Künstliche Intelligenz (umgangssprachlich bekannt unter der Abkürzung „AI“ aus dem englischen Begriff „Artificial Intelligence“) ist definiert als die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu zeigen.
Ära der künstlichen Intelligenz
Die künstlichen Intelligenz ist eine neue, sich schnell entwickelnde Technologie, die das Potenzial hat, eine Reihe von Branchen und Aspekten unseres täglichen Lebens zu revolutionieren und neu zu gestalten. Der Einsatz künstlicher Intelligenz bringt eine Reihe von Vorteilen hinsichtlich der Steigerung von Effizienz, Geschwindigkeit und Genauigkeit mit sich. Tools, die künstliche Intelligenz nutzen, können kleinen und mittleren Unternehmen dabei helfen, Kosten zu senken und so zum Schutz geistiger Eigentumsrechte beitragen. Doch der Einsatz künstlicher Intelligenz bringt auch eine Reihe von Herausforderungen mit sich.
In der Anwaltsgesellschaft Pepeljugoski antizipieren wir seit mehr als 25 Jahren Veränderungen und deren Auswirkungen auf die Geschäftstätigkeit unserer Mandanten. Im Zeitalter der Verbreitung künstlicher Intelligenz weisen wir zwangsläufig auf die Notwendigkeit hin, die ethischen und sozialen Implikationen ihres Einsatzes zu berücksichtigen. Im Zuge der Entwicklung der Technologien ist es auch notwendig, die Grundprinzipien ihres weiteren Wachstums, die Art ihrer Nutzung, d. h. Schutzmaßnahmen im Bereich Sicherheitsrisiken, Schutz der Privatsphäre, Prävention von Diskriminierung usw., zu regeln.
Herausforderungen im Bereich des Schutzes personenbezogener Daten
Von außerordentlicher Bedeutung ist der Einfluss künstlicher Intelligenz auf den Schutz personenbezogener Daten. Die Herausforderungen und Gefahren, die künstliche Intelligenz im Hinblick auf den Datenschutz mit sich bringt, betreffen vor allem die Transparenz und Verantwortung bei der Verarbeitung personenbezogener Daten.
Viele AI-Modelle können komplex und schwer zu interpretieren sein, was einerseits zu mangelnder Transparenz und andererseits zu Schwierigkeiten beim Verständnis führt, wer für Entscheidungen oder getroffene Maßnahmen verantwortlich ist (unzureichende Verantwortung).
Der Mangel an Transparenz und Verantwortung bei der Verarbeitung personenbezogener Daten mittels künstlicher Intelligenz tritt insbesondere dann in den Vordergrund, wenn Entscheidungen getroffen werden, die ausschließlich auf der Grundlage einer automatisierten Verarbeitung mithilfe künstlicher Intelligenz getroffen werden.
300.000 Euro für eine automatisierte Entscheidung
Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Basis von Algorithmen und ohne menschliches Eingreifen trifft.
Als Beispiel für die Bedeutung von Transparenz und Verantwortung bei der automatisierten Verarbeitung mithilfe künstlicher Intelligenz verweisen wir auf das Beispiel der Verurteilung einer deutschen Bank.
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) verhängte gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz einer automatisierten Einzelfallentscheidung.
Die Bank verweigerte dem Kunden eine nachvollziehbare Auskunft über die Gründe für die automatische Ablehnung eines Kreditantrags, kooperierte intensiv mit der BlnBDI und akzeptierte die Vertragsstrafe.
Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) besondere Transparenzpflichten vor. Wenn betroffene Personen von Verantwortlichen Auskunft verlangen, müssen sie aussagekräftige Informationen über die Logik hinter der automatisierten Entscheidung bereitstellen.
In diesem Fall hat die Bank die Regelung bei ihrem Digitalkreditantrag nicht berücksichtigt. Über ein Online-Formular erfragte die Bank verschiedene Angaben zu Einkommen, Beruf und Personalien des Antragstellers. Basierend auf den angeforderten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank die Anfrage des Kunden ohne Angabe von Gründen ab.
Da der Mandant über eine gute Bonität und ein regelmäßig hohes Einkommen verfügte, vermutete er die automatisierte Ablehnung. Auf die Frage nach den Gründen für die Ablehnung des Kunden gab die Bank lediglich allgemeine Auskunft zum Scoring-Verfahren und weigerte sich, ihm mitzuteilen, warum sie von einer schlechten Bonität ausging. Daher konnte der Beschwerdeführer nicht nachvollziehen, welche Datengrundlagen und Faktoren der Ablehnung zugrunde lagen und welche Kriterien zur Ablehnung seines Kreditantrags herangezogen wurden.
