Artificial Intelligence und die Datenschutzgrundverordnung

ewige Baustelle oder der Beginn einer wunderbaren Freundschaft?

Zugegeben, der Titel ist nicht selbst erfunden, sondern dem Titel eines Panels der CPDP 2019 angelehnt. Die CPDP ist eine Konferenz zu „Computer, Privatsphäre und Datenschutz“, die mittlerweile das 12. Jahr in Brüssel von Studierenden und Lehrenden der Vrije Universiteit Brussel, der Université de Namur und der Tilburg University veranstaltet wird.

Die CPDP ist eine international und multi-professionell besetzte Konferenz. Auf jedem Panel diskutieren ExpertInnen aus verschiedenen Ländern und verschiedenen Professionen; so kann man zum Beispiel zuhören, wie ein Vertreter von apple mit einer Vertreterin einer Datenschutz-NGO zur Privatsphäre im Internet verbal die Klingen kreuzt oder wie sich eine belgische Wissenschafterin und ein Vertreter einer us-amerikanischen Standardisierungsorganisation einen Schlagabtausch zum internationalen Datenaustausch liefern. Aufgrund der Tatsache, dass jeweils fünf bis sechs Panles gleichzeitig an mittlerweile zwei unterschiedlichen Veranstaltungsorten stattfinden, fällt die Entscheidung nicht immer leicht, wohin gehen.

CC Clara Fritsch

Heuer war der Zugang zum Veranstaltungsort durch eine Baustelle erschwert, was die über 1.000 BesucherInnen drei Tage lang jedoch nicht davon abhielt, sich in der alten Jugendstil-Markthalle „Les Halles“ einzufinden, bei den Panels zuzuhören und mitzudiskutieren.

was kann die DSGVO und was nicht?

Paul Nemitz (ehem. Direktor im Department Justiz der EU-Kommission und dort „Vater“ der DSGVO, nun Berater der EU-Kommission und der Grundrechteagentur) machte den feinen Unterschied aus, der bei der Frage, ob die DSGVO ausreiche, um Artificial Intelligence zu regeln, den Ausschlag gibt: solange die verwendeten Daten personenbezogen sind, unterliegen sie der DSGVO. In der DSGVO wiederum sind ausreichend Schutzmaßnahmen vorgesehen, wie Algorithmen arbeiten dürfen. So besagen Erwägungsgrund 71 und Artikel 22 der DSGVO ausführlich, dass keine schwerwiegenden Entscheidungen über Personen aufgrund von rein algorithmischen Berechnungen getroffen werden dürfen. Hier sieht Nemitz keine Lücken in der DSGVO. Wer mehr dazu lesen möchte, findet hier ein aktuelles Paper von Paul Nemitz.

Etwas Anderes ist es bei der Verwendung von nicht-personenbezogenen Daten, also anonymisierten, nicht auf Einzelpersonen rückführbaren Daten. Auch hier können Algorithmen schwerwiegende Entscheidungen auslösen, die die Gesellschaft als ganze (zB ihr Demokratieverständnis, ihre politische Einstellung, etc.) beeinflussen. Für diese Fälle sieht Nemitz noch einen großen Handlungsbedarf und der sollte nicht mittels Selbstregulatorien, Policies oder ethischen Standards ausgefüllt werden, sondern mit Gesetzen. Angelegenheiten, die Auswirkungen auf die Gesellschaft als Ganzes haben, sind auch in demokratischen Prozessen (zB die Abstimmung im Parlament, die Prüfung durch staatlich legitimierte Behörden, mittels Volksabstimmungen, etc.) zu entscheiden.

CC Clara Fritsch

Mireille Hildebrandt (Professor für Smart Environments, Data Protection and the Rule of Law an der Freien Universität Brüssel) plädierte in ihrem Statement dafür, machine learning ebenso einem gesetzlichen Genehmigungsprozess zu unterwerfen, wie zB pharmazeutische Forschung. Studien und die Entwicklung von artificial intelligence müsste demnach ebenso vorab von offiziellen Stellen geprüft und genehmigt werden, wie die Forschung zu neuen Medikamenten. Forschung dürfe nicht an Privatunternehmen überantwortet werden oder nur an (privaten) Forschungseinrichtungen und Universitäten passieren.

Ben Zevenbergen (PhD an der Princeton University) der dritte Diskutant am Podium, sah in den gesetzlichen Vorgaben kein Auslangen. Die Formulierungen seien zu allgemein, man wisse als Programmierer nicht, was denn nun tatsächlich zu geschehen habe und was nicht, bewege sich oft in einer Grauzone, wenn die rechtlichen Vorgaben dann tatsächlich in die Realität eines Programmcodes umgesetzt werden sollen. Um die Gesetzen auch auf den Boden der Realität zu bringen, sei es daher unumgänglich auch zusätzliche Hilfestellung in Form von ethischen Standards und freiwilligen Regulierungen zu geben.

