Selten wurde über die Beziehung zwischen Datenschutzrecht und den Menschenrechten derart ausgiebig in der breiten Gesellschaft diskutiert wie zurzeit während der Corona-Pandemie. Es lässt sich sogar beobachten, wie sich rechtliche Grenzen zu verschieben scheinen und wie das in der Vergangenheit so stark ausgeprägte und geschützte Recht auf informationelle Selbstbestimmung von vielen Bürgerinnen und Bürgern hierzulande auf einmal vernachlässigt wird.
Als Paradebeispiel hierfür gilt die derzeit diskutierte „CoronaApp“, die offenkundig von einer Mehrzahl der Menschen aktuell ohne Bedenken installiert und aktiviert werden würde. Zum Schutze der Gesundheit anderer Mitmenschen würden viele Deutsche nun, ohne zu zögern umfangreiche Bewegungsdaten preisgeben. Und auch tiefreichenden Gesundheitsstudien sind viele Menschen derzeit aufgeschlossener als je zu vor.
Schutz der Menschenrechte
Fast zeitgleich hat der Europarat in Straßburg jüngst im Rahmen der letzten Sitzung eine umfangreiche Empfehlung zum Einsatz von KI-Systemen verabschiedet, die sich primär an Entwickler und Unternehmen richtet, die automatisierte KI-Systeme mit personenbezogenen Daten entwickeln und einsetzen (wollen). Diese Richtline soll unter anderem etwaige Menschenrechtsverstöße in den derzeit 47 Mitgliedstaaten des Europarats verhindern, die durch Algorithmen und Automatisierungen von Verarbeitungsvorgänge eintreten können. Hervorgehoben werden unter anderem Menschenrechtsverletzungen durch einen etwaigen Verstoß gegen das Recht auf ein faires Verfahren, gegen das Recht auf Privatsphäre und auch den Datenschutz. Denn selbst auf den ersten Blick einfache, automatisierte Prozesse können zur Diskriminierung oder der Verletzung des Datenschutzes führen, woraus sich bei schwerwiegenden Fällen eine Menschenrechtsverletzung im Sinne der europäischen Menschenrechtskonvention feststellen lässt.
Die sich dem Europarat angeschlossenen Länder werden hiermit aufgerufen, durch Gesetze, Strategien und Verfahren die Achtung der Menschenrechte in dem eigenen Hoheitsgebiet sicherzustellen. Doch im Gegensatz zu den Organen der EU (wie z.B. die EU-Kommission oder das europäische Parlament) sind solche Akte zunächst nicht verbindlich und auch nicht mit der Arbeit der EU gleichzusetzen.
KI-Konzepte zur Corona-Zeit
Zurzeit bestehen viele Berührungspunkte, weshalb die Empfehlung ein Fingerzeig sein sollte: Mittlerweile finden immer mehr KI-Anwendungen und solche Berechnungsmodelle Einzug in allen Lebensbereichen. Diese Systeme reichen von der Berechnung von Kreditausfällen oder Verhaltensauswertung für wirtschaftliche Interessen der Privatwirtschaft bis hin zu aktuellen Corona-Anwendungsfällen, beispielsweise bei der Berechnung und Bekämpfung des Covid-19 Virus. Gerade allmögliche Apps und Simulationen im Hinblick auf die Corona-Pandemie würden aktuell, fast schon bedenkenlos eingesetzt werden. Die Freiwilligkeit der Datenverarbeitung könnte sicherlich infrage gestellt werden, wenn nur aktive Nutzer einer CoronaApp „das Haus verlassen“ oder einen Supermarkt betreten dürften. Doch gerade ein solches Bild zeichnet sich gerade ab.
Das 22 Seiten umfassende, sehr zeitgemäße Konzept (CM/Rec (2020)1) zielt auf die Wahrung und Prüfung der Grundrechte ab und wiederholt mehrmals eine „Grundrechtsfolgenabschätzung“. Die Kernaussage lautet: Gehen KI-Systeme mit einem zu hohen Risiko für die Grundrechte des Einzelnen einher, sollten die Staaten den Einsatz dieser Technologie verhindern. Mit anderen Worten: Im Zweifel ist die Menschenwürde höherrangig als die technische Entwicklung. Auf diese Weise versucht der Europarat das Pendel zwischen Regulierung und Ethik zu schwingen.
