Daten und Werte
Ethics-Washing und die Regulierung Künstlicher Intelligenz
Seit ChatGPT die umfassende Verwertbarkeit sogenannter Large Language Models demonstriert hat – also von Modellen, die natürliche Spracheingaben verarbeiten können –, reißt die Diskussion um die Regulierung Künstlicher Intelligenz nicht ab. Das Drama um die Entlassung und anschließende Wiederanstellung von Sam Altman, dem Gründer und Gesicht von OpenAI, der Firma die ChatGPT entwickelt und vertreibt, zeigt anschaulich, welche Lager sich dabei gegenüberstehen: „one group born form Silicon Valley techno optimism, energized by rapid commercialization; the other steeped in fears that AI represtens an existential risk to humanity and must be controlled with extreme caution”.
Diese letzte Gruppe und ihre institutionellen Vertreter argumentieren zusehends mit europäischen Werten und ethischen Prinzipien. Sie sehen darin den entscheidenden Unterschied zu alternativen Versuchen, Künstliche Intelligenz zu regulieren – insbesondere im Vergleich zu amerikanischen oder chinesischen Vorschlägen. Scheitert das geplante „Gesetz über Künstliche Intelligenz“ (KI-Verordnung) oder werden Datenschutzbehörden (nicht) als nationale Aufsichtsbehörden im Sinne der KI-Verordnung benannt, muss man sich auf eine weitere Ethisierung des Diskurses und eine weitere Substantiialisierung des Datenschutzrechts einstellen. Das nutzt vor allem Big Tech Unternehmen, die ethische Debatten kultivieren, um echte Regulierung zu sabotieren.
Künstliche Intelligenz und Datenschutz
Grundsätzliche Fragen zum Verhältnis von Künstlicher Intelligenz und Datenschutz sind noch immer ungeklärt. Denn für die Verarbeitung personenbezogener Daten stellt die Datenschutz-Grundverordnung (DSGVO) eine Reihe von Grundsätzen auf, die beim Einsatz oder der Entwicklung von KI-System kaum oder gar nicht eingehalten werden können. So sieht Art. 5 Abs. 1 DSGVO beispielsweise vor, dass personenbezogene Daten für eindeutig festgelegte Zwecke erhoben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Personenbezogene Daten sind auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken. Außerdem sind die betroffenen Personen bei jeder Zweckänderung erneut über die Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 13 Abs. 3 und Art. 14 Abs. 3 DSGVO). Daher empfiehlt beispielsweise der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, besondere Vorsicht bei Chatbots walten zu lassen: Eingaben, die unter Umständen auf konkrete Personen bezogenen werden können, sollten nach Möglichkeit vermieden werden.
Die geplante KI-Verordnung wird diese Probleme nicht lösen, sondern weiter vertiefen. Denn der europäische Gesetzgeber hat bislang davon abgesehen, das Verhältnis von KI- und Datenschutz-Grundverordnung eindeutig zu regeln. Die dort formulierten Pflichten für die Entwicklung und den Einsatz sogenannter Hochrisiko-KI-Systeme sollen bereits bestehende Regelungen ergänzen, nicht ersetzen.
Besonders brisant ist in diesem Zusammenhang, dass der Vorschlag der Europäischen Kommission (KI-VO-E) die Benennung nationaler Aufsichtsbehörden den einzelnen Mitgliedstaaten überlässt, Art. 59 KI-VO-E. Sie sind vor die Wahl gestellt, das Spannungsverhältnis zwischen Datenschutz und Datennutzung zu institutionalisieren – oder aber die DSGVO zu einer echten Grundverordnung im eigentlichen Sinne dieses Wortes aufzuwerten.
Die Europäische Datenschutzaufsicht und der Europäische Datenschutzbeauftragte haben keinen Zweifel daran gelassen, welche Alternative sie bevorzugen. In einer Gemeinsamen Stellungnahme haben sie sich dafür ausgesprochen, die Datenschutzbehörden als nationale Aufsichtsbehörden im Sinne von Art. 3 Nr. 43 KI-VO-E zu benennen. Die Benennung nutze Synergieeffekte und soll „einen einheitlicheren Regulierungsansatz“ und die „kohärente[…] Auslegung der Datenverarbeitungsvorschriften“ ermöglichen. Außerdem soll so vermieden werden, dass Vorschriften in den verschiedenen Mitgliedstaaten unterschiedlich durchgesetzt werden. Folgen die Mitgliedstaaten der Empfehlung (oder scheitert die KI-Verordnung), ist also zu erwarten, dass die Datenschutzaufsicht in Zukunft auch die Entwicklung und den Einsatz Künstlicher Intelligenz steuert.
