Künstliche Intelligenz trifft Datenschutz

Wer Daten mit Machine Learning verarbeitet, muss auf das Einhalten der Datenschutzanforderungen achten. Künstliche Intelligenz bringt neue Risikotypen für den Datenschutz mit sich.

Know-how  –  11 Kommentare
Künstliche Intelligenz trifft Datenschutz

Organisationen, die mit einer Komponente wie einem künstlichen neuronalen Netz personenbezogene Daten verarbeiten, erzeugen hohe Risiken für Betroffene. Bei hohem Risiko verlangt die Datenschutz-Grundverordnung (Art. 35 DSGVO) das Durchführen einer Datenschutz-Folgenabschätzung (DSFA).

Künstliche Intelligenz und DSGVO

Das Verständnis von künstlicher Intelligenz (KI) und Machine Learning (ML) reicht von regelbasierten Entscheidungsmodellen auf Grundlage gut erforschter Regressionsanalysen bis zu den subsymbolischen Strukturen der künstlichen neuronalen Netze (KNN). Bei den KI-Modellen lassen sich Lernstile, -aufgaben und -verfahren unterscheiden, die von linearer Regression über Bayessche Inferenz, Clustering und K-Means bis zur klassischen Backpropagation reichen. Zur Klassifikation von KI-Systemen ist eine Abhandlung der Fraunhofer Gesellschaft hilfreich.

Wenn im Folgenden von KI die Rede ist, ist deren aktuell stärkste Ausprägung gemeint, nämlich KNN mit Deep Learning. Die Datenschutz-Herausforderungen dabei sind immens, wenn man dem Mathematiker und KI-Spezialisten Gunter Laßmann folgt: "Deep-Learning-Systeme sind also nicht prüfbar, nicht evaluierbar, ändern Ihre Eigenschafen, liefern keinerlei Begründung, sind leicht zu manipulieren, willkürlich aufgebaut und immer ungenau." [1]. Einer solchen Technik sollen Menschen anvertraut werden?

Bei den erstaunlichen Leistungen der KI in den letzten beiden Jahrzehnten bei Spielen wie Schach, Jeopardy, Go oder Poker sind die riskanten Eigenschaften weitgehend irrelevant. Im militärischen, industriell-produktiven und Alltagskontext von Menschen spielen sie dagegen eine große Rolle [2] und [3]. Wenn sich für KNN Datenschutzmaßnahmen entwickeln lassen, dann auch für leichter beherrschbare Automationsverfahren.

Verständnis von Datenschutz

Jede Verarbeitung personenbezogener Daten durch eine Organisation ist ein Grundrechtseingriff für davon betroffene Personen und erzeugt ein bestimmtes Set an Risiken, die es ohne diese Verarbeitung nicht gäbe. Die Risiken, die von Hackern oder illoyalen Mitarbeitern ausgehen können, sind davon nur eine Untermenge. Insofern gilt als generalisiertes Angreifermodell im Datenschutz: "Jede Organisation, gerade und auch die rechtlich zur Verarbeitung befugte, ist ein Angreifer!"

Organisationen nehmen unvermeidlich in den Transaktionen gegenüber ihren Bürgern, Kunden, Patienten, Lieferanten und Mitarbeitern eine Fremdbestimmung des Handelns, Denkens und Fühlens dieser Personen vor. Bei dieser Kontrolle organisierter Fremdbestimmung geht es nicht um die Bekämpfung organisierter Boshaftigkeit, auch nicht um Schuld durch Organisation, sondern um den sachgerecht organisierten Umgang mit dem, was die Organisation von Rechts wegen sachlich etwas angeht und was nicht.

