Sensible Daten: Warum es schärfere Gesetze und Kontrollen braucht

Stand:
Algorithmen sind immer nur so gut wie die Daten, aus denen sie ihre Entscheidungen errechnen. In manchen Lebensbereichen wirkt sich das riskanter aus als in anderen. Die KI-Verordnung stellt einen wichtigen Schritt in der Regulierung von KI dar. Allerdings muss sie nun effektiv umgesetzt werden.

Das Wichtigste in Kürze:

  • Sensible Daten sind persönliche Informationen über Sie.
  • Sie haben das Recht darüber, zu entscheiden, was mit Ihren sensiblen Daten passiert.
  • Algorithmen, die mit sensiblen Daten arbeiten, unterliegen den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) und seit August 2024 der neuen KI-Verordnung, auch AI Act genannt.
On
Ein Mann kniet ein einem Serverraum vor einem Schrank und liest Daten aus

Sensible Daten – was ist das?

Sensible Daten sind sehr persönliche Informationen über Sie. Dazu gehören zum Beispiel Daten über Ihren Gesundheitszustand, Ihre sexuelle Orientierung, Ihre Herkunft oder Ihre religiöse Überzeugung. Ihre politische Meinung und die Zugehörigkeit zu einer Gewerkschaft, zum Beispiel, gehören auch dazu. Außerdem zählen zu den sensiblen Daten auch genetische oder biometrische Informationen. Biometrische Daten sind körperliche Merkmale, mit denen Sie eindeutig identifiziert werden können, wie zum Beispiel Ihr Fingerabdruck, Ihre Stimme oder die Augen-Iris.

Wir alle haben verschiedene Grundrechte, darunter auch das Recht auf informationelle Selbstbestimmung. Zugegeben – das klingt etwas kompliziert. Im Kern ist es aber eigentlich ganz einfach: Das Recht auf informationelle Selbstbestimmung gibt Ihnen das Recht, zu bestimmen, wer wie viel private Informationen über Sie erhält. Deshalb muss eine Behörde oder eine Firma, die sensible Daten von Ihnen erhebt, sehr hohe Auflagen bei der Verarbeitung und der Speicherung erfüllen. So will es die Datenschutz-Grundverordnung (DSGVO).

Algorithmen werten sensible Daten aus

Algorithmen sind in unserem Alltag und unserem gesellschaftlichen Zusammenleben nicht mehr wegzudenken. Sie erklären uns, wo wir langfahren sollen. Sie sagen voraus, wer einen Herzinfarkt bekommt, sie suchen Partnerinnen und Partner für uns aus, zeichnen Comics und komponieren Musik. Das bedeutet: Nicht immer, aber immer öfter analysieren und verwenden Algorithmen sensible Daten. Zum Beispiel im Finanzbereich oder im Gesundheitswesen.

Ein Fingerabdruck auf einem Computerbildschirm.

Automatisierte Entscheidungssysteme

Algorithmen sortieren und ordnen nicht nur, sie entscheiden. Zum Teil, ohne dass Menschen in den Entscheidungsprozess eingreifen. Das nennt man automatisierte Entscheidung. Wenn Algorithmen entscheiden, beeinflusst das unser Leben - manchmal ganz unmittelbar. Wenn ein großer Onlinehändler Ihnen ein unpassendes Buch oder Kleid empfiehlt, dann hält sich die Auswirkung auf Ihr Leben in Grenzen. 

Aber Algorithmen entscheiden noch viel mehr. Sie verfügen darüber, ob Sie einen Kredit bekommen. Sie entscheiden mit, ob Sie als tatverdächtig gelten. Sie bestimmen, wie teuer Ihre Versicherung wird. Am Universitätskrankenhaus in Stanford (USA) war ein Algorithmus damit betraut, die Reihenfolge der Corona-Impfungen für das Klinikpersonal festzulegen. Das Ergebnis war ein Debakel. Diese Beispiele zeigen, dass Algorithmen komplexe Entscheidungen treffen können, die sich erheblich auf Ihr Leben auswirken können.  

Algorithmen als Blackbox

Wie Algorithmen funktionieren und entscheiden, ist für uns nicht immer nachvollziehbar. Zum einen, weil es – je nach eingesetzter Technik – nicht möglich ist. Das ist zum Beispiel beim Deep Learning der Fall. Bei diesem Verfahren nutzt der Computer neuronale Netze, um Datensätze zu analysieren und selbstständig zu lernen. Zwischen den Informationen, die der Mensch der Maschine „füttert“ und dem Output, den der Computer uns liefert, liegt ein Prozess, den der Mensch nicht kennt. Beim Deep Learning wissen wir nicht, wie der Computer lernt und wie er zu seinem Ergebnis kommt. Deshalb gleichen manche algorithmenbasierte Prozesse einer Blackbox.

