BfDI Kelber: Diskussion über Künstliche Intelligenz (KI) und die Rolle des Datenschutzes

22.09.2023

Am 13. September 2023 veranstaltete der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (“BfDI”) in Berlin einen eintägigen Workshop über die Zukunft der KI in der Gesellschaft aus Sicht des Datenschutzes.

Die wichtigsten Erkenntnisse aus den Diskussionen:

• Transparenzpflichten müssen von Fall zu Fall betrachtet werden und erfordern eine Interessenabwägung: Rechte der Betroffenen vs. Rechte des geistigen Eigentums
• Transparenz bedeutet mehr als nur eine Erklärung, sondern es müssen zumindest die Maßnahmen offengelegt werden, die beim Training der KI zur Fehlerprüfung und zur Verringerung der Risiken für die betroffene Person ergriffen wurden
• KI-Entwickler gelten für die Verarbeitung als Verantwortliche, sobald sie beginnen, personenbezogene Daten für ihre eigenen Zwecke zu verarbeiten, und werden höchstwahrscheinlich als “gemeinsam für die Verarbeitung Verantwortliche” betrachtet (ähnlich wie im “Facebook-Fanpage”-Urteil des Europäischen Gerichtshofs)
• Die Aufsichtsbehörde möchte eine interaktive Beziehung zu den KI-Entwicklungsunternehmen, die ein Geben und Nehmen ermöglicht
• Einheitliche und harmonisierte Richtlinien zum Umgang mit KI werden von der Task Force der Datenschutz-Aufsichtsbehörden im Jahr 2024 erwartet

Der Workshop umfasste eine Vormittags- und eine Nachmittagssitzung. Am Vormittag diskutierten die Teilnehmer drei Themen und beantworteten Fragen des BfDI. Dabei ging es um die Herausforderungen der Transparenz in der Künstlichen Intelligenz, welche Rechte Betroffene haben und wem gegenüber, und welche Rolle die Datenschutzbehörden spielen sollten.

In der Nachmittagssitzung mit dem Titel “KI – tatsächlich die Büchse der Pandora?” tauschten ein Philosophieprofessor, ein CEO eines KI-Start-ups, ein Mediziner und ein Verbraucherschutzaktivist ihre Ansichten über die gesellschaftliche Rolle der KI aus. Die wichtigsten Konsenspunkte waren die Notwendigkeit, die deutsche Bürokratie abzubauen, um einheimische KI- und benutzerfreundliche Lösungen zu fördern, sowie die Forderung nach staatlichen Eingriffen zum Schutz der Grundrechte der Betroffenen durch Kontrolle der KI-Nutzung.

Umfassendes Aufsichts- und Beratungsgremium für den KI-Bereich

Professor Ulrich brachte seine Vision zum Ausdruck, ein umfassendes Aufsichts- und Beratungsgremium für den Bereich der Künstlichen Intelligenz zu schaffen. Er betonte, dass sowohl das KI-Gesetz als auch die DSGVO eine zentrale Rolle bei der Regulierung der Entwicklung großer Lernmodelle spielen werden. Er warnte vor den potenziellen Fallstricken der kontinuierlichen Leistungsbewertung, der Diskriminierung, der Verbreitung von Fehlinformationen durch automatisierte Entscheidungsfindung und Profilerstellung sowie des Missbrauchs biometrischer Daten und betonte die Notwendigkeit robuster Schutzmaßnahmen.

Er bekräftigte, dass der Datenschutz eine zentrale Säule der KI-Entwicklung sein müsse, um die Grundrechte zu schützen. Zudem räumte er sein, dass es eine Herausforderung sei, die Notwendigkeit der Verarbeitung großer Datensätze für das KI-Training mit den Grundsätzen der Datenminimierung in Einklang zu bringen. Auf einer Skala von eins bis zehn bewertete er den potenziellen Schaden für KI-Innovationen, der durch strenge Datenschutzbestimmungen verursacht wird, mit einer “8”. Seine Absicht ist es nicht, den technologischen Fortschritt zu ersticken, sondern zu verhindern, dass Einzelpersonen ihre Grundrechte für den Zugang zu KI-Produkten opfern.

Die folgenden Fragen wurden vom BfDI zur Diskussion gestellt:

Projektgruppe 1 “Black Box – KI” Wie kann der Datenschutz den Herausforderungen der Transparenz begegnen?

