Wie weit darf KI-Überwachung gehen?

Der EU-Ministerrat aller 27 Mitgliedsländer hat am 6. Dezember seine Position für den Umgang mit Künstlicher Intelligenz vorgestellt. Die Vorschläge sollen in den „AI Act“ einfließen – ein Grundsatzpapier, das die Regulierung Künstlicher Intelligenz innerhalb der EU gesetzlich festschreiben soll.

Als „verbotene KI-Praktiken“ definiert der EU-Rat die „Nutzung von KI für die soziale Bewertung privater Akteure“ und die „Verwendung von KI-Systemen, die eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen ausnutzt“. Damit seien auch Personen gemeint, die „aufgrund ihrer sozialen oder wirtschaftlichen Lage schutzbedürftig“ seien.

Kein generelles KI-Überwachungsverbot

Biometrische Erkennungsverfahren wie die Gesichtserkennung per Videoüberwachung („Remote Biometric Identification“, RBI) im öffentlichen Raum sollen nach Angaben des Online-Portals netzpolitik.org laut Positionspapier zwar „in Echtzeit“ verboten sein, nicht aber generell. Sofern sich ein Staat auf „nationale Sicherheit“ berufe, solle es für die Strafverfolgungsbehörden „ausnahmsweise“ keine Verbote geben. Vorausgesetzt, dass es um die Abwehr von Gefahren für die Gesundheit, von Gefahren für die körperliche Unversehrtheit, von Terrorangriffen oder auch um die Identifizierung mutmaßlicher Straftäter geht.

Manche Wirtschaftsverbände in Deutschland, wie etwa der Versichererverband GDV, der Arbeitgeberverband BDA und der Digitalverband Bitkom sehen nach Informationen des Handelsblatts zu viel Regulierungswillen. Sie meinen: Künstliche Intelligenz dürfe nicht zu eng definiert werden. Sonst würde die „Entwicklung von KI-Anwendungen“ erschwert und der globale Wettbewerb geschwächt.

Knapp 200 andere Organisationen und Einzelpersonen sehen das nach Angaben von netzpolitik.org anders. Sie kritisierten das Positionspapier des EU-Rats bereits mit einem offenen Brief (PDF). Die Unterzeichner sehen den Datenschutz und die Persönlichkeitsrechte der Bürger in Gefahr. Sie befürchten, dass KI-Technik künftig immer mehr „zur Überwachung und Kontrolle der EU-Außengrenzen sowie bei der Abwehr von Geflüchteten“ eingesetzt werden könnte.

„Dystopische Zukunft“

Die NGO Algorithmwatch etwa geht davon aus, dass die Pläne des EU-Rats eher Anreize zur biometrischen Erkennung von Menschen schaffen würden, statt diese zu verhindern.

Der deutsche EU-Abgeordnete Patrick Breyer (Piratenpartei), nach eigenem Selbstverständnis ein „Digitaler Freiheitskämpfer“, äußerte sich in einer Presseerklärung vom Tag der Präsentation ähnlich: „Die heute angenommene Position würde eine dystopische Zukunft der biometrischen Massenüberwachung in Europa ermöglichen, in der jeder von uns potenziell einer ständigen Identifizierung ausgesetzt ist, sein Verhalten überwacht und seine Emotionen im öffentlichen Raum analysiert werden würden.“

Ampel-Beschlüsse nicht durchgesetzt

Das Positionspapier des EU-Rats steht laut netzpolitik.org nicht nur „im Kontrast zum EU-Parlament, das sich im vergangenen Oktober sehr eindeutig gegen biometrische Massenüberwachung ausgesprochen hatte“, sondern widerspricht zudem einer Absichtserklärung des Koalitionsvertrages der amtierenden rot-grün-gelben Bundesregierung. Auf den Seiten 17 und 18 des Koalitionsvertrags (PDF) heißt es: „Allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht lehnen wir ab“. Und: „Biometrische Erkennung im öffentlichen Raum sowie automatisierte staatliche Scoring Systeme durch KI sind europarechtlich auszuschließen.“

BfDI will Gesetzgebungsprozess „sehr eng beobachten“

Christof Stein, der Pressesprecher des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), gab gegenüber der Epoch Times zu bedenken, dass der Gesetzgebungsprozess auf europäischer Ebene noch nicht abgeschlossen sei. „Eine abschließende datenschutzrechtliche Bewertung, insbesondere mit Blick auf einzelne Aspekte“, sei von daher nicht möglich. Beim BfDI handele es sich zudem um eine „unabhängige Aufsichtsbehörde“, die „kein Teil der Bundesregierung“ sei. Trotzdem erläuterte der BfDI-Sprecher den Standpunkt seiner Behörde wie folgt:

