Das moderne Datenmanagement ist ein etabliertes Vorgehen zur Verwaltung, Strukturierung und Analyse von Daten. Es hat Einzug in Wirtschaft und Verwaltung gehalten. Auch im privaten Bereich begleitet uns das Management von Daten immer mehr. So hat es sich in Form von Gesundheits-Apps, smarten Assistenten und vernetzten Geräten in unseren Alltag integriert. Auch wenn sich viele nicht bewusst sind, dass das Datenmanagement hinter allem steckt, erleichtert es unseren Alltag und ermöglicht es uns auf Unterstützungsanwendungen zurückzugreifen.
Modernes Datenmanagement ist auch die Grundlage aller Trendthemen und Entwicklungen, die uns bevorstehen. Es spielt eine große Rolle beim Management von Daten in KI-Systemen, z. B. bei der Sprach- und Bildverarbeitung und dem Aufbau maschineller Lernverfahren und Modelle. Auch im Bereich Data Science ist es unabkömmlich. Die Fragen, die sich zunehmend im Zusammenhang mit modernem Datenmanagement und all den neuen Anwendungsfeldern stellen sind: "Wem gehören die Daten?", "Wer hat welche Rechte daran?", "Wie kann nachvollzogen werden, was mit den Daten passiert?" und "Wie kann die Datennutzung eingeschränkt (minimiert) werden?"
In einer datengetriebenen Welt mit künstlich intelligenten Systemen wird ein Aspekt für uns alle daher immer wichtiger, unsere Digitale Souveränität. Damit einhergehen auch ethische und rechtliche Fragestellungen, auf die Forschung, Rechtsprechung und Gesellschaft bislang keine zufriedenstellende Antwort gefunden haben.
In diesem Beitrag wird ein Schlaglicht auf die rechtlichen Fragestellungen von KI-Systemen gelegt, welche rechtlichen und ethischen Konsequenzen daraus entstehen und was die digitale Souveränität damit zu tun hat.
Künstliche Intelligenz auf dem Vormarsch trotz ungeklärter Fragen
Künstlich intelligente Systeme sollen Nutzern das Leben erleichtern und sie bei komplexen Entscheidungen unterstützen oder diese Entscheidungen sogar völlig autonom treffen. Allerdings sind die Abläufe und Entscheidungen in einem intelligenten System meist nicht transparent für die Nutzer. Sie wissen nicht, welche Daten zu welchem Zweck und mit welchen Konsequenzen verwendet werden. Es fehlt schlichtweg an Transparenz, die für das Vertrauen in intelligente Systeme wichtig ist.
Transparenz und Nachvollziehbarkeit von Entscheidungen wird in der KI-Entwicklung meist der Leistung und Genauigkeit untergeordnet. In vielen Fällen spielen diese Aspekte gar keine Rolle. Die Schaffung wesentlicher Gesetze, wie der Datenschutzgrundverordnung (DSGVO), und ethischer Grundsätze soll hier Abhilfe schaffen und zu mehr Transparenz und Kontrolle beitragen. Die gesetzlichen Regelungen verlangen jedoch, dass die Anwendungen, genauer gesagt die sozio-technischen Systeme, rechtliche Aspekte berücksichtigen und alle Stakeholder, z. B. Softwarearchitekten, Entwickler, Juristen (die die Rechtskonformität prüfen und bestätigen), Anbieter und Nutzer, gleichermaßen berücksichtigen.
Die Entwicklung von rechtssicherer Software erfordert eine enge Zusammenarbeit zwischen den verschiedenen Stakeholdern. Softwareanbieter müssen sicher sein, dass die Anwendungen, die sie einsetzen und den Nutzern zur Verfügung stellen, rechtskonform sind. Dazu ist es auch wichtig, die Nutzer dabei zu unterstützen, sich gesetzeskonform zu verhalten. Dieser Aspekt ist vor allem für Anbieter relevant, da sie für Rechtsverstöße der Nutzer verantwortlich sind. Um Rechtskonformität zu gewährleisten, reicht es nicht aus, nur eine bestimmte rechtliche Anforderung in ein System zu integrieren. Die rechtlichen Gegebenheiten und Konsequenzen einer Situation müssen für die Anwender transparent sein und einfach kommuniziert werden.
