V. Tätigkeitsbericht des Landesbeauftragten für die Informations­freiheit Sachsen-Anhalt vom 1. Oktober 2016 bis 30. September 2018

In Wirtschaft und Gesellschaft läuft seit einiger Zeit eine intensive Debatte über den Einsatz von Künstlicher Intelligenz (KI). Erste Anwendungen finden nicht nur im Bereich der Wirtschaft, sondern auch der Verwaltung statt. Wissenschaft und Politik – auf EU- und Bundesebene – diskutieren rechtliche und ethische Rahmenbedingungen. 
 
Gemeinsam mit anderen Informationsfreiheitsbeauftragten habe ich im Rahmen der 36. Informationsfreiheitskonferenz am 16. Oktober 2018 in Ulm das Positionspapier „Transparenz der Verwaltung beim Einsatz von Algorithmen für gelebten Grundrechtsschutz unabdingbar“ beschlossen (Anlage 7).
 
Der Einsatz von Algorithmen und KI kann zwar Effizienzsteigerungen bewirken und Auswertungen großer Datenmengen erleichtern bzw. überhaupt erst ermöglichen. Die Verwaltung trägt jedoch eine hohe Verantwortung, den Einsatz von Algorithmen und KI-Verfahren insbesondere im Zusammenhang mit behördlicher Entscheidungsfindung rechtmäßig zu gestalten.
 
Elementar sind in diesem Zusammenhang die Beachtung der Menschenwürde und des Diskriminierungsverbots. Je höher das Risiko und je einschneidender die möglicherweise nachteiligen Auswirkungen für die betroffenen Menschen sein können, desto strenger muss geprüft werden, ob Algorithmen oder KI-Verfahren überhaupt grundrechtskonform eingesetzt werden können.
 
Nach den Grundsätzen der Informationsfreiheit und der Verwaltungstransparenz müssen die für die Verwaltung essentiellen Informationen über die von ihr eingesetzten Algorithmen sowie KI-Verfahren auch der Öffentlichkeit zur Verfügung gestellt werden.
 
Die unterstützenden Informationsfreiheitsbeauftragten fordern daher den Bundes- sowie die Landesgesetzgeber auf, öffentliche Stellen noch konsequenter als bislang zu einem transparenten, verantwortungsvollen Einsatz von Algorithmen und KI-Verfahren zu verpflichten. Es bietet sich an, entsprechende Transparenzvorschriften in den jeweiligen Informationsfreiheits- bzw. Transparenzgesetzen oder in den einschlägigen Fachgesetzen zu verankern. Im Einzelnen sind daher dringend folgende Anforderungen umzusetzen:
 
Öffentliche Stellen müssen für ausreichende Transparenz der eingesetzten Algorithmen sorgen. Für einen beherrschbaren Einsatz der Technik müssen sie über aussagekräftige, umfassende und allgemein verständliche Informationen bezüglich der eigenen Datenverarbeitungen verfügen. Dazu gehören vor allem die Datenkategorien der Ein- und Ausgabedaten des Verfahrens, die darin enthaltene Logik, insbesondere die verwendeten Berechnungsformeln einschließlich der Gewichtung der Eingabedaten, Informationen über das zugrundeliegende Fachwissen und die individuelle Konfiguration durch die Anwendenden und die Tragweite der darauf basierenden Entscheidungen sowie die möglichen Auswirkungen der Verfahren. Um der Verwaltung die Erfüllung dieser Pflichten zu ermöglichen, müssen die Transparenzanforderungen i. S. v. „Transparency by Design“ schon bei der Programmierung beachtet werden.
 
Die öffentlichen Stellen müssen ferner die Abläufe manipulationssicher gestalten und die jeweils erforderlichen risikoadäquaten Sicherheitsmaßnahmen treffen.
 
Die Verarbeitung darf unter keinen Umständen eine diskriminierende Wirkung entfalten. Vor diesem Hintergrund sind hohe Anforderungen an Auswahl und Entwicklung von Algorithmen und KI-Verfahren zu stellen, beispielsweise bei der Auswahl von Trainingsdaten für selbstlernende Systeme oder für in solchen Systemen eingesetzte Bewertungsfunktionen.
 
Jedenfalls beim Vorliegen von hohen Risiken für Bürgerinnen und Bürger muss vor der Entscheidung über einen Einsatz von Algorithmen und KI-Verfahren eine Folgenabschätzung durchgeführt werden. Bei wesentlichen Veränderungen, die insbesondere bei selbstlernenden Systemen kontinuierlich erfolgen, muss diese Folgenabschätzung regelmäßig erneut durchgeführt werden. Bei besonders sensiblen Anwendungsbereichen sollte die Zulassung der Algorithmen und KI-Verfahren zudem erst nach Überprüfung und Abnahme durch eine Art „Algorithmen-TÜV“ möglich sein.
 
Korrespondierend zu dem Positionspapier aus dem Kreis der IFK hat die 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 17. April 2019 in ihrer „Hambacher Erklärung zur Künstlichen Intelligenz“, die auf meiner Homepage zum Abruf zur Verfügung steht, insgesamt sieben Anforderungen an KI aus datenschutzrechtlicher Sicht formuliert.
 
Diese Papiere sollen ein Anstoß dazu sein, klare Normen für den Einsatz von Algorithmen und KI zu schaffen.