Neue EU-Datenschutzrichtlinien

»Big Data« werden Grenzen gesetzt

20. August 2016
von Börsenblatt
Die neuen EU-Datenschutzrichtlinien sind eine Kampfansage an die amerikanischen Internetkonzerne. Sie treten im kommenden Jahr in Kraft. Bookbytes-Blogger Stephan Selle mit einer ersten Einschätzung.

Ob ein Bankkredit gewährt wird, die Steuerprüfung kommt oder eine Bewerbung angenommen wird hängt schon jetzt häufig von der Auswertung unserer persönlichen Daten ab, die wir überall im Netz hinterlassen haben. »Big Data« besteht aus strukturierten Sammlungen solcher Daten aus dem gesamten Internet – also Name, Anschrift, Geschlecht, Alter, aber auch »Metadaten« wie Gewohnheiten, Hobbys, Interessen und Ansichten. Vollautomatisch, so die Idee der großen Anbieter, treffen intelligente Programme bald lebensgeschichtlich relevante Entscheidungen. Die neuen Datenschutzrichtlinien der EU sehen das restriktiver und treten bereits im nächsten Jahr in Kraft.
Bislang haben maschinelle Mengendaten-Auswertungen fast nur ein Ziel: vernünftige Vorschläge zu erzeugen. Beispielsweise den Wunschkandidaten für einen Vertriebsjob einzustellen, weil er berufsspezifische Begriffe in verschiedenen Sprachen gegoogelt oder auf Facebook mit seinem Freunden viel über seine aktuelle Tätigkeit gesprochen hat. Wenn es aber um solche, für den Einzelnen folgenreiche Entscheidungen geht, möchte der Gesetzgeber endlich wissen, ob alles tatsächlich mit rechten Dingen zugeht. Computerprogramme, die über Bewerbungen, Kredite, Prüfungen und andere Zulassungen entscheiden helfen, sollten deshalb keine Daten auswerten, die sich diskriminierend auswirken könnten – wie zum Beispiel Hautfarbe, Geschlecht, Religion, sexuelle Präferenz, Partei- oder Gewerkschaftszugehörigkeit.
In den USA sind solche nicht-diskriminierenden Verfahren seit Jahren grundsätzlich vorgeschrieben. Aber bislang müssen abgewiesene Bewerber klagen, wenn sie überprüfen möchten, ob diese Vorschriften in ihrem Fall auch eigehalten worden sind. Die EU ist nun dabei, mit ihrem neuen Datenschutzgesetz die Beweislast umzudrehen. Dies hat massive Konsequenzen für alle, die solche Programme einsetzen: sie müssen jetzt nämlich nachweisen, dass weder ihre Daten noch die verarbeitenden Programme verzerrende Ergebnisse produzieren und damit schutzwürdige gesellschaftliche Gruppen benachteiligen.
In einer ganz wichtigen Frage geht die EU sogar noch weiter: Systeme, die auf Basis großer Datenmengen und lernender Software nicht nur Vorschläge machen, sondern sogar Entscheidungen fällen, haben es in Zukunft richtig schwer. Dabei sind genau solche »deep learning«-Algorithmen, also neuronale, lernende Programme, derzeit der letzte Schrei in Kalifornien. Ob Google, Apple, Facebook oder Microsoft – alle setzen auf diese Variante der Künstlichen Intelligenz bei der Auswertung von Big Data.