(Digitale) Souveränität - was ist das genau?
Der Begriff der Souveränität wird meist im Zusammenhang mit Staaten, Territorien und Behörden verwendet. Der Begriff steht im Zusammenhang mit Macht und Unabhängigkeit, denn die Souveränität leitet sich vom lateinischen superanus, supremus ab und steht für höchst, überlegen, ultimativ. Durch die Einflüsse des klassischen Liberalismus hat sich im Libertarismus das Konzept der individuellen Souveränität entwickelt. Die Prinzipien des Liberalismus stellen die individuelle Freiheit in den Mittelpunkt, wobei die körperliche Unversehrtheit der Individuen, ihr Eigentum und ihre Handlungsfreiheit im Mittelpunkt stehen.
Handlungsfreiheit und freier Wille sind wichtige Prinzipien des Liberalismus, die das Individuum und seine Bedürfnisse und Vorstellungen in den Mittelpunkt stellen. Entscheidungen sind nur dann frei, wenn sie ohne das Vorhandensein von Zwang oder Gewalt getroffen werden können. Die Idee der individuellen Freiheit ist die "Abwesenheit von zwischenmenschlicher Gewalt, der Anwendung von initiiertem Zwang oder Gewalt oder deren Androhung gegen die Person oder das Eigentum eines anderen".
Im Zeitalter der Datentechnologien ist das Konzept der individuellen Souveränität ein wichtiger Aspekt bei der Entwicklung und Nutzung von Technologie geworden. Aïmeur et al. argumentieren, dass die Datensouveränität "besagt, dass die Daten, die sich auf ein Individuum beziehen, ihm gehören und dass er die Kontrolle darüber behalten sollten, wie diese Daten verwendet werden und zu welchem Zweck." Das macht Daten zu Eigentum, und Eigentum gehört einem Individuum. Nach Ansicht des Libertären ist das Individuum frei im Umgang mit seinem Eigentum und frei darin, es zu teilen oder Verträge darüber zu schließen. Nach dem Voluntarismus kann das Individuum auch frei über zwischenmenschliche Beziehungen, über das, was in virtuellen Räumen zu beachten ist, und über die daraus resultierende Zusammenarbeit entscheiden. Darüber hinaus sollte das Individuum über die virtuelle zwischenmenschliche Beziehung entscheiden und ihr zustimmen, wie es auch in der realen Welt möglich ist.
Das erfordert in der Praxis eine feine Steuerung der Datennutzung, ohne eine strikte Opt-In- oder Opt-Out-Wahl. Dies wird auch durch die Self-Sovereignty-Eigenschaften von Toth und Anderson-Priddy gefordert, die z. B. Kontrolle, Zugang, Transparenz, Persistenz, Portabilität, Interoperabilität, Zustimmung, Minimalisierung, Schutz und Nutzbarkeit für selbst-souveränen digitalen Identitäten ansprechen. Unter selbst-souveränen digitalen Identitäten versteht man eine digitale Repräsentation eines Individuums, die auf dieses bezogen ist und die Kontrolle darüber hat. Dazu könnten Individuen das Konzept des freien Willens durch ihre individuellen Präferenzen und Entscheidungen zum Ausdruck bringen (ohne Zwang, etwas zu tun oder zu akzeptieren), was Entwickler bei der Unterstützung der Selbstsouveränität von Nutzern in Softwareanwendungen berücksichtigen müssen.
Wie komplex die Schaffung einer digitalen Souveränität ist, zeigt sich, wenn man das Spektrum an beteiligten Akteuren betrachtet. Neben den Nutzern spielen unter anderem auch Unternehmen, Politik, Verwaltung, medizinische Einrichtungen, Versicherungen und Versorger eine Rolle, die Daten erheben, verarbeiten und auswerten. Initiativen von Bund und Ländern, die Forschung, Verwaltung und Wirtschaft zusammenbringt, um digitale Souveränität zu erforschen und zu etablieren, haben in den letzten Jahren zu genommen und stehen ganz oben auf der Agenda (siehe https://www.bmbf.de). Hierbei stellt sich auch die Frage, wer wann im Besitz der Souveränität ist.
