Verfasst von Bostjan Makarovic, Gründer von Aphaia
Neue Entwicklungen im Jahr 2019 zeigten, dass die DSGVO-Regelungen zur Profilerstellung durch Künstliche Intelligenz (KI) genau zum richtigen Zeitpunkt in Kraft traten. Von intelligenten Anzeigetafeln bis hin zu Audiogeräten für den Heimgebrauch wird KI eingesetzt, um Schlüsse aus dem zu ziehen, was wir ihr gegenüber offenbaren – einschließlich unserer Gesichter und der Dinge, die wir manchmal gedankenlos vor uns hin sagen. Unabhängig von diesen Entwicklungen, die schon zu unterschiedlichen Zeitpunkten Bedenken hervorriefen, hinkt der Gesetzgeber in diesem Bereich jedoch hinterher. Wird 2020 das Jahr, in dem Datenschutzgesetze endlich zurückschlagen?
KI-Technologie
Trotz immer strengerer gesetzlicher Regelungen scheint der Einsatz von Technologie immer noch klar Vorrang zu genießen, unabhängig davon, ob sie Konformitätsanforderungen erfüllt oder nicht. Es sollte jedoch darauf hingewiesen werden, dass die Technologie an sich selten „nicht-konform“ ist, sondern meist erst durch ihre Nutzung Probleme entstehen.
Intelligente Anzeigetafeln, die in der Lage sind, Ihre Gesichtszüge zu analysieren, wurden 2019 an verschiedenen, öffentlich zugänglichen Orten aufgestellt. Wurden all diese Projekte vorher einer Datenschutz-Folgeeinschätzung unterzogen, wie es die Datenschutz-Grundverordnung (DSGVO) gesetzlich vorschreibt? Zu bedenken gilt es zudem, dass auch die bloße Videoüberwachung öffentlicher Plätze selbst schon große Risiken für Datenschutz und Privatsphäre darstellt. Wird eine solche Videoüberwachung dann auch noch durch die Echtzeitanalyse von Gesichtszügen ergänzt, haben Sie laut DSGVO eindeutig das Recht, einer solchen Profilerstellung zu widersprechen. Ignorieren wir für einen Moment die Schwierigkeit, einer Anzeigetafel in einer hoch frequentierten Straße zu widersprechen – wie könnte ein solcher Widerspruch gegen Profilerstellung das nächste Mal, wenn Sie an der Anzeigetafel vorkommen, eingehalten werden?
Mittels Machine Learning sind wir in der Lage, immer mehr Nutzen aus riesigen Datenmengen zu ziehen. Die Lösungen, die 2020 eingesetzt werden sollen, werden noch aufdringlicher sein als bisher (falls Sie sie nicht sowieso schon aufdringlich fanden). Paradoxerweise trifft das allerdings nicht überall dort zu, wo bestimmte intelligente Systeme eingesetzt werden, die lernen sollen, subtilere und weniger wahrnehmbar aufdringliche und somit effektivere Verknüpfungen zwischen unseren Vorlieben und den uns gezeigten Werbematerialien herzustellen. So können wir herausfinden, was uns an zielgerichteter Werbung mehr stört: das Eindringen in unsere Privatsphäre oder die ungeschickte Umsetzung?
KI und die Rechtslage
Der Gedanke, dass das Gesetz einfach „nicht mit der Technologie schritthalten“ kann, ist nicht nur eine unzufriedenstellende Reaktion auf das Problem, sondern auch völlig unbegründet. Die DSGVO enthält gesonderte Regelungen zu den Themen Profilerstellung und automatisierte Entscheidungen, die eigens auf den Einsatz von Künstlicher Intelligenz für die Verarbeitung personenbezogener Daten abzielen. Bei einer solchen Verarbeitung besteht das Recht auf Eingreifen durch Menschen sowie auf Widerspruch. Außerdem gibt es weitere Einschränkungen für besondere Datenkategorien. Einige Länder außerhalb der EU haben ebenfalls damit begonnen, einige Prinzipien der DSGVO umzusetzen. Hierzu gehört unter anderem Brasilien, das 2018 das Allgemeine Datenschutzgesetz verabschiedete.
Das kalifornische Datenschutzgesetz „California Consumer Privacy Act“ (CCPA) befasst sich zwar nicht speziell mit KI, ermöglicht es Verbrauchern allerdings, den „Verkauf ihrer Daten“ zu verbieten. Das ist eine durchaus einschlägige Regelung: Ohne die Möglichkeit, Daten aus verschiedenen Quellen zu sammeln und zusammenzuführen, sinkt ihr Wert für das Machine Learning wesentlich. Und ohne die Möglichkeit, Daten zu verkaufen, gibt es weniger Ansporn, exzessive Datenanalysen zu betreiben.
