Sprechen Sie KI?

„Ich beherrsche mehr als sechs Millionen Kommunikationsformen“, wer erinnert sich nicht an den Protokoll-Droiden C-3PO aus Star Wars, wenn er mit den Versprechungen von Sprachassistenten umworben wird. Die oftmals ungeschickt wirkenden Spracherkennung und die schwerfällige Bedienung der Softwareassistenten lassen den Vergleich mit dem tollpatschigen Droiden aufkommen.

Aber durch neue Technologien wie dem maschinellen Lernen und dem Einsatz von künstlicher Intelligenz sollen die Assistenten nun leistungsstärker und praxistauglicher werden. Über cloud-gestützte Systeme finden diese ein breites Anwendungsfeld wie z. B. Spracherkennung und Übersetzungen.

Dabei stellen sich wichtige Fragen wie „Was ist KI?“ und „Wann ist das rechtlich von Bedeutung?“ und „War da nicht irgendetwas mit Cloud?“.

Turing und der erste Chat-Bot

Wann ist eine Maschine intelligent? Laut Allen Turings Definition von 1950 wäre der Beweis für Intelligenz einer Maschine erbracht, wenn in einem Gespräch über ein Computerterminal ein Mensch nicht differenzieren kann, ob einer von seinen beiden Gesprächspartnern ein Mensch oder eine Maschine ist. Im Grunde hat er damit als erster die Zielsetzung für heutige Chat-Bots skizziert.

chatbot-msecure
Bereits 1950 skizzierte Turing die Zielsetzung heutiger Chat-Bots. Quelle: Adobe Stock / NicoElNino

Die Datenethikkommission kommt zu dem Schluss, dass ein Algorithmus allein noch keine KI darstellt. Vielmehr wird ein Augenmerk auf das Training und die dafür notwendigen Daten gelegt und festgestellt, dass die „Funktionsweise“ primär von der Güte dieser Daten abhängig ist. Dabei werden viele ethische Fragen aufgeworfen, die auch eine datenschutzrechtliche Relevanz haben. Wie werden die Daten akkurat aufbereitet, damit es nicht zu Unschärfen oder sogar zu systematischen Diskriminierungen kommen kann? Wer hat Zugang zu den Daten und auf welche Weise? Pseudonymisieren oder anonymisieren? Wann sind die Daten personenbezogen und wann nicht und was bedeutet das?

Über sieben Brücken musst du gehen

Die Datenschutzkommission (DSK) erhebt sieben Anforderungen im Umgang mit Künstlicher Intelligenz:

1. KI darf Menschen nicht zum Objekt machen (Automatisierte Entscheidung)
2. KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben
3. KI muss transparent, nachvollziehbar und erklärbar sein
4. KI muss Diskriminierungen vermeiden
5. Für KI gilt der Grundsatz der Datenminimierung
6. KI braucht Verantwortlichkeit
7. KI benötigt technische und organisatorische Standards

Es wird schnell klar, dass die Forderungen einen starken Bezug zu den Artikeln 5, 22 und 32 der DSGVO haben. Außerdem handelt es sich, über die normale Verarbeitung von personenbezogenen Daten hinaus, beim Einsatz von KI um eine automatisierte Verarbeitung. Daher muss nach Artikel 35 DSGVO eine Datenschutzfolgeabschätzung durchgeführt werden.

Never forget to forget!

Die Verarbeitung von personenbezogenen Daten unter Nutzung von KI unterliegt ebenfalls den Betroffenenrechten nach Artikel 15-18 der DSGVO und fordert wie jede Datenverarbeitung ein Löschkonzept, was zu erheblichen Problemen im Zusammenhang mit dem Zweck der Daten führen kann. Daten, die beim Einsatz einer KI erhoben werden, sind auch gleichzeitig die Trainingsdaten derselben und werden entsprechend gespeichert, wie Erinnerungen bei uns Menschen. Die Entscheidungen der KI beziehen sich auf Regeln, die aus den „Erfahrungen“ der KI (den Trainingsdaten) abgeleitet werden. Sollte es nun notwendig sein, personenbezogene Daten zu löschen, stellt sich die Frage, ob dies ohne weiteres möglich ist und ob es nachhaltig die Integrität der Entscheidungsfindung kompromittiert.

