KI und Datenschutz: Kein Widerspruch

Technologien der künstlichen Intelligenz (KI) haben in den vergangenen Jahren beachtliche Fortschritte erzielt. Es scheint kaum einen Industrie-, aber auch Verwaltungszweig zu geben, der nicht wenigstens mit KI experimentiert. Das Thema ist laut Udo Keuter, Datenschutzbeauftragter der BG Verkehr, auch für die gesetzlichen UV-Träger interessant: Die neuen Technologien könnten Entscheidungen zum Beispiel über das Vorliegen eines Arbeitsunfalles, Fragen zur Steuerung und Überwachung des Heilverfahrens und zu Kostenentscheidungen deutlich vereinfachen.

Kein Wunder: Maschinen sind sehr viel besser als Menschen dazu geeignet, mit großen Datenmengen umzugehen und Korrelationen zu erkennen. Im Idealfall lassen sich so Erkenntnisse gewinnen, für die Erfahrung allein nicht genügt hätte, so Keuter. Die Erforschung von „KI Made in Germany“ soll nach dem Willen der Bundesregierung künftig besser gefördert werden. 3 Milliarden Euro sollen bis 2025 in KI-Forschung fließen.

Der Einsatz von KI ruft Fragen auf: Was verändert sich durch dadurch im Leben der Bürgerinnen und Bürger, in der Wirtschaft und in der Gesellschaft als Ganzes? Welche Rolle soll den neuen Technologien in der Zukunft zukommen? Damit beschäftigt sich nun die Datenethikkommission der Bundesregierung.

Bei der Suche nach Antworten müssen viele Blickwinkel berücksichtigt werden, zum Beispiel aus technischer, ethischer, rechtlicher oder gesellschaftswissenschaftlicher Sicht. Um all diese Sichtweisen zu Wort zu kommen zu lassen und in einer gemeinsamen Diskussion zusammenzuführen, haben die Regierungsparteien im Koalitionsvertrag die Einsetzung der Datenethikkommission vereinbart. In Berlin hat die Kommission jetzt ihr Gutachten vorgestellt, 240 Seiten mit 75 „Handlungsempfehlungen“. Näher erläutert hat Kommissionssprecherin Christiane Woopen die Inhalte in einem Interview mit dem STERN (Link auf https://www.stern.de/digital/datenethikkommission--wie-stoppt-man-hassmaschinen--8964914.html). Der von der Datenethikkommission aufgezeichnete Entwicklungsrahmen für Datenpolitik wird alleine allerdings nicht reichen.

Einsatz eingeschränkt

Da ist zunächst das Problem mit den Daten: KI benötigt große Mengen an Daten, mit denen Technologien entwickelt und Modelle trainiert werden können. Doch hier stößt die Technik schnell an die Grenze des Datenschutzes. Denn egal ob personenbezogen, urheberrechtlich geschützt, oder als Geschäftsgeheimnis qualifiziert – Daten sind in vielen Fällen rechtlich geschüzt und dürfen nur in vergleichsweise engen Ausnahmen für KI-Entwicklung zweckentfremdet werden. Je nach Anwendungsfall kann das den Einsatz in der Praxis massiv behindern oder gar ganz verhindern.

Gleichzeitig sind Maschinen zwar gut darin, Korrelationen und Muster zu erkennen. Von tat-sächlichen Ursachen und Wirkungen verstehen sie jedoch nicht viel. Die Gefahren von Fehl-einschätzungen und falschem Vertrauen in die Intelligenz der Maschine sind allgegenwärtig.

Mit Geld allein werde sich KI daher nicht wesentlich vorantreiben lassen, meint Experte Keuter. Es bedarf vielmehr rechtlicher Reformen und gesellschaftlicher Debatten, in welchem Rahmen KI überhaupt erforscht und genutzt und dann in der Praxis eingesetzt werden soll.

Mit der Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wurde der Datenschutz ausgeweitet – und einige Vorschriften der DSGVO wie zum Beispiel die Entwicklung eines Datenlöschkonzeptes scheinen erst gar nicht mit den Grundgedanken von KI-Nutzung vereinbar zu sein. So können etwa nach bisherigem Entwicklungsstand die Rechte auf Datenübertragbarkeit (Art. 20 DSGVO) und Datenlöschung (Art. 17 DSGVO) nicht vollständig oder nur sehr umständlich umgesetzt werden, wenn KI etwa zum Maschinellen Lernen (ML) eingesetzt wird. ML steht für die „künstliche“ Generierung von Wissen aus den Informationen in Daten mit der Hilfe von IT-Systemen. Mit Hilfe der Algorithmen des maschinellen Lernens werden mit vorhandenen Datenbeständen Muster und Gesetzmäßigkeiten erkannt und verallgemeinert, um damit neue Problemlösungen umzusetzen.

