Die Künstliche Intelligenz (KI) beschäftigt seit einiger Zeit nicht nur vermehrt die Juristen, sondern sogar auch die Politik. Die Bundesregierung hat jüngst ein KI-Strategiepapier vorgestellt und auch die EU startete mehrere Förderungsprogramme für Unternehmen.
Die vermeintlich neue Technologie der KI greift dabei – nach Meinung vieler Datenschützer – tief in die Grundrechte des Einzelnen, indem umfassend personenbezogene Daten verarbeitet und benötigt werden, damit ein KI-System das gewünschte Ziel überhaupt erreichen kann. Daraus resultiert eine unüberschaubare Datenverarbeitung, die zum einen mit Risiken der Diskriminierung und des Missbrauchs einhergehen kann, zum anderen auch den Schutzumfang der Datenschutz-Grundverordnung (DSGVO) zuwiderläuft.
Entschließung der DSK
Im Rahmen der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die am 3. Und 4. April auf dem Hambacher Schloss abgehalten wurde, ist es auch zu einer wegweisenden Entschließung der Datenschützer gekommen.
Mit der „Hambacher Erklärung zur Künstlichen Intelligenz“ sollen sieben datenschutzrechtliche Anforderungen als Grundpfeiler jedweder Datenverarbeitung durch die zukunftsträchtige Technologie etabliert werden. Hierbei wurden die Vorschriften der DSGVO mit ihren Steuerungsinstrumenten wie z.B. der „Privacy by Design“ bzw. „Privacy by Default“-Gedanke aus Art. 25 DSGVO herangezogen und in ihrer Bedeutung unterstrichen.
Die sieben Regeln lauten:
- KI darf Menschen nicht zum Objekt machen
- KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben
- KI muss transparent, nachvollziehbar und erklärbar sein
- KI muss Diskriminierungen vermeiden
- Für KI gilt der Grundsatz der Datenminimierung
- KI braucht Verantwortlichkeit
- KI benötigt technische und organisatorische Standards
Kritische Würdigung
Zunächst sind die sieben ausformulierten Grundprinzipien zu begrüßen, die eine Konkretisierung der Vorgaben aus der DSGVO bedeuten und Spielregeln schaffen. Ebenso wurde deutlich gemacht, dass der Einsatz von KI-Systemen in der Regel eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erfordert.
Positiv hervorzuheben ist auch der Ansatz, die Aufklärung über die „involvierte Logik“ des KI-Systems unter dem Gesichtspunkt der Transparenz ausdrücklich in die Informationspflichten einzubeziehen, wie auch immer dieses konkret umgesetzt werden kann.
Jedoch wird offensichtlich verkannt, dass eine klare Definition der Verantwortlichkeit (Regel Nr. 6) zunehmend erschwert wird. Zum einen findet immer häufiger eine unübersichtliche Verkettung von (gemeinsamen) Verantwortlichkeiten durch Entwickler, Dienstleister, Betreiber und Anwender statt, zum anderen wirkt dem Bestreben noch eine (wachsende) Rechtsposition entgegen, die eine Verantwortlichkeit bei dem „Roboter“ als elektronische Person sieht. Eine selbstständig handelnde KI, wie sie derzeit noch in fiktiven Romanen oder Kinofilmen angenommen wird, die aus Gründen der Haftung mutmaßlich kreiert werden soll, würde zwar eine eigene Verantwortlichkeit im Sinne der DSGVO begründen, wäre jedoch als Adressat einer Maßnahme (Sanktion) ungeeignet.
Des Weiteren fordern die Datenschützer eine Steuerung der KI, die nicht nur von den Datenschutzbehörden getragen werden kann, sondern auch auf den Schultern der Wissenschaft, den Anwendern besonders der Politik lastet. Und im Hinblick auf die Entwicklung von Anforderungen an die technisch-organisatorischen Maßnahmen werden vor allem die Wirtschaft und Wissenschaft angesprochen. Eine Art „Selbstkontrolle“ durch die Akteure dürfte allerdings im Hinblick auf den weltweiten Markt der KI-Anwendungen nicht zielführend sein. Eine Überregulierung und „Technologiebremse“ hingegen darf allerdings auch nicht das Ziel sein.
Benjamin Walczak
9. April 2019 @ 13:25
Die Verantwortlichkeit kann – und darf – nicht bei einem KI-System liegen. Deswegen wird in der Hambacher Erklärung noch einmal deutlich gemacht, dass es jemanden geben muss, die/der verantwortlich ist. Dass das für die verschiedenen Beteiligten (Entwickler, Dienstleister, Betreiber und Anwender) nicht einfach ist, kann keine Entschuldigung sein. Gerade wenn der erste Punkte berücksichtigt ist, muss es ja auch jemanden geben, die/der im Zweifelsfall eingreifen kann (Intervenierbarkeit) – damit wäre schon mal eine Stelle in Verantwortung.
Eine „Selbstkontrolle“ wäre aus meiner Sicht übrigens noch keine Steuerung – das wären eher Gesetze oder Konkretisierungen der vorhandenen Gesetze. Denn ein Großteil der Anforderungen aus der Hambacher Erklärung stecken schon in der DSGVO.
Anonymous
8. April 2019 @ 10:21
1. Ein Roboter darf kein menschliches Wesen (wissentlich) verletzen oder durch Untätigkeit (wissentlich) zulassen, dass einem menschlichen Wesen Schaden zugefügt wird.
2. Ein Roboter muss den ihm von einem Menschen gegebenen Befehlen gehorchen – es sei denn, ein solcher Befehl würde mit Regel eins kollidieren.
3. Ein Roboter muss seine Existenz beschützen, solange dieser Schutz nicht mit Regel eins oder zwei kollidiert.
Anonymous
17. April 2019 @ 11:04
Isaac Asimov…