fotomowo - stock.adobe.com
Wie der Datenschutz die KI-Nutzung reguliert
Aktuelle Gerichtsurteile stärken den Datenschutz bei Nutzung von KI (künstliche Intelligenz) und zeigen auf, wo wichtige Grenzen bei dem Einsatz von KI liegen.
Nicht erst seit ChatGPT ist KI in aller Munde, aber die Diskussion wurde erneut angekurbelt. Eine breite Öffentlichkeit hat in den vergangenen Wochen und Monaten ausprobiert, was künstliche Intelligenz inzwischen leisten kann, berichtet der Digitalverband Bitkom.
Rund drei Viertel der Bundesbürgerinnen und Bundesbürger (73 Prozent) sind inzwischen der Meinung, dass KI eine Chance ist. 26 Prozent sehen KI ausschließlich als Chance, 47 Prozent eher als Chance. Dagegen halten 14 Prozent KI eher für eine Gefahr, ein Zehntel (10 Prozent) sieht sie sogar ausschließlich als Gefahr.
Eine breite Mehrheit (88 Prozent, 2020: 85 Prozent) wünscht sich, dass KI-Software in Deutschland besonders gründlich geprüft und erst nach Zulassung in Geräten genutzt werden darf. Ein Drittel (34 Prozent, 2020: 44 Prozent) fordert zugleich, dass KI in bestimmten Anwendungsbereichen verboten werden sollte. „Wir brauchen Leitlinien für den Einsatz von KI. Diese Leitlinien müssen so ausgestaltet werden, dass der Nutzen von KI maximiert und Risiken minimiert werden“, so Bitkom-Präsident Berg.
Solche Leitlinien kommen unter anderem aus der Richtung Datenschutz. Zudem befassen sich schon die Gerichte damit.
Datenschutz fordert unter anderem Transparenz und Überprüfbarkeit
„KI-Systeme, sei es im Sprachassistenten, in der Forschung oder bei Sicherheitsbehörden, können menschliche Aufgaben in einem Bruchteil der Zeit erledigen und werden daher als Unterstützung immer verbreiteter“, so der Landesdatenschutzbeauftragte von Rheinland-Pfalz Prof. Dr. Dieter Kugelmann.
„Problematisch ist, dass bei vielen der Systeme der Algorithmus, der die Entscheidungen trifft, eine Black-Box ist. Wer den Algorithmus entwickelt und kontrolliert, der bestimmt die Ergebnisse. Hier kann es schnell zu tendenziösen oder falschen Ergebnissen, politischen Beeinflussungen oder rassistischen Diskriminierungen kommen“. Entsprechend fordert der Datenschützer: „Transparenz der Algorithmen und die Möglichkeit, die Systeme durch unabhängige Dritte überprüfen zu lassen, sind daher das A und O, bevor man entsprechende KI-Systeme beispielsweise im Bereich des staatlichen Handelns einführt.“
Beispiel: Datenanalysen in der Polizei-Arbeit mit KI
Inzwischen sind bereits verschiedene Fälle von KI-Nutzung vor den obersten Gerichten gelandet. Das Bundesverfassungsgericht hat kürzlich eine grundlegende Entscheidung zu Datenanalysen in polizeilichen Dateien getroffen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, sagte dazu: „Das Bundesverfassungsgericht hat jetzt Kriterien formuliert, unter denen die Polizeibehörden Analysesysteme für polizeiliche Datenbestände einsetzen dürfen. Das betrifft auch den Einsatz von Künstlicher Intelligenz. Dieses Grundsatzurteil wird sich bundesweit auswirken.“
Grenzen für KI durch den Datenschutz
Das Gericht stellte fest, dass die Analysen in ihrer daten- und methodenoffenen Unbegrenztheit die Polizei möglicherweise auf die falsche Spur zu rechtlich unbeteiligten Personen führen. Deshalb muss der Gesetzgeber normenklare und begrenzte Regeln schaffen, wenn umfassende polizeiliche Datenanalysen eingesetzt werden sollen.
