Die Künstliche Intelligenz (KI) beschäftigt seit einiger Zeit nicht nur vermehrt die Juristen, sondern sogar auch die Politik. Die Bundesregierung hat jüngst ein KI-Strategiepapier vorgestellt und auch die EU startete mehrere Förderungsprogramme für Unternehmen.

Die vermeintlich neue Technologie der KI greift dabei – nach Meinung vieler Datenschützer – tief in die Grundrechte des Einzelnen, indem umfassend personenbezogene Daten verarbeitet und benötigt werden, damit ein KI-System das gewünschte Ziel überhaupt erreichen kann. Daraus resultiert eine unüberschaubare Datenverarbeitung, die zum einen mit Risiken der Diskriminierung und des Missbrauchs einhergehen kann, zum anderen auch den Schutzumfang der Datenschutz-Grundverordnung (DSGVO) zuwiderläuft.

Entschließung der DSK

Im Rahmen der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die am 3. Und 4. April auf dem Hambacher Schloss abgehalten wurde, ist es auch zu einer wegweisenden Entschließung der Datenschützer gekommen.

Mit der „Hambacher Erklärung zur Künstlichen Intelligenz“ sollen sieben datenschutzrechtliche Anforderungen als Grundpfeiler jedweder Datenverarbeitung durch die zukunftsträchtige Technologie etabliert werden. Hierbei wurden die Vorschriften der DSGVO mit ihren Steuerungsinstrumenten wie z.B. der „Privacy by Design“ bzw. „Privacy by Default“-Gedanke aus Art. 25 DSGVO herangezogen und in ihrer Bedeutung unterstrichen.

Die sieben Regeln lauten:

  1. KI darf Menschen nicht zum Objekt machen
  2. KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben
  3. KI muss transparent, nachvollziehbar und erklärbar sein
  4. KI muss Diskriminierungen vermeiden
  5. Für KI gilt der Grundsatz der Datenminimierung
  6. KI braucht Verantwortlichkeit
  7. KI benötigt technische und organisatorische Standards

Kritische Würdigung

Zunächst sind die sieben ausformulierten Grundprinzipien zu begrüßen, die eine Konkretisierung der Vorgaben aus der DSGVO bedeuten und Spielregeln schaffen. Ebenso wurde deutlich gemacht, dass der Einsatz von KI-Systemen in der Regel eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erfordert.

Positiv hervorzuheben ist auch der Ansatz, die Aufklärung über die „involvierte Logik“ des KI-Systems unter dem Gesichtspunkt der Transparenz ausdrücklich in die Informationspflichten einzubeziehen, wie auch immer dieses konkret umgesetzt werden kann.

Jedoch wird offensichtlich verkannt, dass eine klare Definition der Verantwortlichkeit (Regel Nr. 6) zunehmend erschwert wird. Zum einen findet immer häufiger eine unübersichtliche Verkettung von (gemeinsamen) Verantwortlichkeiten durch Entwickler, Dienstleister, Betreiber und Anwender statt, zum anderen wirkt dem Bestreben noch eine (wachsende) Rechtsposition entgegen, die eine Verantwortlichkeit bei dem „Roboter“ als elektronische Person sieht. Eine selbstständig handelnde KI, wie sie derzeit noch in fiktiven Romanen oder Kinofilmen angenommen wird, die aus Gründen der Haftung mutmaßlich kreiert werden soll, würde zwar eine eigene Verantwortlichkeit im Sinne der DSGVO begründen, wäre jedoch als Adressat einer Maßnahme (Sanktion) ungeeignet.

Des Weiteren fordern die Datenschützer eine Steuerung der KI, die nicht nur von den Datenschutzbehörden getragen werden kann, sondern auch auf den Schultern der Wissenschaft, den Anwendern besonders der Politik lastet. Und im Hinblick auf die Entwicklung von Anforderungen an die technisch-organisatorischen Maßnahmen werden vor allem die Wirtschaft und Wissenschaft angesprochen. Eine Art „Selbstkontrolle“ durch die Akteure dürfte allerdings im Hinblick auf den weltweiten Markt der KI-Anwendungen nicht zielführend sein. Eine Überregulierung und „Technologiebremse“ hingegen darf allerdings auch nicht das Ziel sein.

| | | , , ,