Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

KI

Laut EU-Datenschutzgrundverordnung haben Personen einen Anspruch auf aussagekräftige Informationen über Logiken, die hinter KI-basierten Entscheidungen stehen. Fraglich ist, wie weit diese Transparenzvorschrift ausgelegt wird und ob Unternehmen um ihre Geschäftsgeheimnisse fürchten müssen.

KI ist allgegenwärtig: Von der Auswertung großer und komplexer Datenmengen wie Genomdaten in der medizinischen Forschung über die Wahrscheinlichkeitsberechnung zukünftiger Straftaten ("Predictive Policing") im Polizei- und Sicherheitsbereich bis zu digitalen Sprachassistenten wie Apples Siri oder Amazons Alexa. Selbst Fitness-Apps wie Freeletics setzen vermehrt auf den Einsatz von KI und Machine Learning, um jedem Nutzer etwa einen maßgeschneiderten und für ihn optimierten Trainingsplan anbieten zu können.

Diese Entwicklung bleibt auch von der Politik nicht unbemerkt: Nachdem die EU-Kommission bereits Ende April ein europäisches Konzept auf dem Gebiet der künstlichen Intelligenz vorgestellt hat, haben am 26. Juni 2018 auch die Fraktionen der CDU/CSU, SPD, FDP und DIE LINKE den Einsatz einer Enquete-Kommission mit dem Titel "Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale" beim Deutschen Bundestag beantragt, welche nur zwei Tage später bereits am 28. Juni 2018 beschlossen wurde. Aufgabe der Enquete-Kommission soll es sein, bis zur Sommerpause 2020 Handlungsempfehlungen im Umgang mit künstlicher Intelligenz – insbesondere in rechtlicher und ethischer Hinsicht – zu erarbeiten. Das KI-Konzept der EU-Kommission sieht neben der Untersuchung diesbezüglicher Fragestellungen zudem auch umfangreiche Fördermaßnahmen vor, mit dem Ziel, KI-Innovationen in Europa voranzutreiben.

Auch wenn der Einsatz von KI nicht in jedem Anwendungsfall zwingend mit der Auswertung personenbezogener Daten verbunden sein muss, eignet sich KI (etwa im Banken- und Versicherungswesen) dennoch gerade auch zur umfassenden Auswertung von Persönlichkeitsmerkmalen (sogenanntes "Profiling" / "Scoring"). Erstaunlich ist daher, dass die Konzepte der EU-Kommission und der Enquete-Kommission hinsichtlich der datenschutzrechtlichen Dimension des KI-Einsatzes bislang eher vage bleiben.

Wenn die automatisierte Verarbeitung von Persönlichkeitsmerkmalen dem Zweck dient, eine Entscheidung gegenüber dem Betroffenen, beispielsweise. über dessen Kreditwürdigkeit oder Versicherbarkeit, zu treffen, die diesem gegenüber eine rechtliche Wirkung entfaltet oder diesen in ähnlicher Weise erheblich beeinträchtigt, zum Beispiel die Gewährung oder Ablehnung eines Kredit- oder Versicherungsantrags, können datenschutzrechtlich jedoch auch heute bereits besondere Zulässigkeitsvoraussetzungen sowie Transparenzpflichten aus der DSGVO zu beachten sein. Diese waren stellenweise aber auch nach dem alten Datenschutzrecht bereits zu berücksichtigen.

Unabhängig von der Zulässigkeit eines bestimmten Verfahrens, werden insbesondere diese Transparenzpflichten vor dem Hintergrund des Schutzes von Betriebs- und Geschäftsgeheimnissen oftmals aber äußerst kritisch gesehen. Grund hierfür ist, dass dem Betroffenen auch "aussagekräftige Informationen über die involvierte Logik" zur Verfügung gestellt werden müssen und bislang ungeklärt ist, in welchem Umfang und in welcher Intensität diese Informationen zu erteilen sind. Kernfrage ist dabei, ob der Verantwortliche, also das KI-nutzende Unternehmen, lediglich verpflichtet ist, die einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien und Wesenselemente deskriptiv zu erläutern, oder ob hieraus tatsächlich auch die Offenlegung von Berechnungsformeln, Parametern und Algorithmen gefordert werden kann.

