einer „freiwilligen Kennzeichnung“ unterziehen (S. 29).
Im Kontext der KI-Systeme wird immer wieder – zu Recht – auf die Gefahren der Diskriminierung hingewiesen. Um dem zu begegnen, bringt die Kommission etwaige Auflagen ins Spiel, wonach Verpflichtungen bestehen könnten, „Datensätze zu verwenden, die ausreichend repräsentativ sind“ (S. 22). So lernt die KI mithilfe einer größeren Vielfalt und setzt nicht auf ein vorgefertigtes bzw. einseitiges Menschenbild.
Überdies wird angeregt, die Trainingsdaten und Aufzeichnungen der Programmierung und des Trainings aufzubewahren, um die Einhaltung der geltenden Vorschriften wirksam zu überprüfen und durchzusetzen (S. 23) sowie Inspektionen durch die zuständige Behörde zu ermöglichen. Dies könne sogar in bestimmten Fällen für die Datensätze selbst wie auch unter anderem für die Dokumentation der für die Programmierung und das Training verwendeten Methoden gelten (S. 23). Allerdings könnte eine derartige, langfristige Aufbewahrung solcher Daten im Widerspruch zum Grundsatz der Datenminimierung stehen und wäre wohl noch näher in den Einklang mit den Datenschutzgrundsätzen zu bringen.
Im Hinblick auf die Informationspflichten (auch aus Art. 12 ff DSGVO) werden auch „Angaben über die Fähigkeit und Grenzen des KI-Systems“ angesprochen, wie auch immer diese überhaupt zu erklären wären. Insgesamt sollen die bereitgestellten Informationen objektiv, kurzgefasst und leicht verständlich sein (S. 24). Konkrete Beispiele und z.B. Symbole oder Muster werden leider nicht mitgeliefert.
Im Unterpunkt „Robustheit und Genauigkeit“ werden Anforderungen aufgeführt, um unter anderem die Reproduzierbarkeit und Fehlerbehebung der KI zu gewährleisten (S. 24). Hier bleibt die Kommission bei äußerst abstrakten Beschreibungen.
Menschliche Aufsicht
Des Weiteren wird hervorgehoben, dass trotz oder gerade wegen des Potenzials der künstlichen Intelligenz bei wesentlichen Entscheidungen weiterhin eine menschliche Kontrolle bestehen müsse:
„Die menschliche Aufsicht hilft, dafür zu sorgen, dass ein KI-System die menschliche Autonomie nicht untergräbt oder sich sonst nachteilig auswirkt. Das Ziel einer vertrauenswürdigen, ethischen und auf den Menschen ausgerichteten KI kann nur erreicht werden, wenn dafür gesorgt wird, dass Menschen bei KI-Anwendungen mit hohem Risiko gebührend mitwirken.“ (S. 25).
Danach sollen die Ergebnisse von KI-Systemen erst dann wirksam werden, wenn sie zuvor von einem Menschen überprüft und validiert wurden – oder aber das menschliche Eingreifen in einem späteren Schritt sichergestellt wird (Einen ähnlichen Ansatz verfolgt die DSGVO in Art. 22 DSGVO). Auch die Überwachung des KI-Systems während des Betriebs sowie die Möglichkeit, in Echtzeit einzugreifen und das System ggfs. zu deaktivieren, werden in diesem Zusammenhang vorgeschlagen.
Als Anwendungsfelder werden die Ablehnung eines Antrages auf Sozialleistung sowie die Kreditvergabe genannt. Auch das Bewerber- oder Personalmanagement dürfte auf gleicher Stufe stehen und nicht ganz ohne das menschliche Zutun agieren, damit nicht Algorithmen über die Einstellung eines neuen Mitarbeiters oder aber der Entlassung entscheiden.
Dieser Wunsch zur menschlichen Kontrolle ist nachvollziehbar und unter Umständen auch notwendig, hemmt jedoch den gesamten Prozess und verhindern das Ausschöpfen des Potenzials der KI. Wenn am Ende der Mensch weiterhin sein Einverständnis geben oder den Schalter betätigen muss, beschleunigt die KI nur gering die Arbeitswelt und Automatisierung von rechtserheblichen Vorgängen. Spätestens beim Einsatz der menschlichen Überprüfung der Vorgänge wird deutlich, dass die KI hier nur als Arbeitshilfe dient, den Menschen aber nicht ersetzt bzw. ersetzen soll. Diese Annahme kann gewiss kontrovers diskutiert werden.
