VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

KI

Laut EU-Datenschutzgrundverordnung haben Personen einen Anspruch auf aussagekräftige Informationen über Logiken, die hinter KI-basierten Entscheidungen stehen. Fraglich ist, wie weit diese Transparenzvorschrift ausgelegt wird und ob Unternehmen um ihre Geschäftsgeheimnisse fürchten müssen.

KI ist allgegenwärtig: Von der Auswertung großer und komplexer Datenmengen wie Genomdaten in der medizinischen Forschung über die Wahrscheinlichkeitsberechnung zukünftiger Straftaten ("Predictive Policing") im Polizei- und Sicherheitsbereich bis zu digitalen Sprachassistenten wie Apples Siri oder Amazons Alexa. Selbst Fitness-Apps wie Freeletics setzen vermehrt auf den Einsatz von KI und Machine Learning, um jedem Nutzer etwa einen maßgeschneiderten und für ihn optimierten Trainingsplan anbieten zu können.

Diese Entwicklung bleibt auch von der Politik nicht unbemerkt: Nachdem die EU-Kommission bereits Ende April ein europäisches Konzept auf dem Gebiet der künstlichen Intelligenz vorgestellt hat, haben am 26. Juni 2018 auch die Fraktionen der CDU/CSU, SPD, FDP und DIE LINKE den Einsatz einer Enquete-Kommission mit dem Titel "Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale" beim Deutschen Bundestag beantragt, welche nur zwei Tage später bereits am 28. Juni 2018 beschlossen wurde. Aufgabe der Enquete-Kommission soll es sein, bis zur Sommerpause 2020 Handlungsempfehlungen im Umgang mit künstlicher Intelligenz – insbesondere in rechtlicher und ethischer Hinsicht – zu erarbeiten. Das KI-Konzept der EU-Kommission sieht neben der Untersuchung diesbezüglicher Fragestellungen zudem auch umfangreiche Fördermaßnahmen vor, mit dem Ziel, KI-Innovationen in Europa voranzutreiben.

Auch wenn der Einsatz von KI nicht in jedem Anwendungsfall zwingend mit der Auswertung personenbezogener Daten verbunden sein muss, eignet sich KI (etwa im Banken- und Versicherungswesen) dennoch gerade auch zur umfassenden Auswertung von Persönlichkeitsmerkmalen (sogenanntes "Profiling" / "Scoring"). Erstaunlich ist daher, dass die Konzepte der EU-Kommission und der Enquete-Kommission hinsichtlich der datenschutzrechtlichen Dimension des KI-Einsatzes bislang eher vage bleiben.

Wenn die automatisierte Verarbeitung von Persönlichkeitsmerkmalen dem Zweck dient, eine Entscheidung gegenüber dem Betroffenen, beispielsweise. über dessen Kreditwürdigkeit oder Versicherbarkeit, zu treffen, die diesem gegenüber eine rechtliche Wirkung entfaltet oder diesen in ähnlicher Weise erheblich beeinträchtigt, zum Beispiel die Gewährung oder Ablehnung eines Kredit- oder Versicherungsantrags, können datenschutzrechtlich jedoch auch heute bereits besondere Zulässigkeitsvoraussetzungen sowie Transparenzpflichten aus der DSGVO zu beachten sein. Diese waren stellenweise aber auch nach dem alten Datenschutzrecht bereits zu berücksichtigen.

Unabhängig von der Zulässigkeit eines bestimmten Verfahrens, werden insbesondere diese Transparenzpflichten vor dem Hintergrund des Schutzes von Betriebs- und Geschäftsgeheimnissen oftmals aber äußerst kritisch gesehen. Grund hierfür ist, dass dem Betroffenen auch "aussagekräftige Informationen über die involvierte Logik" zur Verfügung gestellt werden müssen und bislang ungeklärt ist, in welchem Umfang und in welcher Intensität diese Informationen zu erteilen sind. Kernfrage ist dabei, ob der Verantwortliche, also das KI-nutzende Unternehmen, lediglich verpflichtet ist, die einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien und Wesenselemente deskriptiv zu erläutern, oder ob hieraus tatsächlich auch die Offenlegung von Berechnungsformeln, Parametern und Algorithmen gefordert werden kann.