Zudem muss eine Organisation vermeiden, Personen zu Objekten von (KI-)Automaten zu machen, weil es dann sogar gänzlich an der Legitimation für eine Datenverarbeitung fehlt. Eine Konstellation, die aus Subjekten Objekte macht, ist nicht grundrechtskonform und einwilligungsfähig. Artikel 22 DSGVO legt fest: "Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden." Datenschutz formuliert die Risiken beziehungsweise den Schutzbedarf von betroffenen Menschen, während die IT-Sicherheit den Schutzbedarf der eigenen Leute und Organisation adressiert.

Zur Bestimmung der Höhe der Risiken betroffener Personen haben sich die Datenschutz-Aufsichtsbehörden europaweit auf einen neun Kriterien umfassenden Katalog geeinigt (vgl. Art. 29, Gruppe 2017):

  1. Bewerten oder Einstufen,
  2. automatische Entscheidungsfindung,
  3. systematische Überwachung,
  4. vertrauliche oder höchst persönliche Daten,
  5. Datenverarbeitung im großen Umfang,
  6. Abgleichen oder Zusammenführen von Datensätzen,
  7. Daten zu schutzbedürftigen Betroffenen,
  8. innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen,
  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung beziehungsweise Durchführung eines Vertrags gehindert.

Die Regel zur Entscheidung lautet: Wenn aus diesem Katalog mindestens zwei Kriterien zutreffen, besteht ein hohes Risiko für betroffene Personen und eine DSFA ist durchzuführen. Bei Verfahren mit KI-Komponenten treffen häufig gleich alle neun Kriterien zu. Daraus folgt wiederum die Regel: Wenn KI bei einer Verarbeitung personenbezogener Daten zum Einsatz kommt, ist eine DSFA obligatorisch.

Der Zweck einer DSFA besteht darin, die Risiken zu bestimmen und mit der Gestaltung des Verfahrens sowie flankierender Schutzmaßnahmen auf das geringst mögliche Maß zu mildern – nicht gemeint sind die Risiken von Haftungsschäden durch Unfälle oder Vergleichbares; das wäre ein vollkommen anderes Thema. Artikel 5 DSGVO listet die materiellen Anforderungen des Datenschutzrechts auf. Das Risiko bei KI-basierter Verarbeitungstätigkeit besteht somit darin, dass Organisationen gegenüber Personen die Anforderungen aus Artikel 5 nicht wirksam erfüllen. Was unter einer Verarbeitungstätigkeit und einem personenbezogenem Datum zu verstehen ist, definiert Artikel 4 DSGVO.

Minds Mastering Machines

Vom 14. bis 16. Mai findet in Mannheim die zweite Auflage der Minds Mastering Machines statt. Auf der von heise Developer, iX und dpunkt.verlag veranstalteten Entwicklerkonferenz zu Machine Learning hält der Autor dieses Artikels im Rahmen des zweitägigen Vortragsprogramms einen Vortrag mit dem Titel "Datenschutz-Folgenabschätzung für KI-Systeme".

Mittlerweile wurden diese normativen Anforderungen nach dem methodischen Vorbild der IT-Sicherheit des Grundschutzes nach BSI durch Schutz- beziehungsweise Gewährleistungsziele im Kontext eines Standard-Datenschutzmodells in funktionale Anforderungen transformiert.

Das heißt für die Praxis von KI-Entwicklern, dass sie für eine DSFA ihrer KI erstens einen Anwendungsfall der Verarbeitung formulieren müssen und zweitens die dafür zu treffenden Schutzmaßnahmen nicht aus dem komplexen Datenschutzrecht extrahieren, sondern aus den funktional ganz gut verstandenen sechs Schutzzielen herleiten können.

Anschließend müssen die Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit (inkl. Datenminimierung) und Intervenierbarkeit einer Verarbeitung gewährleistet und sichergestellt werden, mit Resilienz als einer zusätzlichen Anforderung bezüglich aller Schutzziele [4]. Einzelne Datenschutz-Aufsichtsbehörden haben begonnen, zu allen Zielen konkrete Referenz-Schutzmaßnahmen auszuweisen.