VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Karriere
Kategorie: Data & Privacy
Der Datenschutz verlangt sie nach Ansicht von gewissen Datenschützern immer, der EU AI Act tut dies ausdrücklich nur in bestimmten Fällen, und in der "Ethik" ist sie eine Grundforderung: Transparenz beim Einsatz von KI. Doch wann und wie muss oder sollte ein Unternehmen Transparenz schaffen? In diesem Teil 16 unserer KI-Blog-Serie diskutieren wir rechtliche und ethische Grundlagen der Transparenz – und einen praktischen Ansatz zu ihrer Gewährleistung.
Es gibt manche Gründe, warum heute Transparenz beim Einsatz von KI gefordert wird. Transparenz soll betroffenen Personen erlauben, sich auf Entscheide und andere Ergebnisse von KI einstellen zu können, sie einzuordnen und möglicherweise sogar dagegen vorzugehen. Ein anderer Grund ist aber zweifellos auch die verbreitete Unsicherheit, was diese Technik kann und was sie in Bezug auf jeden einzelnen von uns bewirkt. Wir verspüren im Zusammenhang mit ihrem Einsatz einen Kontrollverlust betreffend die Bearbeitung unserer Daten und über uns getroffene Entscheide, die andere mithilfe einer Technik vornehmen, die viele von uns nicht ansatzweise verstehen, geschweige denn kontrollieren können. Dies führt zu einem Unbehagen, für das wir Massnahmen zum Umgang suchen. Weil wir solche nicht wirklich haben, greifen wir auf ein vermeintliches Patentrezept zurück, dessen wir uns in solchen Situationen gerne bedienen: die Schaffung von Transparenz.
Transparenz ist jedoch kein Patentrezept. Sie kann zwar unser Bewusstsein über die KI als mögliche Gefahrenquelle erhöhen, vermag den Kontrollverlust aber nicht wettzumachen. Auch wer erfährt, mit welchen KI-Techniken wir im Internet überwacht werden, kann sich als einzelne Person nur mässig dagegen wehren. Und ernsthafte Anstrengungen, um sich über diese Dinge ins Bild zu setzen, betreiben ohnehin nur die wenigsten von uns. Anders als bei gewissen anderen Techniken stellen Sozialwissenschaftler inzwischen sogar fest, dass das Interesse des Publikums, KI zu verstehen und etwas darüber zu lernen, stagniert oder sogar zurückgeht. Dabei fehlt es nicht an Informationen, wie KI funktioniert, wo sie zum Einsatz kommt und was sie wirklich kann (und was nicht).
Für ein solches Desinteresse gibt es manche Gründe. Der Informationsaufwand steigt stetig, die Interventionsmöglichkeiten nehmen ab, die Gewöhnung an die Technik nimmt zu und damit sinkt auch der Leidensdruck. Wir alle haben diese Erfahrungen mit der Verarbeitung unserer Daten und den dazu passenden Datenschutzerklärungen gemacht: Das Gesetz schreibt diese Erklärungen zwar vor, aber eine Mehrheit sieht in ihnen keinen Beitrag zum Datenschutz sondern eine Alibiübung. Die betroffenen Personen interessiert sie normalerweise nicht. Nur die Aufsichtsbehörden stellen immer absurdere Anforderungen an Datenschutzerklärungen.
Im Bereich der künstlichen Intelligenz zeichnet sich eine ähnliche Entwicklung ab. Datenschutz-Aufsichtsbehörden wie der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) fordern öffentlich, dass bei jedem Einsatz von KI offengelegt werden muss, wozu dies geschieht, was genau vor sich geht und welche Daten hierfür benutzt werden. Eine gesetzliche Grundlage für eine solch umfassende Forderung wird von ihm zwar behauptet, existiert aber nicht. Die Vorgabe ist viel zu absolut, macht so keinen Sinn und wird auch nicht eingehalten – sicher auch nicht vom EDÖB. KI ist schon seit Jahren an so vielen Orten im Einsatz, dass eine vollständige Offenlegung jeden Rahmen sprengen würde.
