Qgelm

Originalartikel

Backup

<html> <p class=„printversionback-to-article printversion–hide“><a href=„https://www.heise.de/developer/artikel/Kuenstliche-Intelligenz-trifft-Datenschutz-4337027.html“>zur&#252;ck zum Artikel</a></p><figure class=„printversionlogo“><svg preserveaspectratio=„xMinYMin“ xmlns=„http://www.w3.org/2000/svg“ viewbox=„0 0 600 85“ width=„360“ height=„51“><path d=„M230.68,63.64V59.82h6V20.65h-6V16.9h24c8.4,0,14.86,2,19.28,6s6.68,9.75,6.68,17.33S278.4,53.59,274,57.64s-10.88,6-19.28,6Zm18.08-3.75h4.35c4.88,0,8.48-1.58,10.73-4.73s3.38-8.1,3.38-14.93-1.13-11.78-3.38-14.86-5.85-4.65-10.73-4.65h-4.35Zm73.76-11.33H299.63v.23c0,4.28.68,7.43,2,9.3s3.38,2.85,6.3,2.85a8.71,8.71,0,0,0,5.85-1.88,9.2,9.2,0,0,0,2.85-5.55h5.18a13.44,13.44,0,0,1-5.33,8.33c-2.7,1.8-6.38,2.7-11.26,2.7-5.78,0-10.2-1.5-13.28-4.58s-4.65-7.35-4.65-13.06c0-5.55,1.58-9.83,4.73-12.91s7.58-4.65,13.13-4.65,9.75,1.65,12.68,4.88S322.37,42.33,322.52,48.56Zm-12.16-3.68c0-4.35-.38-7.43-1.2-9.23A4.19,4.19,0,0,0,305,33a4.33,4.33,0,0,0-4.13,2.63c-.83,1.73-1.2,4.65-1.2,8.7V45h10.73Zm30.69,18.76L329.27,34.15H325.6V30.33h19.13v3.83h-4.05l8.4,21,8.4-21h-4.35V30.33h12.53v3.83h-3.83L350.06,63.64Zm62.2-15.08H380.37v.23c0,4.28.68,7.43,2,9.3s3.38,2.85,6.3,2.85a8.71,8.71,0,0,0,5.85-1.88,9.2,9.2,0,0,0,2.85-5.55h5.18a13.44,13.44,0,0,1-5.33,8.33c-2.7,1.8-6.38,2.7-11.26,2.7-5.78,0-10.2-1.5-13.28-4.58S368,52.61,368,46.91c0-5.55,1.58-9.83,4.73-12.91s7.58-4.65,13.13-4.65,9.75,1.65,12.68,4.88S403.11,42.33,403.26,48.56ZM391.1,44.88c0-4.35-.38-7.43-1.2-9.23A4.19,4.19,0,0,0,385.7,33a4.33,4.33,0,0,0-4.13,2.63c-.83,1.73-1.2,4.65-1.2,8.7V45H391.1Zm34.37,15h4.73v3.83H409.64V59.89h4.73V18.62h-4.73V14.87h15.83v45Zm29.11,4.65c-5.85,0-10.5-1.58-13.81-4.65s-5-7.43-5-12.91,1.65-9.83,5-12.91,8-4.65,13.81-4.65,10.5,1.58,13.81,4.65,5,7.43,5,12.91-1.65,9.75-5,12.91S460.44,64.54,454.58,64.54Zm0-3.53a5.05,5.05,0,0,0,5-3c1-2,1.43-5.7,1.43-11s-.45-9-1.43-11a5.05,5.05,0,0,0-5-3,5,5,0,0,0-5,3c-1,2-1.43,5.7-1.43,11s.45,9,1.43,11A4.88,4.88,0,0,0,454.58,61Zm28.89-26.86h-4.73V30.33h15.83v4.2a9.59,9.59,0,0,1,3.83-3.9,12.61,12.61,0,0,1,5.93-1.28c4.73,0,8.48,1.58,11.18,4.65s4.13,7.43,4.13,12.83-1.35,9.75-4.13,12.91-6.45,4.73-11.18,4.73a13,13,0,0,1-5.93-1.28,8.76,8.76,0,0,1-3.83-3.9V73.1h5.18v3.83h-21V73.1h4.73Zm11.11,11.18v3.3c0,3.9.53,6.68,1.5,8.4a5.17,5.17,0,0,0,4.8,2.63,4.89,4.89,0,0,0,4.8-2.78c.9-1.8,1.43-5.18,1.43-9.9s-.45-8.1-1.43-9.9a5,5,0,0,0-4.8-2.78,5.09,5.09,0,0,0-4.8,2.63C495,38.66,494.58,41.51,494.58,45.33Zm66.78,3.23H538.47v.23c0,4.28.68,7.43,2,9.3s3.38,2.85,6.3,2.85a8.71,8.71,0,0,0,5.85-1.88,9.2,9.2,0,0,0,2.85-5.55h5.18a13.44,13.44,0,0,1-5.33,8.33c-2.7,1.8-6.38,2.7-11.26,2.7-5.78,0-10.2-1.5-13.28-4.58s-4.65-7.35-4.65-13.06c0-5.55,1.58-9.83,4.73-12.91s7.58-4.65,13.13-4.65,9.75,1.65,12.68,4.88S561.13,42.33,561.36,48.56Zm-12.23-3.68c0-4.35-.38-7.43-1.2-9.23a4.19,4.19,0,0,0-4.2-2.63,4.33,4.33,0,0,0-4.13,2.63c-.83,1.73-1.2,4.65-1.2,8.7V45h10.73ZM600,30v9.9h-3.53a6.44,6.44,0,0,0-1.43-4,4.61,4.61,0,0,0-3.6-1.28,6.39,6.39,0,0,0-5.7,3.23c-1.43,2.1-2.1,5.1-2.1,8.85V59.82h6.08v3.83h-22V59.82h4.73V34.15h-5.1V30.33h16.21v5.93a11.9,11.9,0,0,1,4.28-5.18,12.15,12.15,0,0,1,6.6-1.65c.68,0,1.43.08,2.4.15S598.8,29.8,600,30Z“ transform=„translate(0 0)“ fill=„#661136“/><path d=„M99.72,27.6h4.39V42.76h.07a8.46,8.46,0,0,1,3.15-3.07,9.34,9.34,0,0,1,4.54-1.24c3.22,0,8.49,2,8.49,10.4V63.26H116V49.35c0-3.88-1.46-7.25-5.64-7.25a6.33,6.33,0,0,0-5.93,4.39,5.94,5.94,0,0,0-.29,2.12V63.26H99.72V27.6ZM130,51.91c.07,5.93,3.88,8.42,8.35,8.42a16.93,16.93,0,0,0,6.74-1.24l.73,3.15a18.82,18.82,0,0,1-8.05,1.54c-7.47,0-11.93-5-11.93-12.3s4.32-13.11,11.35-13.11c7.91,0,10,7,10,11.42a13.18,13.18,0,0,1-.15,2H130Zm12.89-3.22c.07-2.78-1.17-7.17-6.15-7.17-4.47,0-6.44,4.1-6.74,7.17Zm14.64-16.55a2.56,2.56,0,0,1-2.78,2.71,2.6,2.6,0,0,1-2.64-2.71,2.74,2.74,0,0,1,2.78-2.78A2.62,2.62,0,0,1,157.55,32.14Zm-4.91,31V38.95H157V63.18Zm11.13-4.47a11.26,11.26,0,0,0,5.78,1.76c3.22,0,4.69-1.61,4.69-3.59s-1.24-3.22-4.54-4.47c-4.39-1.54-6.44-4-6.44-6.88,