Regulierung von KI Datenschutzrechtliche Anforderungen an Künstliche Intelligenz

Von Dr. Peter Katko

Künstliche Intelligenz (KI) bietet spannende Einsatzmöglichkeiten in unterschiedlichen Branchen. Die Prüfung von Kreditwürdigkeit in der Finanzwirtschaft, Chatbots sowie selbstlernende Maschinen sind dabei nur erste Anwendungsbeispiele. Gleichzeitig regt Künstliche Intelligenz die Diskussionen insbesondere in Hinblick auf die Tragweite der Entscheidungen an: Welche Informationen werden von KI-Systemen genutzt? Wann trifft ein Algorithmus Entscheidungen?

Firmen zum Thema

KI-Systeme haben immer größeren Einfluss auf unser tägliches Leben, es fehlt aber an Transparenz und Regulierung um ihre Auswirkungen zu kontrollieren.
KI-Systeme haben immer größeren Einfluss auf unser tägliches Leben, es fehlt aber an Transparenz und Regulierung um ihre Auswirkungen zu kontrollieren.
(© ipopba - stock.adobe.com)

So objektiv wie sie oft wirken, sind KI-Systeme und ihre Entscheidungen meist nicht. Schließlich werden sie von Menschen entwickelt, deren Vorurteile auch in die von ihnen geschaffene KI-Software einfließen. Das hat in der Vergangenheit immer wieder zu Fällen geführt, bei denen beispielsweise Frauen oder Minderheiten in Bewerbungsprozessen aufgrund von KI-gestützten Entscheidungen diskriminiert wurden.

Rahmen soll Einsatz von KI vorgeben

Bereits 2019 haben die obersten Datenschützer der Länder und des Bundes bei einem Treffen auf dem Hambacher Schloss über die datenschutzrechtlichen Implikationen von Künstlicher Intelligenz beraten. Die historische Dimension des Hambacher Schlosses für die deutsche Demokratie war den Datenschützern dabei durchaus bewusst. Schließlich hat KI auch das Potenzial schwerwiegende Eingriffe in Grundrechte zu ermöglichen und so die Demokratie zu gefährden – beispielsweise durch Social-Scoring-Systeme mit KI-Komponenten und Gesichtserkennungs-Software wie sie in China verwendet werden. Dabei haben sich die Datenschützer auf sieben Prinzipien geeinigt, die als Rahmen für den Einsatz von Künstlicher Intelligenz dienen sollen.

Der Fokus liegt bei diesen Leitlinien darauf, die grundlegenden Grenzen aufzuzeigen, in denen sich KI bewegen darf. So ist Künstliche Intelligenz an das Grundgesetz gebunden und darf den Menschen nicht zum Objekt machen. KI-Systeme dürfen also Entscheidungen mit einer rechtlichen Wirkung grundsätzlich nicht ohne Einwirkung eines Menschen treffen (vgl. auch Art. 22 Datenschutzgrundverordnung (DSGVO)). Eine weitere Anforderung ist die Transparenz und Nachvollziehbarkeit von Künstlicher Intelligenz. Nach Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung von personenbezogenen Daten für die betroffene Person in nachvollziehbarer Weise durchgeführt werden.

Bei so genannten Expertensystemen wie Chatbots oder medizinischer Diagnostik, die auf Wenn-Dann-Logiken basieren, kann dies anhand der vorgegebenen Systeme geschehen. Für KI-Anwendungen auf Basis maschinellen Lernens stellt dies jedoch eine größere Herausforderung dar, da sie mithilfe riesiger Datenmengen neue Muster erkennen, um die vorgesehenen Aufgaben zu erfüllen. Entsprechend entscheiden sie auch eigenständig darüber, wie diese Daten verwendet werden. Dabei ist die KI auch in der Lage, Veränderungen zu verstehen und sich ihnen flexibel anzupassen. Während bei Expertensystem bei der Entwicklung bereits feststeht, wie Daten verwendet werden, lässt sich dies bei KI-Systemen mit maschinellem Lernen nicht voraussagen. Besonders prekär wird diese Problematik, wenn personenbezogene Daten verarbeitet werden – wie etwa bei Bonitätsprüfungen im Finanzsektor.

