Interview: Die Verantwortlichen müssen die Funktionalitäten und Wirkungsweisen von AI-Technologien offenlegen

Die AI-Technologie wirft unter datenschutzrecht­lichen Gesichtspunkten Fragen auf.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger erklärt im Interview, worauf Firmen bei der Implementierung von AI-Technologien achten müssen.

 

ti&m: Wie lassen sich Datenschutz und der Datenhunger der AI miteinander vereinbaren?

Adrian Lobsiger: Maschinen haben keine Bedürfnisse und verspüren auch keinen Hunger nach Daten. Wenn Maschinen über Schnittstellen zum Internet oder über akustische und visuelle Sensoren Daten beschaffen, tun sie es nach Massgabe menschlicher Programmvorgaben.
Zielt ein Programm auf die Beschaffung ständig wachsender Datenmengen ab, um eine bestimmte Funktionalität zu verbessern, steht dem das Datenschutzrecht nichts entgegen. Lassen die Programmierer die Funktionalität und die darauf gestützten personenrechtlichen Folgen einer automatisierten Datenbearbeitung indessen offen, handeln sie gefährlich. Solche Applikationen verstossen gegen die datenschutzrechtlichen Prinzipien der Zweckbindung und der Verhältnismässigkeit.

 

In Zukunft könnten AI-Algorithmen entscheiden, ob wir einen Job oder vielleicht sogar eine medizinische Behandlung bekommen. Welche Probleme sehen Sie dabei aus datenschutzrechtlicher Sicht?

«Entscheide» sind ein kulturelles Werk. Ob das Ergebnis einer maschinellen Berechnung als «Entscheid» gilt, hängt allein davon ab, ob es die Menschen so bestimmen. Menschen haben leider einen Hang, ihre Entscheide zu verklären. Archaische Kulturen deuteten das Wetter oder das Verhalten von Tieren, um Entscheide über Krieg und Frieden zu begründen. Im digitalen Zeitalter ist der Mensch der Versuchung ausgesetzt, Entscheide mit der angeblichen Autonomie von Algorithmen zu erklären.
Wer eine Personenbearbeitung zwecks automatisierter Entscheidung einsetzt, muss diese Bearbeitung gegenüber den potentiell betroffenen Menschen transparent machen. Das ist oft keine banale Aufgabe. Systeme, die von Menschen erledigte Aufgaben übernehmen sollen, werden meist mit Trainingsdaten versorgt, die von menschlicher Urteilskraft geprägt sind. Wurden in der Vergangenheit z. B. Frauen statistisch selten berücksichtigt, wird ein Programm, das lernt, Bewerbungsunterlagen zu sortieren, dieses Muster fortsetzen. Vor diesem Hintergrund verlangt das Datenschutzrecht, dass die Verantwortlichen entsprechender Systeme deren Risiken erheben und dokumentieren sowie die nötigen Gegenmassnahmen ergreifen, ehe sie die Applikation einsetzen.

 

Was raten Sie Firmen, wenn sie ein AI-Projekt bei sich implementieren wollen?

Hersteller und Anwender «intelligenter» Technologien müssen erstens die berechtigten Erwartungen der Kunden kennen und respektieren. Nach dem datenschutzrechtlichen Grundprinzip von Treu und Glauben, müssen ihre Applikationen Abweichungen von den Erwartungsmustern der Betroffenen rechtzeitig erkennbar machen.
Zweitens müssen sie sich bewusst sein, dass sie für Einwirkungen auf die menschliche Privatsphäre und Persönlichkeit gegenüber den Betroffenen einstehen müssen. Sie können sich dieser Verantwortung nicht entledigen, indem sie sich auf vermeintlich «selbst» lernende oder sich «selbst» weiterentwickelnde Aspekte dieser Technologien berufen. Es verhält sich ähnlich wie beim Züchten und Halten gefährlicher Tiere wie Bienen oder Grossvieh, für deren Verhalten stets der menschliche Halter haftet.

 

Was sind die drei vermeidbaren Fehler im Umgang mit Daten bei AI-Projekten?

Aus datenschutzrechtlicher Sicht gibt es drei Todsünden: Erstens, unklare Verantwortlichkeiten für Herstellung, Betrieb und Weiterentwicklung der Applikationen, die Gegenstand des Projekts sind. Zweitens, die mangelhafte Abklärung und Dokumentation der mit der App­likation einhergehenden Risiken. …..

Das gesamte Interview könnt ihr hier auf der Website unseres Partners ti&m nachlesen.