0-3.88,3.15-7.1,8.35-7.1A11.71,11.71,0,0,1,177.54,40l-1.1,3.22a9.62,9.62,0,0,0-5-1.39c-2.64,0-4,1.54-4,3.29,0,2,1.46,2.93,4.61,4.1,4.17,1.61,6.37,3.73,6.37,7.32,0,4.25-3.29,7.32-9.08,7.32a14.37,14.37,0,0,1-6.81-1.68Zm22.92-6.81c.07,5.93,3.88,8.42,8.35,8.42a16.93,16.93,0,0,0,6.74-1.24l.73,3.15a18.82,18.82,0,0,1-8.05,1.54c-7.47,0-11.93-5-11.93-12.3s4.32-13.11,11.35-13.11c7.91,0,10,7,10,11.42a13.18,13.18,0,0,1-.15,2H186.69Zm12.89-3.22c.07-2.78-1.17-7.17-6.15-7.17-4.47,0-6.44,4.1-6.74,7.17ZM70.58,57,67.5,54.32a28,28,0,0,0,6.15-17.13c0-17.79-13.91-29.36-31.12-29.36-23.06,0-31.12,18.23-31.12,38.58,0,18,13.25,32.87,31.55,32.87A45.36,45.36,0,0,0,69,71a27.71,27.71,0,0,0,4.17-3.59L75,70.06A42.67,42.67,0,0,1,43.42,85C19.62,85.07,0,67.79,0,43.42,0,18.67,18.08,0,43,0c20.57,0,37.7,13,37.7,34.63C80.68,42.61,76.43,51.54,70.58,57ZM48.69,27.38,34.92,58.72c-1.17,2.64-2.93,5.71-6.22,5.71a4.12,4.12,0,0,1-4.32-4.17c0-1.9,1-3.66,1.68-5.34L41,20.87c1.17-2.56,2.56-4.47,5.49-4.47a4,4,0,0,1,4.17,4.17C50.66,23,49.64,25.26,48.69,27.38ZM59.6,46.49,54.1,58.86c-1.24,2.64-3,5.56-6.3,5.56a4,4,0,0,1-4.17-4.17A12.72,12.72,0,0,1,45.32,55L52,40c1.17-2.49,2.56-4.47,5.49-4.47a4,4,0,0,1,4.17,4.17A16,16,0,0,1,59.6,46.49Z“ transform=„translate(0 0)“ fill=„#888“/></svg></figure><figure class=„aufmacherbild“><img src=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/developer/imgs/06/2/6/2/1/4/9/0/ki_recht-fcecd8b2b9199366.jpeg“ alt=„K&#252;nstliche Intelligenz trifft Datenschutz“/></figure><p><strong>Wer Daten mit Machine Learning verarbeitet, muss auf das Einhalten der Datenschutzanforderungen achten. K&#252;nstliche Intelligenz bringt neue Risikotypen f&#252;r den Datenschutz mit sich.</strong></p> <p>Organisationen, die mit einer Komponente wie einem k&#252;nstlichen neuronalen Netz personenbezogene Daten verarbeiten, erzeugen hohe Risiken f&#252;r Betroffene. Bei hohem Risiko verlangt die Datenschutz-Grundverordnung (Art. 35 DSGVO) das Durchf&#252;hren einer Datenschutz-Folgenabsch&#228;tzung (DSFA).</p> <h3 class=„subheading“>K&#252;nstliche Intelligenz und DSGVO</h3> <p>Das Verst&#228;ndnis von k&#252;nstlicher Intelligenz (KI) und Machine Learning (ML) reicht von regelbasierten Entscheidungsmodellen auf Grundlage gut erforschter Regressionsanalysen bis zu den subsymbolischen Strukturen der k&#252;nstlichen neuronalen Netze (KNN). Bei den KI-Modellen lassen sich Lernstile, -aufgaben und -verfahren unterscheiden, die von linearer Regression &#252;ber Bayessche Inferenz, Clustering und K-Means bis zur klassischen Backpropagation reichen. Zur Klassifikation von KI-Systemen ist eine <a href=„https://www.bigdata.fraunhofer.de/content/dam/bigdata/de/documents/Publikationen/Fraunhofer_Studie_ML_201809.pdf“ rel=„external noopener“ target=„_blank“><strong>Abhandlung der Fraunhofer Gesellschaft [1]</strong></a> hilfreich.</p> <p>Wenn im Folgenden von KI die Rede ist, ist deren aktuell st&#228;rkste Auspr&#228;gung gemeint, n&#228;mlich KNN mit Deep Learning. Die Datenschutz-Herausforderungen dabei sind immens, wenn man <a href=„https://www.heise.de/tp/buch/telepolis_buch_3912357.html“ rel=„external noopener“ target=„_blank“><strong>dem Mathematiker und KI-Spezialisten Gunter La&#223;mann [2]</strong></a> folgt: „Deep-Learning-Systeme sind also nicht pr&#252;fbar, nicht evaluierbar, &#228;ndern Ihre Eigenschafen, liefern keinerlei Begr&#252;ndung, sind leicht zu manipulieren, willk&#252;rlich aufgebaut und immer ungenau.“ [1]. Einer solchen Technik sollen Menschen anvertraut werden?</p> <p>Bei den erstaunlichen Leistungen der KI in den letzten beiden Jahrzehnten bei Spielen wie Schach, Jeopardy, Go oder Poker sind die riskanten Eigenschaften weitgehend irrelevant. Im milit&#228;rischen, industriell-produktiven und Alltagskontext von Menschen spielen sie dagegen eine gro&#223;e Rolle [2] und [3]. Wenn sich f&#252;r KNN Datenschutzma&#223;nahmen entwickeln lassen, dann auch f&#252;r leichter beherrschbare Automationsverfahren.