20. September 2018
DSGVO KI
Datenschutzrecht IT-Recht

Informationspflichten nach der DSGVO: Ende des Know-how-Schutzes beim Einsatz von KI?

Der Einsatz von KI wirft im Zuge der DSGVO Fragen auf. Erfahren Sie alles zum Thema Transparenzpflicht beim Einsatz von künstlicher Intelligenz.

KI („künstliche Intelligenz″, auch: „AI″ für „artifizielle Intelligenz″) ist bereits heute aus unserem Alltag nicht mehr wegzudenken: Nicht nur beim automatisierten Fahren oder in der Robotik spielt KI eine entscheidende Rolle als Querschnitts- und Schlüsseltechnologie. Auch in der medizinischen Forschung (bspw. zur Auswertung großer Datenmengen im Rahmen der Genomforschung) zeigt KI bereits sein Potential.

Nicht überraschend ist daher, dass dem aktuellen „Gartner Hype Cycle for Emerging Technologies“ zufolge, KI als eine der drei „emerging technology mega-trends“ gilt und auch im politischen Diskurs zunehmend an Relevanz gewinnt. So wurde etwa kürzlich eine Enquete-Kommission „Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale″ eingesetzt und auch die EU-Kommission hat bereits im April ein europäisches Konzept zur Förderung von Investitionen und Entwicklung ethischer Leitlinien beim Einsatz von KI veröffentlicht.

Einsatz von KI: Fragen nach Datenherrschaft und Transparenzpflichten

KI tangiert dabei eine Vielzahl an rechtlichen Themengebieten: Wie etwa die Frage, wem die Rechte an den (oftmals nicht-personenbezogenen) Verarbeitungsergebnissen zustehen sollen (Stichwort: „Eigentum″ an Daten) oder wie beim Einsatz von KI Transparenz erreicht werden kann.

Während die Frage nach einer Datenherrschaft nach wie vor ungeklärt ist (dieser Frage soll sich, insbesondere auch im Kontext von KI, seit dem 5. September 2018 die Datenethikkommission der Bundesregierung widmen), können sich bereits heute Transparenzpflichten aus der Datenschutzgrundverordnung (DSGVO) ergeben. Diese Pflichten sollen von der Enquete-Kommission (vgl. deren Eckpunktepapier vom 18. Juli 2018) weiter evaluiert werden, um einen

effektive[n] Schutz gegen Verzerrungen, Diskriminierungen, Manipulationen oder sonstige missbräuchliche Nutzungen insbesondere beim Einsatz von Algorithmen-basierten Prognose- und Entscheidungssystemen

zu erreichen.

Dabei stellt insbesondere die oftmals fehlende Transparenz einer KI-Entscheidung eine erhebliche Rechtsunsicherheit für die Betroffenen dar, weshalb etwa auch PricewaterhouseCoopers International (PwC) in seinen jüngst vorgestellten „2018 AI Predictions“ (Prognosen für die Entwicklung von KI im Jahr 2018) KI als „Black Box“ bezeichnet hat. Der Vergleich mit einer Black Box ist dabei deswegen zutreffend, da den Betroffenen häufig insbesondere Informationen darüber fehlen, welche Algorithmen innerhalb einer automatisierten Entscheidungsfindung zum Einsatz kommen und welche personenbezogenen Merkmale des Betroffenen dabei berücksichtigt werden. „Transparenz″ (im weiteren Sinne) besteht laut PWC dabei hingegen aus den Stufen der „Transparenz″ (im engeren Sinne), der „Erklärbarkeit″ und der „Überprüfbarkeit″/″Nachweisbarkeit″. Während unter „Transparenz″ (im engeren Sinne) eine an die Allgemeinheit gerichtete abstrakte Beschreibung der einem KI-Algorithmus zugrundeliegenden Prinzipien und Gesetzmäßigkeiten zu verstehen ist, wird mit „Erklärbarkeit“ die Darlegung der einer konkreten automatisierten Einzelentscheidung zugrundeliegenden Entscheidungsgründe bezeichnet. „Überprüfbarkeit“ beziehungsweise „Nachweisbarkeit“ bedeutet letztlich, dass automatisierte Einzelentscheidungen auch mathematisch überprüft, also nachgerechnet werden können sollen.

Informationspflichten über Datenverarbeitungen der KI erfordert auch nach der DSGVO keine Offenlegung von Berechnungsformeln oder Algorithmen

Während die Herstellung von Transparenz beim Einsatz von KI generell begrüßenswert und auch geboten ist, so muss dennoch beachtet werden, dass dies auf der Kehrseite stets mit einem Eingriff in Betriebs- und Geschäftsgeheimnisse verbunden sein kann. Fraglich ist daher, welches Maß an Transparenz die DSGVO auch heute bereits fordert.

Die DSGVO sieht Transparenzpflichten beim Einsatz von KI dann vor, wenn eine sog. „automatisierte Entscheidungsfindung″ zum Einsatz kommt, wenn also eine Entscheidung ausschließlich aufgrund einer automatisierten Verarbeitung von Persönlichkeitsmerkmalen getroffen wird und diese Entscheidung gegenüber einem Betroffenen rechtliche Wirkung entfalten oder diesen in ähnlicher Weise erheblich beeinträchtigen kann. Beispielsweise könnte ein KI-Algorithmus verwendet werden, um den Versicherungs- oder Kredit-Score eines Betroffenen aufgrund von Persönlichkeitsmerkmalen (Einkommen, Gesundheitszustand, etc.) zu berechnen.

In solchen Fällen ist der Verantwortliche nach der DSGVO verpflichtet, den Betroffenen über die Tragweite und die angestrebten Auswirkungen der Datenverarbeitung sowie über die involvierte Logik in aussagekräftiger Weise aufzuklären. In welcher Intensität und in welchem Ausmaß dies zu erfolgen hat, ist jedoch noch nicht umfassend geklärt.

Zumindest die Frage, ob hierbei auch etwaige Berechnungsformeln (bspw. die sog. Score-Formel) oder Algorithmen offengelegt werden müssen, muss verneint werden. Dies würde letztendlich den Wortlaut der Vorschriften überstrapazieren, die lediglich aussagekräftige Informationen „über″ die involvierte Logik fordern.

Schwieriger zu beantworten ist dagegen die Frage, ob die Transparenzpflichten der DSGVO auch die Mitteilung von konkreten Entscheidungsgründen im jeweiligen Einzelfall fordern (bspw.: Welche Faktoren haben zu einer konkreten Entscheidung geführt?). Auch hierbei ist mit der hier vertretenen Auffassung aber zweifelhaft, ob eine dahingehende Auskunftspflicht tatsächlich aus dem Wortlaut der Vorschriften gefolgert werden kann.

DSGVO fordert bei Einsatz von KI nur abstrakte Informationspflichten

Festzustellen bleibt damit, dass im Rahmen des derzeitigen Standes der DSGVO wohl nur abstrakte Informationspflichten bestehen. Die zugrundeliegenden Prinzipien und Gesetzmäßigkeiten eines KI-Algorithmus müssen gegenüber dem Betroffenen daher lediglich deskriptiv erläutert werden. Hierin ist aber eher keine Gefahr für die Betriebs- und Geschäftsgeheimnisse von KI-Betreibern und KI-Herstellern zu sehen. Sollen diese Transparenzpflichten zukünftig erweitert werden, so ist dies aus Betroffenensicht zwar generell begrüßenswert. Gleichwohl bedarf dies einer angemessenen Abwägung der gegenüberliegenden Interessen und insbesondere einer besonderen Berücksichtigung des Know-how-Schutzes.

Tags: DSGVO KI