Die Forderung nach totaler Transparenz verkennt, dass "KI" als Technik zunächst nur bedeutet, dass ein Computersystem nicht nur deterministisch von einem Menschen ausprogrammiert, sondern sein System auf Basis von Beispielen trainiert worden ist. So ist es in der Lage, Ergebnisse nicht nur "linear" zu berechnen, sondern auch "non-lineare" Muster zu erkennen, womit es vereinfacht gesagt als "autonom" gilt und damit als KI im rechtlichen Sinne (z.B. unter dem EU AI Act). Über das damit für betroffene Personen verbundene Risiko einer Anwendung – dem zentralen Element – sagt dies rein gar nichts aus: Viele Antispam-Scanner sind schon seit Jahren KI-basiert, und es käme niemand auf die Idee, ihre Verwendung speziell auszuweisen und so im geforderten Sinne transparent zu machen. So gibt es auch viele andere, alltägliche KI-Anwendungen, deren Einsatz sicherlich nicht offengelegt werden müssen – von der Textübersetzungen mit Tools wie "DeepL" über die Zeichenerkennung (OCR) die heute in zahlreichen Büroscannern und oder in unseren PDF-Readern stecken bis hin zur Fotografie- und Bildbearbeitungssoftware auf heutigen Mobiltelefonen oder bildbasierenden Fahrassistenzsystemen in unseren Autos. Techniken der KI gibt es seit Jahrzehnten und vielerorts ist sie für uns so selbstverständlich, dass wir keinen Gedanken darauf verschwenden (wie diese Techniken funktionieren werden wir in einem weiteren Blog-Beitrag am Beispiel eines Large Language Modells erklären). Was erst seit kurzem von einer breiteren Öffentlichkeit bestaunt wird, sind neue Entwicklungen in bestimmten Bereichen, wie etwa der generativen KI. Allerdings gibt es auch hier für uns alle bereits bestens vertraute und als harmlos beurteilte Anwendungen wie die bereits genannten Textübersetzungssysteme, die ebenfalls generative KI in ihrer reinsten Form sind.
Doch warum ist Transparenz auch im Bereich KI kein Allerheilmittel? Das Konzept der Problemlösung durch Transparenz basiert im Bereich der KI auf dem Verständnis, dass eine von der KI betroffene Person eine realistische Chance hat, sich der KI zu entziehen oder deren Einsatz Einfluss zu nehmen – es quasi eine "algorithmische" Selbstbestimmung gibt. Diese besteht in der Praxis oft nicht wirklich und selbst dort, wo sie an sich bestünde, ist es für eine durchschnittlich verständige Person kaum möglich, eine vernünftige Entscheidung zu treffen, weil ihr normalerweise das dafür nötige technische Verständnis fehlen wird, um die Wirkungsweise und Konsequenzen des Einsatzes von KI zu verstehen. Dies kann auch kaum in praktikabler Form für den Alltagsgebrauch vermittelt werden, abgesehen davon, dass sich die meisten Menschen gar nicht dafür interessieren. Kommt hinzu, dass nicht einmal Experten bei manchen Anwendungen von KI heute wissen, warum die Systeme genau das tun, was sie tun. Also kann unter dem Titel der Transparenz maximal ein sehr grobes Bild dessen vermittelt werden, was KI tut und wie die Entscheide ungefähr ablaufen. Das wiederum bedeutet, dass es bei Lichte betrachtet letztlich zum reinen Bauchentscheid wird, ob sich jemand dafür oder dagegen entscheidet, zum Beispiel eine Stellenbewerbung bei einer Firma einzureichen, welche diese mit einer KI vorprüft. Auch die Möglichkeit eines solchen Bauchentscheids kann ein Gewinn an Selbstbestimmung sein, aber das Beispiel zeigt, dass es die eigentlichen Probleme, welche ein solcher Einsatz von KI mit sich bringt, wie etwa die mangelnde Zuverlässigkeit der Outputs einer KI, nicht löst. Es wird sicherlich solche Bewerbende geben, die sich angesichts des Wissens, dass eine KI ihre Bewerbung prüft, ohnmächtig und damit netto schlechter fühlen, als wenn dies eine menschliche HR-Person tut, selbst wenn sie die Unterlagen nicht nur voreingenommen, sondern auch zufällig prüfen sollte.