Der Datenschutzbeauftragte stellte fest, dass die Bank im konkreten Fall gegen Artikel 22 (3), Artikel 5 (1) (a) und Artikel 15 (1) (z) der DSGVO verstoßen hat. Die Bank sei ihrer Pflicht, den Kunden bei der automatischen Entscheidung über einen Kreditantrag über die wesentlichen Ablehnungsgründe zu informieren, nicht nachgekommen. Hierzu gehören konkrete Angaben zur Datenbasis und zu Entscheidungsfaktoren sowie Ablehnungskriterien im Einzelfall. BlnBDI hat bei der Festsetzung des Bußgeldes insbesondere die hohe Fluktuation der Bank sowie die bewusste Gestaltung des Antragsprozesses und der Informationen berücksichtigt. Ausschlaggebend für die Strafminderung war unter anderem, dass die Bank den Verstoß eingestanden hat und bereits Änderungen in den Prozessen umgesetzt und weitere Verbesserungen angekündigt hat.
Mazedonische Regelung
Die rechtliche Regelung des Datenschutzes in der Republik Nordmazedonien ist in Übereinstimmung mit der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) geregelt und besteht aus dem Gesetz zum Schutz personenbezogener Daten („Amtsblatt der Republik Nordmazedonien“ Nr. 42/2020 und 294/2021), die das Recht auf Schutz natürlicher Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten und den freien Datenverkehr regelt und Folgendes erfordert: transparente Erhebung und Verarbeitung von Daten, strenge Sicherheitsmaßnahmen gegen mögliche Verstöße, einschließlich des Rechts auf Auskunft, Zugang, Berichtigung, Löschung, Einschränkung der Datenverarbeitung sowie des Rechts auf Widerspruch.
Die Anwendung dieses Gesetzes in den Bereichen Entwicklung und Nutzung künstlicher Intelligenz erfordert die Feststellung, ob die in die Prozesse der künstlichen Intelligenz einbezogenen Daten personenbezoge Daten sind, mit dem Ziel die geltenden Vorschriften und Pflichten der Unternehmen zu ermitteln.
Was muss das Unternehmen gewährleisten?
Worauf wir Mandanten als Rechtsexperten stets hinweisen, ist, dass die Probleme und Auswirkungen je nach Phase variieren, wenn AI-Prozesse die Verarbeitung personenbezogener Daten beinhalten.
In der AI-Entwicklungsphase (d.h. wenn Datenbanken zum Trainieren von Modellen verwendet werden) variieren die Probleme und die Anwendung rechtlicher Lösungen, je nachdem, ob das Unternehmen eine bestimmte Datenbank zum Erproben von AI-Modellen erstellt hat oder bestehende Datenbanken für andere Zwecke verwenden möchte, um AI-Modelle zu erproben.
In jedem Fall muss das Unternehmen eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten bereitstellen, die auf der Einwilligung der Person, auf die sich die Daten beziehen, oder auf dem Gesetz basieren kann. Zudem muss das Unternehmen die Datenverarbeitung zu dem Zweck durchführen, für den sie bestimmt ist.
Wie viel Kontrolle hat der Eigentümer personenbezogener Daten?
Gemäß Artikel 26 des Gesetzes zum Schutz personenbezogener Daten hat die betroffene Person das Recht, nicht Gegenstand eines Beschlusses zu sein, der ausschließlich auf einer automatisierten Verarbeitung basiert. Dazu gehört auch die Profilierung, die rechtliche Konsequenzen nach sich zieht oder sie in ähnlicher Weise erheblich beeinträchtigt. Ausnahmen sind nur in den Fällen vorgesehen, in denen die Entscheidung a) für den Abschluss oder die Ausführung einer Vereinbarung zwischen der Person und dem Kontrolleur erforderlich ist; b) nach einem für den Kontrolleur geltenden Gesetz zulässig ist und außerdem geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie legitime Interessen der betroffenen Person vorsieht, oder
c) auf der ausdrücklichen Einwilligung der Person beruht. Gleichzeitig ist der Betreiber im Fall der Punkte a) und c) verpflichtet, angemessene Maßnahmen zu ergreifen, um die Rechte, Freiheiten und berechtigten Interessen der betroffenen Person zu schützen, zumindest aber das Recht, die Beteiligung natürlicher Personen unter der Kontrolle des Betreibers bei der Entscheidungsfindung sicherzustellen, das Recht der betroffenen Person, ihren Standpunkt zur Entscheidung zu äußern, sowie das Recht der Person, auf die sich die Daten beziehen, die Entscheidung bei einer bevollmächtigten Person anzufechten.
Wir warten auch auf die Praxis (gerichtlich und/oder verwaltungstechnisch), um das Gesetz zum Schutz personenbezogener Daten im Kontext neuer Trends im Bereich der künstlichen Intelligenz umzusetzen.