</p> <h3 class=„subheading“>Verst&#228;ndnis von Datenschutz</h3> <p>Jede Verarbeitung personenbezogener Daten durch eine Organisation ist ein Grundrechtseingriff f&#252;r davon betroffene Personen und erzeugt ein bestimmtes Set an Risiken, die es ohne diese Verarbeitung nicht g&#228;be. Die Risiken, die von Hackern oder illoyalen Mitarbeitern ausgehen k&#246;nnen, sind davon nur eine Untermenge. Insofern gilt als generalisiertes Angreifermodell im Datenschutz: „Jede Organisation, gerade und auch die rechtlich zur Verarbeitung befugte, ist ein Angreifer!“</p> <p>Organisationen nehmen unvermeidlich in den Transaktionen gegen&#252;ber ihren B&#252;rgern, Kunden, Patienten, Lieferanten und Mitarbeitern eine Fremdbestimmung des Handelns, Denkens und F&#252;hlens dieser Personen vor. Bei dieser Kontrolle organisierter Fremdbestimmung geht es nicht um die Bek&#228;mpfung organisierter Boshaftigkeit, auch nicht um Schuld durch Organisation, sondern um den sachgerecht organisierten Umgang mit dem, was die Organisation von Rechts wegen sachlich etwas angeht und was nicht.</p> <p>Zudem muss eine Organisation vermeiden, Personen zu Objekten von (KI-)Automaten zu machen, weil es dann sogar g&#228;nzlich an der Legitimation f&#252;r eine Datenverarbeitung fehlt. Eine Konstellation, die aus Subjekten Objekte macht, ist nicht grundrechtskonform und einwilligungsf&#228;hig. Artikel 22 DSGVO legt fest: „Die betroffene Person hat das Recht, nicht einer ausschlie&#223;lich auf einer automatisierten Verarbeitung &#8211; einschlie&#223;lich Profiling &#8211; beruhenden Entscheidung unterworfen zu werden.“ Datenschutz formuliert die Risiken beziehungsweise den Schutzbedarf von betroffenen Menschen, w&#228;hrend die IT-Sicherheit den Schutzbedarf der eigenen Leute und Organisation adressiert.</p> <p>Zur Bestimmung der H&#246;he der Risiken betroffener Personen haben sich die Datenschutz-Aufsichtsbeh&#246;rden europaweit auf einen neun Kriterien umfassenden Katalog geeinigt (vgl. <a href=„https://ec.europa.eu/newsroom/document.cfm?doc_id=47711“ rel=„external noopener“ target=„_blank“><strong>Art. 29, Gruppe 2017 [3]</strong></a>):</p> <ol class=„rtelist rtelist–ordered“><li>Bewerten oder Einstufen,</li> <li>automatische Entscheidungsfindung,</li> <li>systematische &#220;berwachung,</li> <li>vertrauliche oder h&#246;chst pers&#246;nliche Daten,</li> <li>Datenverarbeitung im gro&#223;en Umfang,</li> <li>Abgleichen oder Zusammenf&#252;hren von Datens&#228;tzen,</li> <li>Daten zu schutzbed&#252;rftigen Betroffenen,</li> <li>innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer L&#246;sungen,</li> <li>Betroffene werden an der Aus&#252;bung eines Rechts oder der Nutzung einer Dienstleistung beziehungsweise Durchf&#252;hrung eines Vertrags gehindert.</li> </ol><p>Die Regel zur Entscheidung lautet: Wenn aus diesem Katalog mindestens zwei Kriterien zutreffen, besteht ein hohes Risiko f&#252;r betroffene Personen und eine DSFA ist durchzuf&#252;hren. Bei Verfahren mit KI-Komponenten treffen h&#228;ufig gleich alle neun Kriterien zu. Daraus folgt wiederum die Regel: Wenn KI bei einer Verarbeitung personenbezogener Daten zum Einsatz kommt, ist eine DSFA obligatorisch.</p> <p>Der Zweck einer DSFA besteht darin, die Risiken zu bestimmen und mit der Gestaltung des Verfahrens sowie flankierender Schutzma&#223;nahmen auf das geringst m&#246;gliche Ma&#223; zu mildern &#8211; nicht gemeint sind die Risiken von Haftungssch&#228;den durch Unf&#228;lle oder Vergleichbares; das w&#228;re ein vollkommen anderes Thema. Artikel 5 DSGVO listet die materiellen Anforderungen des Datenschutzrechts auf. Das Risiko bei KI-basierter Verarbeitungst&#228;tigkeit besteht somit darin, dass Organisationen gegen&#252;ber Personen die Anforderungen aus Artikel 5 nicht wirksam erf&#252;llen. Was unter einer Verarbeitungst&#228;tigkeit und einem personenbezogenem Datum zu verstehen ist, definiert Artikel 4 DSGVO.