Der Ruf nach Transparenz als Schutzmassnahme birgt dabei ihrerseits Risiken: So kann sie den Eindruck vermitteln, dass die Verantwortung damit an die betroffenen Personen abgeschoben wird – nach dem Motto "sie sind ja informiert und können sich wehren, wenn es ihnen nicht passt." Im Schweizer Datenschutzrecht ist das ein Grundprinzip. Ebenso führt eine zu breit angesetzte Transparenzpflicht zu einer Inflation an Information, welche wiederum eine "attention fatique" bewirkt, eine Abnahme der Aufmerksamkeit seitens der betroffenen Personen: Vor lauter Informationen nehmen sie sie gar nicht mehr wahr, wodurch die wirklich wichtigen Informationen untergehen. Die Pflicht zur Datenschutzerklärung und Cookie-Bannern hat das eindrücklich gezeigt. Gut gemeinte gesetzliche Vorgaben sind eben oft nicht zwangsläufig gut. So verhält es sich auch bei manchen Forderungen nach Transparenz in Bezug auf KI.
Augenmass ist also angezeigt. Entscheidend muss daher in der Regel sein, wofür ein System eingesetzt wird und welches Risiko damit verbunden ist, und nicht, ob ihm eine bestimmte Technik zugrunde liegt. Informiert werden sollte dort, wo es wirklich wichtig ist, damit sich betroffene Personen darauf einstellen. Das Giesskannenprinzip hat hier keinen Platz. Wir gehen daher davon aus, dass extreme Forderungen, wie sie etwa der EDÖB postuliert, mit wachsender KI-Gewöhnung und zurückgehendem GenKI-Hype ebenfalls wieder verschwinden werden.
Rechtlich ist Transparenz über den Einsatz von KI im europäischen Datenschutzrecht grundsätzlich in diesen vier Fällen zwingend (für das US-Recht fand wir z.B. den Blog-Beitrag unserer Kollegen von Orrick hilfreich):
In allen Fällen sehen wir in der Praxis, dass Unternehmen in Bezug auf die Transparenzpflicht nicht nur an die KI als solche denken sollten, sondern auch an die Datenverarbeitungen, die im Rahmen oder aus Anlass der KI ebenfalls stattfinden. Wenn ein Unternehmen einen Chatbot für seine Mitarbeitenden lanciert und sämtliche Dialoge aufzeichnet (Audit Trails, Logs) und allenfalls sogar für das eigene Training auswertet, dann sollten die Mitarbeitenden darüber informiert werden. Sie werden sich dann genau überlegen, was sie dem Chatbot des Unternehmens an privaten oder persönlichen Informationen anvertrauen wollen.
Ferner kann Transparenz indirekt rechtlich erforderlich sein, wenn sie gegenüber denjenigen nötig ist, welche ein KI-System bedienen sollen und daher wissen müssen, dass es möglicherweise gewisse Risiken birgt, auf die sie für einen rechtskonformen Einsatz zu achten haben. Selbst wenn der Einsatz eines KI-Systems gegenüber den davon betroffenen Personen nicht dargelegt werden muss, kann zum Beispiel generative KI zu Fehlern führen, auf welche die Mitarbeitenden beim Einsatz solcher Systeme besonders achten müssen. Tun sie das nicht, kann zum Beispiel der Grundsatz der Richtigkeit von Personendaten verletzt werden, wenn Gespräche falsch protokolliert werden, oder falsche Zahlen Eingang in die Buchhaltung finden, weil eine KI-gestützte Umwandlungen von Zahlen auf Belegen nicht richtig funktioniert hat.
Auch Gesetze ausserhalb des Datenschutzes können selbstverständlich Transparenz über den Einsatz von KI erfordern. Das ist aber heute die Ausnahme, und diese Bestimmungen sind nicht KI-spezifisch, sondern finden beim Einsatz von KI auch Anwendung, sobald die Voraussetzungen gegeben sind:
Wir gehen davon aus, dass in künftiger Regulierung Transparenz betreffend KI punktuell vorgeschrieben werden könnte, beispielsweise in hochregulierten Bereichen wie etwa dem Versicherungsrecht oder etwa in Lehre und Forschung, wie z.B. in einer Prüfungsordnung (Verwendung von Transparenz für das Verfassen von Arbeiten), oder z.B. bei Eingaben an staatliche Stellen (z.B. verlangt das U.S. Copyright Office die Offenlegung von KI in Werken, die zur Registrierung angemeldet werden).
