Künstliche Intelligenz und Datenschutz – Wie passt das zusammen?
Künstliche Intelligenz (KI) oder Artificial Intelligence (AI) sind häufig genutzte Schlagwörter, wenn es darum geht die Fähigkeit von Computern zu beschreiben komplexe Fragestellungen zu lösen und automatisiert Entscheidungen zu treffen. Welche Anforderungen dabei der Datenschutz stellt, hat die spanische Datenschutzbehörde ausführlich erläutert.
In Fachkreisen werden drei Arten von Künstlicher Intelligenz unterschieden. Schwache KI (weak AI) ist in der Lage Lösungen für spezifische wohldefinierte Problemstellungen zu entwickeln. Starke KI (general AI) soll in der Lage sein jede intellektuelle Aufgabe zu meistern, die auch ein Mensch meistern könnte. Und die wahre KI (true AI) oder auch Superintelligenz wäre in der Lage die intellektuellen Fähigkeiten des Menschen sogar noch zu übertreffen.
In der Praxis anzutreffen sind Anwendungen der schwachen KI, bei denen es sich häufig um Implementierungen des maschinellen Lernens handelt. Dabei werden Vorhersagemodelle entwickelt, die in der Lage sind einen Ursprungsdatensatz auf seine Zusammenhänge zwischen den einzelnen Variablen hin zu untersuchen, Muster zu identifizieren und Klassifizierungskriterien festzulegen. Die derart entstehenden Erklärungs- und Entscheidungsmodelle können mit jedem weiteren Datensatz angepasst und verfeinert werden. Die Maschine lernt.
Anforderungen des Datenschutzes
Aus Sicht des Datenschutzes sind die Anforderungen der Datenschutzgrundverordnung (DSGVO) auf KI-Systeme ebenso anwendbar wie auf jede andere Form der Datenverarbeitung. Auch die Definition für vertrauenswürdige Künstliche Intelligenz, an der die Europäische Kommission arbeitet, beinhaltet den Schutz von Daten und Privatsphäre als eine von sieben Schlüsselanforderungen für derartige Systeme.
In ihrer Publikation analysiert die spanische Datenschutzbehörde die ethischen und datenschutzrechtlichen Anforderungen an KI-Systeme entlang des gesamten Lebenszyklus derartiger Anwendungen. Von der anfänglichen Designphase bis zur finalen Stilllegung des Systems werden die typischen Verarbeitungssituationen, die Verteilung der Verantwortlichkeiten aber auch mögliche Rechtsgrundlagen für den Einsatz von Künstlicher Intelligenz untersucht. Dabei werden durchaus hohe Qualitätsansprüche an diese technischen Systeme gestellt. Schließlich ist die Neuheit einer Technologie kein Entschuldigungsgrund für mangelnde ethische oder datenschutzrechtliche Compliance. Im Gegenteil sind die Grundsätze der Datenverarbeitung (Artikel 5 DSGVO) die leitenden Kriterien der gesamten Publikation. Hinsichtlich der Rechte der Betroffenen kommt den Informationspflichten gemäß Artikel 13 und 14 DSGVO sowie den Bestimmungen zu automatisierten Entscheidungen und Profiling (Artikel 22 DSGVO) besondere Bedeutung zu. Aussagekräftige Informationen über die Funktionsweise der KI und die Art der Verarbeitung der personenbezogenen Daten müssen bereitgestellt werden. Dies jedoch in einer Weise, die für die Betroffenen auch verständlich und nachvollziehbar ist. Zu den Punkten, die in einer solchen Information enthalten sein können, enthält die Publikation einige konkrete Vorschläge. Aber auch die Einhaltung der übrigen Betroffenenrechte, wie etwa des Rechts auf Auskunft, auf Richtigstellung und auf Löschung, wird behandelt.
Risikomanagement und Folgenabschätzung
Im Bereich des Risikomanagements gelten für KI-Systeme aufgrund ihrer Funktionsweise auch besondere Anforderungen. So besteht beim maschinellen Lernen die wesentliche Gefahr, dass der Computer menschliche Vorurteile oder Fehleinschätzungen übernimmt, da diese in den ursprünglich von Menschen stammenden Trainings-Datensätzen enthalten sind und so von der Maschine gelernt werden. Gesellschaftliche Ungleichheiten und Diskriminierung können so in die vermeintlich neutrale Entscheidungsfindung des Computers Eingang finden. Dieses Risiko muss erkannt, analysiert und behandelt werden. Aber auch aus den äußeren Umständen der Datenverarbeitung können sich spezifische Risiken ergeben, die besonderer Aufmerksamkeit bedürfen.
Da es sich bei Anwendungen Künstlicher Intelligenz regelmäßig um den Einsatz neuerer Technologien handelt, wird während der Entwicklung und auch im Produktivbetrieb mit sehr hoher Wahrscheinlichkeit eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) erforderlich sein. Auch auf diesen Aspekt geht die Publikation im Detail ein und verweist auf weiterführende Informationen und Leitfäden der Datenschutzbehörden.
Auditierung
Aus der Verantwortlichkeit des Verantwortlichen (Artikel 24 DSGVO) leitet die spanische Datenschutzbehörde auch eine Verpflichtung zur Auditierung von KI-Systemen ab. Schließlich müsse der Nachweis darüber erbracht werden, dass die ergriffenen Maßnahmen zur Risikobehandlung auch tatsächlich geeignet sind, die spezifischen Risiken der Datenverarbeitung ausreichend zu begrenzen. Daher ist es nach Ansicht der Behörde erforderlich nicht nur ein Audit durchzuführen, um die Übereinstimmung mit den Anforderungen der DSGVO sicherzustellen. Vielmehr muss sichergestellt werden, dass die Verarbeitung auch über ihren gesamten Lebenszyklus hinweg auditierbar bleibt, um die Zulässigkeit der Verarbeitung jederzeit überprüfen zu können. Auch dazu enthält die Publikation spezifische Anforderungen.
Transparenz, Risikomanagement, Auditierung und Zertifizierung werden nach Ansicht der spanischen Datenschutzbehörde nicht nur die Einhaltung der DSGVO durch Anwendungen der Künstlichen Intelligenz fördern, sondern auch das Vertrauen der Nutzer in diese Systeme stärken.
Das Wichtigste zum Schluss
Eines der Hauptprobleme KI-gestützter Lösungen sieht die Behörde jedoch nicht in der KI selbst, sondern eher in der Art und Weise, wie KI-Technologien und von ihnen produzierte Ergebnisse von den Nutzern bewertet werden. Verantwortlichkeiten sollten nicht an KI-Komponenten übertragen werden, ohne sie einer rationalen kritischen und anspruchsvollen menschlichen Kontrolle zu unterwerfen. Die Versuchung der Menschen den Computern blind zu vertrauen, ist leider immer noch sehr groß und kann sich im Bereich der Künstlichen Intelligenz als sehr problematisch erweisen.
