Künstliche Intelligenz im Einklang mit Recht und Gesellschaft.

Legal Watch Nr. 34 – April 2021

Künstliche Intelligenz im Einklang mit Recht und GesellschaftKünstliche Intelligenz und Sicherheit sind heute im politischen und rechtlichen Diskurs miteinander verknüpft. Inwieweit können – oder sollten – wir bei der Anpassung unseres Regulierungsrahmens an Herausforderungen wie den Terrorismus die neuesten technologischen Entwicklungen berücksichtigen?

Zu Beginn des Frühlings sorgten die Verabschiedung des globalen Überwachungsgesetzes und die neuen Maßnahmen des Anti-Terror-Gesetzes für zahlreiche Kontroversen.

Die Grenzen der flächendeckenden Datenerfassung

Im aktuellen Kontext stellen wir den Einfluss mehrerer Akteure fest, darunter des Staatsrates, Bürgerrechtsverbände und dem Gerichtshof der Europäischen Union.

Letzterer erließ am 6. Oktober 2020 zwei Urteile, die Frankreich hinsichtlich seines Geheimdienstgesetzes und seiner Praxis der Speicherung von Verbindungsdaten betreffen.

Der Gerichtshof hat in der Tat daran erinnert, Verstoß gegen die Grundrechte der weit verbreiteten und wahllosen Erhebung von Kommunikationsdaten von BetreibernDer Gerichtshof legt fest, dass eine solche Datenerhebung nur ausnahmsweise erfolgen darf, wenn sie Zielen der nationalen Sicherheit dient und für einen streng begrenzten Zeitraum erfolgt.

Auf Grundlage dieser Urteile der Verbände hat der Staatsrat in seiner Entscheidung vom 21. April einen heiklen Kompromiss zwischen dem Recht der Europäischen Union und den nationalen Zielen der Terrorismus- und Kriminalitätsbekämpfung gefunden. Er forderte die Regierung auf, einige Anpassungen an ihrer Politik der allgemeinen Überwachung vorzunehmen (regelmäßige Überprüfung der Bedrohung, die die Datenerhebung rechtfertigt, verbindliche und nicht mehr beratende Wirkung der Stellungnahmen der Nationalen Kommission zur Kontrolle nachrichtendienstlicher Techniken – CNCTR).

Diese Schlussfolgerungen werden von den Verbänden scharf kritisiert. Sie betonen die Unzulänglichkeit der erforderlichen Anpassungen und die sehr weit gefasste Auslegung des Begriffs „nationale Sicherheit“ durch den Staatsrat, die über den Kampf gegen den Terrorismus hinausgeht und beispielsweise auch Wirtschaftsspionage, Drogenhandel oder die Organisation nicht angemeldeter Demonstrationen einschließt, was einen Verstoß gegen europäisches Recht darstellt.

Auch La Quadrature du Net und andere Verbände haben am 29. April die Frage der Rechtmäßigkeit des globalen Überwachungsgesetzes an den Verfassungsrat weitergeleitet, ebenfalls mit der Begründung, dass viele der im Gesetz vorgesehenen Überwachungsmaßnahmen unverhältnismäßig seien. 

Die Algorithmen des Anti-Terror-Gesetzes

Die Diskussionen, die durch den Gesetzentwurf zur Terrorprävention und Geheimdienstarbeit ausgelöst wurden, überlagern diese Debatte und werfen Fragen nach der Verhältnismäßigkeit der vorgesehenen Maßnahmen erneut auf.

Wir beziehen uns insbesondere auf zwei Aspekte des Gesetzentwurfs, der in einer zunächst veröffentlichten Fassung darauf abzielte, den Einsatz von Algorithmen zur Überwachung insbesondere der Verbindungen von Internetnutzern auf Grundlage der besuchten Websites und zur umfassenden Erfassung von Satellitenkommunikationsdaten aufrechtzuerhalten.

Die am 28. April in der Nationalversammlung veröffentlichte Fassung des Entwurfs enthält diese Bestimmungen nicht mehr. Sie sollen – um die vom Staatsrat geforderten „Anpassungen“ zu berücksichtigen – in einem Korrekturschreiben, das im Laufe des Monats Mai erwartet wird, angepasst werden.

