Ende des Know-how-Schutzes beim Einsatz von künstlicher Intelligenz?

Im Blickpunkt: Transparenzpflichten nach der Datenschutz-Grundverordnung

Von Dr. Markus Häuser

Beitrag als PDF (Download)

Einführung

„A robot may not injure a human being or, through inaction, allow a human being to come to harm.“ Die Relevanz dieses oft zitierten ersten „Robotergesetzes“ des Schriftstellers Isaac Asimov aus den 40er Jahren wird zunehmend deutlich. Zwar ist heute, mehr als 70 Jahre später, noch nicht erkennbar, dass Roboter und andere automatisierte Systeme eine exponentiell gesteigerte Gefahr für Leib und Leben mit sich bringen würden oder Menschen durch Roboter gar intendiert verletzt werden könnten. Gleichwohl können künstlich intelligente Systeme auch heute bereits eine erhebliche Gefahr darstellen, wenn es darum geht, dass Algorithmen rechtserhebliche oder sonst beeinträchtigende Entscheidungen gegenüber Personen treffen, ohne dass diese durch einen zwischengeschalteten Menschen auf Richtigkeit und insbesondere auf Verhältnismäßigkeit (= „Menschlichkeit“?) hin überprüft werden.

Künstliche Intelligenz (KI) als „Black Box“…

Dabei stellt insbesondere die oftmals fehlende Transparenz einer KI-Entscheidung eine erhebliche Rechtsunsicherheit für die Betroffenen dar, weshalb etwa auch PricewaterhouseCoopers International (PwC) in seinen jüngst vorgestellten „2018 AI Predictions“ (Prognosen für die Entwicklung von KI im Jahr 2018) KI als „Black Box“ bezeichnet hat. Der Vergleich mit einer Black Box ist dabei deswegen zutreffend, weil den Betroffenen häufig insbesondere Informationen darüber fehlen, welche Algorithmen innerhalb einer automatisierten Entscheidungsfindung zum Einsatz kommen und welche personenbezogenen Merkmale des Betroffenen dabei berücksichtigt werden.

Nicht nur PwC stellt daher fest, dass beim Einsatz von KI die Gewährleistung von Transparenz („Transparency“), Erklärbarkeit („Explainability“) und Überprüfbarkeit/Nachweisbarkeit („Proveability“) Priorität hat. Auch die vom Deutschen Bundestag am 28.06.018 eingesetzte Enquete-Kommission „Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale“ hat gemäß dem von der Bundesregierung am 18.07.2018 vorgelegten Eckpunktepapier zum Ziel, „Transparenz, Nachvollziehbarkeit und Überprüfbarkeit der KI Systeme“ sicherzustellen, so dass zukünftig ein „effektiver Schutz gegen Verzerrungen, Diskriminierungen, Manipulationen oder sonstige missbräuchliche Nutzungen insbesondere beim Einsatz von algorithmenbasierten Prognose- und Entscheidungssystemen“ erreicht werden kann. Dabei hatte die Enquete-Kommission bereits im Antragsverfahren festgestellt, dass der Mensch zukünftig bei allen automatisierten Entscheidungen immer im Mittelpunkt stehen müsse.

… und Bedeutung des Begriffs „Transparenz“

Unter dem Begriff der „Transparenz“ ist dabei eine an die Allgemeinheit gerichtete abstrakte Beschreibung der einem KI-Algorithmus zugrundeliegenden Prinzipien und Gesetzmäßigkeiten zu verstehen. Mit „Erklärbarkeit“ ist die Darlegung der einer konkreten automatisierten Einzelentscheidung zugrundeliegenden Entscheidungsgründe gemeint. „Überprüfbarkeit“ beziehungsweise „Nachweisbarkeit“ bedeuten schließlich, dass automatisierte Einzelentscheidungen auch mathematisch überprüft werden können, also festgestellt werden kann, ob diese objektiv korrekt sind.

Obwohl die Steigerung von Transparenz aus Betroffenensicht generell ein begrüßenswertes Vorhaben ist, dürfen hierbei dennoch die Betriebs- und Geschäftsgeheimnisse der KI-Betreiber und KI-Entwickler auf der Gegenseite nicht außer Acht gelassen werden. Jede Erhöhung von Transparenz ist insofern spiegelbildlich auch mit einer zunehmenden Offenlegung von Know-how verbunden.