Algorithmen als Geschäftsgeheimnis

Es gibt noch einen weiteren Grund, warum wir oft nicht wissen, wie Algorithmen arbeiten: Sie fallen in vielen Fällen unter das Geschäftsgeheimnis. Das bedeutet, dass die Funktionsweise eines bestimmten Algorithmus für Außenstehende prinzipiell nachvollziehbar wäre. Aber weil er durch das Geschäftsgeheimnis besonderen geschützt ist, können Dritte keine Einsicht in den Code nehmen. Ein Beispiel: Sie suchen in einem Vergleichsportal nach günstigen Urlaubsangeboten und bekommen eine Trefferliste. 

Bei genauerem Hinsehen stellen Sie fest, dass das günstigste Angebot gar nicht an erster Stelle steht. Wie die Ergebnisliste zustande kommt, erfahren Sie nicht – es fällt unter das Geschäftsgeheimnis. Genauso wie der Algorithmus, der online über Ihren Kreditantrag entscheidet. Oder der Algorithmus, der den Monatsbeitrag für Ihre Versicherung berechnet.

Trotz Geheimhaltung gibt es Anforderungen an Transparenz. Seit Mai 2022 müssen beispielsweise Vergleichsportale zusätzliche Informationen bereitstellen. Dazu gehört, dass die einbezogenen Anbieter offengelegt werden müssen sowie die wichtigsten Parameter zur Erstellung des Rankings und deren Gewichtung. Außerdem müssen die Portale klar darstellen, welche Aufgaben sie für die Anbieter übernehmen. 

Jemand sitzt vor verschiedenen Computerbildschirmen und arbeitet.

Einheitlicher Rechtsrahmen: Artificial Intelligence Act (AI Act) 

Algorithmen folgen den Regeln und Anweisungen, die von den Entwicklern programmiert wurden. Sie verarbeiten die Daten, die ihnen zur Verfügung gestellt werden, und treffen Entscheidungen, die auf diesen Daten basieren. Algorithmen sind nicht objektiv oder wissenschaftlich. Sie können genauso fehlerhaft oder diskriminierend sein wie die Menschen, die sie gebaut und mit Daten versorgt haben, oder gegen Gesetze verstoßen, wie etwa das Diskriminierungsverbot. Besonders wenn es um sensible Daten geht, ist Transparenz und Kontrolle unerlässlich.
 
Mit dem Artificial Intelligence Act (AI Act), der am 21. Mai 2024 vom Rat der 27 EU-Mitgliedstaaten verabschiedet wurde und der seit August 2024 in Kraft getreten ist, soll sich das ändern. Erstmals gibt es einen Rechtsrahmen, der den Einsatz künstlicher Intelligenz regelt. Diese Verordnung legt besonderen Wert auf den Schutz sensibler Daten und regelt die Verwendung von KI-Systemen, die mit solchen Daten arbeiten. 

Der AI Act verfolgt einen risikobasierten Ansatz, was bedeutet, dass die Vorgaben umso strenger sind, je höher das Risiko bei der Anwendung eingeschätzt wird. Dazu gehören 

  • Risikobewertungen, 
  • Dokumentationspflichten, 
  • EU-Konformitätserklärungen und 
  • Überwachung durch den Betreiber. 

Was die neue KI-Verordnung alles regelt, lesen Sie im verlinkten Beitrag.

Interessen der Verbraucher:innen bei der nationalen Umsetzung in den Fokus nehmen

Jedes EU-Land muss bis August 2025 eine nationale KI-Aufsichtsbehörde benennen. Die Verbraucherzentrale fordert eine verbraucherfreundliche Umsetzung in Deutschland. Es braucht eine zentrale koordinierende Aufsicht. Bei Beschwerden zu KI-Anwendungen sollten sich Verbraucher:innen nur an eine Aufsichtsbehörde wenden müssen. 

Der Verbraucherzentrale Bundesverband (vzbv) fordert von der Bundesregierung, sie solle den Spielraum zur nationalen Umsetzung nutzen, um strengere Vorschriften im nationalen Recht einzuführen. Dazu gehört, dass Gesichtserkennungssysteme an öffentlichen Orten wie Tankstellen und Einkaufszentren nicht nur staatlichen Stellen untersagt ist, wie in der KI-Verordnung vorgesehen, sondern auch privaten Akteuren. 

Weitere Vorschläge, wie der AI Act umgesetzt werden kann, finden Sie im Positionspapier des vzbv