</p> <div class=„rtetextbox akwa-inline-textbox rtepos_right col-lg-4 col-md-5 col-sm-5 col-xs-12 akwa-inline–right“> <h4>Minds Mastering Machines</h4> <p>Vom 14. bis 16. Mai findet in Mannheim die zweite Auflage der <a href=„https://www.m3-konferenz.de/?source=12“ rel=„external noopener“ target=„_blank“><strong>Minds Mastering Machines [4]</strong></a> statt. Auf der von <em>heise Developer</em>, <em>iX</em> und <em>dpunkt.verlag</em> veranstalteten Entwicklerkonferenz zu Machine Learning h&#228;lt der Autor dieses Artikels im Rahmen des <a href=„https://www.m3-konferenz.de/programm.php?source=12“ rel=„external noopener“ target=„_blank“><strong>zweit&#228;gigen Vortragsprogramms [5]</strong></a> einen Vortrag mit dem Titel „<a href=„https://www.m3-konferenz.de/lecture.php?id=7707&amp;source=12“ rel=„external noopener“ target=„_blank“><strong>Datenschutz-Folgenabsch&#228;tzung f&#252;r KI-Systeme [6]</strong></a>“.</p> </div> <p>Mittlerweile wurden diese normativen Anforderungen nach dem methodischen Vorbild der IT-Sicherheit des Grundschutzes nach BSI durch Schutz- beziehungsweise Gew&#228;hrleistungsziele im Kontext <a href=„https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/“ rel=„external noopener“ target=„_blank“><strong>eines Standard-Datenschutzmodells [7]</strong></a> in funktionale Anforderungen transformiert.</p> <p>Das hei&#223;t f&#252;r die Praxis von KI-Entwicklern, dass sie f&#252;r eine DSFA ihrer KI erstens einen Anwendungsfall der Verarbeitung formulieren m&#252;ssen und zweitens die daf&#252;r zu treffenden Schutzma&#223;nahmen nicht aus dem komplexen Datenschutzrecht extrahieren, sondern aus den funktional ganz gut verstandenen sechs Schutzzielen herleiten k&#246;nnen.</p> <p>Anschlie&#223;end m&#252;ssen die Verf&#252;gbarkeit, Integrit&#228;t, Vertraulichkeit, Transparenz, Nichtverkettbarkeit (inkl. Datenminimierung) und Intervenierbarkeit einer Verarbeitung gew&#228;hrleistet und sichergestellt werden, mit Resilienz als einer zus&#228;tzlichen Anforderung bez&#252;glich aller Schutzziele [4]. Einzelne Datenschutz-Aufsichtsbeh&#246;rden haben begonnen, zu allen Zielen <a href=„https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/“ rel=„external noopener“ target=„_blank“><strong>konkrete Referenz-Schutzma&#223;nahmen [8]</strong></a> auszuweisen.</p> <h3 class=„subheading“>Spezifische Risiken durch KI</h3> <p>Das Auflisten aller Gew&#228;hrleistungsziele [5] und der Anforderungen konventioneller IT-Sicherheit auf dem nicht kognitiven Layer der IT w&#252;rden im Rahmen des Artikels zu weit gehen. F&#252;r eine &#220;bersicht sollen die Antworten auf folgende drei Fragen helfen:</p> <ol class=„rtelist rtelist–ordered“><li>Was ist zu pr&#252;fen?</li> <li>Wie l&#228;sst sich die Zweckbindung sichern?</li> <li>Wie kann eine KI gestoppt werden?</li> </ol><h3 class=„subheading“>Pr&#252;fbarkeit einer KI herstellen</h3> <p>Eine wesentliche Anforderung an Verarbeitungen mit KI-Komponenten ist die Transparenz, genauer nach deren Pr&#252;ff&#228;higkeit. So verlangt Artikel 13 DSGVO: Es sind „(…) aussagekr&#228;ftige Informationen &#252;ber die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung f&#252;r die betroffene Person“ zu geben. Das hei&#223;t: KI-Systeme m&#252;ssen f&#252;r eine Soll-Ist-Bilanzierung im Hinblick auf bestimmte Eigenschaften zug&#228;nglich sein.</p> <p>Genauer formuliert: KI-Systeme sind auf der Grundlage der mit den Schutzzielen verbundenen Ma&#223;nahmen zu spezifizieren, der Betrieb ist unter Ausweis einer Pr&#252;fmethodik zu dokumentieren und anhand von Protokollen &#8211; durch aktive Selbstausk&#252;nfte und bei Interaktion mit anderen Systemen durch Fremdprotokolle &#8211; nachvollziehbar zu gestalten. Ein Datenschutz-Managementsystem hat schlie&#223;lich daf&#252;r zu sorgen, dass Datenschutzdefizite integer festgestellt und behebbar sind und tats&#228;chlich vom verantwortlichen Systembetreiber behoben werden.