Künstliche Intelligenz (KI) begegnet uns heute schon an vielen Stellen in der öffentlichen Verwaltung. Wie Datenschutz und Datensicherheit auf den Einsatz von KI einwirken, lesen Sie in unserem Blog-Beitrag. Hier kommt es vor allem auf die Art des KI-Systems an.
Hier einige Beispiele für den KI-Einsatz in der Verwaltung: So werden einfache Steuervorgänge nur noch bei erkannten Auffälligkeiten von einem Sachbearbeiter mitbearbeitet. Die dies ermöglichende Gesetzesanpassung ist bereits seit dem 1.1.2017 in Kraft. Die Bundesländer setzen verschiedene algorithmische Systeme zur ortsbezogenen vorausschauenden Polizeiarbeit ein – der Fachbegriff lautet pre-crime. Vor allem wird hier die Wahrscheinlichkeit von Einbruchsdiebstählen berechnet und auf speziellen Karten vermerkt.
Auch die Bundeswehr will den Ansatz des pre-crime im Rahmen des KI-Einsatzes bei den Landstreitkräften nutzbar machen. Dazu sammelt ein System alle verfügbaren Daten über den Einsatzraum. Dazu gehören sowohl Inhalte aus dem Internet und anderen öffentlichen Medien als auch Ergebnisse nachrichtendienstlicher Informationsgewinnung. Diese Daten werden mit Hilfe von KI-Verfahren mit beobachteten Ereignissen korreliert, um z. B. Bedrohungen der eigenen Kräfte bezüglich geplanter Explosivanschläge zu vermeiden. Aber auch typische Massenanwendungen, wie die Auswertung und Weiterverarbeitung von Dokumenten, lassen sich durch den Einsatz von KI effizienter gestalten.
Trotz aller Vorteile bleibt es aber bei der strikten Rechtsbindung des öffentlichen Sektors auch beim Einsatz von KI. Glaubt man der kürzlich veröffentlichten Umfrage einer Beratungsgesellschaft, so sieht sich jeder zweite Entscheider durch (zu) hohe Vorgaben bei Datenschutz und Datensicherheit eingeschränkt.
Datenschutz als Innovationhemmnis?
Sind also die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und weitere Vorschriften auch für den öffentlichen Sektor Innovationhemmnisse?
Dazu ist zunächst zu prüfen, ob diese überhaupt anzuwenden sind. So verarbeiten die genannten pre-crime-Verfahren in Deutschland bislang fast ausschließlich ortsbezogene Daten. Damit sind Datenschutzaspekte zwar bezüglich der Bediensteten zu beachten, die das Verfahren nutzen, aber die Algorithmik selbst fällt nicht in den Anwendungsbereich des Datenschutzes.
Werden dagegen personenbezogene Daten verarbeitet, dann muss auch das KI-Verfahren selbstverständlich das Recht auf Datenschutz beachten. Nicht jedes Verfahren, das sich auf Künstliche Intelligenz beruft, stellt jedoch bereits ein Profiling oder eine automatisierte Entscheidung im Einzelfall nach Art. 22 DSGVO (§ 54 BDSG für den Strafverfolgungsbereich) dar. Ist dies gegeben, gibt es in der Tat hohe Anforderungen an die Zulässigkeit der Verarbeitung und die damit verbundenen Informationspflichten.
Zwecke der Datenanalysen darstellen
Die eigentliche Herausforderung im Datenschutz wird sich eher daraus ergeben, die konkreten Zwecke der Datenanalysen verständlich darzustellen, um damit den Betroffenen die Auswirkungen transparent darzustellen. Vor allem im Bereich selbstlernender bzw. autonomer KI werden Verantwortliche hier an Grenzen stoßen. Bei Expertensystemen oder Systemen der maschinellen Planung schafft die frühzeitige Ermittlung und Beachtung von Datenschutz-Requirements (genau dieses verbirgt sich hinter der Anforderung privacy by design nach Art. 25 DSGVO / § 71 BDSG) beste Grundlagen für eine transparente Information. Zudem minimiert sich oftmals auch der Arbeitsaufwand bei einer späteren Datenschutzfolgeabschätzung (Art. 35 DSGVO / § 67 BDSG).
Zwischen Datenschutz und Datennutzung besteht ein Zielkonflikt, den es bei Entwicklung und Einsatz von KI zu beachten gilt. Volatile Verarbeitungszwecke sowie explorative Analysen mit offenem Ausgang werden sich manchmal nur schwer in Einklang bringen lassen mit engen Zweckbindungs- und Transparenzgeboten des Datenschutzrechts.
Am besten wird dieses noch gelingen, wenn beim Einsatz von KI ab Beginn des Projektes bereits die Anforderungen der (Datenschutz)-Compliance erhoben, beachtet und evaluiert werden. Dies sollte am besten gemeinsam in einem funktionierenden Team erfolgen aus Informatikern, Informationssicherheitsexperten, IT-Juristen und Datenschützern.
Auszug aus der Presseinfo von Sopra Steria
„Die öffentliche Verwaltung sieht sich in der konkreten Umsetzung allerdings gebremst durch gesetzliche Vorgaben. Jeder zweite Behördenentscheider (53 Prozent) nennt die hohen Standards beim Datenschutz und in der Datensicherheit als Hindernis. Entsprechende Vorgaben verhindern beispielsweise, dass Daten in der behördlichen Praxis zusammengeführt und miteinander verknüpft werden. Für den effektiven KI-Einsatz wäre dies jedoch erforderlich“.
2 Kommentare. Hinterlasse eine Antwort
Stichwort: ortsbezogene, personenbezogene Daten;
Ein einfacher Rückzug auf die Formulierung, dass es sich ja “nur” um ortsbezogene Daten handelt ist wohl etwas zu einfach und könnte später zu Problemen führen.
Wie soll ausgeschlossen werden, dass wenn an einem Ort nur wenige Personen leben unter zuhilfenahme weiterer Parameter (Körpergröße, Tätigkeit oder anderer scheinbar “unverfänglicher” Informationen) ein Personenbezug hergestellt werden kann?
Viele Grüße
Frank Binkowski
richtig, ob ein Datum tatsächlich nicht doch personenbeziehbar ist, hängt von den Umgebungsvariblen ab, damit auch von Gruppengrößen. Bei Geodaten wird es sehr darauf ankommen, wie diese weiter verarbeitet werden, ob z.B. der Verarbeiter einen spätere Personenbeziehbarkeit via Zusatzwissen intendiert hat. Recht ausführlich wird die Fragestellung z.B. in Krügel: Das personenbezogene Datum nach der DS-GVO (ZD 2017, 455) betrachtet. Dieses Problem wird uns mit weiterer Technologieentwicklung immer stärker beschäftigen, letztendlich läuft es auf eine “Datenkonvergenz” hinaus, d.h. der Anteil nicht personenbeziehbarer Daten wird relativ zur Datenmenge immer geringer.
Viele Grüße
Andreas Werner