Künstliche Intelligenz (KI) ist mittlerweile ein nicht mehr wegzudenkender Bestandteil unserer Gesellschaft und ihr Einfluss auf unsere Entscheidungen nimmt stetig zu oder nimmt uns die Entscheidung sogar komplett ab. So trifft die KI bereits heute eigenständige Entscheidungen im Rahmen von autonomem Fahren, Erkennung von Krankheiten oder Sprachassistenten. Obwohl sie zahlreiche Vorteile bietet, trüben Schlagzeilen wie „Gefeuert vom Algorithmus“, „Wenn Algorithmen den Hauskredit verweigern“ oder „Warnung vor rassistischer und sexistischer KI“ das positive Bild und zeigen zugleich auf, welche Gefahren und Risiken mit dem Einsatz von KI für die Rechte und Freiheiten von betroffenen Personen einhergehen können. Aus diesem Grund ist es nicht verwunderlich, dass dem Grundsatz der Transparenz eine immer größere Bedeutung zugemessen wird und insbesondere Betroffene wissen möchten, wie die KI „tickt“ bzw. zu ihrer Entscheidung kommt.
Das „Gehirn“ der Künstliche Intelligenz
Klassische IT-Anwendungen basieren auf einer logischen Abfolge von Verarbeitungsschritten, die oftmals schon als intelligent vom Benutzer empfunden werden, technisch aber nur bedingt als KI eingestuft werden. Die KI-Anwendungen umfassen ebenfalls mehrere Verarbeitungsschritte, beinhalten im Kern jedoch das KI-Modell, dessen Architektur bzw. verwendete Methoden vom Entwickler erstellt wurde. Ohne anschließendes Training des KI-Modells kann man es zurecht als unwissend bezeichnen, da das Modell erst durch das Training mit Beispieldaten Wissen erlangt. Die Beispieldaten bestehen dabei aus einem Eingabewert, z. B. Bild, Text oder sonstigen Daten, und einem Zielwert, der vom KI-Modell auf Basis der Eingabedaten vorhergesagt wird. Beispielsweise, ob im Rahmen einer Darlehnsvergabe der Kunde auf Basis seiner Angaben bzw. Daten kreditwürdig ist.
Mit jedem Trainingsdurchlauf lernt das Modell dazu, indem sich die Parameter, auch Modell-Gewichte genannt, ständig anpassen und im Idealfall immer bessere Vorhersagen liefern. Im Ergebnis besteht die KI somit aus dem verwendeten KI-Modell und den trainierten Modell-Gewichten.
Das KI-Modell ist in den meisten Fällen dem menschlichen Gehirn in Form von Neuronen bzw. neuronalen Netzen nachempfunden. Bei sehr großen Modellen wird in der Fachwelt auch von Deep-Learning gesprochen. Hierbei handelt es sich nicht selten um ein Netz mit mehreren tausend Neuronen und abertausenden von Parametern die während des Trainings verändert bzw. angepasst werden. Auch wenn das KI-Modell selbst sowie die Anordnung der Neuronen klar ersichtlich ist, handelt es sich meist um eine Blackbox. Dies ist darauf zurückzuführen, dass die trainierten Modell-Gewichte und die damit einhergehende Vorhersage bzw. Entscheidung des Modells nicht unbedingt transparent und somit auch nicht immer nachvollziehbar sind.
Der Grundsatz der Transparenz
Der Transparenzgrundsatz ist in Art. 5 Abs. 1 lit. a Var. 3 DSGVO niedergeschrieben, wonach personenbezogene Daten „in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“ müssen. Eine Antwort darauf, wann konkret eine derartige Nachvollziehbarkeit vorliegt bzw. erreicht ist, bleibt uns der Verordnungsgeber allerdings schuldig. Aus diesem Grund bedarf es eines Blicks auf den Ursprung des datenschutzrechtlichen Transparenzgedankens. Bereits 1983 erkannte das Bundesverfassungsgericht im Rahmen des Volkszählungsurteils die Notwendigkeit einer transparenten Gestaltung im Umgang mit personenbezogenen Daten. Denn nur wer überschauen kann, wer was wann und bei welcher Gelegenheit über einen selbst weiß, kann auch selbstbestimmt über die Nutzung seiner Daten entscheiden (vgl. BVerfGE 65, 1 (43)). Wer allerdings keine Kenntnis über die Verarbeitung seiner Daten hat, ist auch nicht in der Lage, von seinen Rechten nach Art. 15 bis 22 DSGVO zum Schutz personenbezogener Daten Gebrauch zu machen – frei nach dem Sprichwort „Was ich nicht weiß, macht mich nicht heiß“. Dieses zentrale Problem erkannte auch der Verordnungsgeber und nahm erstmals den Begriff „Transparenz“ ausdrücklich im Verordnungstext auf.
Ferner findet sich der Transparenzgedanke an zahlreichen Stellen in der DSGVO wieder. Die drei bedeutendsten Normen sind die Auskunfts- und Informationspflichten nach Art. 13 bis 15 DSGVO, die zugleich die zentralen Voraussetzungen zur Wahrung der Betroffenenrechte darstellen. Denn nur mit ausreichenden Informationen kann der Betroffene inhaltlich eine wirkliche Entscheidung über die Verarbeitung seiner personenbezogenen Daten treffen. Zusätzlich führt der Verordnungsgeber im ErwGr. 39 S. 3 DSGVO aus, „dass alle Informationen leicht zugänglich und verständlich und in klarer und einfacher Sprache abzufassen sind.“
Zusammenfassend beschreibt der Transparenzgrundsatz demnach den Zustand, die Verarbeitung der Daten sichtbar und für „jedermann“ verständlich zu machen.