Selbstverständlich enthält der EU AI Act einige Vorschriften, die Transparenz über den Einsatz von KI erfordern, etwa im Falle des Einsatzes von Emotionserkennung am Arbeitsplatz, wo Menschen mit einer KI interagieren (und dies nicht erkennen können) oder bei der Markierung von Deep Fakes oder von KI-generierten oder manipulierten Inhalten (siehe unser Teil 7 unserer Blog-Serie). Diese Transparenzvorschriften gelten übrigens für alle KI-Systeme, nicht nur jene, die nicht als hochriskant gelten.
Dies gesagt, gibt es manche Unternehmen, die in Sachen Transparenz freiwillig weiter gehen wollen als das, was (heute) gesetzlich vorgeschrieben ist. Wir bewegen uns dabei im Bereich der "Business-Ethik", also den übergesetzlichen Regeln, die sich ein Unternehmen freiwillig auferlegt, um den Erwartungen von bestimmten Stakeholdern zu entsprechen. Unternehmen tun dies nach unserer Erfahrung zwar primär aus Furcht vor Vertrauens- und Reputationsverlust (oder umgekehrt, weil sie sich durch die Bekanntgabe solcher Vorgaben Marketingeffektive erhoffen) und nicht, weil ihnen Transparenz als Wert intrinsisch wichtig ist. Das vermindert aber nicht die positiven Effekte, die es haben kann, wenn Transparenz über den Einsatz von KI auch dort geschaffen wird, wo sie gesetzlich nicht zwingend wäre.
Was aber sind diese positiven Effekte? Was kann über die reine Compliance hinaus für die Schaffung von Transparenz sprechen? Hier einige Beispiele:
Und noch ein Punkt, der halbwegs in das Kapitel "freiwillige Transparenz" gehört: Fragen Sie sich, ob Sie in Zukunft mit den heute beschafften Daten etwas tun wollen, dass eine Anpassung der Datenschutzerklärung heute schon rechtfertigt. Das kann zum Beispiel die Verwendung von Personendaten für das Training einer KI sein. Wir gehen davon aus, dass viele Unternehmen ein solches Bedürfnis entwickeln und sich dann fragen werden, ob sie dies dürfen mit den Daten, die sie bereits in der Vergangenheit gesammelt haben. Wer dies heute schon in seiner Datenschutzerklärung erwähnt, hat es später leichter, sich darauf zu berufen, dass die zwischenzeitlich gesammelten Daten für diesen Zweck genutzt werden können (wir werden noch in einem separaten Blog darauf eingehen, was für das Training von KI-Modellen zu beachten ist).
Entscheidet sich ein Unternehmen dazu, über seinen Einsatz von KI in bestimmten Anwendungen zu informieren, kommen in der Praxis vor allem drei Wege zum Einsatz (die auch kombiniert werden können):
Jedes Unternehmen wird seinen Weg – und allenfalls eine Kombination der obigen Varianten – selbst festlegen müssen. Einige Praxishinweise sollte es dabei beachten:
Eine musterhafte "KI-Erklärung" bieten wir hier zum Download an auf Deutsch und Englisch:
David Rosenthal
Dieser Beitrag ist Teil einer Serie über den verantwortungsvollen Einsatz von KI im Unternehmen:
Wir unterstützen Sie bei allen Fragen zu Recht und Ethik beim Einsatz von künstlicher Intelligenz. Wir reden nicht nur über KI, sondern setzen sie auch selbst ein. Weitere Hilfsmittel und Publikationen von uns zum Thema finden Sie hier.
Team Head
Zahlreiche Schweizer Unternehmen, aber auch öffentliche Einrichtungen setzen, auf die Cloud-Dienste...
Welcher Erlass gilt wo und wie? Was ist dabei zu tun? Sieben kurze Schulungsvideos In...
In vielen Banken, Versicherungen und anderen Schweizer Finanzinstituten laufen derzeit Projekte zum...