Und was meint das Publikum?

Ein britischer Informatik-Student stellte seine Beobachtung in den Raum, dass KollegInnen der Meinung seien, wenn sie nur ausreichend viele und ausreichend valide Daten hätten, könnten damit sämtliche Probleme der Welt gelöst werden.

Ein anderer Wissenschaftler wünschte sich, dass es ebenso wie „privacy by design“ in der DSGVO, „ethics by design“ für Artificial Intelligence (AI) gäbe. Das wäre dann also eine Voreinstellung, die Privatsphäre und demokratische Grundprinzipien schon bei der Entwicklung mitberücksichtige.

Ebenso wurde die Frage diskutiert, inwieweit Artificial Intelligence nicht doch eine diskriminierende Eigenschaft innewohne, da sie nun einmal auf Daten der Vergangenheit aufbaue. Die Aussage, dass AI zu 1% diskriminierend sei, sei wenig aussagekräftig, da es nicht vergleichbar ist, ob das viel oder wenig sei, ob es beim Einsatz anderer Mittel zu mehr oder weniger Diskriminierung gekommen wäre. Dazu müsse noch geforscht werden, um allfällige diskriminierende Effekte auszuschalten.

und wie geht es  weiter mit Artificial Intelligence?

Auf einem anderen Panel am darauf folgenden Tag war Artificial Intelligence erneut Thema. Es ging darum, ob und wenn ja, wie sie von Regierungsseite geregelt werden sollte. Es wurden die unterschiedlichen Inhalte von AI dargestellt (zB cyber security, environmental management, Internet of Things, fast moving consumer goods, Robotic, etc.) und auch die unterschiedlichen Formen, in denen AI angewendet wird (z.B. machine learning, human assistance, etc.). Aufgrund dieser großen Bandbreite an Einsatzgebieten von AI steht dann auch die Frage im Raum, was genau man eigentlich zu regeln gedenkt und wer genau wen regeln soll.

Einige Aspekte von Artificial Intelligence sind in der DSGVO bereits geregelt – oder zumindest angesprochen. So ist zB klargestellt, wer wem unter welchen Bedingungen Daten weitergeben/ verkaufen darf. Ebenso steht fest, wie eine Zustimmung der Betroffenen auszusehen hat und wie sie informiert werden müssen. Nur grob geregelt ist die automatisierte Entscheidungsfindung und das Profiling – so Christian Wagner von der University of Nottingham.

CC Clara Fritsch

Jan Schallaböck (Rechtsanwalt bei iRights law) ist der Ansicht, dass die DSGVO völlig unzulänglich ist in Bezug auf Artificial Intelligence. Und zwar auch deshalb, weil die DSGVO die Persönlichkeitsrechte von BürgerInnen schütze und nicht die Demokratie. Um sich vor diesem Mangel zu schützen, setzte er sich extra während des Diskussionsbeitrags eine schwarze Haube auf, was vom Publikum lachend aufgenommen wurde. Und ganz nebenbei definierte der Diskutant in einem kurzen Satz Artificial Intelligence:

„The answer is here before the question.“

Und diesen rechtlichen Graubereich möchten Standardisierungsorganisationen füllen, indem sie ISO-Normen, IEEE-Standards oder Ähnliches gemeinsam mit privaten Unternehmen (wie Microsoft oder IBM) und der sogenannten Zivilgesellschaft (zB Konsumentenschutzorganisationen) entwickeln. Der Markt verlange nach derartigen Lösungen – so Janna Lingenfelder von IBM.

Auch hier war für interessante Diskussion auf dem Podium gesorgt, auf dem unterschiedlichste TeilnehmerInnen saßen: vom Lab of Uncertainty (University Nottinham), von der luxemburgischen Datenschutzbehörde, ein Rechtsanwalt (iRights now), eine Mitarbeiterin von IBM und eine Abgeordnete des Europäischen Parlament (ALDE Fraktion) die Mikrophone bespielten.

Das Publikum stellt sich die kritische Frage, warum es so intensive Bemühungen seitens privater Unternehmen und Institutionen gibt, die DSGVO „weiter zu deuten“? Welches Interesse dahinter steht, wenn das Gesetz „operationalisiert“ oder „interpretiert“ werden soll von Personen und Unternehmen, die weder demokratisch gewählt wurden noch auf einer juristisch legitimierten Basis agieren.

Die Antwort auf diese und andere Fragen wird es entweder im Zuge eigenen Kopf-Zerbrechens und Recherchen geben oder bei der CPDP 2020.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

9 + 1 =