DSGVO und KI: Unverträglichkeiten beim Datenschutz
Experten verweisen auf Missklänge zwischen Maschinenlernen, Big Data und der EU-Datenschutzverordnung. Transparenzanforderungen etwa seien bei Blackbox-KI oder "Watson Inside" nicht angemessen zu erfüllen.
(Bild: Tatiana Shepeleva/Shutterstock.com)
Die Beziehung zwischen Künstlicher Intelligenz (KI) und der in wenigen Tagen greifenden EU-Datenschutzgrundverordnung (DSGVO) ist kompliziert. KI und ihre Disziplin Maschinenlernen beruhen in der Regel auf Big-Data-Analysen unter Einsatz von Algorithmen. Demgegenüber steht künftig etwa Artikel 22 der DSGVO. Er formuliert das Recht, "nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden", die gegenüber Betroffenen "rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt".
Datenschutz setzt enge Grenzen
Ausnahmen sind nur möglich auf Basis einer expliziten Einwilligung oder eines Vertrags. Wer KI-Systeme einsetzen wolle, müsse sich daher umfangreich absichern, erklärte Christopher Millard, Professor für Datenschutz- und Informationsrecht an der Queen Mary University in London am Dienstag auf den European Data Protection Days in Berlin. So müsste den Betroffenen etwa das Recht auf eine "menschliche Intervention" gegeben werden sowie die Möglichkeit, ihre Sicht der Dinge darzustellen und eine automatisch etwa per Scoring zur Bonitätsanalyse getroffene Entscheidung anzufechten.
Vor der Implementierung algorithmenbasierter Systeme dürfte laut dem Forscher zudem eine Technikfolgenabschätzung nötig sein, wenn damit in großer Breite menschliches Verhalten analysiert werde. Firmen müssten Betroffene zudem angesichts des Transparenzgebots aus der Verordnung Informationen über die bedeutungsvollen Parameter einer Entscheidung an die Hand geben, was vielfach als ein "Recht auf Erklärung" der verwendeten Kriterien verstanden werde.
Kein Blick ins Innere
Diese Bestimmung beißt sich laut Millard aber mit einigen Eigenschaften spezieller Formen von Maschinenlernen. Häufig arbeite die Technik in einem Blackbox-Verfahren, bei dem selbst die Programmierer und andere beteiligte Experten nicht nachvollziehen könnten, wie eine maschinelle Entscheidung genau zustande komme. Selbst wenn es dafür Anhaltspunkte gebe, dürften diese für die meisten Betroffenen unverständlich sein. Firmen versuchten zudem teils bewusst, ihre Algorithmen als Geschäftsgeheimnisse zu schützen. Ferner wüssten Firmen, die KI als fertige Lösung von Dritten wie bei "Watson Inside" von IBM einkaufen, in der Regel selbst nicht, wie diese Dienste funktionierten.
Eine weitere Herausforderung sei das in der DSGVO festgeschriebene Diskriminierungsverbot, führte der Professor aus. Bei nicht ganz taufrischen KI-Trainingsdaten etwa sei das Risiko groß, dass diese Vorurteile einschlössen und damit ein Regelverstoß vorliege. Zu bedenken sei andererseits, dass menschliche Entscheidungen keineswegs immer unvoreingenommen erfolgten. So gebe es in diesem Bereich zahllose Beispiele für Diskriminierungen etwa anhand von Geschlechtern oder Ethnien, wobei viele Prozesse im Unterbewusstsein abliefen. Den Menschen aus der Entscheidungsfindung herauszunehmen, könne die Fairness manchmal folglich sogar erhöhen. Manche Experten hätten daher schon die Frage aufgeworfen, ob es nicht ein Recht geben müsse, Berufung gegen ein menschliches Urteil bei einer Maschine einlegen zu dürfen.
Auch unter dem Gebot zur Datenminimierung könnte dem Juristen zufolge die Qualität des Entscheidungsprozesses leiden. Insgesamt sei das Spannungsverhältnis zwischen KI und der DSGVO sehr groß und es sei durchaus denkbar, dass auf Basis der Vorgaben technisch "richtige" Klassifizierungen rechtlich nicht vorgenommen werden dürften.
Technik soll Probleme lösen
Ähnlich äußerte sich die stellvertretende Microsoft-Justiziarin Julie Brill. Als eines der vielen "Rätsel" der Verordnung machte sie das potenzielle Zusammenspiel zwischen KI, Big Data und der geforderten Zweckbindung aus. Die frühere leitende Mitarbeiterin der US-Handelsaufsicht FTC (Federal Trade Commission) hofft aber, dass "die Technologie helfen wird, dieses Problem zu lösen". Ansätze zum technischen Datenschutz wie Differential Privacy könnten es so etwa erlauben, "den individuellen Personenbezug aufzuheben". Bei diesem Verfahren passieren Datenbankabfragen einen Filter, der Unschärfe hinzufügt. Generell müssten Methoden zur Pseudonymisierung und Anonymisierung vorangetrieben werden. (mho)
