Datenschutzkonferenz: Auch für KI gilt das Prinzip der Datenminimierung
In der "Hambacher Erklärung" haben die Datenschutzbeauftragten von Bund und Ländern sieben Anforderungen an Systeme der Künstlichen Intelligenz aufgestellt.
(Bild: Gerd Altmann, gemeinfrei)
Der Einsatz Künstlicher Intelligenz (KI) muss dem Menschen sowie seinen Grundrechten und -freiheiten gerecht werden. Das haben die Datenschutzaufsichtsbehörden des Bundes und der Länder auf ihrer 97. Konferenz am Donnerstag in einer "Hambacher Erklärung" betont. Mit dem Dokument, das bewusst an die auf dem Hambacher Fest 1832 erhobenen Forderungen nach Freiheit und Demokratie anknüpfen soll, stellen die Kontrolleure sieben weitreichende Anforderungen an KI-Systeme auf.
Angesichts der "substanziellen Herausforderung" für die Bürgerrechte durch die Technik mahnen die Datenschützer, dass die Anwendungen "in demokratisch-rechtsstaatlicher Weise den Grundrechten entsprechen" müssten. "Nicht alles, was technisch möglich und ökonomisch erwünscht ist, darf in der Realität umgesetzt werden. Das gilt in besonderem Maße für den Einsatz von selbstlernenden Systemen, die massenhaft Daten verarbeiten und durch automatisierte Einzelentscheidungen in Rechte und Freiheiten Betroffener eingreifen."
KI darf Menschen nicht zum Objekt machen
An die Gesetzgeber appellieren die Aufsichtsbehörden, "wesentliche Rahmenbedingungen" für KI vorzugeben, damit sie diese dann vollziehen könnten. Sie unterstreichen: "Nur wenn der Grundrechtsschutz und der Datenschutz mit dem Prozess der Digitalisierung Schritt halten, ist eine Zukunft möglich, in der am Ende Menschen und nicht Maschinen über Menschen entscheiden." Zudem drohten vielfach Diskriminierungen durch KI, die in jedem Fall vermieden werden müssten. Dafür sei eine permanente Risikoüberwachung nötig, da die Neigungen oft nicht von vornherein erkennbar seien.
Mit dem Papier fordern die Datenschützer, dass Künstliche Intelligenz "Menschen nicht zum Objekt machen" dürfe. Vollständig automatisierte Entscheidungen oder Profiling seien nur eingeschränkt zulässig. Entscheidungen mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung dürften gemäß Datenschutz-Grundverordnung (DSGVO) "nicht allein der Maschine überlassen werden".
DSGVO – "Ein Schuss ins Knie"
"KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben", heißt es in der Entschließung. Zudem müsse die Technik bestenfalls inklusive verwendeter Trainingsdaten "transparent, nachvollziehbar und erklärbar sein". Dabei sei auch "die involvierte Logik" offenzulegen.
"Für KI gilt der Grundsatz der Datenminimierung", konstatieren die Experten. "Die Verarbeitung personenbezogener Daten muss daher stets auf das notwendige Maß beschränkt sein." Der Einsatz "vollständig anonymer" Messwerte oder Informationen könne aber ausreichen, um einen "legitimen Zweck" zu erreichen. Viele Praktiker fordern dagegen einen unbegrenzten "Datenreichtum", wenn es gerade um das Training von KI-Systemen geht. Die EU habe sich daher mit der DSGVO ins Knie geschossen. Anknüpfungspunkt darin ist aber nur der Personenbezug.
Verantwortlichkeit beim Einsatz von KI
"Die Beteiligten beim Einsatz eines KI-Systems müssen die Verantwortlichkeit ermitteln und klar kommunizieren", heißt es in der Erklärung. Es seien jeweils die notwendigen Maßnahmen zu treffen, "um die rechtmäßige Verarbeitung, die Betroffenenrechte", die Sicherheit und die Beherrschbarkeit der Technik zu gewährleisten. In der Regel halten die Datenschützer auch eine Datenschutz-Folgenabschätzung für nötig. Schließlich seien "technische und organisatorische Standards" etwa zur Pseudonymisierung von Daten erforderlich.
Der Bundesdatenschutzbeauftragte Ulrich Kelber bezeichnete die Erklärung als "klares Signal" an Entwickler und die Bundesregierung. Diese wolle dafür sorgen, "den Grundrechten auch beim Einsatz Künstlicher Intelligenz weiterhin die prägende Rolle zukommen zu lassen". Die Menschenwürde und das in ihr verankerte Grundrecht auf informationelle Selbstbestimmung müssten auch bei der Nutzung solcher Systeme Maßstab des Handelns bleiben.
In einer weiteren Resolution fordert die Konferenz die Regierung und den Bundestag auf, die von der DSGVO vorgeschriebenen Geldbußen "gegen Unternehmen für Verstöße ihrer Mitarbeiterinnen und Mitarbeiter im deutschen Recht sicherzustellen". Bislang gälten hier nur die eingeschränkten Regeln des deutschen Ordnungswidrigkeitsrechts. Die Datenschützer bedauerten zudem, "dass der datenschutzkonforme Betrieb von Facebook-Fanpages weiterhin nicht möglich ist". Die Plattform und Fanpage-Anbieter müssten ihren gesetzlich zugewiesenen Verantwortlichkeiten gerecht werden. (bme)
