Datenethikkommission

Regierungsberater*innen fordern strengere Regeln für Daten und Algorithmen

Eine Ethikkommission der Regierung sollte Antworten auf einige der kniffeligsten Fragen zum Umgang mit Daten und Algorithmen liefern. Trotz vieler Themen und kurzer Zeit fällt die Leistung der Kommission beachtlich aus. Ihr Bericht fordert neue Aufsichtsbehörden, eine Algorithmenverordnung auf EU-Ebene und eine „Pluralismuspflicht“ für Social-Media-Torwächter.

Daten: Wer darf was damit machen unter welchen Voraussetzungen? Gemeinfrei-ähnlich freigegeben durch unsplash.com Taylor Vick

Falls es nichts wird mit der Regulierung von Algorithmen: an der Arbeit der Datenethikkommission (DEK) liegt es schon mal nicht. Die 16 Mitglieder haben Beachtliches abgeliefert, vor allem, wenn man bedenkt, dass sie dafür nur ein Jahr Zeit hatten. Sie empfehlen der Regierung gleich eine ganze Palette von neuen Regelungen. Dazu gehört etwa eine Kennzeichnungspflicht, ein Zulassungsverfahren und Transparenzpflichten für Algorithmen mit einem hohem Risiko und eine neue Verordnung auf EU-Ebene, die all das bis ins Detail regeln soll. Das steht in dem Gutachten, das die Kommission heute im Justizministerium vorstellt und das netzpolitik.org vorliegt

[Update: Hier gibt es das Gutachten der Datenethikkommission zum Download].

Der Druck auf die Kommission war gewaltig. Als die Bundesregierung sie vor einem Jahr mit dem Auftrag zurück ließ, die „ethischen Leitplanken“ zu definieren „für den Schutz des Einzelnen, die Wahrung des gesellschaftlichen Zusammenlebens und die Sicherung und Förderung des Wohlstands im Informationszeitalter“, hatte man den Eindruck, das könnte ein kleines bisschen viel werden. Noch dazu für ein Gremium, dessen Mitglieder – darunter Fachleute für Ethik, Rechtswissenschaft, Informatik, Wirtschaft und Verbraucherschutz – ehrenamtlich arbeiteten. Hinter vorgehaltener Hand erzählten Mitglieder, ihre Familien hätten ihnen verboten, so etwas nochmal zu machen.

Das Ergebnis aber ist beachtlich geworden. Grob unterteilt ist das Papier in einen Teil zu Datenthemen und eine Teil zu algorithmischen Systemen, auch wenn sich beides nicht sauber trennen lässt. Im Blick hat die Kommission dabei vor allem auf die Praktiken von Unternehmen gerichtet und wie diese durch den Staat demokratisch eingehegt werden können.

[Lest hier auch unseren Kommentar zum Gutachten der Datenethikkommission: 200 Seiten Erwartungsdruck]

Im Zweifel verbieten

Die Forderungen der Expert*innen sind wesentlich ambitionierter als bisherige Leitlinien und werden an einigen Stellen bemerkenswert konkret. Ihre Regeln für algorithmische Systeme etwa wollen sie auf der Ebene der EU verankert haben, in einer neuen Verordnung, für die sie bereits einen Namen mitliefern: EUVAS. Je nach „Schädigungspotential“ eines Systems sollen dort nach fünf Stufen verschiedene Regeln festgeschrieben werden.

Das reicht von einer verpflichtenden Abschätzung der Risikofolgen und Transparenzpflichten für Systeme mit „gewissem Schädigungspotential“ bis hin zu Zulassungsverfahren oder gar Verboten für hochriskante Anwendungen. In solchen Fällen rät das Gremium zu „verschärften Kontroll- und Transparenzpflichten bis hin zu einer Veröffentlichung der in die Berechnung einfließenden Faktoren und deren Gewichtung, der Datengrundlage, sowie die Möglichkeit einer kontinuierlichen behördlichen Kontrolle über eine Live-Schnittstelle zum System“.

