KI-Systeme
Machine Learning und der Datenschutz
von
Behrang
Raji - 31.08.2020
Foto: Zapp2Photo / shutterstock.com
Synthetische Daten können das KI-Training anonymisieren. Bei diesem Vorgang werden die Daten allerdings schon verarbeitet - wozu es bereits einer Rechtsgrundlage bedarf.
Der Beitrag wurde erstellt von Behrang Raji. Er ist Referent beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Mit dem Text drückt Raji seine private Meinung aus.
Selbstlernende algorithmische Systeme, hier vereinfacht KI-Systeme genannt, sind datengetrieben. In einer zunehmend vernetzten Gesellschaft produziert jeder Einzelne im Alltag eine große Menge an Daten. Unternehmen wie ein Versandhändler oder ein Supermarkt haben ein wirtschaftliches Interesse daran, zu wissen, wann ein Kunde wahrscheinlich ein Produkt kaufen wird.
Das Verhalten von Menschen ist zwar komplex, aber bestimmten Verhaltensweisen liegt ein Muster zugrunde. Manche sind offensichtlich, etwa dass Kunden im Sommer mehr Eiscreme kaufen als im Winter, manche weniger. Hier könnten Big-Data-Analysen durch KI-Systeme verborgene Muster zutage fördern. So hat etwa ein Kreditkartenunternehmen festgestellt, dass Personen, die Filzplättchen für Stuhlbeine gekauft haben, um das Zerkratzen von Böden zu verhindern, kreditwürdiger sind, wie Lior J. Strahilevitz in der „Harvard Business Review“ berichtet hat. Selbst die Produkte, mit denen ein Nutzer surft, sind einem Muster folgend gewählt worden. Apple-Nutzer bevorzugen zum Beispiel entsprechend luxuriöse Produkte und Leistungen.
KI-Systeme können gewiss nicht menschliches Verhalten in jeder Situation vorhersagen. Doch sie ermöglichen durch eine Approximation, einen Teil der durch das Verhalten erzeugten Daten zu „erklären“. Die prädiktive Kraft dieser Systeme liegt jedoch einzig in der Feststellung von statistischen Korrelationen zwischen Datenpunkten. Die „Erklärung“ erschöpft sich im Aufspüren von Mustern, von Ist-Zuständen. Warum solche Muster vorhanden sind, bleibt der Sozialforschung vorbehalten. KI-Systeme stehen insoweit - abhängig von der Ausgestaltung und dem Einsatzfeld - typischerweise in einem Spannungsverhältnis mit dem Datenschutzrecht.
Gebote und Verbote
Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ist unter anderem abhängig von der Verarbeitung personenbezogener Daten. Wegen der sich schnell weiterentwickelnden Informationstechnologie ist der Begriff der personenbezogenen Daten sehr weit gefasst. Gemäß
Art. 4 Nr. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (…) identifiziert werden kann“.
Art. 4 Nr. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (…) identifiziert werden kann“.
Durch Big-Data-Auswertungen können selbst Messwerte eines Geräts (Maschinendaten) durch Verknüpfung mit weiteren Informationen Personenbezug erlangen. Die zunehmende Vernetzung von Alltagsgeräten und die einfache Auswertung ihrer Daten führt schließlich dazu, dass fast alle Informationen Personenbezug aufweisen. KI-Systeme fordern rechtliche Schutzimplikationen geradezu heraus. Sehr problematisch sind die Auswirkungen dieser zunehmenden Datafizierung sämtlicher Lebensbereiche.
Das Datenschutzrecht und der Diskriminierungsschutz sollen als Schutzinstitute harmonisch ineinandergreifen. Datenschutz knüpft grundsätzlich bei der Verarbeitung und damit in einem der Entscheidung vorgelagerten Bereich an und bezweckt auch Diskriminierungsschutz. Das wird etwa deutlich an Art. 9 DSGVO, der die Verarbeitung besonderer Kategorien von personenbezogenen Daten unter erhöhte Rechtmäßigkeitsvoraussetzungen stellt, weil vor allem mit der Verarbeitung solcher Daten ein erhöhtes Diskriminierungsrisiko einhergeht. Art. 9 DSGVO konstatiert insoweit ein informationelles Diskriminierungsverbot und konkretisiert damit
Art. 21 der europäischen Grundrechtecharta (GRCh).
Art. 21 der europäischen Grundrechtecharta (GRCh).
Diskriminierungsverbote knüpfen hingegen meist an den nachgelagerten Bereich an, wenn Entscheidungen über einzelne Personen oder Personengruppen getroffen werden sollen (vgl. § 2 Allgemeines Gleichbehandlungsgesetz (AGG) sowie Art. 3 Abs. 3 GG).
KI-Systeme verlangen insbesondere im Trainingsprozess eine riesige Menge an (personenbezogenen) Daten, was datenschutzrechtlich heikel sein kann. Andererseits können Diskriminierungsrisiken nur dann minimiert werden, wenn KI-Systeme mit einer ausreichenden Menge an guten und repräsentativen Daten trainiert worden sind. Insofern kommen Datenschutzgebote und Diskriminierungsverbote durch die Funktionsweise von KI-Systemen in eine Gemengelage.