Lebenswege in neuronalen Netzen

Wo ist das Problem? Stellen wir uns einen schrägestellten Kasten von der Größe eines Flippers vor, in dem Hindernisse und hunderte kleiner Magnete den Lauf der Metallkugel ablenken. Statt der Flipper-Paddel sind am untern Ende zwanzig Mulden, die die Kugel aufnehmen können. Wohin sie fällt, hängt zunächst von der Kraft des Abschusses und den Hindernissen ab auf die die Kugeln treffen. Jetzt schreiben wir aber ein Programm, das die Anziehungskraft ausgewählter Magnete so ändern soll, dass jede Kugel immer ganz links außen landet. Der Zufallsflipper schießt die Kugeln weiterhin mit unterschiedlicher Stärke selbst ab.  Unser Programm verfolgt den Lauf der Kugeln, merkt sich die getroffene Mulde und ändert bei jedem Kugellauf die Magnetstärken. Läuft die Kugel weiter nach links, dann merkt sich das Programm die Magnetstärken und optimiert die Laufbahn. Am Ende landen alle Kugeln, obwohl sie verschieden stark abgeschossen und von verschiedenen Hindernissen abgelenkt worden sind, im linken Fach. Das Programm hat gelernt, wie die Magneten reagieren müssen, damit das vorgegebene Ziel immer erreicht wird. So etwa funktionieren selbstlernende Systeme mit neuronalen Netzen. Einmal programmiert, lernen sie lösungsorientiert ohne menschliches Zutun.
Besonders bei solchen Systemen, sagt das neue Datenschutzgesetz der EU, muss das politisch und moralisch korrekte Funktionieren nachgewiesen werden. Und ein solcher Nachweis muss jederzeit auf Verlagen geführt werden. Darüber hinaus verlangt das Gesetz, dass solch ein System »in einfacher Sprache« erklären kann, wie die Entscheidung zustande gekommen ist. Also welche Magneten wie stark gewirkt haben, um bei unserem Beispiel zu bleiben.

Automatische Entscheidungen nachvollziehen

Diese gesetzliche Forderung stellt die großen Datensammler vor erhebliche Probleme: Sie wollen keine Betriebsgeheimnisse verraten, deshalb möchten sie den Quellcode des Programms nicht publizieren. Die Personendaten sind sowieso geschützt und dürfen ebenfalls nicht gezeigt werden. Das Hauptproblem besteht jedoch darin, dass selbst die Programmierer nicht wissen können, wie eine Entscheidung zustande gekommen ist. Die zentrale Eigenschaft solcher »deep-learning« Systeme ist ja das eigenständige Lernen. Welche Datensammlungen wie bewertet werden, das ist eben von außen nicht zu sehen und auch nachträglich kaum herauszubekommen. Die automatischen Entscheidungen eines lernenden Systems nachzuvollziehen und dann noch einfach zu beschreiben – das ist sehr schwierig, lästig und kostet im Kampf der Systeme wertvolle Zeit.
Deshalb tüfteln vor allem amerikanische IT-Spezialisten gerade daran herum, wie man solche Anforderungen an die Software mit neuer Software erfüllen könnte. Immerhin ist Europa der größte zusammenhängende Markt und die neuen Regelungen werden schon im nächsten Jahr Gesetz.

Mitwirkungspflicht für Menschen

Als besonderes Schmankerl kann man werten, dass das neue Gesetz eine komplett automatische Entscheidung verbietet. Zu guter Letzt muss immer ein Mensch Entscheidungen gegenzeichnen. Den amerikanischen Software-Giganten wird gerade klar, dass sie die Grundlagen für ihre Arbeit revidieren müssen. Statt immer mehr neuronale Netze mit immer größeren Datenmengen lernen zu lassen, müssen sie sich Verfahren überlegen, mit denen die europäischen Anforderungen erfüllt werden können.

Grenzen des Rechts

Kaum überraschend ist, dass die staatlichen Institutionen, vor allem die Geheimdienste, von diesen Regelungen ausgenommen sind. Die Terror-Anschläge der letzten Zeit in Frankreich, Belgien und Deutschland machen eine Kritik daran fast unmöglich. Zu loben bleibt immerhin, dass das neue europäische Datenschutzgesetz ganz deutlich zum Ziel hat, Bürgerinnen und Bürger zu Chefs ihrer eigenen Daten zu machen, mit dem Recht auf Auskunft, Erklärung, Korrektur und Vergessen.