</p> <p>Durch KI beziehungsweise ML ist eine neue Klasse an Transparenz in der Spezifikationsphase bez&#252;glich der Daten entstanden, n&#228;mlich die Qualit&#228;t der Aufbereitung der Daten f&#252;r eine KI, das sogenannte Kuratieren, zu sichern. In diesem Sinne m&#252;ssen Entwickler die folgenden Eigenschaften dokumentieren, um bei einer DSFA f&#252;r ein KI-Verfahren das Schutzziel Transparenz zu erf&#252;llen [6]:</p> <ul class=„rtelist rtelist–unordered“><li>die Herkunft der Daten,</li> <li>die Form der Veredlung (Definieren, Sammeln, Selektieren, Umwandeln, Verifizieren) und Anreicherung der Rohdaten zu Modell- oder Trainingsdaten,</li> <li>der Lernstil (Supervised Learning, Unsupervised Learning, Reinforcement Learning),</li> <li>die verwendeten Lernmodelle (von Regressionsmodell bis KNN mit ML),</li> <li>der potenzielle Einsatz einer speziellen KI-Komponente,</li> <li>menschliche Beteiligung an den Entscheidungsfindungen innerhalb einer Verarbeitung,</li> <li>die Institutionen, die die Komponenten des KI-Systems hergestellt und &#252;ber die Auswahl, Konfiguration, Implementation und Betrieb der verwendeten KI-Technik, das Kuratieren der Daten, das Training und der Auswahl der Modelle entschieden haben,</li> <li>ein Gutachten zur Vollst&#228;ndigkeit der Repr&#228;sentativit&#228;t der von der KI beherrschten Wissensdom&#228;ne (die sich historisch &#228;ndert),</li> <li>die Implementierung des KI-Algorithmus, insbesondere der regelbasierten Instruktionen und Entscheidungen,</li> <li>der Einbau von Pr&#252;fankern, Pr&#252;fagenten, Selbstdokumentationsmechanismen.</li> </ul><h3 class=„subheading“>Zweckbindung einer KI sicherstellen</h3> <p>Die Zwecksetzung f&#252;r die Nutzung einer KI geschieht durch den Verantwortlichen und muss legitim sein. Die nachfolgende Zweckdefinition f&#252;r die Verarbeitung muss rechtskonform erfolgen, die Zwecktrennung von anderen, inhaltlich benachbarten Verarbeitungst&#228;tigkeiten muss scharf und entschieden sein, damit sich die Zweckbindung der Datenverarbeitung &#252;ber alle Weisungshierarchien der Organisation und alle Ebenen der technischen Infrastruktur hinweg &#252;berpr&#252;fen beziehungsweise nachweisen l&#228;sst.</p> <p>Die wesentliche generische Ma&#223;nahme zum Beherrschen durch Zweckbindung ist die funktionale Kapselung, Isolation beziehungsweise Trennung von Komponenten, um kleinteilige Pr&#252;fungen f&#252;r Teilfunktionen durchf&#252;hren und Bedingungen f&#252;r Aktoren formulieren zu k&#246;nnen. Die generelle Strategie dabei ist die, das unvermeidliche Ma&#223; an Nichtkalkulierbarkeit beziehungsweise die erwartete Unsicherheit m&#246;glichst sicher zu isolieren.</p> <p>Anders formuliert geht es darum, Inseln zu bilden, deren Vertrauensniveaus beispielsweise auf der Grundlage eines statistischen Fehlerverteilungsmodells kalkulierbar sind [7]. Ein schwerer Fehler in einer Komponente darf sich bei einem komplexen Automaten nicht auf das gesamte System ausbreiten k&#246;nnen (Konzept Brandmauer oder Schiffsschott). Auf keinen Fall darf bei einem KNN passieren, dass durch geringf&#252;gige &#196;nderungen der Trainingsdaten das „katastrophische Vergessen“ von zuvor stabil Abgebildetem einsetzt. F&#252;r Verantwortliche und Betroffene muss zudem jederzeit klar sein, in welchem Zustand sich alle Komponenten eines gr&#246;&#223;eren IT-Gesamtsystems befinden, das in der Praxis zumeist aus verschiedenen Typen von KI-Modellen besteht.</p> <p>Um die Kalkulierbarkeit zu verbessern, lassen sich zwei gegens&#228;tzliche Strategien verfolgen: Trivialisierung und Komplexit&#228;tssteigerung. F&#252;r Ersteres sollte die Modellierung weg von KI/ML hin zu Entscheidungsb&#228;umen gehen, die beispielsweise auf linearer Regression oder Cluster-Bildungen basieren. &#220;berspitzt lautet die Strategie „Weg von der blo&#223;en Korrelation durch Musteradaptionen und hin zur theoriegest&#252;tzten, regelbeherrschbaren Kausalit&#228;t“. KI-Entwickler m&#252;ssen insofern nachweisen k&#246;nnen, dass ihre Entscheidungskomponenten nicht weniger riskant als mit KNN/ML umsetzbar sind, selbst wenn die Entstehungskosten daf&#252;r um vieles h&#246;her sind.