 

Folglich ist es ratsam, bereits bei der Konzeptionierung eine adäquate Lösung für eine Depersonalisierung einzuplanen. Zu beachten sind dabei die strengen Definitionen für eine Pseudonymisierung und eine Anonymisierung. Nach Erwägungsgrund 26 gibt es keinen Anwendungsfall der DSGVO auf anonymisierte Daten, dementsprechend ist eine Anonymisierung auch ein geeignetes Löschkonzept für personenbezogene Daten. Es ist ratsam, in einem frühen Planungsstadium festzulegen, welche Daten für das Training einer KI tatsächlich notwendig sind und den rechtlichen Rahmen und ggfs. besondere Anwendungsfälle (z. B. Forschungszwecke) abzuklären.

„Über den Wolken…“

Da immer mehr Dienste als Software-as-a-Service (SaaS) in Cloud-Angebote umgewandelt werden, können zusätzliche Probleme beim Einsatz von KI entstehen. Bei einem Cloud-Anbieter besteht die Gefahr, dass Daten in ein datenschutzrechtlich unsicheres Drittland übertragen werden, aufgrund des CLOUD-Act gilt das aktuell auch für Anbieter mit Firmensitz in den USA, auch wenn das Rechenzentrum in der EU liegt. Grundsätzlich werden für Datenübertragungen in ein „unsicheres Drittland“ neben den SCC der Europäischen Kommission weitere technische Maßnahmen gefordert.

Bei Cloud-Anbietern besteht die Gefahr, dass Daten in ein datenschutzrechtlich unsicheres Drittland übertragen werden. Quelle: Adobe Stock / natali_mis

Das European Data Protection Board empfiehlt als zusätzliche Maßnahme eine Verschlüsselung der Daten mit einem Schlüssel, der nur dem Besitzer der Daten bekannt ist. Somit ist sichergestellt, dass der Cloud-Anbieter nicht auf die Daten zugreifen kann und es zu keiner Verletzung der Vertraulichkeit nach DSGVO kommt.

Operation geglückt, KI tot…

Ein besonderer Anwendungsfall ist die Verarbeitung von personenbezogenen Daten besonders schützenswerter Art (Artikel 9 DSGVO). Hierzu zählen unter anderem Gesundheitsdaten, welche z. B. bei der Verfassung eines Arztbriefes verarbeitet werden. Hierfür wird in vielen Fällen eine Spracherkennungssoftware verwendet, die zumeist auf einem Server des Krankenhauses läuft. Diese Verarbeitung ist insoweit unbedenklich, als die Daten für die Verarbeitung nicht an dritte übertragen werden. Sollte es aber dazu kommen, dass die Spracherkennungssoftware nicht mehr on-premise angeboten wird, sondern nur noch als SaaS-Lösung, kann es ggfs. zu einer Übertragung in Drittländer kommen. Bei Daten nach Artikel 9 der DSGVO ist dies besonders kritisch, da eine Übertragung und Verarbeitung außerhalb des EWR dann nicht durch die SCC abgedeckt werden und es sich somit um eine unrechtmäßige Verarbeitung handelt.

I´ll Be Back

Mit der Bestätigung des CISPE Data Protection Code of Conduct der CNIL durch den Europäischen Datenschutzausschuss (EDSA) wird eine Einbeziehung der ISO Normen 27001, 27017 und 27018 als Compliance-Nachweis und Bestätigung eines adäquaten Schutzniveaus (TOMs) ermöglicht. Gemäß den Anforderungen muss als Verarbeitungsort der Daten dann auch „ausschließlich EU“ wählbar sein, wobei bei Anbietern, die unter das Five-Eyes-Abkommen oder den CLOUD-Act fallen, für den Fall einer Strafverfolgung oder eines geheimdienstlichen Zugriffs ein Rechtshilfeabkommen (z. B. EU-USA) bestehen muss. Der Anhang A bietet eine gute Checkliste, um die Erfüllung der Anforderungen an den Cloud-Anbieter zu überprüfen. Viele Anbieter arbeiten ebenfalls an der Umsetzung einer Bring-Your-Own-Key-Lösung (BYOK), welche die Anforderung an eine sichere Verschlüsselung erfüllt, bei der nur der Besitzer der Daten Zugriff auf diese nehmen kann.

 

Mit Blick auf Isaac Asimovs erstes Gesetz der Robotik („Ein Roboter darf einen Menschen nicht verletzen oder durch Untätigkeit zulassen, dass ein Mensch zu Schaden kommt“) bleibt festzustellen, dass es einen einfachen und gut durchdachten Gestaltungsansatz für einen verantwortungsvollen und datenschutzkonformen Einsatz einer KI gibt. Richten wir an uns als Nutzer und Entwickler die gleichen ethischen Anforderungen, dann sollte eine friedliche Koexistenz gesichert sein.

Quelle Titelbild: Adobe Stock / Daniel Berkmann

X