Letztendlich war auch den Datenschutzwächtern bewusst, dass sich die Entwicklungen im KI-Bereich noch gar nicht final abschätzen lassen. Deswegen appellierten sie abschließend unter anderem an die Politik, die Entwicklung Künstlicher Intelligenz „im Sinne des Datenschutzes zu steuern“.

Mittlerweile ist auch die EU hinsichtlich der Regulierung von Künstlicher Intelligenz aktiv geworden. So legte das Europäische Parlament im vergangenen Jahr drei Vorschläge vor, um in Bezug auf Künstliche Intelligenz Aspekte wie Ethik, Haftung und geistiges Eigentum zu regeln. Dabei setzte sich das Parlament auch über das sonst übliche Initiativrecht der EU-Kommission hinweg. Diese nahm wiederum Anfang 2021 das Heft in die Hand und veröffentlichte den Entwurf eines EU Artificial Intelligence Acts – eine EU-Verordnung, die KI-Systeme insbesondere in von der EU bereits harmonisierten Bereichen regulieren soll. Dabei setzt die Kommission auf einen risikobasierten Ansatz, bei dem KI-Anwendungen dahingehend klassifiziert werden, wie hoch ihr Risiko für Gesundheit, Sicherheit und Grundrechte der Bürgerinnen und Bürger ist.

Mehr Transparenz

Von den meisten KI-Systemen wird voraussichtlich ein geringes Risiko ausgehen. Hierunter fallen etwa Suchalgorithmen und Spam-Filter. Sie werden von der Verordnung lediglich im Rahmen empfohlener Verhaltenskodizes berücksichtigt. Für weitere KI-Anwendungen, die beispielsweise in Interaktion mit natürlichen Personen treten, Emotionen erkennen oder multimediale Inhalte erstellen oder manipulieren können, sind zusätzliche Transparenzpflichten vorgesehen. Der Fokus liegt beim EU Artificial Intelligence Act (AIA) allerdings auf sogenannten Hochrisiko-KI-Systemen. Darunter fallen beispielsweise alle Anwendungen in EU-weit harmonisierten Bereichen. Auf diese KI-Anwendungen kommen unter anderem neue Sicherheits-, Registrierungs- sowie Dokumentationspflichten zu. Nach Art. 15 AIA werden zusätzliche Anforderungen hinsichtlich der Genauigkeit, Robustheit und Cybersicherheit von Hochrisiko-KI-Systemen gestellt, die gegen die Manipulation durch unbefugte Dritte geschützt sein müssen.

Kein Ziel in Sicht

Ähnlich wie bei der DSGVO sollen Verstöße mit Bußgeldern in Höhe von bis zu 30 Millionen oder 6 Prozent des gesamten weltweiten Jahresumsatzes sanktioniert werden. Noch ist nicht abzusehen, wann der EU Artificial Intelligence Act Inkrafttreten wird, da er zuerst noch das Europäische Parlament und den Rat der Europäischen Union passieren muss. Zu erwartende Änderungswünsche des Parlaments sowie der Mitgliedsstaaten lassen einen langwierigen Prozess erwarten. Jedenfalls soll die Verordnung 24 Monate nach Inkrafttreten Anwendung finden. Aufgrund der Fokussierung auf Hochrisiko-KI-Systeme ist die Zahl der insofern betroffenen Systeme aktuell jedoch eher klein.

Schon jetzt wird Künstliche Intelligenz allerdings von der bestehenden Gesetzgebung reguliert – allen voran der Datenschutz-Grundverordnung. Auch in der Hambacher Erklärung wird Bezug auf die DSGVO genommen. Denn auch für KI-Systeme gilt beispielsweise die zweckgebundene Nutzung von Daten (Art. 5 Abs. 1 lit. b DSGVO) sowie das Erfordernis der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO). Außerdem muss auch bei KI-Anwendungen die Sicherheit der Verarbeitung nach Art. 32 DSGVO gewährleistet sein, damit unbefugter Zugang zu und Veränderung von personenbezogenen Daten unterbunden wird.

Über den Autor: Dr. Peter Katko ist Global Digital Law Leader und Rechtsanwalt für IP-Recht und Datenschutzrecht mit dem Schwerpunkt Digitalisierung, bei EY Law. Im Fokus seiner Arbeit steht die rechtskonforme Gestaltung der digitalen Transformation.

(ID:47831201)