Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Thesen des Konsultationsverfahren

Die ursprünglichen Thesen zum Konsultationsverfahren "Einsatz von Künstlicher Intelligenz im Bereich der Strafverfolgung und Gefahrenabwehr"

Hintergrund und Ziel der Konsultation

Die unter dem Begriff „Künstliche Intelligenz“ (KI) firmierende Technologie ist seit einiger Zeit in aller Munde. Sie verspricht Effizienz- und Qualitätsgewinne. Ihr wird eine bedeutende Zukunft zugesprochen, gleichermaßen im Bereich der öffentlichen Verwaltung wie in der Industrie.

Auch im Bereich der Strafverfolgung und der Gefahrenabwehr wird der Einsatz von KI erforscht, erprobt und teilweise praktiziert. So soll z. B. mithilfe von KI vorhergesagt werden, wo und welche Art von Straftaten wahrscheinlich auftreten werden (Predictive Policing und Crime Hotspot Analytics). Es sind polizeiliche Einsatzszenarien denkbar, in denen getrennte Datenbestände miteinander verknüpft und Muster in Datenbeständen erkannt werden. Ein weiteres denkbares Anwendungsfeld von vielen ist die KI-gestützte Erkennung des emotionalen Zustandes einer Person. Insofern setzt die Technik der Phantasie keine Grenzen.

Es liegt auf der Hand, dass der Einsatz von KI eine Reihe rechtlicher, ethischer und gesellschaftspolitischer Fragen aufwirft. Mit ihren Empfehlungen für die Strategie Künstliche Intelligenz der Bundesregierung vom 9. Oktober 2018 hat die Datenethikkommission wichtige Leitplanken aufgezeigt: „Der wesentliche Maßstab für einen verantwortungsvollen Umgang mit KI ist zunächst die Verfassung, insbesondere die Grundrechte und die Prinzipien der Rechts- und Sozialstaatlichkeit sowie das Demokratieprinzip. Dies umfasst u.a. den Schutz der individuellen Selbstbestimmung einschließlich der Hoheit über personenbezogene Daten, wozu auch die Transparenz der Unternehmen gegenüber den Nutzern betreffend den Umgang mit deren Daten gehört, die Respektierung individueller Nutzerentscheidungen über den persönlichen Gebrauch einer Anwendung sowie den Schutz vor ungerechtfertigter Diskriminierung sowie die Möglichkeit, maschinelle Entscheidungen wirksam überprüfen zu können“.

Aus Sicht des BfDI bedarf das Thema einer breiten öffentlichen Debatte. Die Vorgaben der Verfassung für den Einsatz von KI zu Zwecken der Strafverfolgung und der Gefahrenabwehr müssen weiter konkretisiert werden.

Thesen

1. KI erfordert eine ausführliche empirische Bestandsaufnahme und eine umfassende gesellschaftspolitische Diskussion, um einerseits die Auswirkungen dieser Technologie auf die Freiheiten der Bürgerinnen und Bürger zu klären und andererseits die Erforderlichkeit ihres Einsatzes zu Strafverfolgungs- und Gefahrenabwehrzwecken festzustellen. Die Risiken sind dem Nutzen umfassend gegenüberzustellen, etwaige Diskriminierungen und überindividuelle Folgen sowohl für bestimmte Personengruppen als auch für demokratische und rechtsstaatliche Abläufe insgesamt sind wirksam auszuschließen. Der Gesetzgeber ist gehalten, alle derzeit existierenden Befugnisse der Strafverfolgungs- und Gefahrenabwehrbehörden in eine Gesamtrechnung einzubeziehen („Überwachungs-Gesamtrechnung“).

