Artificial Intelligence (AI): Zwischen Datenrisiko und Datenschutz

Künstliche Intelligenz gehört zu den Top-Themen der digitalen Wirtschaft, wie kürzlich eine Bitkom-Umfrage bestätigte. Der Weltmarkt für Anwendungen in den Bereichen Artificial Intelligence (Künstliche Intelligenz), Cognitive Computing und Machine Learning steht vor dem Durchbruch, so der Digitalverband Bitkom.

So soll der globale Umsatz mit Hardware, Software und Services rund um Cognitive Computing und Machine Learning im Jahr 2017 um 92 Prozent auf 4,3 Milliarden Euro wachsen. Bis zum Jahr 2020 soll sich das Weltmarktvolumen dann voraussichtlich auf 21,2 Milliarden Euro mehr als verfünffachen. Bei diesem Wachstum erscheint es vielen nicht sinnvoll, enge Grenzen zu stecken, sondern das volle Potenzial sollte genutzt werden, um die Vorteile der Digitalisierung umfassend zu nutzen.

Doch Datenschützer und Verbraucherschützer warnen, wieder einmal, werden manche sagen. Die Aufsichtsbehörden für den Datenschutz sehen Bedarf, die Auswirkungen digitaler Technologien auf den Datenschutz genauer zu untersuchen, zum Beispiel, wie sich moderne Robotertechnik, künstliche Intelligenz und maschinelles Lernen auf die informationelle Selbstbestimmung auswirken und wie Datenschützer auf diese Herausforderungen reagieren können. Intelligente Assistenten wie Google Home oder Amazon Echo wecken Bedenken und Kritik. Doch Anwendungen, die in Richtung Künstliche Intelligenz gehen, helfen auch dem Datenschutz.

Künstliche Intelligenz bietet auch Unterstützung für Datenschutz

Bekanntlich haben Unternehmen große Schwierigkeiten damit, Datenpannen schnell und zuverlässig zu erkennen: 44 Prozent der Unternehmen sind laut CSI-Report von Balabit nicht in der Lage, Datenschutzverletzungen innerhalb von 72 Stunden zu erkennen und zu melden. Nicht nur im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) besteht also dringender Handlungsbedarf. Hier können Lösungen mit Artificial Intelligenz (AI) helfen, nicht erst in Zukunft: Über 40 Kunden nutzen bereits IBM Watson Security-Technologie. Chatbots wie Demisto und Artemis unterstützen Security-Analysten bei der Suche nach möglichen Attacken. Die Deutsche Telekom hat einen Wettbewerb zu Privacy-Bots gestartet, die intelligenten Assistenten sollen Nutzern zum Beispiel dabei helfen, den Datenschutz bei Websites besser verstehen und prüfen zu können. Selbst bei der Polizei-Arbeit kommen erste KI-Systeme zum Einsatz.

Viele Security-Anbieter erweitern zudem ihre Lösungen um Machine Learning und Artificial Intelligence, so dass AI deutliche Folgen für die Cyber-Sicherheit haben wird. Einige Beispiele:

• Palo Alto Networks hat LightCyber übernommen, um seine Next Generation Security-Plattform zu stärken. Durch Machine Learning sollen Attacken frühzeitig gestoppt werden, da von der Norm abweichende Vorgänge innerhalb des Netzwerks noch besser und schneller erkannt werden.
• Sophos erweitert sein Next-Generation Endpoint-Portfolio im Bereich maschinelles Lernen durch die Übernahme von Invincea.
• Der neue Centrify Analytics Service nutzt maschinelles Lernen zur Risikoeinschätzung und soll die Umsetzung von Zugriffsentscheidungen in Echtzeit ermöglichen.
• SentinelOne erweitert seine Endpoint Protection-Plattform um eine Deep File Inspection (DFI) Engine. Die neue Funktionalität nutzt Machine Learning und soll hochentwickelte Cyber-Bedrohungen identifizieren sowie deren Ausführung verhindern.

Risikoanalyse zur Künstlichen Intelligenz ist ein Muss

AI-Systeme werden die Security bei der Risikoanalyse unterstützen, sie müssen aber auch selbst einer Risikoanalyse unterzogen werden. Wie zum Beispiel das Future of Life Institute betont, können AI-Systeme so angelernt werden, dass sie Schaden anrichten und zum Beispiel selbst Cyber-Attacken ausführen. Oder aber AI-Systeme haben gute Ziele, gehen aber Wege, die Schaden anrichten können. Es gibt also gute Gründe dafür, wenn sich Google, Facebook, Amazon, IBM und Microsoft gemeinsam mit den möglichen Folgen von AI und notwendigen Richtlinien für AI befassen.

Aus Sicht des Datenschutzes gilt: „Hat eine Datenverarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch“. Eine Datenschutzfolgenabschätzung umfasst dabei eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Soweit das Datenschutzrecht.

AI braucht neue Datenschutz-Instrumente

Bedenkt man aber, dass AI-Systeme per Definition selbstlernend sind und „eigene Wege“ gehen können, also eigene Regeln entwickeln, ist die Anwendung des Instruments einer Datenschutzfolgenabschätzung nicht einfach, manche werden das Gefühl haben, es ist kaum möglich, dies wie in anderen Fällen umzusetzen. Google-Forscher berichteten zum Beispiel davon, dass AI-Systeme ihre eigene Verschlüsselung zur Kommunikation entwickeln. Diese im Sinne einer Datenschutzkontrolle zu überprüfen, wird sicherlich nicht einfacher werden als herkömmliche Verschlüsselungsprüfungen, bei denen man mit den Anbieter-Firmen zumindest von Mensch zu Mensch sprechen kann.

Datenschutz bei AI-Systemen muss deshalb noch früher einsetzen als bei der Kontrolle von Funktionen und Verfahren. Im Sinne von Privacy by Design müssen die Algorithmen derart gestaltet werden, dass sie transparent, prüfbar und datenschutzfreundlich sind. Entsprechende Forderungen wurden zum Beispiel im „Statement on Algorithmic Transparency and Accountability“ von der Association for Computing Machinery US Public Policy Council (USACM) aufgestellt. Diese Ideen sollten nun in die Datenschutz-Diskussion zu Künstlicher Intelligenz einfließen, damit AI-Systeme dem Datenschutz helfen und kaum durchschaubare Datenrisiken gleich von Beginn an vermieden werden.