Für die Aufsicht über diese Regeln empfiehlt sie, die bereits bestehenden Aufsichtsbehörden für diese Aufgabe fit zu machen und mit mehr Personal auszustatten. Zusätzlich soll eine neue Meta-Stelle – das „bundesweiten Kompetenzzentrums Algorithmische Systeme“ – geschaffen werden, die die Aufsichtsbehörden bei ihrer Aufgabe unterstützen kann.

Als Beispiel nennt der Bericht etwa algorithmische Preissysteme im Onlinehandel, die Aufsichtsbehörden mit statistischen Tests prüfen könnten, um zum Beispiel Diskriminierung gegen Frauen zu verhindern. Auch sonst müssten Menschen vor Diskriminierung geschützt werden, stellt der Bericht klar, besonders dort, wo algorithmische Systeme zum Einsatz kommen, um menschliche Entscheidungen zu unterstützen oder zu ersetzen. An dieser Stelle empfehlen die Expert*innen, das Allgemeine Gleichstellungsgesetz entsprechend zu überarbeiten und auf die Eigenheiten automatisierter Entscheidungen auszudehnen.

Gütesiegel, Verhaltenskodizes und andere Verfahren der Selbstregulierung von Unternehmen, wie sie derzeit im Trend liegen, finden die Expert*innen ebenfalls sinnvoll. Schließlich müsse man nicht alles mit Gesetzen regeln. Sie könnten allerdings einen Gesetzesrahmen nicht ersetzen.

„Alle Arten algorithmischer Systeme“

Im Fragenkatalog der Bundesregierung war noch die Rede von „Künstlicher Intelligenz“ einerseits und „algorithmenbasierten Prognose- und Entscheidungsprozessen“ andererseits. Diese Unterscheidung reißt die Kommission gleich zu Beginn selbstbewusst ein: Es sei technisch nicht sinnvoll, über ethische Regeln nur für KI zu sprechen, da viele der Probleme ebenso für solche algorithmische Systeme gelten, die viel einfacher gestrickt sind. „Insofern beziehen sich die folgenden Ausführungen auf alle Arten algorithmischer Systeme“, schreibt sie.

Auch warnt die Kommission davor, auf einzelne Algorithmen zu schauen. „Für die ethische Beurteilung kommt es jeweils auf das gesamte sozio-technische System an, also alle Komponenten einer algorithmischen Anwendung einschließlich aller menschlichen Akteure, von der Entwicklungsphase bis hin zur Implementierung in einer Anwendungsumgebung und zur Phase von Bewertung und Korrektur.“ Das ist sinnvoll, denn die Gefahr eines Algorithmus liegt in der Regel nicht in diesem selbst, sondern dem Kontext, in dem es eingesetzt wird, Darauf wies etwa die zivilgesellschaftliche Wächtergruppe AlgorithmWatch hin – und wurde offenbar gehört.

Für Plattformen wie Facebook oder YouTube, im Bericht „Torwächter“ genannt, empfiehlt der Bericht „ein ganzes Spektrum gefahrenabwehrender Maßnahmen“ zu prüfen, und einige davon haben es in sich. „Den nationalen Gesetzgeber trifft die verfassungsrechtliche Pflicht, die Demokratie vor den Gefahren für die freie demokratische und plurale Meinungsbildung, die von Anbietern mit Torwächterfunktion ausgehen, durch Etablierung einer positiven Medienordnung zu schützen”, steht dazu im Gutachten. Plattformen sollten dazu verpflichtet werden, ihren Nutzerinnen und Nutzern auch eine tendenzfreie und ausgewogene Zusammenstellung von Informationen zu bieten. Sollte dies umgesetzt werden, müssten etwa Facebook oder YouTube allen Nutzer:innen die Option einräumen, den personalisierten Feed abzuschalten.

Aufsicht über Datenschutz an einer Stelle bündeln

Auch in Hinblick auf die Erhebung und Verarbeitung personenbezogener Daten fordert die Kommission eine „Konkretisierung und punktuelle Verschärfung des Rechtsrahmens“. So diagnostiziert sie eine eklatante Durchsetzungslücke beim Datenschutz. Dem müsse unter anderem durch mehr Personal und Geld für die Aufsichtsbehörden begegnet werden.

