Datenschutz, Transparenz, Sicherheit, Menschenrechten und Behörden im Zeitalter künstlicher Intelligenz – wo liegen die Schnittpunkte?
Vor kurzem wurde mir die Ehre zuteil, den vom Electronic Privacy Information Center (EPIC) 2017 verliehenen Champions of Freedom award zu erhalten. Moderiert wurde die Veranstaltung unter anderem von Technik- und Datenschutzexperte Bruce Schneier. Auch die anderen Preisempfänger, die Anwältin Carrie Goldberg, der Kryptologe Ron Rivest und die Richterin Patricia Wald, leisten wichtige Beiträge im Bereich On- und Offline-Datenschutz in einer Zeit, in der man das Gefühl hat, ständig unter Beobachtung zu stehen. Der EPIC-Vorsitzende Marc Rotenberg betonte die wichtige und zugleich oft unausgesprochene Rolle der Transparenz für eine funktionierende Demokratie.
Datenschutz und Transparenz - 2 Seiten einer Sicherheitsmedaille
Auch die Benutzer sind mehr als besorgt. Der Ausdruck „Datenschutz“ wird 58.400.000 Mal in Google News erwähnt. Dabei muss betont werden, dass dieser Ausdruck von verschiedenen Personen je nach Kontext unterschiedlich gebraucht wird. Bei EPIC ist man sich bewusst, dass das Problem nicht auf Endbenutzer und das übermäßige Teilen von Inhalten auf sozialen Medien beschränkt ist. Es spielt auch in den Führungsetagen von Behörden und Unternehmen mit Überwachungsfunktionen eine Rolle.
Deshalb sind Datenschutz und Transparenz zwei Seiten ein und derselben Medaille. Die Unternehmen müssen über uns Bescheid wissen, damit sie uns die gewünschten Services bieten können. In Behörden ist Überwachung für die Bereitstellung wichtiger Sicherheitsdienste erforderlich. Dabei stellt sich immer wieder die Frage, wie sich diese Anforderungen so mit den Rechten der Bürger vereinbaren lassen, dass der Schutz und die Kontrolle über die zunehmende Zahl von Daten in ihrer Hand bleibt. Transparenz ist erforderlich bei der Festlegung von Grenzen und angemessenen Konsequenzen bei deren Überschreitung.
Dieser gegensätzliche Prozess gehört zur Gewaltenteilung, auf denen eine demokratische Republik basiert, besonders in den USA. Dabei sollen mithilfe von Druck und Streitfällen Schwachstellen im System aufgedeckt und behoben werden, damit nach und nach die Allgemeinheit davon profitiert. Dies darf nicht mit Überwachung und Wahrung der Privatsphäre in der unfreien Welt gleichgesetzt werden. Die Methoden und Motive, die hinter der Erfassung von Daten und Datenschutzverletzungen stehen, dürfen nicht ignoriert werden. In autoritären Regimes wird nur den Machthabern, nicht aber den Bürgern eine Privatsphäre gewährt. Das Verhalten von Regierung und Machthabern wird vor den Bürgern geheim gehalten. Mithilfe der Datenerfassung werden Unschuldige unterdrückt und verfolgt. Wenn der Datenschutz in einer Autokratie nicht ordnungsgemäß gewährleistet wird, sind echte Menschen in echter Gefahr. Dabei geht es nicht um die Ausführung von Gesetzen oder den Schutz vor Hackern oder Terroristen. Eine Organisation wie EPIC wäre in Putins Russland undenkbar. Und wenn es sie dort gäbe, wäre sie nur ein weiterer Zweig des Sicherheitsdienstes.
„Die Beobachter beobachten“
Unsere Bemühungen, den Datenschutz aufrecht zu erhalten, ist untrennbar mit unserem Bestreben hinsichtlich des ethischen Fundaments unserer Institutionen verbunden. Wenn wir glauben, dass die Motivation der Regierungen moralisch vertretbar ist und sie in unserem Interesse bzw. im Interesse der Gesellschaft tätig sind, sind wir eher bereit, bis zu einem gewissen Grad auf Datenschutz zu verzichten. Das heißt, die Organe, die mit der Erstellung von Überwachungsprotokollen beauftragt sind, müssen ihrerseits überwacht werden. Ihre Begründungen müssen genau überprüft werden und es muss eine Kette von Verantwortung und Rechenschaftspflicht vorhanden sein. Der Idealfall wäre ein System, in dem die Erfassung von Daten möglich ist, die für wirtschaftliche, sicherheitstechnische, soziologische oder sonstige Zwecke benötigt werden, die willkürliche Datenerfassung, die keinem speziellen, deutlich erklärten Zweck dient, aber verhindert wird. In Behörden und Unternehmen müssen Ziele und Strategien transparent dargelegt werden. Gleichzeitig haben Konsumenten die Pflicht, diese bei Bedenken zu hinterfragen.
