02.06.2021 | Datenschutz & IT | ID: 1093275

AI or not AI? – Die wissenschaftliche Antwort und ihre rechtlichen Auswirkungen

Árpád Geréd

Gastautor RA Mag. Árpád Geréd erläutert, welche Regeln Unternehmen beim Einsatz von Algorithmen beachten sollten, um ua nicht gegen datenschutzrechtliche Bestimmungen zu verstoßen.

Der Streit um die Frage, wie sehr Menschen durch Algorithmen generierte Ergebnisse hinterfragen, wurde schon vehement geführt, bevor die DSGVO Regeln für automatisierte Entscheidungen einführte. Eine jüngst veröffentlichte Studie gibt nun eine erste Antwort. Doch welchen Einfluss hat dies auf die Nutzung von Algorithmen und KI durch Unternehmen?

Nicht erst seit Steven Spielbergs Film „A.I. – Künstliche Intelligenz“ sind in den Vorstellungen vieler Menschen die Begriffe „Roboter“ und „Künstliche Intelligenz“ miteinander verknüpft. In der Praxis ist diese Verknüpfung sogar noch weitergehender. Denn „Robotik“ hält in Unternehmen immer mehr Einzug. Doch nicht etwa in Form von physischen Maschinen, sondern in Form von Software. „Prozessautomatisierung“ ist das Stichwort und „Digitalisierung“ die Triebfeder, mit denen der zunehmende Einsatz von Software-Robotern auch bei österreichischen Unternehmen Einzug hält.

Gleich ob man für diese Software die Bezeichnung Automaten, KI, Machine Learning oder Roboter verwendet; im Grunde stecken dahinter Algorithmen. In seiner simpelsten Form und gemäß Definition ist ein Algorithmus ein Rechenvorgang nach einem bestimmten, sich wiederholenden, Schema. Im Zusammenhang mit Software und KI wird daraus aber ein Prozess höchster Komplexität. Und eben durch diese Komplexität sollen Algorithmen Unternehmen dabei helfen, Informationen effizient aufzubereiten und Entscheidungen vorzubereiten. Oder letztere sogar selbst zu treffen.

Ob bei Suchmaschinen, zielgerichteter Werbung oder im eigenen Unternehmen; wir interagieren alle täglich, bewusst oder unbewusst, mit Algorithmen. Ihre wirklichen Vorteile entfalten diese jedoch erst mit einer gewissen Lernfähigkeit. Womit aber auch die wahren Probleme beginnen.

Die Studie

Ujué Agudo und Helena Matut von der Universität De Deusto in Bilbao, Spanien, haben in der Studie „The influence of algorithms on political and dating decisions“ untersucht, ob und welchen Einfluss Algorithmen auf die Entscheidungsfindung von Personen haben.

Das für manche mehr, für machen weniger überraschende Ergebnis: Menschen neigen dazu, den Empfehlungen eines Algorithmus zu folgen. Sogar in höchst persönlichen Bereichen, wie Wahl- und Partnerempfehlungen. Und ohne die (in der Studie manipulierte) Empfehlung zu hinterfragen.

Besonders interessant ist, dass die Art der Empfehlung, nämlich explizit oder versteckt, zu unterschiedlichen Themen unterschiedlich wirkte. So folgten die Studienteilnehmer bei politischen Kandidaten eher der expliziten, bei der Partnerwahl jedoch eher der versteckten Empfehlung.

Für die Praxis, und besonders für Unternehmen, ist als Ergebnis die Erkenntnis wichtig, dass Menschen im Zweifel der Empfehlung oder Entscheidung eines Algorithmus vertrauen. Umso mehr, wenn der Algorithmus ausdrücklich dem Zweck dient, Empfehlungen zu unterbreiten und den Menschen damit Arbeit abzunehmen.

Das Gesetz

Die in Österreich bisher einzige explizite Regel zu Algorithmen findet sich in Art 22 DSGVO. Nach dieser hat jede Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung […] beruhenden Entscheidung unterworfen zu werden“, welche ihr gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.

Dazu gibt es natürlich Ausnahmen. Kein Recht auf menschliche Intervention besteht, wenn die automatisierte Entscheidung

  • für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist (zB automatische Bonitätsprüfung), oder
  • rechtlich zulässig ist und das Gesetz angemessene Maßnahmen zur Wahrung der Rechte berechtigten Interessen der Person vorsieht oder
  • mit ausdrücklicher Einwilligung der Person erfolgt.

In der Praxis behilft man sich meist damit, dass ein Mensch die Ergebnisse des Algorithmus bekommt und dann entscheidet, ob er diese übernimmt. Spätestens seit der Studie von Agudo und Matut sollte aber klar sein, dass der Mensch die Entscheidung im Zweifel nicht hinterfragen und erst recht nicht prüfen, sondern einfach übernehmen wird.

Diese Erkenntnis hat nicht nur Auswirkungen auf eine mögliche Überprüfung durch die Datenschutzbehörde, welche entscheidungsbeeinflussenden Algorithmen ohnedies schon kritisch gegenübersteht, sondern auch auf andere Pflichten, auf deren Einhaltung Algorithmen als „Entscheidungsvorbereiter“ Einfluss haben können. Allen voran die Pflichten nach dem Gleichbehandlungsgesetz.

Regeln für den Einsatz von Algorithmen

Heißt das nun, dass man auf den Einsatz von Algorithmen, vor allem aus Furcht vor datenschutzrechtlichen Konsequenzen, verzichten muss? Mitnichten. Man sollte aber ein paar Regeln beachten, um ungewollte (rechtliche) Konsequenzen zu vermeiden.

  • Bewusstseinsbildung ist ein Muss:

Es ist essenziell den Mitarbeitern, welche mit den von Algorithmen generierten Ergebnissen arbeiten, bewusst zu machen, dass auch Algorithmen irren können. So wie die Mitarbeiter auch von anderen Menschen generierte Ergebnisse zwar nicht immer nachprüfen, aber doch kritisch analysieren, sollen sie auch die Ergebnisse von Algorithmen als nicht immer korrekt und perfekt wahrnehmen.

  • Der Mensch überprüft nicht automatisch:

Unternehmen müssen sich von der Idee lösen, dass Mitarbeiter, die mit den Ergebnissen von Algorithmen arbeiten, diese auch überprüfen. Wenn die (stichprobeartige) Überprüfung der Ergebnisse erforderlich ist, zB aus datenschutzrechtlichen Gründen, muss organisatorisch entsprechen vorgesorgt werden.

  • Zustimmung ist nicht gleich „Einwilligung“:

Unternehmen, welche für nicht zwingend erforderliche automatisierte Entscheidungen die Zustimmung der betroffenen Personen einholen, übersehen oft, dass eine bloße Zustimmung nicht auch eine „Einwilligung“ im Sinne der DSGVO darstellt, welche bestimmte Anforderungen erfüllen muss. Daher sollten Unternehmen prüfen, ob in ihrem Fall nicht auch andere Ausnahmen nach Art 22 DSGVO gelten und ansonsten sicherstellen, dass eine wirkliche Einwilligung vorliegt.

Ähnliche Beiträge

  • Mitbestimmung des Betriebsrats beim Einsatz von Künstlicher Intelligenz

    Zum Beitrag
  • NIS-2 & NISG 2024: Erhöhte Anforderungen an Datenschutz und IT-Sicherheit

    Zum Beitrag
  • Der Kampf um IP-Adressen: Datenschutz und mehr

    Zum Beitrag