Die Kommission bringt zudem die Idee ins Spiel, die Aufsichtskompetenz über die Wirtschaft – derzeit auf 16 Landes- und eine Bundesbehörde verteilt – an einer Stelle zu bündeln. Mangelhafte Abstimmung habe in der Vergangenheit bisweilen zu unterschiedlichen Rechtsaussagen der Behörden geführt. Mindestens müsse daher ihre Abstimmung untereinander verbessert werden. Im Gremium sitzt auch der Bundesdatenschutzbeauftragte Ulrich Kelber, der diese Idee schon öfter ins Spiel brachte.

Schärfere Regeln fordert die Kommission etwa im Fall von Profilbildungen und Scoring, „um den Gefahren der Manipulation und der Diskriminierung des Einzelnen wirkungsvoll begegnen zu können“. Bei diesen Verfahren werden personenbezogene Daten zusammengeführt und genutzt, um Eigenschaften von Menschen zu prognostizieren und sie zu bewerten, etwa durch Auskunfteien wie die Schufa.

Weil es durchaus gewünschte Formen des datengetriebenen Profilings gebe, spricht sich das Gutachten gegen ein grundsätzliches Verbot aus. Allerdings sollten bestimmte Einsatzzwecke sowie Profilbildung mit sensiblen Daten untersagt und bindende Qualitätsstandards festgeschrieben werden. Bestenfalls sei dies durch eine Ergänzung der Datenschutzgrundverordnung zu erreichen, auf die die Bundesregierung im Rahmen der 2020 anstehenden Evaluation hinwirken sollte.

Außerdem betont die Kommission, dass Geschäftspraktiken von Digitalkonzernen, die auf Irreführung oder Manipulation beruhen, unabhängig von Datenschutzvergehen schon heute verboten seien. So seien so genannte Addictive Designs und Dark Patterns, bei denen Benutzeroberflächen gezielt so gestaltet werden, dass sie Sucht erzeugen oder Nutzer:innen zur Auswahl gewünschter Optionen (etwa schwache Datenschutzeinstellungen) lenken, als „irreführendes oder aggressives Verhalten nach dem Gesetz gegen den unlauteren Wettbewerb (UWG)“ zu verstehen.

Eigentumsrecht löst das Problem nicht

Eine deutliche Abfuhr erteilt die Kommission der Idee eines neu zu schaffenden Eigentumsrechts an Daten. Bundeskanzlerin Angela Merkel hatte vor einiger Zeit gemeinsam mit dem damaligen Verkehrsminister Alexander Dobrindt für die Idee geworben, damit Unternehmen einfacher mit Daten als Handelswaren arbeiten können. Verbraucher- und Datenschutzorganisationen hatten davor gewarnt, weil es dazu führen könnte, Menschen zu entmündigen. Nun hält auch das Gutachten fest, ein Eigentumsrecht an Daten würde „bestehende Probleme nicht lösen“, aber insbesondere Einkommensschwache und Minderjährige zur Preisgabe möglichst vieler Daten verführen.

Während die Kommission also einen deutlich besseren Schutz personenbezogener Daten fordert, betont sie das Potenzial von Daten für das Gemeinwohl. Insbesondere im Gesundheitsbereich und in der Forschung müsse die Rechtslage dafür aber klarer werden. Außerdem müsse die Bundesregierung ihre Anstrengungen verstärken, Standards und Verfahren zur Anonymisierung und Pseudonymisierung personenbezogener Daten zu etablieren. Flankiert werden sollte dies von einem Verbot, Anonymisierungen und Pseudonymisierungen rückgängig zu machen.

Außerdem schlägt sie eine bundesweite Vereinheitlichung der Rechtslage im Bereich Open Data und eine gesetzliche Bereitstellungspflicht für Behördendaten („Open by Default“) vor, inklusive dem Recht, dies individuell einzuklagen.

