Verfasst von Bostjan Makarovic, Gründer von Aphaia
Neue Entwicklungen im Jahr 2019 zeigten, dass die DSGVO-Regelungen zur Profilerstellung durch Künstliche Intelligenz (KI) genau zum richtigen Zeitpunkt in Kraft traten. Von intelligenten Anzeigetafeln bis hin zu Audiogeräten für den Heimgebrauch wird KI eingesetzt, um Schlüsse aus dem zu ziehen, was wir ihr gegenüber offenbaren – einschließlich unserer Gesichter und der Dinge, die wir manchmal gedankenlos vor uns hin sagen. Unabhängig von diesen Entwicklungen, die schon zu unterschiedlichen Zeitpunkten Bedenken hervorriefen, hinkt der Gesetzgeber in diesem Bereich jedoch hinterher. Wird 2020 das Jahr, in dem Datenschutzgesetze endlich zurückschlagen?
KI-Technologie
Trotz immer strengerer gesetzlicher Regelungen scheint der Einsatz von Technologie immer noch klar Vorrang zu genießen, unabhängig davon, ob sie Konformitätsanforderungen erfüllt oder nicht. Es sollte jedoch darauf hingewiesen werden, dass die Technologie an sich selten „nicht-konform“ ist, sondern meist erst durch ihre Nutzung Probleme entstehen.
Intelligente Anzeigetafeln, die in der Lage sind, Ihre Gesichtszüge zu analysieren, wurden 2019 an verschiedenen, öffentlich zugänglichen Orten aufgestellt. Wurden all diese Projekte vorher einer Datenschutz-Folgeeinschätzung unterzogen, wie es die Datenschutz-Grundverordnung (DSGVO) gesetzlich vorschreibt? Zu bedenken gilt es zudem, dass auch die bloße Videoüberwachung öffentlicher Plätze selbst schon große Risiken für Datenschutz und Privatsphäre darstellt. Wird eine solche Videoüberwachung dann auch noch durch die Echtzeitanalyse von Gesichtszügen ergänzt, haben Sie laut DSGVO eindeutig das Recht, einer solchen Profilerstellung zu widersprechen. Ignorieren wir für einen Moment die Schwierigkeit, einer Anzeigetafel in einer hoch frequentierten Straße zu widersprechen – wie könnte ein solcher Widerspruch gegen Profilerstellung das nächste Mal, wenn Sie an der Anzeigetafel vorkommen, eingehalten werden?
Mittels Machine Learning sind wir in der Lage, immer mehr Nutzen aus riesigen Datenmengen zu ziehen. Die Lösungen, die 2020 eingesetzt werden sollen, werden noch aufdringlicher sein als bisher (falls Sie sie nicht sowieso schon aufdringlich fanden). Paradoxerweise trifft das allerdings nicht überall dort zu, wo bestimmte intelligente Systeme eingesetzt werden, die lernen sollen, subtilere und weniger wahrnehmbar aufdringliche und somit effektivere Verknüpfungen zwischen unseren Vorlieben und den uns gezeigten Werbematerialien herzustellen. So können wir herausfinden, was uns an zielgerichteter Werbung mehr stört: das Eindringen in unsere Privatsphäre oder die ungeschickte Umsetzung?
KI und die Rechtslage
The notion that the law is simply ‘unable to keep up with technology’ is not only an inadequate response to the problem but is also largely unfounded as a claim. The GDPR includes specific provisions on profiling and automated decision-making, specifically tailored to the use of artificial intelligence in relation to the processing of personal data. Such processing is subject to the right to obtain human intervention and the right to object to it. Additional limitations in relation to special categories of data also exist. Certain non-EU countries have started adopting similar GDPR principles including the likes of Brazil who passed the General Data Protection Law (LGPD) in 2018.
