Die Datenschutzgrundverordnung (DSGVO) ist ein hervorragendes Beispiel dafür, wie Vorschriften die Entwicklung von leistungsstarken neuen Technologien prägen werden – angefangen mit Big Data-Analytik bis zu maschinellem Lernen und künstlicher Intelligenz, wie Sven Mulder erklärt.
Passen Innovation und Compliance zusammen? Oder bremsen Gesetze, Regeln und Richtlinien gerade innovative Branchen wie Tech? Die Frage ist spannend – aber ist es auch die richtige Fragestellung? Oder müssen Regierungen und andere Behörden nicht auf jeden Fall sicherstellen, dass Grundrechte und Freiheiten auch im digitalen Zeitalter gewährleistet werden? Die Datenschutzgrundverordnung (DSGVO) ist ein hervorragendes Beispiel dafür, wie Vorschriften die Entwicklung von leistungsstarken neuen Technologien prägen werden – angefangen mit Big Data-Analytik bis zu maschinellem Lernen und künstlicher Intelligenz.
Wer hat die Datenhoheit?
Die EU-Verordnung DSGVO tritt Ende Mai in Kraft und betrifft Tech-Innovatoren weltweit. Thema ist weniger das Verhalten europäischer Organisationen, sondern vielmehr ihr Umgang mit europäischen Bürgern. Die Organisationen sind gezwungen, ihre Datenprozesse zu überprüfen. Tun sie das nicht, drohen hohe Strafen (bis zu 4 Prozent des weltweiten Umsatzes).
Datenhoheit ist einer der Schlüsselbegriffe der DSGVO: Sie reguliert, welche persönlichen Informationen automatisch ausgewertet werden dürfen. Dies ist vor allem für Unternehmen mit datenhungrigen Prozessen und dahinter liegendem maschinellen Lernen von Bedeutung. Einige von ihnen befürchten eine langsamere Adaption von künstlicher Intelligenz.
Der Rahmen für maschinelles Lernen
Sind diese Ängste gerechtfertigt? Die Details der DSGVO und ihre Auswirkungen zu verstehen, ist kompliziert – vor allem für Techniker ohne juristischen Background. Auch ist noch immer unklar, wie die praktische Umsetzung der Richtlinie genau aussehen wird. Aber man kann durchaus Vermutungen anstellen, wie künstliche Intelligenz und maschinelles Lernen beeinflusst werden könnten.
Aus technischer Perspektive liegt der wichtigste Aspekt der DSGVO darin, dass ein Unternehmen personenbezogene Daten nur zweckgebunden speichern darf und diesen Zweck klar an den User kommunizieren muss.
Für den Anwender klingt das zunächst nach guten Neuigkeiten. Doch auch die bisherige Handhabung der Datennutzungsbestimmung hatte für den User Vorteile: Dank der gesammelten Daten und Machine Learning waren Unternehmen in der Lage, proaktiv auf die Bedürfnisse der Benutzer einzugehen. Geht das noch im Rahmen der neuen Verordnung? Die DSGVO erlaubt es, Daten für Forschungszwecke zu verwenden, auch wenn der Endnutzer nicht benachrichtigt wird. Sollte aber diese Forschung ein nutzbares Ergebnis hervorbringen, muss der Anwender benachrichtigt und die Daten neu gesammelt werden. Im schlimmsten Fall muss das Machine Learning mit den neuen Daten gefüttert werden.
Automatisierte Entscheidungen und ihre Auswirkungen
In der DSGVO geht es nicht nur um den Zweck der Datenerfassung, sondern auch um die Kommunikation der Nutzung und der datenbasierten Entscheidungen. Die gängigste Auslegung der Verordnung verpflichtet die Unternehmen, eine nachvollziehbare Erklärung für automatisierte Entscheidungen zu liefern – vor allem dann, wenn sie erheblichen Einfluss auf den Anwender haben.
Das macht die DSGVO zu einer absoluten Ausnahme, da sie nicht reaktiv sondern fast schon visionär auf Bedrohungen eingeht. Sie wurde 2016 erlassen, aber erst im folgenden Jahr begannen die Vordenker, die negativen Auswirkungen auf Machine Learning zu diskutieren – insbesondere, wenn diese Entscheidungen auf erlernten Vorurteilen beruhten. Das Problem dabei: Die Verpflichtung zur nachvollziehbaren Erklärung machen einige Funktionalitäten von Machine Learning schlichtweg unpraktikabel.
Eine sanftere Interpretation hält es für zulässig, dass Anwendern einer Applikation grundsätzlich erlaubt ist, automatisierte Entscheidungen in ihrem Namen zu treffen. Die Anfrage einer solchen Erlaubnis müsste jedoch von einer klaren Erklärung darüber begleitet werden, wie die App Entscheidungen trifft und wie sich diese Entscheidungen auf diesen Benutzer auswirken. Was aber, wenn die KI so weit fortgeschritten ist, dass niemand mehr versteht, wie sie Entscheidungen trifft?
Noch kann man keine endgültige Aussage darüber treffen, wie das alles in der Praxis aussehen wird. Aus technischer Sicht ist das Niveau der Granularität der DSGVO für die Erklärung automatisierter Entscheidungen unklar. Bis das Bild klarer wird, können einige innovative Unternehmen entscheiden, ihre Algorithmen weiter zu entwickeln. Oder sie schließen die Nutzung von Daten von EU-Bürgern aus.
Die richtige Infrastruktur
Für Unternehmen, die an Anwendungen mit maschinellem Lernen und KI arbeiten, wird eine bereits verworrene Situation durch die DGSVO noch komplizierter. Einige Anforderungen – etwa das Recht auf Vergessenwerden oder das Recht auf Berichtigung – können nur erfüllt werden, wenn man das Augenmerk wieder auf den Umgang mit Daten legt. Können historische Überzeugungen geändert, Lernprozesse neu gestaltet, Daten korrigiert werden? Diese Unternehmen benötigen eine Infrastruktur, in der sie den gesamten Datenlebenszyklus verwalten können. Die Voraussetzung dafür: absolute Daten-Zentrierung!