Jetzt wird es vor allem darum gehen, die Datenmengen, den einbezogenen Personenkreis und die technischen Methoden der Datenauswertung klar zu begrenzen. Besonders wichtig ist, dass nicht nur bei der Speicherung, sondern auch bei allen nachgelagerten Datenanalysen zwischen verschiedenen Personengruppen zu trennen ist.
Denn die polizeilichen Informationssysteme enthalten nicht nur Daten zu beschuldigten oder verdächtigten Personen. Sie enthalten darüber hinaus Informationen auch zu Opfern von Straftaten, zu Zeugen, Hinweisgebern und sonstigen Personen. Datenanalysen zu diesen nicht unter Verdacht stehenden Personen sind deshalb ein intensiver Grundrechtseingriff. Opfer und Dritte dürfen nicht mit Verdächtigen gleichbehandelt werden. Speziell bei neuartigen Datenanalysen war dies bislang nicht sichergestellt.
Folgen des Urteils für KI-Projekte bei Polizeien
Den Datenschützern ist es wichtig, deutlich zu machen, dass es nicht um ein generelles Verbot von KI-Nutzung geht, sondern vielmehr um Grenzen.
So erklärt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Perspektivisch geht es nicht um ein grundsätzliches Verbot der Nutzung von Auswertungssoftware durch die Polizei, sondern vielmehr um eine klare Definition der sog. Eingriffsschwelle und damit um eine Begrenzung des Einsatzes auf konkrete Gefahren für bedeutende Rechtsgüter oder bevorstehende schwere Straftaten. Aus geringerem Anlass werden solche Auswertungen in Zukunft nur dann möglich sein, wenn die Auswertungsmethoden durch den Gesetzgeber klarer begrenzt werden und dadurch auch das Eingriffsgewicht geringer ausfällt.
Auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit hatte ein entsprechendes Projekt in dem Bundesland, für das er zuständig ist. Er machte deutlich:
Diese Entscheidung hat bundesweite Bedeutung, weil viele andere Bundesländer diese Software ebenfalls nutzen wollen und hierfür schon Vorbereitungen getroffen haben. Sie müssen jetzt alle dafür gesetzliche Grundlagen schaffen, die den Anforderungen des Gerichts genügen. Das Urteil ist insoweit zukunftsweisend, als es verfassungsrechtliche Kriterien für die Zusammenführung und Auswertung von Polizeidaten aus unterschiedlichen Quellen sowie den Einsatz von Big Data und Künstlicher Intelligenz formuliert.
Der Hessische Datenschutzbeauftragte Roßnagel begrüßt die Entscheidung des Bundesverfassungsgerichts. „Es zeigt, wie wichtig es ist, dass der Gesetzgeber den geeigneten gesetzlichen Rahmen für den Einsatz moderner Analysesoftware in der Polizeiarbeit und verhältnismäßige Grenzen zum Schutz der Grundrechte schafft.“ Aus seiner Sicht schließen sich Datenschutz und Digitalisierung nicht aus, sie gehen Hand in Hand, wenn diese Fragen von Anfang an gemeinsam beantwortet werden.
Was Unternehmen daraus lernen sollten
Auch wenn Datenanalysen unter Nutzung von KI durch Polizeibehörden und andere Sicherheitsorgane eine Besonderheit darstellen und sich das Urteil konkret auf diese Fälle bezieht, kann man daraus auch als Unternehmen etwas lernen.
Wenn es keine klaren Grenzen für die KI-Nutzung gibt und insbesondere ein zu weiter Personenkreis betroffen sind kann von Entscheidungen auf KI-Basis und anderen Datenanalysen, dann widerspricht das dem Datenschutz. Das wird nicht nur die Datenschutzaufsichtsbehörden auf den Plan rufen, sondern auch die Gerichte.
Deshalb braucht KI ein mehrstufiges Regelwerk, in Verordnungen und Gesetzen, in Unternehmensrichtlinien und Verträgen, immer unter Beachtung bestehender rechtlicher Vorgaben wie der DSGVO (Datenschutz-Grundverordnung).