Wie passt künstliche Intelligenz hier rein?
Es wäre noch interessant, zu klären, wie diese Punkte im Bereich der künstlichen Intelligenz (KI) aussehen sollten. Wir machen uns Gedanken um interne Entscheidungsfindungsprozesse bei Organen, die hinter verschlossenen Türen agieren. Wie kann man sicher sein, dass große Organisationen, die über die Offenlegung von Benutzerdaten gegenüber ausländischen Behörden entscheiden, das Interesse der Benutzer im Sinn haben? Wenn man sich (zurecht) darüber Gedanken macht, muss man sich auch fragen, wie ähnliche Aufgaben in Zukunft an KI-Systeme delegiert werden. Algorithmen treffen zunehmend Entscheidungen mit erheblichen Konsequenzen für Personen, Unternehmen und die Gesellschaft. Das Gebiet des maschinellen Lernens nimmt rasant zu und es kommt häufig vor, dass Ergebnisse von Prozessen ausgewertet werden müssen, die für Menschen nicht nachvollziehbar sind. Ein neuronales Netz konnte ein Endgerät über eine Reihe von Schritten erreichen, die nicht von Menschen entwickelt wurden, sondern durch Selbstkodierung entstanden sind. Diese Trends führen in eine Zukunft mit unvorhersehbaren Ergebnissen und einer noch unklareren Verantwortungskette für diese Ergebnisse.
So ist es nicht verwunderlich, dass Transparenz und Verantwortbarkeit im Bereich Algorithmen einen immer höheren Stellenwert in Datenschutzgesetzen erhält. Außerdem hat EPIC eine Kampagne in dem Bereich gestartet. Wenn es nicht möglich ist, die KI-Prozesse und -Entscheidungsfindungsschritte nachzuvollziehen, müssen zumindest alle von Menschen gesteuerten Elemente im Prozess transparent sein. Wie erwähnt, muss von den für eine umfangreiche Überwachung verantwortlichen menschlichen Institutionen eine eindeutige, moralisch gestützte Begründung gefordert werden. Dasselbe gilt auch hier: Für die KI-Programmierung müssen höchste Transparenz- und Ethikstandards gefordert werden.
Daneben muss ein Rahmen zur Bestimmung der menschlichen Verantwortung vorhanden sein. Wer haftet, wenn ein mit dem Internet der Dinge verknüpfter Toaster sich einem Botnet anschließt, das einen Teil des Internets lahmlegt? Haftet der Hersteller für die Herstellung eines unsicheren Produkts? Wie bei Fake News und anderen Symptomen unserer leistungsstarken, verrückt gewordenen Technik müssen wir uns stärker bemühen, die Quellen und Haftung bei Menschen zu suchen, statt nur die Technik zu beschuldigen.
Auf dem Weg zu vertrauenswürdigeren Behörden
Offizielle Standards und Industriestandards können jedoch einen großen Unterschied machen. Nach der EPIC-Preisverleihung am 5. Juni unterhielt ich mich kurz mit Verschlüsselungsprofi Whit Diffie. Er war bestürzt über meinen Kommentar, dass es inzwischen bekannt sein müsste, dass man nicht auf unsichere E-Mail-Anhänge klicken soll. Er fand es unlogisch, dass überhaupt die Möglichkeit besteht, einen dermaßen gefährlichen Vorgang auszuführen. Und er hat Recht. Die Fenster in modernen Wolkenkratzern lassen sich nur einen kleinen Spaltbreit öffnen, um Unfällen und Suiziden vorzubeugen. Man kann nie vollkommen verhindern, dass sich Menschen selbst schaden, aber es gibt einige Möglichkeiten, um unsere digitalen Strukturen so zu verbessern, dass man besser vor sich selbst geschützt ist.