Der Gesetzgeber hat die Befugnisse der Sicherheitsbehörden in den letzten Jahrzehnten kontinuierlich erweitert. Immer wieder musste er danach Vorschriften enger fassen, weil das Bundesverfassungsgericht Korrekturen eingefordert hatte. Gerade die Sicherheitsgesetzgebung sollte deshalb stets einem Gesamtkonzept folgen. Alternativen oder mögliche Vollzugsdefizite müssen dabei stets im Blick behalten werden. Die Politik sollte also alle Zusammenhänge in den Blick nehmen. Das gilt besonders für künstliche Intelligenz, die gegebenenfalls Daten aus unterschiedlichen Quellen – und damit auch aus unterschiedlichen Ermittlungsmaßnahmen – zusammenführt. Die Möglichkeiten, personenbezogene Daten mit neuen technischen Verfahren zu verarbeiten, sind inzwischen sehr umfassend und sie werden weiter wachsen. Die Daten können in international vernetzten Systemen ausgetauscht und mit hohen Geschwindigkeiten verknüpft und analysiert werden. Daraus ergeben sich unzählige Möglichkeiten, das Leben und die Entscheidungen einzelner Menschen zu beeinflussen. Maschinen oder Algorithmen, die entscheiden, ob jemand als Verdächtiger gilt oder nicht, sind technisch realisierbar. Wenn die Daten nicht nur zu Ermittlungserfolgen, sondern auch zu einem falschen Verdacht führen, kann dies das Leben eines Menschen in seinem sozialen Gefüge nachhaltig verändern oder sogar zerstören. Daher sollten Gesetzgebungsaktivitäten immer von einer in Ruhe durchgeführten, ergebnisoffenen und sorgfältigen politischen und gesellschaftlichen Diskussion begleitet sein.

2. Der Einsatz von KI kann nicht auf polizeiliche Generalklauseln gestützt werden. Vielmehr erfordert der Einsatz von KI grundsätzlich eine spezifische gesetzliche Regelung.

Nach ständiger Rechtsprechung des Bundesverfassungsgerichts ist der Gesetzgeber verpflichtet, in grundlegenden normativen Bereichen, zumal im grundrechtsrelevanten Bereich, alle Entscheidungen selbst zu treffen (Vgl. nur BVerfGE 49 , 89 (126 f.)). Insofern kann der Einsatz von KI zu Strafverfolgungs- und Gefahrenabwehrzwecken eine erhebliche Persönlichkeitsrelevanz aufweisen. Durch KI kann eine größere Zahl von Personen, auch solche, die keinen Anlass hierzu gegeben haben, Ziel polizeilicher Überprüfung sein.

Eingriffe in das Recht auf informationelle Selbstbestimmung bedürfen nach ständiger Rechtsprechung einer gesetzlichen Grundlage, welche die Datenverwendung auf spezifische Zwecke hinreichend begrenzt. Je höher die Eingriffsintensität ist, desto höher sind die Anforderungen an die Bestimmtheit der zu schaffenden Regelung. Das Eingriffsgewicht wird vor allem durch Art, Umfang und denkbare Verwendung der Daten sowie die Gefahr ihres Missbrauchs bestimmt. Bedeutsam ist insbesondere, ob die betroffenen Personen hierfür einen Anlass gegeben haben. Für das Gewicht der individuellen Beeinträchtigung ist erheblich, ob die Betroffenen als Personen anonym bleiben, welche persönlichkeitsbezogenen Informationen erfasst werden und welche Nachteile den Grundrechtsträgern aufgrund der Maßnahmen drohen oder von ihnen nicht ohne Grund befürchtet werden (Zu diesem Absatz BVerfG, NVwZ 2021, 226 (232)). Zahlreiche Beispiele belegen gravierende Risiken einseitiger und diskriminierender Effekte auf ganze Personengruppen, in Abhängigkeit von Inhalt und Qualität der herangezogenen Datensätze.

3. Die Einhaltung der allgemeinen Datenschutzgrundsätze ist eine unabdingbare Voraussetzung für den datenschutzrechtlich zulässigen Einsatz von KI. Der Einsatz von KI darf ebenso eine effektive Ausübung der Betroffenenrechte nicht schmälern.

Die Wahrung der verfassungsrechtlich gebotenen und in Art. 4 Richtlinie (EU) 2016/680 niedergelegten Datenschutzgrundsätze ist nicht verhandelbar. Sollen mit der KI etwa umfassende und vielfältige Informationsquellen mit einander verknüpft, ausgewertet und analysiert werden, setzen die Grundsätze der Datenminimierung und der Zweckbindung einem solchen Einsatz rechtliche Grenzen. Eine besondere Herausforderung dürfte dabei sein, die notwendige Trennung zwischen Aufgabenerfüllung, Vorgangsverwaltung, Dokumentation und Gefahrenvorsorge bzw. Strafverfolgungsvorsorge zu gewährleisten[1].