Ethische und rechtliche Fragestellungen in KI-Systemen
Die ethische Maschine war schon vor der Entwicklung des ersten KI-Systems Thema vieler Forschungsbereiche und Diskussionen. Moors viel beachtete Arbeit über Maschinenethik definiert vier Arten von ethischen Agenten, die als Evolutionsstufen der KI angesehen werden können:
- Ethical impact agents: zu denen Maschinen gehören, die ethische Aufgaben ausführen, mit oder ohne Absicht. Sie können auch unethisch handeln.
- Implicit ethical agents: sind Maschinen, die so konzipiert und entwickelt wurden, dass sie nicht zu unethischen Handlungen führen. Zum Beispiel um Menschen zu schützen oder zu unterstützen.
- Explicit ethical agents: sind Maschinen mit Algorithmen, die ethisch handeln. Sie sind in der Lage, verschiedene Szenarien zu durchdenken und ethische Entscheidungen zu treffen.
- Full ethical agents: sind wie explizite ethische Agenten in der Lage, in verschiedenen Situationen ethische Entscheidungen zu treffen, haben aber zusätzliche menschliche Eigenschaften wie freien Willen, Gewissen oder Absichten.
Anderson und Anderson argumentieren, dass eine Maschine, um ethisch zu sein, von ethischen Regeln geleitet werden sollte, wenn sie entscheidet, wie sie in einer bestimmten Situation handeln soll. Der Ansatz basiert auf der Überzeugung, dass Maschinen programmiert werden können, um ethisch zu handeln. Winfield et al. resümieren, dass "alle nicht-trivialen Beispiele von KI und Robotern in der realen Welt ethische Wirkungsagenten im Sinne von Moor sind." Daher sind alle Systeme "mit klaren ethischen Auswirkungen, einschließlich medizinischer Diagnose-KIs, assisted-living (Pflege-) oder Begleitroboter und fahrerlose Autos", zumindest Ethical impact agents. Sie argumentieren, dass aus heutiger Sicht KI keine Absichten hat, aber die Designer und Entwickler schon, und ethische Maschinen können nur Instanziierungen dieser guten Absichten sein. Um negative ethische Auswirkungen zu vermeiden, müssen Entwickler bestimmte Designprinzipien für KI berücksichtigen. So definiert das IEEE ethische Prinzipien in der IEEE P7000 Serie (https://ethicsinaction.ieee.org). KI-Systeme sollten demnach transparent, erklärbar und frei von Voreingenommenheit sein. Außerdem sollten sie die Privatsphäre berücksichtigen.
Bei der Entwicklung von KI-Systemen, die aus ethischen Agenten bestehen, sollten die zugehörigen Wertesysteme und Ethiken berücksichtigt werden. Jeder Beteiligte sollte für das Design eines ethischen Systems verantwortlich sein. Dazu kann der Ansatz des wertesensitiven Designs (VSD) verwendet werden, um intelligente Agenten zu entwerfen.
Rechtliche Auswirkungen durch die DSGVO
Das Ziel der DSGVO ist es, die Prinzipien der Privatsphäre und der Souveränität zu adressieren. Dazu gibt sie den Nutzern von Softwareanwendungen ein Gesetz an die Hand, um die Kontrolle über ihre Daten zurückzugewinnen. Personen, von denen Daten verarbeitet werden, werden nach DSGVO Artikel 4 (1) als betroffene Personen bezeichnet. Die DSGVO unterscheidet außerdem zwischen dem für die Datenverarbeitung Verantwortlichen Artikel 4 (7) und dem Datenverarbeiter Artikel 4 (8). Beide haben Pflichten bei der Verarbeitung und Speicherung von personenbezogenen Daten. Sie haben weitreichende Pflichten, wenn es darum geht, dem Nutzer die Verwendung der personenbezogenen Daten und den Zweck der Verarbeitung mitzuteilen (Artikel 24-43).