Weniger klar ist die Rechtslage, wenn wir nach einem allgemeineren Rahmenwerk für die Regulierung Künstlicher Intelligenz suchen. Prinzipien und Regeln sind bisher auf freiwillige Richtlinien beschränkt, unter anderem dieEU-Ethikleitlinien für eine vertrauenswürdige KI.. Sie haben jedoch keinen Einfluss auf die Datenschutz-Grundverordnung, laut der europäische Behörden bereits in der Lage sind, gegen Unternehmen Strafen von bis zu 20 Mio. Euro oder 4 % ihres globalen Jahresumsatzes zu verhängen. CCPA-Strafen fallen deutlich geringer aus, können jedoch mit der Anzahl der betroffenen Benutzer multipliziert werden.
KI-Regulierungen
Anfang 2019 verhängte die französische Datenschutzbehörde CNIL eine Strafe in Höhe von 50 Mio. Euro gegen Google, da das Unternehmen keine ausreichende Transparenz für seine zielgerichtete Werbung bot. Die CNIL begründete diese Entscheidung wie folgt: „Wesentliche Informationen, wie beispielsweise der Zweck der Datenverarbeitung, die Dauer der Datenspeicherung und die Kategorien der personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, werden exzessiv auf verschiedene Dokumente verteilt, wobei man auf verschiedene Schaltflächen und Links klicken muss, um auf zusammengehörige Informationen zugreifen zu können.“ Zwar ist diese Strafe noch weit von den laut DSGVO möglichen Höchststrafen entfernt, doch ebnet dieser Fall den Weg für weitere Fragen, die Datenschutzbehörden 2020 stellen werden.
Werden beispielsweise Machine Learning Algorithmen und die von ihnen verwendeten Datenquellen ausreichend erläutert? Und werden sich die Datenschutzbehörden, die nach Antworten auf diese Fragen suchen, auf die von den Unternehmen bereitgestellten Informationen verlassen? Vielleicht beginnen sie stattdessen auf Grundlage von Anhaltspunkten damit, genauer zu recherchieren. Warum wird einem Benutzer eine bestimmte Anzeige gezeigt? Steckt dahinter ein leistungsstarker Machine Learning Algorithmus oder die Analyse von Daten, die gar nicht hätten analysiert werden dürfen?
Bisher konzentrierten sich Rechtsstreitigkeiten im Bereich Datenschutz auf Konformitätsformalitäten, wie auch in den beiden Schrems-Fällen.. Durch die KI-Nutzungstrends 2020 werden Gesetzgeber jedoch möglicherweise dazu gezwungen, sich genauer mit den Funktionsweisen dieser Black Boxes zu beschäftigen, ob cloudbasiert oder für den Heimgebrauch. Zum Zeitpunkt der Verfassung dieses Beitrags hatte die EU entschieden, ein vorübergehendes Verbot für Gesichtserkennung im öffentlichen Raum zu erlassen.
About Aphaia
Aphaia ist ein führender Experte für IKT-Regulierung und Datenschutz, der als ausgelagerter Datenschutzbeauftragter für eine Reihe von Unternehmen fungiert. Zu ihren Kunden zählen innovative Technologieunternehmen von Startups bis hin zu multinationalen Unternehmen, Regulierungsbehörden und politischen Entscheidungsträgern. Sie haben Erfahrung in einer Vielzahl von Branchen, von E-Commerce, Telekommunikation, Fintech, Gesundheitswesen, Bildung bis hin zu Personalbeschaffung etc. Aphaia ist in London und Madrid ansässig und Teil der Shoreditch-Tech-Community.
Drooms und KI
Drooms setzt sich intensiv mit Diskussionen zu Entwicklungen von Ethikthemen im Bereich Künstliche Intelligenz auseinander. Ziel von Drooms ist es, die Hauptanforderungen der Europäischen Kommission an eine vertrauenswürdige KI zu erfüllen, indem Datenschutz, Verfügung über Daten und menschliche Überwachung berücksichtigt werden. Das bedeutet unter anderem, dass das Unternehmen immer einen Menschen einbindet, um von Künstlichen Intelligenzen getroffene Entscheidungen zu bestätigen und um Qualität und Verantwortlichkeit zu gewährleisten. So entstehen Tools, die Menschen helfen, effizienter zu arbeiten und Prozesse mithilfe von Automatisierung zu beschleunigen, anstatt sie durch die Erschaffung vollständig automatisierter Systeme zu ersetzen. Ähnlich berücksichtigt das Unternehmen auch Leitprinzipien für die Entwicklung intelligenter Lösungen, in deren Mittelpunkt Verantwortlichkeit, Erklärbarkeit, Genauigkeit, Prüfbarkeit und Gerechtigkeit stehen.