Löschen fast unmöglich

Und hier kommt die Tücke. Denn mittels ML optimierte Prozesse basieren auf bereits verarbeitenden Daten, die damit weiter im System fortwirken, obwohl Betroffene von den Rechten auf Löschung und Datenübertragbarkeit bereits Gebrauch gemacht haben und die entsprechenden personenbezogenen Daten eigentlich nicht mehr in den Prozessen fortwirken dürften. Die DSGVO bietet jedoch einigen Spielraum um das Recht auf Auskunft etwa so auszulegen, dass der Betroffene darüber informiert wird, dass seine Daten KI-Prozessen zugeführt werden und daher nicht jeder einzelne Schritt der Datenverarbeitung zu einen jeweiligen Daten zurückverfolgt werden kann.

Der Datenschutzbeauftragte der BG Verkehr sieht Unternehmen und Verwaltungen in der Pflicht, technische Möglichkeiten für eine vollständige Übertragung und Löschung von Daten zu entwickeln. Zudem müsse die Rechtsprechung konkrete Leitlinien für die Umsetzung der Rechte auf Datenübertragbarkeit und Löschung beim Einsatz von KI vorgeben. „Diese Leitlinien müssen das wirtschaftliche Interesse von Unternehmen und Verwaltungen an der Verarbeitung personenbezogener Daten und das Recht des Betroffenen auf Schutz personenbezogener Daten sowie die Grundsätze der Datensparsamkeit und Transparenz in einem fairen Ausgleich führen“, fordert Keuter.

Spielraum nutzen

Um den Einsatz von KI ging es auch bei der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) im April 2019. Die Teilnehmer formulierten datenschutzrechtliche Anforderungen an die Technik in der sogenannten „Hambacher Erklärung“. Dort wurde festgelegt: In Ausprägungen der grundgesetzlich verbrieften Menschenwürde dürfe KI Menschen nicht zum Objekt machen. Für automatisierte Entscheidungen mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung schreibt Art. 22 DSGVO Einschränkungen für den Einsatz von KI-Systemen vor. Außerdem kommen den Grundsätzen der Transparenz, Zweckbindung und Datenminimierung laut der Hambacher Erklärung eine wichtige Bedeutung im Kontext von KI-Systemen zu. Vor allem müsse ein selbstlernendes System so programmiert werden, dass diskriminierende Verarbeitung vermieden werde.

Grundsätzlich verlangt die DSGVO, dass Betroffene zu jedem Zeitpunkt vollständig darüber informiert sein müssen, was mit ihren Daten geschieht. Beim Einsatz von KI kann es allerdings häufig wegen der automatischen Weiterentwicklung von Datenverarbeitungsprozessen schwierig werden, zu ermitteln und erst recht mitzuteilen, wie sich die Nutzung von Daten fortgesetzt hat. Auch hier gilt es weiter an praxisgerechten Lösungen zu arbeiten, die zum einen weder den Datenschutz vernachlässigen, noch die Entwicklungen den Einsatz von KI hemmen.

Die DSGVO bietet zudem einigen Spielraum, um das Recht auf Auskunft etwa so auszulegen, dass der Betroffene darüber informiert wird, dass seine Daten KI-Prozessen zugeführt werden und daher nicht jeder einzelne Schritt der Datenverarbeitung zu einen jeweiligen Daten zurückverfolgt werden kann. Eine weitere Möglichkeit ist die Pseudonymisierung der Daten. Sie kann zu einem Ausgleich zwischen dem Interesse an umfangreicher Datennutzung und dem Datenschutz führen und auch damit langfristige Einsatzmöglichkeiten von KI ermöglichen. 

Keuters Appell ist klar: „Die Verantwortlichen sollten nicht länger zögern, sich der Entwicklung und Nutzung von KI im Korridor der rechtlichen Rahmenparameter anzunehmen. Denn gerade in der DSGVO steckt trotz berechtigter Kritik viel Potential, KI nachhaltig als Innovationstreiber zu nutzen.“