Datenschutz und materiale Wertethik
Zwei Dokumente zeigen beispielhaft, wie die datenschutzrechtlichen Aufsichtsbehörden diese Rolle ausfüllen könnten (und welche Normen dabei eine Rolle spielen):
Bereits 2019 identifizierten deutsche Datenschützer Künstliche Intelligenz als „substanzielle Herausforderung für Freiheit und Demokratie“. In der sogenannten Hambacher Erklärung zur Künstlichen Intelligenz formulierte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) bestimmte Anforderungen, um einen „konstruktiven Beitrag zu diesem zentralen gesellschaftspolitischen Projekt“ zu leisten. Dabei wurden datenschutzrechtliche Grundsätze und Prinzipien zum Teil wiederholt oder minimal spezifiziert; an zwei entscheidenden Stellen ließ die DSK allerdings auch eigene Regulierungsansätze erkennen. Zum einen leitete sie aus der Menschenwürde (Art. 1 Abs. 1 Grundgesetz und Art. 1 Charta der Grundrechte der Europäischen Union, GrCH) und dem Gebot, Alternativen zur vollständig automatisierten Entscheidungsfindung mit erheblicher Beeinträchtigung anzubieten (Art. 22 Abs. 1 DSGVO), einen allgemeinen „Anspruch auf das Eingreifen einer Person (Intervenierbarkeit), auf die Darlegung ihres [sic] Standpunktes und die Anfechtung einer Entscheidung“ ab. Zum anderen betonte sie, dass diskriminierende Verarbeitungen gegen den Grundsatz von Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO), die Bindung an legitime Zwecke (Art. 5 Abs. 1 lit. b DSGVO) und die „Angemessenheit der Verarbeitung“ verstoßen würden. Der Verantwortlich solle daher Risiken für die Rechte und Freiheiten von Personen vorab bewerten und laufend überwachen, um Diskriminierung zuverlässig ausschließen zu können. Dabei seien auch „ethische Grundsätze“ zu beachten.
An dieser Stelle setzt die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali) mit einer aktuellen Veröffentlichung an. Sie will den vermeintlichen Mangel an demokratischer Regulierung und individueller Verantwortung ihrerseits durch Rückgriff auf materiale Werte lösen, und zwar, in dem sie ethische Überlegungen zur Grundlage juristischer Auslegung macht. Im Decalogue for the provision of national health services through artificial intelligence systems führt sie aus: „ethics must be given a specific interpretive function so as to rule out choices which, although seemingly lawful and factually possible, may have discriminatory effects and undermine human dignity and personal identity”. Auf dieser – im Kern naturrechtlichen – Grundlage ergänzt die Garante dann genuin datenschutzrechtliche Grundsätze wie Transparenz, Richtigkeit, Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. a, d und f DSGVO) um weitere Grundprinzipien („key principles“) wie Nachvollziehbarkeit („intelligibility“), Intervenierbarkeit („non-exclusivity“) und Nicht-Diskriminierung („non-discrimination“).
Auf diese Art und Weise entwickeln Behörden, deren Zuständigkeit für die entsprechenden Fragen teilweise unklar ist, bereits jetzt allgemeine Regeln für die Entwicklung und den Einsatz Künstlicher Intelligenz. Aus Grundrechten, Grundsätzen und Grundprinzipien leiten sie abstrakte Anforderungen beispielsweise an die Qualität der Daten oder die Transparenz der Verarbeitung ab. Dabei werden bestehende Rechte und Pflichten – zum Beispiel das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen (Art. 22 Abs. 3 DSGVO), das de lege lata nur für bestimmte Formen automatisierter Entscheidungsfindung gilt, oder das grundrechtliche Diskriminierungsverbot (Art. 21 und 23 GrCH) – verallgemeinert oder (auch) im Datenschutzrecht verankert, um einen interpretativen Zugriff zu ermöglichen. Das Verhältnis dieser Grundsätze, Rechte und Gebote zu bestehenden Gesetzen – in Deutschland beispielsweise zum Allgemeines Gleichbehandlungsgesetz – oder zu werdendem Recht wie der KI-Verordnung, bleibt dabei notorisch unklar. Und auch das ist typisch für die naturrechtliche Überformung positiven Rechts und die ethische Überfrachtung juristischer Dogmatik.
Künstliche Intelligenz und Naturrecht
Die Forderung, das ethische Prinzipien auch für Künstliche Intelligenz gelten sollen, ist nicht neu. Bereits 2019 stellte eine Unabhängige Hochrangige Expertengruppe der Europäischen Kommission Ethik-Leitlinien für eine vertrauenswürdige KI vor. Parallel dazu veröffentlichte die Datenethikkommission der Bundesregierung ein Gutachten zu ethischen Maßstäben, Leitlinien und Handlungsempfehlungen. 2020 legte eine Enquete-Kommission des Deutschen Bundestages einen entsprechenden Schlussbericht vor. Und auch das Europäische Parlament fordert inzwischen, Künstliche Intelligenz müsse einem „kohärenten, auf den Menschen ausgerichteten Ansatz für ethische und vertrauenswürdige KI“ folgen, und zwar „im Einklang mit der Charta der Grundrechte der Europäischen Union und den Werten, auf denen die Union beruht” (Vorschlag für eine Erwägung 9a).
