Bußgeld wegen Datenschutzverstoßes: Warum die DKB für den Einsatz von Künstlicher Intelligenz 300.000 Euro Strafe zahlen muss
Der allzu laxe Einsatz von Algorithmen zur Prüfung von Kreditkartenanträgen hat der Internetbank DKB ein saftiges Bußgeld beschert.
Es ist nur ein längerer Halbsatz in der Datenschutzgrundverordnung, gut versteckt und leicht zu übersehen. Und doch steckt darin jede Menge Brisanz für Unternehmen, die in ihren IT-Systemen auf Künstliche Intelligenz setzen, um Kundendaten und Anfragen zu verarbeiten. In Artikel 15, Absatz 1, Unterpunkt h werden Firmen verpflichtet, Ihren Kunden gegenüber den Einsatz von KI transparent und nachvollziehbar zu erläutern.
Die Vorgabe könnte eine der wichtigsten Blaupausen für die anstehenden Pläne der EU für die KI-Regulierung werden, wie nun ein Fall aus Berlin zeigt. Die dort ansässige Internetbank DKB nämlich hat mit Verweis auf den Paragraphen nun von der Berliner Datenschutzbeauftragten Meike Kamp ein Bußgeld von immerhin 300.000 Euro verordnet bekommen – wegen eines fehlerhaften Einsatzes ihrer KI. Die Bank hat den Verstoß eingeräumt und das Bußgeld akzeptiert.
Konkret hatte sich die DKB entgegen der Vorgaben geweigert, einem Kunden nachvollziehbar zu erläutern, warum genau sie einen Kreditkartenantrag abgelehnt hatte. Für die Prüfung des Antrags hatte die Bank einen Algorithmus genutzt, der anhand definierter Regeln automatisch über online gestellte Kreditanträge entschied. In solch einem – auch für den künftigen Einsatz von KI in anderen Anwendungsbereichen exemplarischen – Fall muss das Unternehmen Betroffenen auf deren Wunsch hin detailliert und nachvollziehbar erläutern, dass und wie die Algorithmen bei der Datenverarbeitung zu Werke gehen.
Nach der Ablehnung trotz einer guten Schufa-Bewertung und eines regelmäßigen, hohen Einkommens, hatte der betroffene Antragsteller bei der Bank Auskunft zu den Gründen und den in die Bewertung eingeflossenen Daten, Kriterien und Regeln eingefordert. Statt jedoch konkret zu erläutern, warum die Bank-Algorithmen dem Kunden im konkreten Fall eine schlechte Bonität unterstellten, lieferte die DKB nur Allgemeinplätze zum eingesetzten Scoring-Verfahren.
Mangels ausreichender Transparenz und ohne unmittelbaren Bezug zur Entscheidungsmechanik im Einzelfall konnte der Mann sich bei der Bank gegen die Ablehnung nicht wehren. Er beschwerte sich daher bei der zuständigen Berliner Datenschutzbeauftragten. „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen“, so Meike Kamp. Da die Bank aber selbst auf die konkrete Anfrage hin nicht nachvollziehbar über die automatisierte Ablehnung informiert habe, sei das Bußgeld fällig geworden.
Vier Prinzipien für Europas KI-Regulierung
Den Einsatz von KI transparent und die Arbeitsweise der Algorithmen verständlich zu machen – was bisher nur ein Regelungsaspekt des europäischen Datenschutzrechtes ist, soll künftig ganz grundsätzlich für Entwicklung und Einsatz von KI-Systemen in Unternehmen gelten. Die sogenannte Transparenzpflicht ist eines der vier Grundprinzipien, die die EU im künftigen „AI Act“ festschreiben will, einer Art Grundgesetz für die Nutzung künstlicher Intelligenz im europäischen Rechts- und Wirtschaftsraum.
Danach sollen Unternehmen nicht bloß Entscheidungsabläufe der KI-Systeme für Betroffene verständlich offenlegen. Zudem sollen Entwickler von Algorithmen für fehlerhafte Entscheidungen oder Schwachstellen haftbar gemacht werden können. Wer KI entwickelt oder nutzt, soll sicherstellen, dass dabei die Diskriminierung von Personengruppen ausgeschlossen ist. Und schließlich sollen die Systeme so konzipiert und gehärtet werden, dass sie gegen Störungen, Manipulation und Missbrauch geschützt sind.
Die EU-Kommission und der Ministerrat der Mitgliedsländer haben dem Entwurf für den „AI Act“ bereits Ende 2022 zugestimmt. Nun laufen Verhandlungen mit dem EU-Parlament, die – so der Plan der EU-Gremien – noch im Laufe dieses Jahres abgeschlossen werden sollen. Voraussichtlich ab 2025 könnten die Regeln dann für Unternehmen wirksam werden, die KI-Systeme entwickeln oder nutzen wollen. Es wäre voraussichtlich der global erste umfassende Rechtsrahmen für die Entwicklung und Anwendung von KI-Systemen.
Altman will lieber erstmal abwarten
Doch die EU-Pläne sind nicht unumstritten. Mitte Mai erst hatte beispielsweise Sam Altman, der Chef des ChatGPT-Entwicklers OpenAI, moniert, „der derzeitige Entwurf des EU-KI-Gesetzes wäre eine Überregulierung". Kurz darauf ruderte er zwar zurück und befand, es gebe auch in Europa Ansätze zur Regulierung von KI, die recht gut seien. Seiner Linie blieb er aber treu: Man solle erst einmal abwarten, wie sich KI weiter entwickle und erst danach staatlich eingreifen, forderte Altman.
Noch deutlicher ist die Zurückhaltung beim Netzkonzern Google. Dessen CEO Sundar Pichai hatte seine KI-Plattform Bard Anfang Mai auf der Entwicklerkonferenz I/O präsentiert und die Verfügbarkeit des Systems in immerhin rund 180 Ländern und Territorien weltweit angekündigt. Die EU sowie Kanada allerdings standen dabei nicht auf der Liste. Man werde mit der Plattform „schrittweise in weitere Länder und Gebiete expandieren, und zwar auf eine Weise, die mit den lokalen Vorschriften und unseren KI-Prinzipien übereinstimmt“, meldete der Konzern wenig später auf seinem Firmenblog.
Inoffiziellen Aussagen zufolge wolle Google erst einmal die weitere Diskussion in der EU um die KI-Regulierung abwarten. Zudem heißt es, der Konzern fürchte, sein Chatbot könnte mit den EU-Datenschutzvorschriften kollidieren. Möglicherweise kennt man die in der DSGVO verborgenen Fallstricke zum KI-Einsatz in Googles Konzernzentrale schon besser als in Berliner Internetbanken.
Lesen Sie auch: So will CEO Sundar Pichai Googles Kronjuwel retten