„Aus Sicht der EU-Kommission soll der vorgelegte Entwurf sicherstellen, dass der Einsatz KI-basierter Systeme keine negativen Auswirkungen auf die Sicherheit, Gesundheit und Grundrechte von Menschen hat. Nach dem Verordnungsentwurf werden KI-Anwendungen in vier Risikostufen eingeteilt: Ein minimales, ein begrenztes, ein hohes und ein inakzeptables Risiko. Je nach Einstufung werden unterschiedliche Zulassungsvoraussetzungen und Kontrollen mit jeweils verschiedener Regulierungsdichte erforderlich. Für Anwendungen, die mit einem hohen Risiko einhergehen, werden bestimmte Qualitätsanforderungen vorausgesetzt, z. B. Protokollierungs- und Dokumentationsvorgaben, eine weitreichende Information der Nutzenden, eine hohe Qualität der Datensätze oder auch eine menschliche Aufsicht zur Minimierung der Risiken. Um die Sicherheit und Einhaltung bestehender Rechtsvorschriften zum Schutz der Grundrechte über den gesamten Lebenszyklus von KI-Systemen hinweg zu gewährleisten, sollen Anbietenden und Nutzenden dieser Systeme also umfassende Pflichten auferlegt werden. Dies betrifft z. B. auch den Bereich der Konformitätsbewertung oder die Bereitstellung von Informationen für die Nutzenden.

Dieser im Entwurf für einen Rechtsrahmen zur KI vorgesehene risikobasierte Ansatz wurde bereits im vergangenen Jahr vom Europäischen Datenschutzausschuss (EDSA) in einer Stellungnahme grundsätzlich begrüßt. Gemeinsam mit seinen europäischen Kolleginnen und Kollegen und dem Europäischen Datenschutzbeauftragten (EDSB) im EDSA hat der BfDI sich dafür ausgesprochen, dass der Einsatz von KI verboten wird, wenn Persönlichkeit und Würde des Menschen nicht ausreichend geachtet werden. Trotz der grundsätzlich zu begrüßenden Vorschläge für einen Regulierungsrahmen im KI-Bereich hat der EDSA gemeinsam mit dem EDSB deutlich gemacht, dass dennoch (teils wesentlicher) Veränderungsbedarf an mehreren Stellen besteht (Quelle: https://edpb.europa.eu)

Grundsätzlich hat sich der BfDI immer wieder dafür ausgesprochen, dass Videoüberwachung mit Gesichtserkennung oder der Erkennung von biometrischen Daten nur unter sehr strengen Auflagen, wenn überhaupt möglich sein sollte (Quelle: https://www.bfdi.bund.de).

Der BfDI hat sogar ein eigenes Konsultationsverfahren zum Einsatz von KI im Bereich der Strafverfolgung durchgeführt und die Ergebnisse veröffentlicht (Quelle: https://www.bfdi.bund.de). 

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern hat sich immer wieder entsprechend positioniert (Quelle: https://www.bfdi.bund.de).“

Der BfDI werde „den europäischen Gesetzgebungsprozess daher weiterhin sehr eng beobachten und seine Positionen über den EDSA und durch die Beratung der beteiligten Bundesministerien einbringen“, kündigte Stein an.

Verbraucherzentrale für Korrektur

Die deutsche Bundesregierung hatte ihren Verkehrs- und Digitalminister Volker Wissing (FDP) zur Sitzung des Rats entsandt. Ramona Pop, Vorstand des Bundesverbands der Verbraucherzentralen, hätte sich gewünscht, dass dessen Vorschläge mehr Berücksichtigung gefunden hätten. Mit seinem Text schwäche „der Rat die Verbraucherrechte und somit auch das nötige Vertrauen in KI-Systeme“, bedauerte Pop. Sie wünsche sich, dass das EU-Parlament die Entscheidung des EU-Ministerrats korrigiere, schreibt netzpolitik.org.

AI Act soll im ersten Quartal 2023 stehen

Noch besitzt das Papier keine Rechtswirksamkeit. Zunächst soll sich das EU-Parlament mit den neuen KI-Richtlinien beschäftigen und seinen eigenen Standpunkt festlegen. Eine Einigung könnte dann nach Verhandlungen zwischen dem EU-Rat, dem EU-Parlament und der EU-Kommission getroffen werden. Der „AI Act“ soll in einer verbindlichen Form möglichst schon im Lauf des ersten Quartals 2023 verabschiedet werden.