Recht auf Nachvollziehbarkeit
Die mit der Datenschutzgrundverordnung (DSGVO) bevorstehende EU-weiten Änderung der Datenschutzgesetze sind inzwischen nicht nur Juristen und IT-Sicherheitsexperten bekannt. Nicht zu Letzt wegen der hohen Strafandrohungen von bis zu EUR 20 Mio. oder 4 % des weltweiten Vorjahresumsatzes ist die DSGVO ein viel diskutiertes Thema. Im Gegensatz dazu wird dem im Zuge dieser Änderungen ebenfalls eingeführten Recht auf Nachvollziehbarkeit weniger Beachtung geschenkt.
Die DSGVO wirkt sich nicht nur auf den Schutz personenbezogener Daten aus, sondern auch auf die Art und Weise der Verarbeitung dieser Daten aus. Artikel 5 der DSGVO besagt:
Personenbezogene Daten müssen auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Die tatsächliche Reichweite dieses Aspekts der DSGVO fällt nicht sofort auf, tatsächlich könnte dieses Recht auf Nachvollziehbarkeit aber das Aus für Machine Learning (ML) basierte Entscheidungen bedeuten. Unter diesem Gesichtspunkt ist es durchaus verwunderlich, dass diesem Aspekt der DSGVO nicht mehr Beachtung geschenkt wird.
Entscheidungen auf der Basis von Machine Learning Algorithmen sind vom Recht auf Nachvollziehbarkeit betroffen, da die tatsächlichen Entscheidungskriterien dieser Algorithmen dem Menschen nicht bekannt sind bzw. diese zu vielfältig und komplex sind um sie nachzuvollziehen. ML Algorithmen lernen Entscheidungskriterien anhand einer großen Menge von Datenbeispielen, für die das jeweils korrekte Ergebnis bekannt ist (Trainings-Datensatz). Für diesen Trainings-Datensatz versuchen ML Algorithmen in einer meist aufwendigen Trainingsphase optimale Entscheidungskriterien zu lernen. Welche Aspekte und Ausprägungen zu Entscheidungen führen, wird also nicht vom Menschen definiert und einem Programm vorgegeben, sondern von den Algorithmen selbst definiert. Nach Abschluss der Trainingsphase liegt ein System vor, das auf Basis dieser „gelernten“ Entscheidungskriterien auch neue, zuvor noch nicht gesehene, Datenbeispiele klassifizieren kann. Für diese neuen Datenbeispiele kann nach Abschluss der Trainigsphase automatisiert eine Entscheidung getroffen werden. Aus welchen Gründe diese Entscheidung entsprechend getroffen wurde, kann dabei aber unbekannt sein.
Die Entwicklung der hoch performanten Machine Learning Algorithmen der letzten Jahre geht Hand in Hand mit der Verarbeitung immer größerer Datenmengen, sowohl hinsichtlich des Umfangs der Daten, der Geschwindigkeit der Datenakquise und der Bandbreite der Datentypen – gemeinsam bekannt unter dem Begriff Big Data. Die von der der DSGVO ebenfalls verlangte Datenminimierung stellt somit ein weiteres Hindernis für den zukünftigen Einsatz von ML Algorithmen dar.
Sind mit in Kraft treten der DSGVO 2018 mehr als 60 Jahre Forschung im Bereich Machine Learning plötzlich irrelevant, da diese Technologien in Europa keinen Einsatz mehr finden dürfen?
So weitreichend die Auswirkungen der DSGVO auch sind, Machine Learning Algorithmen werden auch nach Mai 2018 zum Einsatz kommen. Artikel 22 der DSGVO führt durch das Recht auf menschliche Intervention ein – diese menschliche Intervention könnte im Zweifelsfall zusätzlich zu einer automatisierten Entscheidung herangezogen werden:
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
ML Algorithmen können dadurch auch in Zukunft zur Entscheidungsfindung herangezogen werden. Betroffene Personen haben zukünftig allerdings gleichzeitig das Recht, diese Entscheidung auch menschlich bewerten zu lassen und sie somit nachvollziehbar zu machen. Erschweren wird die DSGVO auf jeden Fall aber die Sammlung von personenbezogenen Daten und somit auch das Erstellen von großen Datenmengen zum Trainieren von ML Algorithmen. Da die DSGVO aber ausschließlich den Umgang mit personenbezogenen Daten von EU-Bürgern regelt, ist anzunehmen, dass sich hier die Datenakquise nach Mai 2018 lediglich auf nicht EU-Ländern beschränken wird.