</p> <p>F&#252;r den gegenteiligen Ansatz der Komplexit&#228;tssteigerung lie&#223;e sich eine zweite KI, die durchaus ebenfalls auf KNN/ML basieren kann, auf das Einhalten des Zwecks der Produktions-KI ansetzen. Die zweite KI warnt oder greift besser noch unmittelbar regulierend ein. Diese Strategie lie&#223;e sich bezeichnen als „Feuer mit Gegenfeuer unter Kontrolle halten“ Es zeichnet sich ab: Die Vielschichtigkeit einer grundrechtskonformen Regulation komplexer Verarbeitungst&#228;tigkeiten ist derma&#223;en gro&#223;, dass ein tats&#228;chlich wirksamer Datenschutz auf die Entwicklung von Pr&#252;f-KI angewiesen sein wird.</p> <p>F&#252;r eine Pr&#252;f-KI ist zu fordern, dass sie unabh&#228;ngig von der Produktions-KI agiert. Diese Forderung nach Unabh&#228;ngigkeit durch Trennung und Isolation besteht streng genommen f&#252;r den Hersteller der Hardware, des Betriebssystems und der Middleware bis hin zu den kognitiven Ebenen und deren Kuratoren, Customizers und Trainern.</p> <p>Es ist somit geboten, dass gerade innerhalb einer Dom&#228;ne unterschiedliche &#214;kosysteme f&#252;r KI &#8211; neben dem amerikanischen und dem chinesischen mindestens noch ein europ&#228;isches &#8211; ausgebildet werden, um zumindest &#252;ber integre Pr&#252;fverfahren zu verf&#252;gen, sollte die KI der Produktionsebene auf Systemen bekannter Monopolhersteller laufen. Die Einhaltung des definierten Zwecks und das Durchsetzen der Zweckbindung f&#252;r eine KI zu sichern und nachzuweisen, d&#252;rfte die Hauptschwierigkeit einer DSFA bilden.</p> <h3 class=„subheading“>Intervenierbarkeit bei einer KI</h3> <p>Je smarter ein Automat assistiert, desto dringlicher stellt sich eine normative Frage: Soll die Maschine letztlich den Piloten oder der Pilot die Maschine f&#252;hren (instruktiv die sechsstufige Automationsskala bez&#252;glich automatisierten Fahrens)? Die aus der Antwort ableitbare Regel h&#228;ngt abstrakt vom Pr&#252;fkriterium ab und lautet konkret: Systeme sind so einzurichten, dass bei wechselnden Anforderungen die Steuerung beziehungsweise Assistenz wechseln kann.</p> <p>Aus Datenschutzsicht gilt dabei dogmatisch zu fordern, dass sich ein KI-System mit Personenbezug ausschalten l&#228;sst, ohne das Vorgehen als Notfall zu gestalten oder dem Nutzer besondere Haftungskosten aufzub&#252;rden. Ein Ausschaltknopf operationalisiert perfekt die Einwilligung f&#252;r den unmittelbar Betroffenen. Dabei kann die Skala der Intervention beim nachtr&#228;glichen Ausf&#252;llen eines Beschwerdeformulars beginnen und &#252;ber den Ausschaltknopf an jedem KI-System bis zur Totmannschaltung reichen, mit der eine KI nur dann l&#228;uft, wenn ein Mensch diese aktiv fortlaufend &#252;berwacht.</p> <p>Intervenierbarkeit muss zudem f&#252;r Organisationen und die Gesellschaft insgesamt sichergestellt sein. Dabei reicht die Skala von Ma&#223;nahmen zur obligatorischen Pr&#252;fung und Freigabe riskanter KI durch Kontrollbeh&#246;rden beispielsweise analog zur Freigabe von Medikamenten oder aus dem Umweltschutz- und Kartellbereich, bis zu einer KI-„Feuerwehr“ oder der Polizei, die passende rechtliche Befugnisse erhalten m&#252;ssen.</p> <p>Auch f&#252;r solche Interventionen m&#252;ssen die KI-Systeme den Akteuren entgegenkommen. Wieder lohnt ein Blick in die Autofahrautomation, denn dort werden derzeit &#252;berzeugend skalierbare Ma&#223;nahmen entwickelt und getestet, um KI-Systeme allseits vertr&#228;glich herunterzufahren. Derart starke Grundrechtseingriffe sollten staatlichen Institutionen vorbehalten sein und keinesfalls privaten Interessenten wie Herstellern oder Versicherungen zugestanden werden.</p> <p>Bei der Gestaltung von KI sollten Nutzer sowohl an der Festlegung der Risikomodelle als auch beim Kuratieren der Daten beteiligt werden, um unter anderem das Risiko von Diskriminierungen zu verringern. Das hei&#223;t konkret, dass bei Architekturentscheidungen im Kontext der KI tats&#228;chlich alle gesellschaftlich relevanten Interessenverb&#228;nde zu beteiligen sind. Und bei pers&#246;nlichen Asisstenzsystemen sollte das Paradigma „nutzerkontrolliertes Kuratieren“ gelten, wonach das Training der Systeme mit den Nutzerdaten unter ausschlie&#223;licher Kontrolle der Betroffenen erfolgt.