Gastbeitrag
09.09.2019, 09:00 Uhr
Achtung, Stolperfallen
Setzen Unternehmen künstliche Intelligenz (KI) ein, entstehen Fragen zum Datenschutz, zum Eigentum der Lösung und der Daten, der Haftung und Sicherheit der Daten. Wir machen eine Auslegeordnung.
Hürden zu meistern, ist selbst für Top-Profis nicht immer einfach, wie diese Reiterin und ihr Pferd am CSI Basel erfahren mussten
(Quelle: Keystone/Georgios Kefalas)
Die Top Shots der IT-Szene liefern sich seit einiger Zeit ein Rennen in der Entwicklung und im Vertrieb von Programmen mit künstlicher Intelligenz (KI). Sie haben die Fähigkeiten, beispielsweise eine medizinische Diagnose besser als Radiologen zu stellen. Denn die automatisierten Systeme verarbeiten und vergleichen in derselben Zeit eine viel grössere Datenmenge als ein Arzt. Interessant ist, dass diese Programme die Fähigkeit haben, sich «Wissen anzueignen», sprich zu «lernen» und ihr Wissen anzureichern – im Rahmen der Algorithmen. Dies beeinflusst wiederum den Output des KISystems, da es nicht ausschliesslich um die Anhäufung von Informationen geht, sondern auch um das Aneignen und Weiterentwickeln von Reaktionsmustern oder Handlungsweisen basierend auf mathematischen Grundsätzen der Statistik und IT-Technik wie etwa neuronale Netze etc.
Wer haftet?
KI-Systeme werden meist nicht selbst aufgebaut, sondern in Kollaboration mit Lieferanten und weiteren Technologiespezialisten. Dazu werden Infrastruktur und Software-as-a-Service-Dienstleistungen (SaaS, PaaS) genutzt, um grosse Datenmengen skalierbar verarbeiten zu können. Werden KI-Systeme genutzt, stellt sich die Frage nach der Verantwortlichkeit der Resultate, der Systemverantwortlichkeit etc. – durchaus bekannte Themen im Cloud-Umfeld.
Anbieter von KI-Systemen (SaaS und PaaS) lehnen grundsätzlich die Haftung für die Ergebnisse von KI-Operationen ab. Solange und soweit eine Lösung zur Durchführung von KI-Operationen genutzt wird und kein weiteres (immaterialgüterrechtliches) Eigentum für den Kunden an der Lösung, am System, entsteht, obliegt die Verantwortung für die Lösung als solche sowie deren Verfügbarkeit beim Anbieter wie beispielsweise Microsoft Azure, AWS, IBM, SAP etc. Dasselbe gilt für vom Anbieter genutzte oder zur Verfügung gestellten Trainingsdaten. Dies gilt jedoch nicht für die durch die Nutzung solcher Systeme resultierenden Ergebnisse. Die vom jeweiligen Anwenderunternehmen selbst verwendeten Daten und durch den Einsatz von KI-Systemen generierten Ergebnisse, die (zusammen mit Drittdaten) für die weitere Prüfung und Analyse genutzt werden, liegen in der eigenen Verantwortlichkeit. Doch lassen sich die Verantwortlichkeiten von Anbieter und Anwender so klar trennen? In der Realität müssen entsprechende Fragestellungen systematisch und im Detail beschrieben und diskutiert werden.
Wem gehört das geistige Eigentum?
Werden nun Systeme zur Verfügung gestellt, die sich autonom weiterentwickeln und dadurch in der Lage sind, neue Lösungen oder neue Software-Teile zu kreieren, stellt sich die Frage, wem diese neuen Funktionalitäten und Lösungen gehören, wer also Anspruch auf das geistige Eigentum anmelden kann. Zum heutigen Zeitpunkt fällt jegliches weiterentwickeltes System, soweit durch die Kundennutzung neue Software oder Software-Teile entstehen, an den Anbieter, dies meist gestützt auf Verträge. Bei grösseren Projekten ist dies jedoch häufig ein unbefriedigendes Ergebnis, setzt das Anwenderunternehmen doch entsprechende Ressourcen ein, die es nicht ohne Weiteres verwerten oder schützen kann. Ohne eine gegenseitige Nutzung von Daten und Prozessen sind weitere Entwicklungen ebenfalls ausgeschlossen – eine juristische Krux. Die Frage nach entsprechenden Rechten an Daten und Ergebnissen wird Entscheider in Unternehmen und in Folge auch Juristen in nächster Zeit wohl noch intensiv beschäftigen.
Grössere Datenmenge = grösseres Risiko
Die Grundlage für einen Grossteil der Funktionen, die KI ausführen, besonders Deep-Learning-Prozesse, basieren auf dem Zugriff und der Nutzung grosser Datenmengen. Grundsätzlich muss jede natürliche Person vor Bearbeitung ihrer Daten wissen, wofür diese erfolgt. Werden nun KI-Systeme genutzt, die sich ja weiterentwickeln – unter Umständen für einen geänderten Zweck –, so muss der oder die Betroffene vorab darüber orientiert werden, ohne dass genau bekannt ist, wohin die Reise geht – ein schwieriges Unterfangen. Sinnvollerweise sollten deshalb zunächst kleine Weiterentwicklungsschritte avisiert werden, damit keine juristischen Stolpersteine folgen.