Die Kommission als Joker

Die Datenethikkommission wurde im Herbst 2018 von der damaligen Bundesjustizministerin Katarina Barley (SPD) und Bundesinnenminister Horst Seehofer (CSU) berufen. Es sollte „ethische Leitplanken“ für den Umgang mit algorithmischen Systemen und Daten entwickeln und Antworten liefern, um die Rechte von Bürger*innen zu stärken – egal ob diese nun einem Unternehmen oder dem Staat gegenüber stehen. Ein Jahr hatten die Rechtswissenschaftler, Ethikerinnen, Verbraucherschützer und Wirtschaftsvertreter Zeit, um sich auf die jetzt vorgestellten Empfehlungen zu einigen.

Der Rechtswissenschaftler Mario Martini, der an den Regulierungsbausteinen gearbeitet hat, wiegelt das Ergebnis ab. „Letztlich haben wir nichts Neues erfunden“, sagt er. Alle Empfehlungen stützten sich alle auf Expertisen, die bereits anderswo nachzulesen seien. Mag sein. Dass sie nun in einem Dokument stehen, das der Bundesregierung als Empfehlung vorliegt, macht sie dennoch explosiver. Das erkennt man schon an der Aufregung von wirtschaftsnahen Medien, die eine neue „Regulierungswelle“ heranrollen sehen.

Im vergangenen Jahr war die Datenethikkommission der Joker, den die Bundesregierung jedes Mal aus dem Ärmel ziehen konnte, wenn kritische Fragen gestellt wurden. Egal, ob in der Strategie Künstliche Intelligenz oder bei Podiumsdiskussionen mit der Kanzlerin, stets hieß es: „Wir haben da diese Kommission.“ Diese Ausrede ist nun hinfällig. Der Ball liegt wieder bei den Politiker*innen. Sie werden sich ranhalten müssen. In der EU-Kommission arbeitet man bereits an Entwürfen für eine neue Algorithmen-Verordnung.

3 Ergänzungen
  1. „… und das netzpolitik.org vorliegt.“
    Ich wollte euch an euer Motto erinnern, dass euch die Dokumente nicht nur vorliegen, sondern ihr sie auch veröffentlicht.
    Es wäre doch für alle sehr interessant zu lesen, was in dem Dokument steht.

    1. Wir hatten unseren Artikel kurz vor dem offiziellen Launch veröffentlicht und dann vergessen, das Gutachten zu verlinken. Danke für den Hinweis! https://datenethikkommission.de/gutachten/

      Was den grundsätzlichen Kommentar angeht: Ist lieb, aber wir haben unseren Grundsatz nicht vergessen. Manchmal bekommt man Dokumente aber eben nur unter der Maßgabe, etwas nicht vorab zu veröffentlichen. Wenn man möchte, das Quellen auch in Zukunft noch mit einem reden oder einfach nur respektvoll mit ihnen umgehen will, hält man sich an solche Vorgaben. Dann bleibt einem immer noch die Option, eine zweite Quelle für das Dokument aufzutun. In diesem Fall war die Veröffentlichung durch die Kommission allerdings abzusehen, deshalb hielten wir es für vertretbar, das Dokument nicht selbst zu veröffentlichen.

  2. Die Sache hat ach eine Kehrseite:
    Wenn dann z.B. der Name Htler auf der „Schwarzen Liste“ des Algorithmus steht, kann man sich nicht mal mehr über die Fälschung der Hiltle-Tagebücher unterhalten.
    In einigen Netzwerken ist das bereits so!
    Woher soll der Algorithmus auch wissen, daß die Hitler-Tagebücher mit den Nazis so viel zu tun haben wie eine Bockwurst mt einem Luftballon?
    Und so wird dann indirekt viel Kulturgut und viel Diskussion unterbunden und unterdrückt.
    Das gilt es bei der ganzen Sache zu bedenken!
    Deswegen ist die Sache mit vielen Bedenken und Vorbehalten zu betrachten.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.