</p> <h3 class=„subheading“>Ein Framework f&#252;r DSFA</h3> <p>Ein in der Praxis bew&#228;hrtes Framework zur systematischen Durchf&#252;hrung einer DSFA gem&#228;&#223; Artikel 35 DSGVO hat <a href=„https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum-Privatheit-WP-DSFA-3-Auflage-2017-11-29.pdf“ rel=„external noopener“ target=„_blank“><strong>das Privacyforum entwickelt [9]</strong></a>. Es gliedert den Prozess zur Durchf&#252;hrung einer DSFA in vier Abschnitte:</p> <ul class=„rtelist rtelist–unordered“><li>Abschnitt A fordert zur Kl&#228;rung der Voraussetzungen auf wie das Durchlaufen rechtlicher Pr&#252;fungen oder den Aufbau eines Projektmanagements, denn gem&#228;&#223; DSGVO sind die Datenschutzbeauftragten nicht f&#252;r die Durchf&#252;hrung einer DSFA verantwortlich.</li> <li>Abschnitt B strukturiert die Durchf&#252;hrung der eigentlichen Risikoabsch&#228;tzung entlang der sechs Schutzziele des Datenschutzes, die im DSFA-Bericht f&#252;r die Leitungsebene m&#252;ndet.</li> <li>Artikel 35 verlangt dar&#252;ber hinaus die Implementierung von Schutzma&#223;nahmen, die Gegenstand des Abschnitts C ist.</li> <li>Abschnitt D umfasst Ma&#223;nahmen, mit denen die Verfahrensverantwortlichen die Wirksamkeit der Schutzma&#223;nahmen und damit auch die Compliance der Verarbeitung insbesondere gegen&#252;ber Datenschutz-Aufsichtsbeh&#246;rden nachweisen k&#246;nnen.</li> </ul><h3 class=„subheading“>Fazit</h3> <p>Operativer Datenschutz ist ein Projekt der Moderne. Mit Datenschutz wurden Instrumente entwickelt, um proaktiv und konstruktiv beherrschbare KI-Systeme zu entwickeln und zu betreiben. In diesem Kontext rein auf ethische Prinzipien zu setzen statt auf pr&#252;fbare und vor Gericht einklagbare Datenschutzanforderungen, n&#252;tzt lediglich denjenigen, die an einer Verteidigung der b&#252;rgerrechtlich verfassten modernen Gesellschaft mit selbstbewussten B&#252;rgern kein Interesse haben. Was bislang vollst&#228;ndig fehlt, aber unerl&#228;sslich ist, sind Aktivit&#228;ten zum Entwickeln einer Datenschutz-Pr&#252;f-KI. ()<br/></p> <p><em>Martin Rost<br/> ist stellvertretender Leiter des Technikreferats des Unabh&#228;ngigen Landeszentrums f&#252;r Datenschutz, Schleswig-Holstein, sowie Leiter der Unterarbeitsgruppe Standard-Datenschutzmodell des Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten Deutschlands.</em></p> <h2>Literatur</h2> <ol class=„rtelist rtelist–ordered“><li>G&#252;nter La&#223;mann; <a href=„https://www.heise.de/tp/buch/telepolis_buch_3912357.html“><strong>Asimovs Robotergesetze &#8211; Was leisten sie wirklich? [11]</strong></a>; E-Book; Heise Medien, 2017</li> <li>Max Tegmark; Leben 3.0 &#8211; Mensch sein im Zeitalter K&#252;nstlicher Intelligenz; 2. Aufl., Ullstein 2017<br/></li> <li>Thomas Ramge; Mensch und Maschine &#8211; Wie k&#252;nstliche Intelligenz und Roboter unser Leben ver&#228;ndern; 2. Aufl., Reclam2018<br/></li> <li>Susan Gonscherowski, Marit Hansen, Martin Rost; Resilienz &#8211; eine neue Anforderung aus der Datenschutz-Grundverordnung, in: DuD &#8211; Datenschutz und Datensicherheit, 42. Jahrgang, Heft 7: 442-446; 2018</li> <li>Martin Rost; K&#252;nstliche Intelligenz, in: DuD &#8211; Datenschutz und Datensicherheit, 42. Jahrgang, Heft 9: 558-565; 2018</li> <li>Nicholas Diakopoulos, Oliver Deussen: Brauchen wir eine Rechenschaftspflicht f&#252;r algorithmische Entscheidungen? In: Informatik-Spektrum, 40. Jahrgang, Nr. 4: 362-366; 2017</li> <li>Florian M&#252;ller; <a href=„https://www.heise.de/select/ix/2019/2/1549106182574415“><strong>Richtig entscheiden &#8211; Einf&#252;hrung in die probabilistische Programmierung [12]</strong></a>; iX 2019/02: 108-114</li> </ol><hr/><p><strong>URL dieses Artikels:</strong><br/><small>