Die an vielen Stellen allgemein gehaltenen Leitlinien richten sich an die Staaten, die demnach als Wächter fungieren müssen und gleichermaßen Vorgaben für Entwickler und Unternehmen etablieren wie auch allgemeinen einen Wettbewerb ermöglichen sollen. Die Empfehlungen berühren dabei die staatlichen Aufgaben – aber auch Vorgaben für Transparenz, Verantwortlichkeiten, Rechenschaftspflichten und wirksame Rechtsbehelfe werden ausformuliert.
Recht auf „Verschleierung“?
Erwähnenswert ist die folgende Empfehlung:
„Informational self-determination: States should ensure that all design, development and ongoing deployment of algorithmic systems provide an avenue for individuals to be informed in advance about the related data processing (including its purposes and possible outcomes) and to control their data, including through interoperability. Deliberate efforts by individuals or groups to make themselves, their physical environment or their activities illegible to automation or other forms of machine reading or manipulation, including through obfuscation, should be recognised as a valid exercise of informational self-determination, subject to possible restrictions necessary in a democratic society and provided for by law.“
(Deutsche Übersetzung: Recht auf informationelle Selbstbestimmung: Die Staaten sollten sicherstellen, dass bei allen Entwürfen, Entwicklungen und laufenden Einsätzen algorithmischer Systeme die Möglichkeit besteht, dass Einzelpersonen im Voraus über die damit verbundene Datenverarbeitung (einschließlich ihrer Zwecke und möglichen Ergebnisse) informiert werden und ihre Daten kontrollieren können – auch durch Interoperabilität. Bewusste Bemühungen von Einzelpersonen oder Gruppen, sich selbst, ihre physische Umgebung oder ihre Aktivitäten für die Automatisierung oder andere Formen des maschinellen Auslesens oder der Manipulation, auch durch Verschleierung [Vernebelung], unlesbar [nicht auswertbar] zu machen, sollten als gültige Ausübung der informationellen Selbstbestimmung anerkannt werden, vorbehaltlich möglicher Einschränkungen, die in einer demokratischen Gesellschaft notwendig und gesetzlich vorgesehen sind.)
Dieser Gedanke lässt sich möglicherweise so interpretieren, dass ein Recht auf „Verschleierung“ für die Betroffenen geschaffen werden soll, etwa wie auch ein von vielen Personen gewünschter Anspruch auf „Anonymität“ im Netz. Gleichwohl betrifft dieses Zielvorhaben nur Vorgänge eines algorithmischen Systems und nicht per se jedwede Datenverarbeitung und könnte überdies unter Umständen doch noch eingeschränkt werden.
Viele Ansätze vom Europarat sind zu begrüßen und in Einklang mit nationalen und internationalen Vorhaben (wie z.B. dem KI-Whitepaper der EU-Kommission) zu bringen. Insbesondere wird immer wieder von unterschiedlichen Gremien und Expertengruppen betont, dass der Mensch nicht durch KI-Systeme diskriminiert bzw. benachteiligt werden dürfe. Auch Rechtsbehelfe gegen diese ausschließlich automatisierten Entscheidungen müssen jederzeit bestehen (Vgl. Art. 22 DSGVO).
Zusätzlich zu diesem Leitfaden arbeitet der Europarat schon seit längerem an einer KI-Konvention, die für das Jahr 2021 erwartet wird und dann für alle angeschlossene (der Konvention zugestimmte) Nationen einen verbindlichen Rechtsrahmen aufzeichnen soll. Mit dem Rang einer Konvention dürften derartige Vorgaben für KI-Anwendungen deutlich mehr Gewicht verliehen bekommen und diese sogar gerügt werden können.