Beachten Sie, dass die Stellungnahme der CNIL vom 8. April zu diesem Projekt nicht veröffentlicht wurde, ebenso wenig wie die der Nationalen Kommission für die Kontrolle von Geheimdiensttechniken.

Klarere KI-Regulierung auf europäischer Ebene in Zukunft?

Neben diesen nationalen Entwicklungen Die Europäische Kommission hat am 21. April einen Vorschlag zur Regulierung künstlicher Intelligenz veröffentlicht., das einige bereits als zu restriktiv erachten, während andere seine Einschränkungen beklagen.

Die Kommission plant, den Einsatz von KI zu verbieten, der gegen die Werte und Menschenrechte der EU verstößt, insbesondere „inakzeptable“ Anwendungen, die darauf abzielen, das Verhalten zu beeinflussen oder individuelle Schwachstellen durch prädiktive Algorithmen auszunutzen.

Der Vorschlag verbietet beispielsweise „Social Scoring“. Dies ist beispielsweise in China mit der Entwicklung von Anwendungen zu sehen, die es dem Staat ermöglichen, die soziale Kreditwürdigkeit jedes Einzelnen zu bewerten. Risikoanalysen (insbesondere bei Behandlungen, die als „hochriskant“ eingestuft werden) müssen von Entwicklern von Projekten durchgeführt werden, die KI verwenden.

Verstöße gegen diese Grundsätze können, wie auch in der DSGVO, zu Geldbußen von bis zu 41 Tsd. Euro Umsatz führen.

Die im Vorschlag vorgesehenen restriktiven Maßnahmen gelten allerdings nicht für Regierungen und Behörden in der Europäischen Union, die KI zum Schutz der öffentlichen Sicherheit einsetzen.

Einige, darunter der Europäische Datenschutzbeauftragte, bedauern das Fehlen eines Moratoriums zu aktuellen Themen wie der Echtzeitnutzung biometrischer Überwachungskameras durch den Staat.

Obwohl der Vorschlag eine solche Nutzung einschränkt, bleibt sie insbesondere im Zusammenhang mit Terroranschlägen oder der Suche nach Kriminellen möglich.

Andere weisen darauf hin die Verantwortungslast vom Staat auf private Bauträger übertragen, die eine eigene Konformitätsanalyse der von ihnen vorgeschlagenen Systeme durchführen müssen, beispielsweise im Hinblick auf vorausschauende Polizeiarbeit, den Einsatz von KI in Asylverfahren oder die Überwachung von Arbeitnehmern.

Diese verschiedenen Entwicklungen unterstreichen die Brisanz einer Debatte, die sowohl Fragen der nationalen Sicherheit, die den Staaten vorbehalten sind, als auch Aspekte der Wirtschaftsordnung und der Grundrechte berücksichtigen muss, die durch eine ihnen aufgezwungene europäische Rechtsordnung vorgegeben sind.

Der europäische Vorschlag sieht vor, Schaffung eines europäischen KI-Komitees, Der Ausschuss setzt sich aus den verschiedenen EU-Mitgliedstaaten, der Europäischen Kommission und dem Europäischen Datenschutzbeauftragten zusammen. Dieser Ausschuss wird für Entscheidungen über nicht autorisierte oder risikoreiche Entwicklungen im Bereich der KI zuständig sein.

Der Beginn einer Lösung?

Und auch

Frankreich:

ANSSI setzt seine Arbeit zur Sensibilisierung für Sicherheitsrisiken fort, mit einem Leitfaden zur Sicherung von Websites.

Der Leitfaden gibt die Parameter an, die bei der Entwicklung und Integration einer Website oder Webanwendung angegeben werden müssen, um deren Sicherheit zu gewährleisten.

Die CNIL veröffentlicht eine Liste mit Fragen und Antworten zu Speicheltests in Schulen, verwendet im Rahmen des Covid-19-Screenings.

In seinem achten Innovations- und Zukunftsheft entwickelt die CNIL die Gründe, die eine Person dazu veranlassen, eine Beschwerde wegen Nichtbeachtung ihrer Rechte einzureichenSie nennt vier Hauptgründe:

• „Wenn der Ruf von Einzelpersonen durch online verfügbare Informationen bedroht ist (fast ein Drittel der Beschwerden);
• Wenn sie Opfer eines Eindringens in ihre Privatsphäre durch kommerzielle Kundenakquise werden (rund 20 % der Beschwerden);
• Im Falle einer Überwachung am Arbeitsplatz (10 bis 15 %-Beschwerden); und schließlich
• Wenn sie in nationalen Akten erfasst sind (Bankunfälle, Strafregister).