Mit der hier vertretenen Auffassung ergibt sich jedenfalls eine Pflicht zur Offenlegung von Formeln und Algorithmen nicht aus der DSGVO. Die Transparenzvorschriften der DSGVO verlangen mithin lediglich "aussagekräftige Informationen über die involvierte Logik" einer automatisierten Entscheidungsfindung, nicht aber auch eine tatsächliche Herausgabe dieser Logiken. Von dem Verantwortlichen geschuldet ist demnach lediglich eine Beschreibung der einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien, also über die grundlegenden Gesetzmäßigkeiten, nach denen ein Algorithmus Entscheidungen trifft. Sinn und Zweck der Informationspflichten der DSGVO ist demnach gerade nicht (wie oftmals vertreten), dem Betroffenen zu ermöglichen, die Resultate einer automatisierten Entscheidungsfindung, beispielsweise den "Score" des Betroffenen, selbst nachzurechnen. Hierfür wären etwa die konkrete Berechnungsformel sowie die Berechnungsparameter erforderlich. Vielmehr soll dem Betroffenen im Rahmen der Transparenzvorschriften, zum Beispiel im Rahmen einer Datenschutzerklärung, lediglich die Möglichkeit eingeräumt werden, sich vorab darüber zu informieren, in welchem Umfang seine Daten bei einem bestimmten Dienstanbieter verarbeitet werden und sich gegebenenfalls nach Alternativen umzusehen.

Dieser Auffassung steht auch nicht das Erfordernis der "Aussagekräftigkeit" der geschuldeten Informationen entgegen. Ganz im Gegenteil dürfte für den Durchschnittsanwender eine verständliche Beschreibung der zugrundeliegenden Prozesse einen größeren Mehrwert darstellen als die Offenlegung der mathematisch-technischen Logiken selbst. Nur durch eine allgemeinverständliche Beschreibung kann also den Vorgaben der DSGVO entsprochen werden. Diese schreibt vor, dass alle zu erteilenden Informationen in verständlicher Form und in einer "klaren und einfachen Sprache" bereitgestellt werden müssen.

Zusammenfassend lauert in der DSGVO keine wirkliche Gefahr für den Know-how-Schutz. Vielmehr sind deren Zulässigkeitsvoraussetzungen und Transparenzpflichten beim Einsatz von automatisierten Entscheidungsfindungen stimmig und interessensgerecht: Menschliche Individuen sollen nicht zum bloßen "Spielball" von Maschinen werden. Treffen Maschinen automatisierte Entscheidungen, ohne dass diese vorher von Menschen auf Richtigkeit überprüft werden, so darf dies nur in einem engen Zulässigkeitsrahmen erfolgen. Der Betroffene muss hierüber vorab aufgeklärt werden.

Dr. Markus HäuserDr. Markus Häuser ist Rechtsanwalt und Partner bei CMS in Deutschland. Er ist auf rechtliche Fragen digitaler Geschäftsmodelle und des Technologierechts spezialisiert und berät sowohl internationale Unternehmen der Technologie- und Medienbranche als auch zahlreiche IT-Anwender, beispielsweise aus dem Finanz- und Versicherungssektor und dem Gesundheitswesen.
 

GRID LIST
Tb W190 H80 Crop Int E14b23d2b8004a8b8336ad4da6e3db77

Ratgeber zur richtigen Voice Search Strategie

Mit der Verbreitung von Sprachassistenten wie Google Assistent oder Amazon Alexa wird…
Netzwerk Stadt

Mobil unterwegs: Die Netzwerk-Konnektivität geht auf die Straße

Die Möglichkeit, die Netzkonnektivität auf Fahrzeuge auszudehnen, hat die Art und Weise…
KI

IBM unternimmt wesentliche Schritte um die Black Box der KI zu öffnen

IBM stellt eine neue Technologie vor, die mehr Transparenz in den Bereich der Künstlichen…
Raumfahrer

Mit KI die unendlichen Weiten des Weltraums entdecken

Seit dem Seit dem 8. Juni ist Alexander Gerst im Rahmen der Mission „Horizons“ an Bord…
Blockchain

Erstes digitales B2B-Informationssystem auf Blockchain-Basis

Aus dem Datalovers-Lab kam kürzlich etwas Großes auf uns zu: Vor knapp zwei Wochen haben…
Michael Gloss

Premiere des Deutschen IT-Leiter-Kongresses DILK

Michael Gloss, Geschäftsführer von Wolters Kluwer Deutschland, im Gespräch mit it…
Smarte News aus der IT-Welt