Ein besonderes Augenmerk ist im Kontext der KI-gestützten Datenverarbeitung ferner auf die Grundsätze der sachlichen Richtigkeit sowie der Transparenz der Datenverarbeitung zu richten. Eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß, wären mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar (BVerfGE 65, 1 (43).

Den Betroffenenrechten (Kap. III Richtlinie (EU) 2016/680), wie z.B. das Recht jeder Person, von dem Verantwortlichen Auskunft über die Verarbeitung der sie betreffenden Daten oder die Löschung der Daten zu verlangen, kommt im System des Datenschutzrechts eine besondere Bedeutung zu. Die technologischen Potenziale von KI dürfen nicht zu Lasten der Betroffenenrechte realisiert werden.

4. KI muss erklärbar sein. Die Qualität der schon zu Trainingszwecken eingesetzten Datensätze ist sicherzustellen.

Personenbezogene Daten dürfen nur dann mit KI verarbeitet werden, wenn dies zu brauchbaren und richtigen Ergebnissen führt. Eine Voraussetzung dafür ist die Qualität der verwendeten Trainingsdaten. Zahlreiche Beispiele belegen gravierende Risiken einseitiger und diskriminierender Effekte auf ganze Personengruppen, in Abhängigkeit von Inhalt und Qualität der herangezogenen Datensätze. Dies gebietet eine effektive Qualitätskontrolle auch schon in der Trainingsphase.

Zudem ist die Nachvollziehbarkeit des KI-Systems essentiell. Hier geht es um die Frage, wie ein Ergebnis zustande kommt. Nur wenn dies nachvollziehbar ist, kann das Risiko der Anwendung bestimmt werden.

5. Der Kernbereich privater Lebensgestaltung bzw. die Menschenwürdegarantie dürfen beim Einsatz von KI nicht tangiert werden.

Der Einsatz bestimmter KI-Methoden im Bereich der Strafverfolgung hat das Potenzial, die betroffene Person zum Objekt der polizeilichen Datenverarbeitung zu machen. Dies trifft z.B. auf die Methoden zu, die menschliche Emotionen erfassen und daraus Schlüsse ziehen. KI-gestützte Ermittlungsmaßnahmen, die zu einer „Durchleuchtung“ der Person führen, sind mit der Verfassung unvereinbar (Vgl. BVerfG, NJW 1982, 375).

6. KI muss durch Datenschutzaufsichtsbehörden umfassend kontrolliert werden können.

Die verfassungs- und primärrechtlich notwendige effektive Datenschutzaufsicht setzt voraus, dass die zuständige Datenschutzaufsichtsbehörde die KI-gestützte Datenverarbeitung kontrollieren kann. Für die Datenschutzkontrolle müssen alle vorhandenen Mechanismen strikt nachvollziehbar sein. In der Bestandsaufnahme muss geklärt werden, wie dies erreicht werden kann, bevor entsprechende gesetzliche Grundlagen geschaffen werden.

7. Dem Einsatz von KI muss eine umfassende Datenschutzfolgen-Abschätzung vorangehen.

Die Verarbeitung personenbezogener Daten mittels KI hat ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, sodass vor dem Einsatz von KI gemäß Art. 27 Abs. 1 Richtlinie (EU) 2016/680 eine Datenschutzfolgen-Abschätzung durchzuführen ist. Dies entbindet den Gesetzgeber nicht von der Pflicht zur allgemeinen Folgenabschätzung vor dem Erlass der entsprechenden Rechtsgrundlage.

Hinweis:

Der BfDI beabsichtigt, alle eingehenden Stellungnahmen auf seiner Internetseite zu veröffentlichen. Sollten Sie hiergegen Einwände haben, können Sie dies bei der Übersendung der Stellungnahme mitteilen.