http://www.heise.de/-4337027

</small></p> <p><strong>Links in diesem Artikel:</strong><br/><small>

<strong>[1]</strong>&#160;https://www.bigdata.fraunhofer.de/content/dam/bigdata/de/documents/Publikationen/Fraunhofer_Studie_ML_201809.pdf

</small><br/><small>

<strong>[2]</strong>&#160;https://www.heise.de/tp/buch/telepolis_buch_3912357.html

</small><br/><small>

<strong>[3]</strong>&#160;https://ec.europa.eu/newsroom/document.cfm?doc_id=47711

</small><br/><small>

<strong>[4]</strong>&#160;https://www.m3-konferenz.de/?source=12

</small><br/><small>

<strong>[5]</strong>&#160;https://www.m3-konferenz.de/programm.php?source=12

</small><br/><small>

<strong>[6]</strong>&#160;https://www.m3-konferenz.de/lecture.php?id=7707&amp;source=12

</small><br/><small>

<strong>[7]</strong>&#160;https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

</small><br/><small>

<strong>[8]</strong>&#160;https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

</small><br/><small>

<strong>[9]</strong>&#160;https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum-Privatheit-WP-DSFA-3-Auflage-2017-11-29.pdf

</small><br/><small>

<strong>[10]</strong>&#160;mailto:rme@ct.de

</small><br/><small>

<strong>[11]</strong>&#160;https://www.heise.de/tp/buch/telepolis_buch_3912357.html

</small><br/><small>

<strong>[12]</strong>&#160;https://www.heise.de/select/ix/2019/2/1549106182574415

</small><br/></p> <p class=„printversion__copyright“><em>Copyright &#169; 2019 Heise Medien</em></p> </html>