Mit der hier vertretenen Auffassung ergibt sich jedenfalls eine Pflicht zur Offenlegung von Formeln und Algorithmen nicht aus der DSGVO. Die Transparenzvorschriften der DSGVO verlangen mithin lediglich "aussagekräftige Informationen über die involvierte Logik" einer automatisierten Entscheidungsfindung, nicht aber auch eine tatsächliche Herausgabe dieser Logiken. Von dem Verantwortlichen geschuldet ist demnach lediglich eine Beschreibung der einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien, also über die grundlegenden Gesetzmäßigkeiten, nach denen ein Algorithmus Entscheidungen trifft. Sinn und Zweck der Informationspflichten der DSGVO ist demnach gerade nicht (wie oftmals vertreten), dem Betroffenen zu ermöglichen, die Resultate einer automatisierten Entscheidungsfindung, beispielsweise den "Score" des Betroffenen, selbst nachzurechnen. Hierfür wären etwa die konkrete Berechnungsformel sowie die Berechnungsparameter erforderlich. Vielmehr soll dem Betroffenen im Rahmen der Transparenzvorschriften, zum Beispiel im Rahmen einer Datenschutzerklärung, lediglich die Möglichkeit eingeräumt werden, sich vorab darüber zu informieren, in welchem Umfang seine Daten bei einem bestimmten Dienstanbieter verarbeitet werden und sich gegebenenfalls nach Alternativen umzusehen.

Dieser Auffassung steht auch nicht das Erfordernis der "Aussagekräftigkeit" der geschuldeten Informationen entgegen. Ganz im Gegenteil dürfte für den Durchschnittsanwender eine verständliche Beschreibung der zugrundeliegenden Prozesse einen größeren Mehrwert darstellen als die Offenlegung der mathematisch-technischen Logiken selbst. Nur durch eine allgemeinverständliche Beschreibung kann also den Vorgaben der DSGVO entsprochen werden. Diese schreibt vor, dass alle zu erteilenden Informationen in verständlicher Form und in einer "klaren und einfachen Sprache" bereitgestellt werden müssen.

Zusammenfassend lauert in der DSGVO keine wirkliche Gefahr für den Know-how-Schutz. Vielmehr sind deren Zulässigkeitsvoraussetzungen und Transparenzpflichten beim Einsatz von automatisierten Entscheidungsfindungen stimmig und interessensgerecht: Menschliche Individuen sollen nicht zum bloßen "Spielball" von Maschinen werden. Treffen Maschinen automatisierte Entscheidungen, ohne dass diese vorher von Menschen auf Richtigkeit überprüft werden, so darf dies nur in einem engen Zulässigkeitsrahmen erfolgen. Der Betroffene muss hierüber vorab aufgeklärt werden.

Dr. Markus HäuserDr. Markus Häuser ist Rechtsanwalt und Partner bei CMS in Deutschland. Er ist auf rechtliche Fragen digitaler Geschäftsmodelle und des Technologierechts spezialisiert und berät sowohl internationale Unternehmen der Technologie- und Medienbranche als auch zahlreiche IT-Anwender, beispielsweise aus dem Finanz- und Versicherungssektor und dem Gesundheitswesen.
 

GRID LIST
Tb W190 H80 Crop Int A9f94445fb0afc6518c9aadd7d203eaf

AI ON THE RISE: Ein Blick auf das IT-Jahr

Blickt man zurück auf das Jahr 2018 so erinnert man sich aus der IT Sicht vor allem an…
KI

Startschuss für eine KI-Offensive der Wirtschaft?

Am 16. November veröffentlichte die Bundesregierung ihre Strategie zur Entwicklung und…
Tb W190 H80 Crop Int 5932773f3d0fa869a9e4543903836f46

Die Zukunft des Highspeed-Internets - wann können wir es alle nutzen?

Internet und Deutschland, das ist immer noch eine Verknüpfung, die an Blechdosen und…
Tb W190 H80 Crop Int 72f4f00f38a67264795c38a29ebfca98

Intelligente Standards für die Automobilindustrie

In der jüngeren Vergangenheit hat es einen Umbruch in der vernetzten Fahrzeugtechnik…
Tb W190 H80 Crop Int 83e42abf2c83bc3b81052b099644a410

Faktor Mensch im Fokus der Digitalisierung

Industrie 4.0 und Internet of Things, Digitalisierung, Artificial Intelligence –…
Vertrauen in #Datensicherheit auf Fünf-Jahres-Hoch @Bitkom #Datenschutz  it-daily.net/analysen/19805-vertrauen-in-datensicherheit-auf-fuenf-jahres-hoch

IT-Modernisierung: Enterprise Architekten als Vermittler für digitale Transformation

Digitale Unternehmen bringen die Interaktion mit ihren Kunden auf ein neues Level.…
Smarte News aus der IT-Welt