1. Sind (standardisierte) Testdatensätze geeignet, um Transparenz in der Entscheidungsfindung zu schaffen?
2. Gibt es de facto Grenzen der Transparenz?
3. Transparenz: Mehr als (nur) Erklärbarkeit?
4. Welches Wissen und technisches Verständnis können sowohl bei den für die Verarbeitung Verantwortlichen als auch bei den betroffenen Personen vorausgesetzt werden?
5. Wie sollte mit Testdaten umgegangen werden (unter dem Gesichtspunkt der Transparenz)?
6. Welche Parameter sind denkbar, um Aussagen zur Transparenz plausibler zu machen (z.B. Vertrauen)?
7. Was bedeutet Transparenz und wie ist sie von Erklärbarkeit zu unterscheiden?
8. Welcher Detaillierungsgrad in der Datenschutzerklärung ist für die Betroffenen und für den für die Verarbeitung Verantwortlichen angemessen?
9. Bis zu welcher Tiefe müssen Informationen offengelegt werden, wo ist eine Bündelung wünschenswert oder notwendig?
10. Wie sollte mit Testdaten umgegangen werden (unter dem Gesichtspunkt der Transparenz)?
11. Braucht Transparenz Interpretierbarkeit oder reicht Erklärbarkeit?

Das Hauptziel dieser Projektgruppe bestand darin, Beiträge der Teilnehmer zum Konzept der “Transparenz” zu sammeln, wie es in der Datenschutz-Grundverordnung vorgeschrieben ist. Im Mittelpunkt der Diskussion stand der Gedanke, dass Transparenz über die bloße Erläuterung der Datenverarbeitung hinausgeht. Stattdessen wurde die Möglichkeit untersucht, den KI-Entwicklungsunternehmen neue Anforderungen aufzuerlegen.

Diese neuen Anforderungen könnten dazu führen, dass KI-Entwickler eine technische Aufschlüsselung darüber liefern, wie die KI trainiert wird und die Quellen der Trainingsdatensätze und deren Herkunft offenlegen. Darüber hinaus befasste sich die Gruppe mit der möglichen Notwendigkeit einen technischen Leitfaden zur Verfügung zu stellen, in dem die Funktionsweise der KI erläutert wird.

Projektgruppe 2 “Rechte der Betroffenen in der KI – Welche Rechte habe ich und wem gegenüber?“

Der BfDI gab eine kurze Einführung in die Rechte der betroffenen Person (Artikel 15 – 22 DSGVO) und wies auf die Verantwortung hin, die der Entwickler von KI gemäß Artikel 12 DSGVO habe.

Projektgruppe 3 “Die Rolle der Aufsichtsbehörden bei KI”

Vom BfDI vorbereitete Fragen zur Diskussion:

1. “Wie sollte die Aufsichtsbehörde aus Sicht der Praxis die KI überwachen, wie sollte die Aufsichtsbehörde ihre Rolle definieren, welche Rolle wird sie in Zukunft spielen?
2. Inwieweit stimmen wir zu, dass der Datenschutz auch im Bereich der künstlichen Intelligenz zu einem wertvollen Exportgut wird?
3. Sollte die Aufsichtsbehörde konkrete Hilfestellungen oder Umsetzungstipps geben?
4. Soll die Aufsichtsbehörde passiv agieren oder sich dynamisch mit proaktiver Anleitung anpassen?
5. Soll die Aufsichtsbehörde bestimmte Anwendungen klassifizieren?
6. Soll die Aufsichtsbehörde die Datenqualität und die gezielte Auswahl der Daten überwachen?
7. Datenschutz als Hindernis für eine breite Datennutzung / Steht der Datenschutz dem Datenfortschritt im Weg?
8. Sollten wir KI-“Whitelists” haben – was ist erlaubt?
9. datenschutzfreundliche Lösung für die Nutzung von “Big Data”?
10. Grenzziehung als Herausforderung?
11. Unklare Zielgerichtetheit von Daten?
12. Die EU als Markt: indirekter Schub für den technischen Fortschritt?

Die Teilnehmer erwarten, dass die Aufsichtsbehörden eine aktive Rolle bei der Bereitstellung von Leitlinien für die datenschutzkonforme Nutzung von KI spielen. Die Aufsichtsbehörden erwarten von den staatlichen Stellen den Aufbau von Kompetenzzentren für den sachgerechten Einsatz von KI.