“KI bringt enorme Möglichkeiten mit sich, aber auch Risiken und offene Fragen„
Carmen de la Cruz
Weiter müssen natürliche Personen je nach Konstellation die Möglichkeit haben, Auskunft über die Bearbeitung und die Löschung ihrer personenbezogenen Daten zu verlangen. Oder kurz gesagt: Sie müssen ihre Informationsrechte gemäss anwendbarer Datenschutzgesetzgebung geltend machen können. Dies bei komplexen Systemen wie KI umzusetzen und zu garantieren, ist anspruchsvoll und komplex. Nur mittels sorgfältiger Programmierung, Analyse der Datenströme und sehr transparenter Informationspolitik gegenüber Betroffenen wird es gelingen, KI-Systeme gesetzeskonform einzusetzen.
Neuronale Netze und Datenschutz
Je nach Datenmengen, Kategorien der verwendeten Personendaten etc. ist eine Datenschutzfolgeabschätzung (DPIA) durchzuführen: Die Datenschutzfolgeabschätzung verlangt nach einer detaillierten Auflistung der Datenverarbeitungsprozesse, die mit den schützenswerten Daten durchgeführt werden sollen. Zudem soll der Zweck einer Verarbeitung angegeben werden und eine Notwendigkeits- und Verhältnismässigkeitsprüfung erfolgen.
Weiter ist auch zu prüfen, inwiefern einem Entscheid mit rechtlicher Wirkung eine automatisierte Einzelfallentscheidung zugrunde liegt, sprich einer Entscheidungsfindung, die ohne menschliches Zutun und ohne weitere Überprüfung erfolgt. In diesem Fall ist dem Betroffenen die Möglichkeit zu geben, diesen Entscheid durch einen zuständigen Mitarbeiter prüfen zu lassen.
Datenschutz bei KI muss daher an einem anderen Punkt ansetzen; gemeinhin ist die Praxis sich einig, dass der gangbarste Weg ein Ansetzen bei der Entwicklung der Algorithmen ist, diese also genügend Transparenz in den Funktionen der KI schaffen sollen, um eine Datenschutzabschätzung möglich zu machen. Dass dies bei neuronalen Netzen, also höchst komplexen Systemen, eine grosse Herausforderung ist, liegt auf der Hand. Es wird unter Umständen auch hinsichtlich Haftungsfragen Sache der Regulatoren sein, hier entsprechende Leitplanken aufzustellen.
Fazit
KI ist eine sehr zukunftsträchtige interessante Entwicklung, die ihren Nutzern viele neue Möglichkeiten bietet, die eigenen Ressourcen zu erweitern und Daten zu nutzen, um Produkte sowie Dienstleistungen weiterzuentwickeln und über die bisherigen limitierten Ressourcen hinaus neue Erkenntnisse zu gewinnen. Dimensionen, die bisher aus Ressourcenüberlegungen tabu waren, rücken nun in praktikable Nähe: Aus strategischer Sicht muss sich jedoch jedes Unternehmen, jeder CIO die Frage stellen, ob und in welchem Umfang KI im Zusammenhang mit Personendaten genutzt, bearbeitet und geteilt werden kann, soll oder gar muss. Datenschutzthemen sind daher im Vorfeld sorgfältig zu prüfen und vertragliche Lösungen für die verschiedenen Geschäftsrisiken zu verhandeln.
Nicht nur Datenschutz spielt eine grosse Rolle, sondern auch Haftungsfragen oder Immaterialgüterrechte: Wo soll investiert werden und wer wird für welchen Teil des Outputs verantwortlich sein? Können getätigte Investitionen abgesichert und bilanztechnisch aktiviert werden oder wachsen sie bei einem Dritten – dem Anbieter von Systemen – an? Die Möglichkeiten, die sich mit KI bieten, sind enorm, ebenso jedoch Risiken und offene Fragen. In kleinen Schritten mit kleinen Projekten Erfahrungen sammeln und sich den Fragestellungen annehmen – das ist hier deshalb die beste Devise! Innovation findet in jedem Fall statt – Unternehmen, die sich sorgfältig damit auseinandersetzen, profitieren letztlich am meisten von ihren Vorbereitungen und nutzen diese Technologien gewinnbringend für sich.
Die Autorin
Carmen de la Cruz, die swissICT-Rechtskommission schreibt regelmässig über aktuelle juristische Themen im digitalen Bereich. Der heutige Beitrag kommt von Carmen de la Cruz, Co-Leiterin der Rechtskommission von swissICT sowie Rechtsanwältin und Partnerin bei De la Cruz Beranek Rechtsanwälte.
Weitere Informationen zur swissICT-Rechtskommission finden Sie unter: swissict.ch/recht