Verantwortlichkeiten
Ferner wird eine weitere, spannende Fragestellung aufgegriffen: Wer soll eigentlich zu der Umsetzung der Anforderungen verpflichtet werden? Zu denken wäre an den Entwickler, den Hersteller oder den Betreiber – oder sogar der Nutzer selbst? Diese allesentscheidende Aufgabenverteilung wird wie folgt formuliert:
„Nach Auffassung der Kommission sollten in einem künftigen Rechtsrahmen die einzelnen Verpflichtungen jeweils dem Akteur/den Akteuren obliegen, der/die am besten in der Lage ist/sind, potenzielle Risiken zu bewältigen. So wären möglicherweise die Entwickler von KI am besten in der Lage, den Risiken zu begegnen, die sich aus der Entwicklungsphase ergeben, während ihre Fähigkeit, die Risiken in der Nutzungsphase zu kontrollieren, eher eingeschränkt wäre. In diesem Fall sollte die entsprechende Verpflichtung dem Betreiber auferlegt werden.“
Es folgt die Bezugnahme auf das EU-Produkthaftungsgesetzt, das möglicherweise (analog) auch auf KI-Systeme Anwendung finden dürfte. Die bestehenden Gesetze werden also nicht ganz außer Acht gelassen.
Zudem sollen diese regulatorischen Ansätze für alle Wirtschaftsteilnehmer gelten, die KI-gestützte Produkte oder Dienstleistungen in der EU anbieten, gleich ob diese in der EU niedergelassen sind oder nicht (S. 27). Diese Forderung ergibt sich auch aus dem Marktortprinzip, das auch in der DSGVO verankert worden ist, und überrascht nicht wirklich.
Ob die Idee der Aufgabenzuweisung die klaffende Lücke der Verantwortlichkeiten bzw. Adressaten der Verpflichtungen schließen kann, wird die Zeit zeigen müssen.
Personenidentifizierung und Gesichtserkennung?
Ein großes Thema, das in jüngster Zeit immer wieder für Diskussionsstoff sorgte, ist der Einsatz von Gesichtserkennung in der Gesellschaft. Immer mehr Unternehmen, aber auch öffentliche Stellen setzen auf solche Methoden, um Personen besser zu identifizieren und mit Datenbanken abzugleichen. Auch im Bereich der Strafverfolgung nimmt dieser Trend zu.
Diesbezüglich stellt die Kommission fest, dass die Verarbeitung biometrischer Daten zum Zwecke der eindeutigen Identifizierung natürlicher Personen nach der DSGVO außer unter bestimmten Bedingungen grundsätzlich verboten sei und besondere Risiken in Bezug auch die Achtung der Grundrechte berge.
Gleichzeitig lässt sie die Tür jedoch ein Spalt weit offen und regt abschließend eine Debatte über besondere Umstände an, die eine solche Identifizierbarkeit und Technik rechtfertigen können. Der geneigte Leser wird zwischen den Zeilen lesen können: So ganz verboten sein soll diese Methode doch nicht.
Zuletzt spricht sich die Kommission dafür aus, dass die KI-Systeme überprüfbar sein müssen (S. 27 f). Diesbezüglich werden zahlreiche Kriterien für eine solche Konformitätsbewertung vorgetragen. Bereits bei der Konzeption und Umsetzung des Systems solle unter anderem berücksichtigt werden, dass sich KI-Systeme weiterentwickeln und lernfähig seien, weshalb erneute Bewertungen erforderlich werden könne. Auch sei es notwendig, die Trainingsdaten sowie deren Methode, Prozesse und Techniken usw. zu überprüfen. Um den Verwaltungsaufwand für KMU zu begrenzen, könnten Unterstützungsstrukturen (Teststellen) und Standards sowie Spezielle Online-Instrumente geschaffen werden.
Fazit
Das Whitepaper ist allgemein gehalten und somit höchstens als Vorlage für ein noch zu entwickelndes Konzept zu verstehen. Hier wären konkrete Anwendungsszenarien und Vorgaben zur Ausgestaltung der Systeme hilfreich gewesen. Der große Wurf ist daher leider ausgeblieben.
Es entsteht der Eindruck eines „Wunschdenkens“ der EU-Kommission, ohne sich über zukünftige, denkbare wie auch drohende Szenarien im globalen Wettstreit der Mächte und Wirtschaftsunternehmen bewusst zu sein. Beiseitegelassen ist die Möglichkeit, dass Staaten die KI-basierten Werkzeuge für eine flächendeckende Personenidentifikation (Scoring) oder Angriffe nutzen oder Online-Händler mit individuellen Preisen und Werbung das Nutzerverhalten zu eigenen Gunsten verwenden bzw. manipulieren.
„KI sollte im Dienste der Menschen stehen und eine positive Kraft für die Gesellschaft sein.“ – so formuliert es die Kommission im Fazit des Weißbuchs. Dem ist nichts mehr hinzuzufügen.
Übrigens: Das Whitepaper zur künstlichen Intelligenz steht im Übrigen bis zum 19. Mai 2020 zur öffentlichen Konsultation – Die Kommission setzt also auf Feedback und Stellungnahmen hierzu von jedermann, der sich an diesem Konzept beteiligen will.