Was bedeutet das für die Praxis?
Wird KI eingesetzt, so stehen Verantwortliche vor der datenschutzrechtlichen Herausforderung, den Grundsatz der Transparenz einzuhalten. Verstößt der Verantwortliche gegen diese Pflicht, so droht ihm ein Bußgeld nach Art. 83 DSGVO. Um dieser Gefahr zu entgehen, ist es notwendig, die Verarbeitung der Daten im Rahmen von KI in nachvollziehbarer Weise darzustellen.
Praktische Umsetzungsmöglichkeiten:
Wie Daten von einer KI verarbeitet werden, basiert auf dem vom Programmierer zuvor festgelegten KI-Modell, d. h. wie das System strukturell aufgebaut ist, sein Wissen erlernt und die jeweiligen Daten prinzipiell verarbeitet. Betrachtet man den Aspekt, dass es sich bei der KI um eine Blackbox handelt, wäre es am einfachsten, das KI-Modell bzw. den Quellcode samt Modell-Gewichten offenzulegen. Schließlich sind dies Dreh- und Angelpunkt der KI-Anwendung. Eine derartige Offenlegung hätte jedoch keinen faktischen Nutzen für die Betroffenen, da sie nicht in der Lage sind, ein derartiges KI-Modell ohne umfassendes Grundwissen zu verstehen. Folglich würde dies keinen Mehrwert schaffen, weshalb dies auch nicht im Sinne des Verordnungsgebers sein kann. Ferner führte das OLG Nürnberg (Urteil vom 30.10.2012 – 3 U 2362/112013) aus, dass „nachvollziehbar nicht nachrechenbar“ bedeutet und eine Offenlegung des Algorithmus nicht erforderlich ist.
Doch wie weit ist der Transparenzgrundsatz im Kontext von KI zu verstehen? Folgt man den Artt. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g und Art. 15 Abs. 1 lit. h DSGVO, so müssen im Fall einer automatisierten Entscheidungsfindung, die ohne jegliches menschliche Eingreifen erfolgt (ErwGr.71 S.1), aussagekräftige Informationen über die involvierte Logik bereitgestellt werden. Wird die involvierte Logik als Erklärbarkeit im Hinblick auf das Ergebnis, die Prozesse sowie das Zustandekommen von Entscheidungen ausgelegt, so steht der Verantwortliche vor folgendem Problem: Einerseits ist die Logik der KI technisch derart komplex und unvorhersehbar, während andererseits nach Art. 12 Abs. 1 DSGVO die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ sind. Um den Transparenzanforderungen vermeintlich zu genügen, werden Betroffene daher nicht selten mit zu detailreichen Informationen überflutet, was sich wiederum negativ auf das Verständnis sowie die Entscheidung des Betroffenen auswirkt. Die geforderten Angaben der involvierten Logik dürften daher nicht derart weit zu fassen sein, weshalb der Gesetzgeber angehalten ist, für Klarheit im Kontext von KI zu sorgen.
Eine mögliche Alternative, auf die man in der Praxis immer öfter trifft, ist die sog. Explainable AI, die eine interpretierbare Beschreibung für das Ergebnis der KI liefert. So auch der LIME-Ansatz (Local Interpretable Model-Agnostic Explanation), bei diesem beispielsweise im Rahmen einer abgelehnten Kreditprüfung etwa Arbeitslosigkeit, Schulden sowie monatliches Einkommen als die maßgeblichen Kriterien identifiziert werden. Dies stellt allerdings eine bloße Annäherung der Vorhersage dar und umfasst nicht alle Kriterien, wodurch u. a. auch diskriminierende oder sachfremde Kriterien unentdeckt bleiben.
Vor diesem Hintergrund empfiehlt es sich aus rein datenschutzrechtlicher Sicht, bereits zu Beginn des KI-Designs den Transparenzgrundsatz zu berücksichtigen. Denn umso komplexer die Modelle gestaltet sind, desto schwieriger wird es anschließend, die Verarbeitung der Daten nachvollziehbar zu machen. Allerdings führen meist diese intransparenten Modelle zu den besseren Ergebnissen bzw. Vorhersagen, insbesondere dann, wenn „leicht“ nachvollziehbare Modelle aufgrund der Vielzahl an Variablen an ihre Grenzen stoßen. Somit sollte prinzipiell abhängig vom Zweck das entsprechende KI-Modell gewählt werden und je nach Grad des damit einhergehenden potentiellen Risikos, die Tiefe und Ausführlichkeit der Informationsbereitstellung variieren.
Fazit
Der dargestellte Sachverhalt verdeutlicht, dass der Verordnungsgeber komplexe, lernende Verarbeitungsprozesse weitgehend unberücksichtigt lässt und nur oberflächlich von automatisierter Entscheidungsfindung, involvierter Logik und Verarbeitung in nachvollziehbarer Weise spricht.
Ferner besteht die Schwierigkeit darin, die tatsächliche Verarbeitung der Daten im Kontext von KI transparent genug beschreiben zu können. Aus diesem Grund sind Verantwortliche in der Bredouille, einerseits ihren datenschutzrechtlichen Informationspflicht inkl. Beschreibung der Nachvollziehbarkeit nachzukommen und anderseits die technische Innovation nicht übermäßig einzuschränken.