Neu ist allerdings, dass diese Forderungen von Behörden erhoben werden, die den Auftrag haben, die Einhaltung bestimmter Rechtsnormen zu überwachen und anzuwenden, Art. 59 Abs. 1 DSGVO. Denn der Rückgriff auf Werte, die neben oder über dem Recht gelten, die Ableitung rechtlicher Normen aus diesen Werten, und die Behauptung, für die Durchsetzung dieser Rechtsnormen zuständig zu sein, ist nichts anderes als ein Akt naturrechtlicher Selbstermächtigung, genauer: eine Strategie, diese Selbstermächtigung rhetorisch zu verschleiern.
Kommt die KI-Verordnung (und werden die datenschutzrechtlichen Aufsichtsbehörden auch als nationale Aufsichtsbehörden für Künstliche Intelligenz benannt), wird man mit einer weiteren Ethisierung des Datenschutzrechts und einer exekutiven Weitung der Anbieter-, Hersteller-, Einführer-, Händler- und Nutzerpflichten – so die Terminologie der KI-Verordnung – rechnen müssen. Das gilt nicht zuletzt für KI-Systeme mit keinem, geringen oder mittleren Risiko oder sogenannte Basismodelle. Denn die Datenschutzbehörden haben ihre diversen Anforderungen an die Konzeption, die Entwicklung und den Einsatz Künstlicher Intelligenz maßgeblich anhand allgemeiner Grundsätze entwickelt und eine weitergehende Regulierung ausdrücklich gefordert. In der Auslegung der Behörden entwickelt sich der Datenschutz damit weg vom vermeintlichen „Supergrundrecht“ und hin zu einem werthaften Ordnungsprinzip, das immer größere Teile des Wirtschaftslebens immer umfassender durchdringt.
Diese Entwicklung mag sich freilich auch und gerade dann Bahn brechen, wenn die KI-Verordnung scheitert oder die Behörden nicht entsprechend benannt werden. Denn die Datenschützer haben deutlich zu erkennen gegeben, dass sie sich in jedem Fall dazu berufen fühlen, die Entwicklung Künstlicher Intelligenz steuernd mitzugestalten – mit oder ohne Mandat, unter Rückgriff auf datenschutzrechtliche Generalklauseln oder ethische Prinzipien. Kann oder will das Europäische Parlament Künstliche Intelligenz nicht regulieren, werden sie die Leerstellen füllen und die Freiräume nutzen, die ihnen die Parlamente, Gerichte oder anderweitig benannten Stellen lassen. Wie so oft führt das Scheitern demokratischer Prozesse dann zu einer Stärkung der Exekutive, in diesem Fall: von Behörden, die Probleme der Gegenwart mit den Mitteln der Vergangenheit zu lösen versuchen.
Naturrecht und Ethics-Washing
Big Tech Unternehmen wie Google oder Microsoft dürften dieser Aussicht gelassen entgegenblicken. Denn sie warnen zum Teil selbst vor einer Ausrottung der Menschheit, fordern Moratorien oder gründen Foren für den verantwortungsvollen Einsatz Künstlicher Intelligenz. Diese Warnungen, Forderungen und Institutionen erfüllen ähnliche Funktionen. Sie suggerieren enormes Potential, helfen dabei, staatliche Fördermittel zu organisieren und bremsen Wettbewerber aus. Sie lenken von handfesten Problemen wie der massenhaften Verletzung bestehender Rechte ab und zögern eine pflichtenscharfe Regulierung weiter hinaus. Es überrascht daher nicht, dass Branchengrößen und Industriemagnaten wie Elon Musk, Steve Wozniak oder Sam Altman medienwirksam Petitionen unterzeichnen und eine „Ethik-Waschmaschine“ nach der anderen gründen oder finanzieren.
Abstrakte Grundsätze wie Gerechtigkeit, Fairness, oder das Prinzip der Schadensvermeidung tuen niemandem weh. Sie sind leicht angreifbar, schwer zu operationalisieren und kaum zu sanktionieren. Überraschend ist vor diesem Hintergrund vor allem, dass Politiker und Behörden dieses Spiel mitspielen und die Glaubenssätze einer Branche wiederholen, die in der Vergangenheit immer wieder durch systematische Rechtsbrüche aufgefallen ist. Die Schwierigkeiten, die mit sanktionsloser Selbstregulierung einhergehen, können nur durch kluge Rechtsetzung und effektive Rechtsdurchsetzung wirklich gemeistert werden. Der Rückgriff auf materiale Werte ist weder das eine noch das andere.