Dabei ergeben sich bestimmte Transparenzpflichten auch heute bereits aus der Datenschutz-Grundverordnung (DSGVO), wenn KI zur automatisierten Entscheidungsfindung eingesetzt wird. Gemeint ist damit, wenn eine Entscheidung ausschließlich aufgrund einer automatisierten Verarbeitung von Persönlichkeitsmerkmalen getroffen werden soll und diese Entscheidung gegenüber dem Betroffenen rechtliche Wirkung entfalten oder diesen in ähnlicher Weise erheblich beeinträchtigen kann. Hierzu zählen beispielsweise Entscheidungen über die Versicherbarkeit oder Kreditwürdigkeit eines Betroffenen. In diesen Fällen sehen die Art. 13–15 DSGVO vor, dass der Verantwortliche den Betroffenen über die Tragweite und die angestrebten Auswirkungen der Datenverarbeitung sowie „über die involvierte Logik“ in aussagekräftiger Weise informieren muss.

Diese – in ähnlicher Form bereits im Rahmen des alten Bundesdatenschutzgesetzes existenten – Transparenzpflichten werfen bei genauerem Hinsehen zahlreiche Fragen bezüglich deren Umfangs und Reichweite auf. Insbesondere ist fraglich, ob hierdurch nun im Sinne der obigen Abstufung lediglich „Transparenz“ oder aber auch „Erklärbarkeit“ und „Überprüfbarkeit“/„Nachweisbarkeit“ gefordert werden.

Insbesondere die Antwort auf die Frage, ob hieraus auch Berechnungsformeln und Algorithmen von den Verantwortlichen offengelegt werden müssen, was zur Ermöglichung von „Überprüfbarkeit“/„Nachweisbarkeit“ erforderlich wäre, war dabei bereits im Rahmen der alten Rechtslage äußerst umstritten. Der BGH hatte sich letztlich dieser Frage im Jahre 2014 angenommen und eine entsprechende Pflicht verneint. Diese Auffassung ist auch im Rahmen der DSGVO aufrechtzuerhalten, da einerseits vom Wortlaut lediglich „Informationen über die involvierte Logik“ gefordert werden und andererseits auch im Rahmen einer „manuellen“ Entscheidungsfindung in der Regel datenschutzrechtlich kein Anspruch auf Herausgabe von Berechnungsformeln oder Entscheidungsmatrizen besteht.

Ob sich aus den Transparenzpflichten der DSGVO dagegen eine Pflicht ergibt, dem Betroffenen die konkreten Entscheidungsgründe und Details einer automatisierten Entscheidungsfindung im Einzelfall mitzuteilen („Erklärbarkeit“), ist umstritten. Hiergegen spricht, dass die Transparenzvorschriften der DSGVO mehrheitlich auf abstrakte Informationspflichten ausgerichtet sind, die gegenüber dem Betroffenen, jedenfalls im Rahmen der Art. 13 und 14 DSGVO, bereits vor der Aufnahme eines Datenverarbeitungsvorgangs zu erfüllen sind (beispielsweise in Form einer an die Allgemeinheit gerichteten Datenschutzerklärung). Daneben existieren zwar auch nachträgliche Informationspflichten wie etwa das Auskunftsrecht nach Art. 15 DSGVO. Die einschlägige Klausel des Art. 15 DSGVO ist hier aber wiederum wortlautgleich zu der entsprechenden Vorschrift in den Art. 13 und 14 DSGVO. Fraglich ist, aus welchem Grund eine inhaltlich gleiche Vorschrift jeweils zu unterschiedlichen Verpflichtungen führen sollte.

Fazit

Die Datenschutz-Grundverordnung fordert zum derzeitigen Stand und mit der hier vertretenen Auffassung lediglich, dass die einer automatisierten Entscheidungsfindung zugrundeliegenden Prinzipien und Gesetzmäßigkeiten deskriptiv erläutert werden müssen. Mithin werden also wohl nur „Transparenz“, nicht aber auch „Erklärbarkeit“ und „Überprüfbarkeit“/„Nachweisbarkeit“ gefordert. Hierin sind derzeit aber keine wirklichen Gefahren für etwaige Betriebs- und Geschäftsgeheimnisse erkennbar. Möchte die Enquete-Kommission, etwa im Rahmen einer nationalen Regelung, zukünftig erweiterte Transparenzpflichten beim Einsatz von KI umsetzen, so ist dies im Hinblick auf die Risiken einer automatisierten Entscheidungsfindung zwar generell begrüßenswert. Die Kommission sollte dabei aber einen adäquaten Ausgleich der konfligierenden Interessenlagen nicht außer Acht lassen.

markus.haeuser@cms-hs.com