Zusätzlich übernimmt die DSGVO die Grundsätze des Datenschutzes. Die Privatsphäre ist ein Grundrecht, das in Artikel 12 der Allgemeinen Erklärung der Menschenrechte (1948) erklärt wird. Allerdings ist es schwierig, Privatsphäre zu definieren und in einem Gesetz zu formalisieren, da es je nach Kontext (z. B. Beitrag in einem geschlossenen virtuellen Raum) unterschiedliche Interpretationen darüber gibt, was privat ist und was die individuelle Privatsphäre betrifft. Die DSGVO stellt Prinzipien und Grenzen der Privatsphäre zur Verfügung, um einen Weg für den Umgang mit einer Vielzahl von Kontexten zu finden. Aufgrund dieser Stellung werden in mehreren Artikeln die Rechte und Pflichten der beteiligten Parteien erklärt.
Auch im Land der Tech-Giganten, den USA, gibt es Bestrebungen, das ungleiche Machtverhältnis zwischen Verbrauchern und Konzernen anzugleichen. Forschungseinrichtung namhafter Universitäten, wie die CMU (https://www.cylab.cmu.edu), erforschen Mechanismen zur transparenten und gezielten Aufklärung von Verbrauchern im Internet.
Quellenverzeichnis zum Artikel
Folgende Quellen wurden für den Artikel "Quo Vadis Digitale Souveränität?" herangezogen:
- Aïmeur, E., Gambs, S., & Ho, A. (2010). Towards a Privacy-Enhanced Social Networking Site. 2010 International Conference on Availability, Reliability and Security, 172–179. 10.1109/ARES.2010.97
- Anderson, M., & Anderson, S. L. (2007). Machine Ethics: Creating an Ethical Intelligent Agent. AI Magazine, 28(4), 12.
- Baumann, C., Peitz, P., Raabe, O., & Wacker, R. (2010). Compliance for Service-based Systems through Formalization of Law. Proceedings from the 6th International Conference on Web Information Systems and Technology, 367–371. 10.5220/0002868003670371
- Casellas, N., Nieto, J.-E., Mero–o, A., Roig, A., Torralba, S., Reyes, M., & Casanovas, P. (2010). On- tological Semantics for Data Privacy Compliance. The NEURONA Project.
- Elshtain, J. B. (1990). Sovereign God, Sovereign State, Sovereign Self. The Notre Dame Law Review, 66, 1355.
- Friedman, B., Kahn, P. H., & Borning, A. (2008). Value sensitive design and information systems. The Handbook of Information and Computer Ethics, 69–101.
- Goram, M., & Veiel, D. (2020). Ethical Behavior and Legal Regulations in Artificial Intelligence (Part One): Supporting Sovereignty of Users While Using Complex and Intelligent Systems. In Machine Law, Ethics, and Morality in the Age of Artificial Intelligence, 12–26.
- Ilievski, N. L. (2015). The Individual Sovereignty: Conceptualization and Manifestation. Journal of Liberty & International Affairs, 1(2), 23–38.
- Moor, J. H. (2006). The Nature, Importance, and Difficulty of Machine Ethics. IEEE Intelligent Systems, 21(4), 18–21. doi:10.1109/MIS.2006.80
- Ringmann, S. D., Langweg, H., & Waldvogel, M. (2018). Requirements for Legally Compliant Software Based on the GDPR. In H. Panetto, C. Debruyne, H. A. Proper, C. A. Ardagna, D. Roman, & R. Meersman (Eds.), On the Move to Meaningful Internet Systems, OTM 2018 Conferences (pp. 258–276). Springer International Publishing. 10.1007/978-3-030-02671-4_15
- Toth, K. C., & Anderson-Priddy, A. (2019). Self-Sovereign Digital Identity: A Paradigm Shift for Identity. IEEE Security and Privacy, 17(3), 17–27. doi:10.1109/MSEC.2018.2888782
- Umbrello, S., & De Bellis, A. F. (2018). A value-sensitive design approach to intelligent agents. In Artificial Intelligence Safety and Security. CRC Press.
- Winfield, A. F., Michael, K., Pitt, J., & Evers, V. (2019). Machine Ethics: The Design and Governance of Ethical AI and Autonomous Systems. Proceedings of the IEEE, 107(3), 509–517. doi:10.1109/ JPROC.2019.2900622