Worauf Unternehmen achten müssen

Künstliche Intelligenz vs. Transparenz

Laut EU-Datenschutzgrundverordnung haben Personen einen Anspruch auf aussagekräftige Informationen über Logiken, die hinter KI-basierten Entscheidungen stehen. Fraglich ist, wie weit diese Transparenzvorschrift ausgelegt wird und ob Unternehmen um ihre Geschäftsgeheimnisse fürchten müssen.

KI ist allgegenwärtig: Von der Auswertung großer und komplexer Datenmengen wie Genomdaten in der medizinischen Forschung über die Wahrscheinlichkeitsberechnung zukünftiger Straftaten (“Predictive Policing”) im Polizei- und Sicherheitsbereich bis zu digitalen Sprachassistenten wie Apples Siri oder Amazons Alexa. Selbst Fitness-Apps wie Freeletics setzen vermehrt auf den Einsatz von KI und Machine Learning, um jedem Nutzer etwa einen maßgeschneiderten und für ihn optimierten Trainingsplan anbieten zu können.

Anzeige

Diese Entwicklung bleibt auch von der Politik nicht unbemerkt: Nachdem die EU-Kommission bereits Ende April ein europäisches Konzept auf dem Gebiet der künstlichen Intelligenz vorgestellt hat, haben am 26. Juni 2018 auch die Fraktionen der CDU/CSU, SPD, FDP und DIE LINKE den Einsatz einer Enquete-Kommission mit dem Titel “Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale” beim Deutschen Bundestag beantragt, welche nur zwei Tage später bereits am 28. Juni 2018 beschlossen wurde. Aufgabe der Enquete-Kommission soll es sein, bis zur Sommerpause 2020 Handlungsempfehlungen im Umgang mit künstlicher Intelligenz – insbesondere in rechtlicher und ethischer Hinsicht – zu erarbeiten. Das KI-Konzept der EU-Kommission sieht neben der Untersuchung diesbezüglicher Fragestellungen zudem auch umfangreiche Fördermaßnahmen vor, mit dem Ziel, KI-Innovationen in Europa voranzutreiben.

Auch wenn der Einsatz von KI nicht in jedem Anwendungsfall zwingend mit der Auswertung personenbezogener Daten verbunden sein muss, eignet sich KI (etwa im Banken- und Versicherungswesen) dennoch gerade auch zur umfassenden Auswertung von Persönlichkeitsmerkmalen (sogenanntes “Profiling” / “Scoring”). Erstaunlich ist daher, dass die Konzepte der EU-Kommission und der Enquete-Kommission hinsichtlich der datenschutzrechtlichen Dimension des KI-Einsatzes bislang eher vage bleiben.

Wenn die automatisierte Verarbeitung von Persönlichkeitsmerkmalen dem Zweck dient, eine Entscheidung gegenüber dem Betroffenen, beispielsweise. über dessen Kreditwürdigkeit oder Versicherbarkeit, zu treffen, die diesem gegenüber eine rechtliche Wirkung entfaltet oder diesen in ähnlicher Weise erheblich beeinträchtigt, zum Beispiel die Gewährung oder Ablehnung eines Kredit- oder Versicherungsantrags, können datenschutzrechtlich jedoch auch heute bereits besondere Zulässigkeitsvoraussetzungen sowie Transparenzpflichten aus der DSGVO zu beachten sein. Diese waren stellenweise aber auch nach dem alten Datenschutzrecht bereits zu berücksichtigen.

Unabhängig von der Zulässigkeit eines bestimmten Verfahrens, werden insbesondere diese Transparenzpflichten vor dem Hintergrund des Schutzes von Betriebs- und Geschäftsgeheimnissen oftmals aber äußerst kritisch gesehen. Grund hierfür ist, dass dem Betroffenen auch “aussagekräftige Informationen über die involvierte Logik” zur Verfügung gestellt werden müssen und bislang ungeklärt ist, in welchem Umfang und in welcher Intensität diese Informationen zu erteilen sind. Kernfrage ist dabei, ob der Verantwortliche, also das KI-nutzende Unternehmen, lediglich verpflichtet ist, die einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien und Wesenselemente deskriptiv zu erläutern, oder ob hieraus tatsächlich auch die Offenlegung von Berechnungsformeln, Parametern und Algorithmen gefordert werden kann.

Mit der hier vertretenen Auffassung ergibt sich jedenfalls eine Pflicht zur Offenlegung von Formeln und Algorithmen nicht aus der DSGVO. Die Transparenzvorschriften der DSGVO verlangen mithin lediglich “aussagekräftige Informationen über die involvierte Logik” einer automatisierten Entscheidungsfindung, nicht aber auch eine tatsächliche Herausgabe dieser Logiken. Von dem Verantwortlichen geschuldet ist demnach lediglich eine Beschreibung der einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien, also über die grundlegenden Gesetzmäßigkeiten, nach denen ein Algorithmus Entscheidungen trifft. Sinn und Zweck der Informationspflichten der DSGVO ist demnach gerade nicht (wie oftmals vertreten), dem Betroffenen zu ermöglichen, die Resultate einer automatisierten Entscheidungsfindung, beispielsweise den “Score” des Betroffenen, selbst nachzurechnen. Hierfür wären etwa die konkrete Berechnungsformel sowie die Berechnungsparameter erforderlich. Vielmehr soll dem Betroffenen im Rahmen der Transparenzvorschriften, zum Beispiel im Rahmen einer Datenschutzerklärung, lediglich die Möglichkeit eingeräumt werden, sich vorab darüber zu informieren, in welchem Umfang seine Daten bei einem bestimmten Dienstanbieter verarbeitet werden und sich gegebenenfalls nach Alternativen umzusehen.

Dieser Auffassung steht auch nicht das Erfordernis der “Aussagekräftigkeit” der geschuldeten Informationen entgegen. Ganz im Gegenteil dürfte für den Durchschnittsanwender eine verständliche Beschreibung der zugrundeliegenden Prozesse einen größeren Mehrwert darstellen als die Offenlegung der mathematisch-technischen Logiken selbst. Nur durch eine allgemeinverständliche Beschreibung kann also den Vorgaben der DSGVO entsprochen werden. Diese schreibt vor, dass alle zu erteilenden Informationen in verständlicher Form und in einer “klaren und einfachen Sprache” bereitgestellt werden müssen.

Zusammenfassend lauert in der DSGVO keine wirkliche Gefahr für den Know-how-Schutz. Vielmehr sind deren Zulässigkeitsvoraussetzungen und Transparenzpflichten beim Einsatz von automatisierten Entscheidungsfindungen stimmig und interessensgerecht: Menschliche Individuen sollen nicht zum bloßen “Spielball” von Maschinen werden. Treffen Maschinen automatisierte Entscheidungen, ohne dass diese vorher von Menschen auf Richtigkeit überprüft werden, so darf dies nur in einem engen Zulässigkeitsrahmen erfolgen. Der Betroffene muss hierüber vorab aufgeklärt werden.

Dr. Markus HäuserDr. Markus Häuser ist Rechtsanwalt und Partner bei CMS in Deutschland. Er ist auf rechtliche Fragen digitaler Geschäftsmodelle und des Technologierechts spezialisiert und berät sowohl internationale Unternehmen der Technologie- und Medienbranche als auch zahlreiche IT-Anwender, beispielsweise aus dem Finanz- und Versicherungssektor und dem Gesundheitswesen.
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.