In diesem Zusammenhang sind insbesondere öffentliche und private Institutionen zu erwähnen. Die Frage ist, ob diese so transparent und nachvollziehbar sind, dass wir ihnen den Schutz unserer Daten und sonstige Sicherheitsbereiche anvertrauen können. Ob es um eine Regierung geht, die über innerstaatliche Überwachungsprogramme nachdenkt oder um ein Unternehmen, das die Art der Datenerfassung von Benutzern festlegt: Wenn die Handlungen von Menschen (und Maschinen) durch starke Werte und Normen reguliert werden, ist ein positives Ergebnis zu erwarten, auch wenn diesem Ergebnis ein jahrelanges Herumprobieren vorausgeht. Wenn die Institutionen versagen, werden wir angreifbar für Bedrohungen durch Kriminelle oder neutrale Technologien, die versehentlich oder mit bösartigem Vorsatz Schaden zufügen.
Institutionen sind nur stark, wenn sie über eine dauerhafte Kontinuität verfügen, auch dann, wenn es in der Geschäftsführung und Regierungsbildung zu Veränderungen kommt. Durch die derzeit extreme Parteilichkeit ist Letzteres vielleicht schwer zu verdauen. Dennoch bin ich ein stolzer Kritiker der Scheinheiligkeit, die aus politischem Extremismus, egal von welcher Seite, hervorgeht. In meiner Dankesrede bei EPIC betonte ich Folgendes: Wenn man Überwachung und Präsidentenverfügungen in Ordnung findet, solange man den Präsidenten mag, und sie kritisiert, wenn man ihn nicht mag, ist man ein Teil des Problems. Für ein System, mit dem alle Mitglieder zufrieden sind, sind Kompromisse aller Parteien erforderlich. Ein Konzept mit vernünftigen Transparenzgesetzen und leistungsstarken Checks and Balances gegenüber den Überwachungsorganen kann nicht durch Schuldzuweisungen und Rückzug in die sichere, aber zukunftslose Vision der totalen Privatsphäre oder grenzenlosen Überwachung entstehen.
In der Zwischenzeit müssen wir den Aufbau von Institutionen, die unsere persönlichen Erfahrungen und Interaktionen in der digitalen Welt formen, verantwortungsvoll als Benutzer angehen, die in einem unvollkommenen System agieren. Die Onlinewelt ist alles andere als zivilisiert. Sie ist eher mit dem Wilden Westen zu vergleichen, mit schlecht etablierten Gesetzen, die häufig missachten werden. Es gibt keine idealen Schutzmaßnahmen. Deshalb muss jeder Benutzer vorsichtig bei der Weitergabe von Daten sein und geeignete Sicherheitsmaßnahmen ergreifen. Wir alle müssen weiterhin auf die für die kollektive Sicherheit erforderlichen Gesetze und Schutzmaßnahmen drängen, uns aber gleichzeitig mit der derzeitigen Realität arrangieren und wachsam sein.
Eine Rechenschaftspflicht ist nach wie vor nur sehr schwach ausgeprägt, sodass Unternehmen kaum Anreize für das Bereitstellen von Schutzmaßnahmen haben. Und auch wenn Regierungen gerne als „Big Brother“ verteufelt werden und die sich ausweitende Datenerfassung durch einige der weltgrößten Unternehmen häufig Kritik erntet: Diese Institutionen sind die verantwortlichsten, die wir haben. Große Unternehmen mit einem hohen Bekanntheitsgrad haben einen Ruf zu verlieren und sind daher gezwungen, sich mit der Meinung der Öffentlichkeit und mit Benutzerzufriedenheit auseinanderzusetzen.
Gleiches gilt für Regierungen. Einigen ist es egal, wie die Verletzung des Datenschutzes ihrer Bürger nach außen wirkt, doch erfolgreicher sind diejenigen, die um ein gutes internationales Ansehen bemüht sind. Schützt Euch so gut wie möglich mit den seriösesten erhältlichen Tools, den Colt 45s und Winchester-Gewehren des digitalen Wilden Westens. Pocht aber auch weiterhin auf umfassende institutionale Veränderungen, die zu einer sichereren, gerechteren und transparenteren Onlinewelt für jeden führen. Hoffentlich ohne Schüsse.