Europa:

Europäische Union: Das Projekt Gesundheitspass ist Gegenstand von Debatten auf europäischer Ebene.

Nach der gemeinsamen Stellungnahme des Ausschusses und des Europäischen Datenschutzbeauftragten ist es nun an dem Europäischen Parlament, sich mit der Frage zu befassen.

Es wurde somit hervorgehoben,

• Die Notwendigkeit, „Privacy by Design“ in das Datenverarbeitungssystem zu integrieren,
• Die Garantie, dass es keine zentrale Datenbank gibt,
• Eine eindeutige Identifizierung der für die Verarbeitung Verantwortlichen,
• Informationen über die betroffenen Personen und
• Eine begrenzte Datenaufbewahrungsfrist.

Europarat: Am 28. April verabschiedete das Ministerkomitee eine Erklärung zum Schutz der Privatsphäre von Kindern im digitalen Umfeld.

Ziel dieser Erklärung ist es, den Schutz von Kindern in einem immer größeren Bereich ihres Lebens zu stärken, sei es in der Schule, mit ihren Freunden oder im Rahmen kultureller oder sportlicher Aktivitäten. Aktuell sind die Auswirkungen aufgrund der Covid-19-Pandemie besonders ausgeprägt (Online-Aktivitäten führen zu größeren Risiken, darunter auch dem der digitalen Ausgrenzung).

Niederlande : Das Landgericht Limburg betrachtete die mehrere Auskunftsverfahren, die von einer Einzelperson mit dem Ziel eingeleitet werden, Schadensersatz zu erlangen an die Datenverantwortlichen, die nur langsam reagierten.

Immer am Niederlandeordnete das Amsterdamer Bezirksgericht an, dass Uber sechs Fahrer werden aufgrund automatisierter Entscheidungen entlassenDas Unternehmen wurde zur Zahlung von 5.000 Euro Strafgeld pro Verspätungstag und über 100.000 Euro Schadensersatz verurteilt.

Nach Angaben von Mitte April hat der Betreiber Huawei angeblich Zugang zum niederländischen Telekommunikationsnetz von KPN erlangt und sich so Zugriff auf die Kommunikation von Kunden verschafft, darunter auch zahlreiche politische Entscheidungsträger des Landes.

Spanien: Das Verteidigungsministerium wurde von der Datenschutzbehörde verwarnt.

Der Grund hierfür ist die Aufzeichnung durch Kameras, die rund um die Büros des Ministeriums installiert sind – ohne dass eine Notwendigkeit nachgewiesen wurde – von Parkplatzbildern zu benachbarten Häusern gehören (danke an das GDPRhub-Wiki für sein Inventar an Entscheidungen). 

Deutschland : Die Hamburger Landesaufsichtsbehörde gab am 13. April bekannt, dass sie eine Verwaltungsverfahren gegen Facebook bezüglich der Richtlinienänderung von WhatsApp über die Erhebung personenbezogener Daten.

Die Gültigkeit der Einwilligung der Nutzer wird in Frage gestellt, was eine dreimonatige Aussetzung der Datenerfassung durch die Aufsichtsbehörde während der laufenden Untersuchung rechtfertigt.

Internationales:

VEREINIGTE STAATEN : Gesichtserkennung entwickelt sich in Banken, die mithilfe intelligenter Kameras ihre Kunden, Mitarbeiter und sogar „Obdachlose“ identifizieren, die sich möglicherweise in der Nähe der Verteiler aufhalten. 

Obwohl der Einsatz künstlicher Intelligenz im Rahmen der Videoüberwachung nicht in allen US-Bundesstaaten in gleicher Weise geregelt ist, ist die FTC (Federal Trade Commission) weiterhin dafür zuständig, die Nutzungsbedingungen dieser Technologie zu überprüfen und ihren Einsatz zu diskriminierenden Zwecken zu sanktionieren.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.