Das kalifornische Datenschutzgesetz „California Consumer Privacy Act“ (CCPA) befasst sich zwar nicht speziell mit KI, ermöglicht es Verbrauchern allerdings, den „Verkauf ihrer Daten“ zu verbieten. Das ist eine durchaus einschlägige Regelung: Ohne die Möglichkeit, Daten aus verschiedenen Quellen zu sammeln und zusammenzuführen, sinkt ihr Wert für das Machine Learning wesentlich. Und ohne die Möglichkeit, Daten zu verkaufen, gibt es weniger Ansporn, exzessive Datenanalysen zu betreiben.
When it comes to a broader framework for the regulation of artificial intelligence, the legal situation is for now less clear. Principles and rules are currently confined to non-binding guidelines, such as EU Guidelines for Trustworthy AI. But this does not impact the privacy aspects where European regulators are already able to impose fines of up to up to €20 million or 4% of the companies’ global turnover. CCPA fines are lower but might be multiplied by the number of users affected.
KI-Regulierungen
Early in 2019, the French data protection authority CNIL imposed a fine of €50 million on Google for insufficient transparency in relation to targeted advertising. As noted by CNIL, “essential information, such as the data processing purposes, the data storage periods or the categories of personal data used for the ads personalisation, are excessively disseminated across several documents, with buttons and links on which it is required to click to access complementary information.” Whereas the fine was far from the upper limit imposable via the GDPR, the case paves the way for further questions to be asked by data protection authorities in 2020.
Werden beispielsweise Machine Learning Algorithmen und die von ihnen verwendeten Datenquellen ausreichend erläutert? Und werden sich die Datenschutzbehörden, die nach Antworten auf diese Fragen suchen, auf die von den Unternehmen bereitgestellten Informationen verlassen? Vielleicht beginnen sie stattdessen auf Grundlage von Anhaltspunkten damit, genauer zu recherchieren. Warum wird einem Benutzer eine bestimmte Anzeige gezeigt? Steckt dahinter ein leistungsstarker Machine Learning Algorithmus oder die Analyse von Daten, die gar nicht hätten analysiert werden dürfen?
So far, privacy legal battles have largely focused on formal compliance, such as in both ‘Schrems’ cases. But AI usage trends in 2020 might force regulators to look deeper into what is actually going on inside home-based and cloud-based black boxes. As I write this article, the EU has just moved to impose a temporary ban on facial recognition in public places.
About Aphaia
Aphaia ist ein führender Experte für IKT-Regulierung und Datenschutz, der als ausgelagerter Datenschutzbeauftragter für eine Reihe von Unternehmen fungiert. Zu ihren Kunden zählen innovative Technologieunternehmen von Startups bis hin zu multinationalen Unternehmen, Regulierungsbehörden und politischen Entscheidungsträgern. Sie haben Erfahrung in einer Vielzahl von Branchen, von E-Commerce, Telekommunikation, Fintech, Gesundheitswesen, Bildung bis hin zu Personalbeschaffung etc. Aphaia ist in London und Madrid ansässig und Teil der Shoreditch-Tech-Community.
Drooms und KI
Drooms setzt sich intensiv mit Diskussionen zu Entwicklungen von Ethikthemen im Bereich Künstliche Intelligenz auseinander. Ziel von Drooms ist es, die Hauptanforderungen der Europäischen Kommission an eine vertrauenswürdige KI zu erfüllen, indem Datenschutz, Verfügung über Daten und menschliche Überwachung berücksichtigt werden. Das bedeutet unter anderem, dass das Unternehmen immer einen Menschen einbindet, um von Künstlichen Intelligenzen getroffene Entscheidungen zu bestätigen und um Qualität und Verantwortlichkeit zu gewährleisten. So entstehen Tools, die Menschen helfen, effizienter zu arbeiten und Prozesse mithilfe von Automatisierung zu beschleunigen, anstatt sie durch die Erschaffung vollständig automatisierter Systeme zu ersetzen. Ähnlich berücksichtigt das Unternehmen auch Leitprinzipien für die Entwicklung intelligenter Lösungen, in deren Mittelpunkt Verantwortlichkeit, Erklärbarkeit, Genauigkeit, Prüfbarkeit und Gerechtigkeit stehen.
