Zum Hauptinhalt springen
23.10.2019

Abschlussbericht der Datenethikkommission

Anlass

Am 23.10.2019 hat das Bundesministerium der Justiz und für Verbraucherschutz den Abschlussbericht der Datenethikkommission vorgestellt. Dieser Bericht soll der Regierung ethische Leitlinien und Handlungsempfehlungen für den Umgang mit Algorithmen und Daten geben. Der 240 Seiten lange Bericht enthält insgesamt 75 Empfehlungen. Die Autorinnen und Autoren empfehlen zum Beispiel, Algorithmen nach „Kritikalität“ zu bewerten und je nach „Schädigungspotenzial“ in fünf Stufen einzuteilen. Je nach Stufe geben sie Handlungsvorschläge, „Anwendungen mit unvertretbarem Schädigungspotenzial“ (Stufe 5) sollen komplett oder teilweise verboten werden.

Weiterhin empfiehlt der Bericht unter anderem, existente Gesetze richtig und konsequent anzuwenden, Behörden besser auszustatten, Unternehmen zur Einrichtung von Ansprechpartnern zum Thema Algorithmen zu verpflichten, ein bundesweites „Kompetenzzentrum Algorithmische Systeme“ einzurichten und eine auf EU-Ebene ansetzende „Verordnung für Algorithmische Systeme“ einzuführen.

 

Übersicht

     

  • Dr. Matthias Kettemann, Forschungsprogrammleiter „Regelungsstrukturen und Regelbildung in digitalen Kommunikationsräumen“, Leibniz-Institut für Medienforschung │Hans-Bredow-Institut (HBI), Hamburg
  •  

  • Prof. Dr. Tobias Keber, Professor für Medienrecht und Medienpolitik in der digitalen Gesellschaft, Hochschule der Medien, Stuttgart
  •  

  • Dr. Christian Grimme, Privatdozent am Institut für Wirtschaftsinformatik, Westfälische Wilhelms-Universität Münster
  •  

  • Prof. Dr. Tobias Matzner, Professor für Medien, Algorithmen und Gesellschaft, Universität Paderborn
  •  

  • Prof. Dr. Anne Riechert, Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences, Frankfurt am Main
  •  

Statements

Dr. Matthias Kettemann

Forschungsprogrammleiter „Regelungsstrukturen und Regelbildung in digitalen Kommunikationsräumen“, Leibniz-Institut für Medienforschung │Hans-Bredow-Institut (HBI), Hamburg

„Technologie geht uns alle etwas an. Die Datenethikkommission (DEK) sagt das klar: ‚Internetpolitik ist auch Gesellschaftspolitik‘. Der Bericht ist sehr gelungen und deckt mit seinen 75 Handlungsempfehlungen in der Tat das Spektrum nötiger regulatorischer Maßnahmen ab, um das Recht technologiesensibel weiterzuentwickeln.“

„Etwas schade erscheint, dass in der Kommission ein Schwerpunkt auf der rechtlich-regulatorische Seite lag und informatische Erkenntnisse zur Vielgestaltigkeit von Algorithmen und der Unmöglichkeit der Vorhersagbarkeit ihres Einsatzes im Bericht weniger stark unterstrichen wurden.“

„Mehr Deutschland in der Technologiepolitik: Dieser Bericht zeigt beeindruckend, welche Mehrwerte interdisziplinäre Expert*innenkommissionen schaffen können. Sehr bedeutsam ist, dass die DEK Deutschland daran erinnert, im Kontext der internationalen Zusammenarbeit für menschenorientierte Technikregulierung einzutreten. Das geht nur, wenn die digitale Souveränität Deutschlands und Europas gestärkt wird. Gerade die deutsche Ratspräsidentschaft im zweiten Halbjahr 2020 sollte dazu genutzt werden, auf europäischer Ebene für zukunftsgerechte Normen für den Umgang mit Daten in Algorithmen einzutreten.“

„Mehr Europa in der Algorithmenregulierung: Die DEK fordert eine Verordnung für Algorithmische Systeme (EUVAS): Dieser klare Einsatz für einen ‚europäischen Weg‘ der Regulierung von Algorithmen ist bedeutend, zwischen zu wenig Regulierung (wie in den USA) und zu viel Regulierung (wie in China) kann hier Europa, das hat die DEK richtig erkannt, einen großen regulatorischen Mehrwert schaffen und einflussreiche Normen schaffen, die global Wirkung erzielen können. Allerdings ist es enorm komplex, allgemeine – also nicht sektorspezifische Regeln – aufstellen zu wollen. Hier besteht die Gefahr, dass die EUVAS auf einem sehr hohen Abstraktionsniveau bleibt.“

„Negative Externalitäten von Technologie müssen abgefedert werden, aber Innovationen müssen realisiert werden können: Das ist die Aufgabe von Staat und Recht und das unterstreicht die DEK zu Recht.“

„Ganz dringend ist der bessere Vollzug des Datenschutzes. Hier darf die Bundesregierung, so die Kommission, keine Zeit verlieren. Eine Bundesbehörde, die die Datenschutzaufsicht für Datenmärkte zentralisiert, wäre sehr begrüßenswert, um disparate Länder-Ansätze zu harmonisieren.“

„Das abgestufte Aufsichts- und Kontrollsystem, das für Algorithmen angedacht wird, ist so innovativ wie wichtig: Je stärker der Eingriff des Algorithmus, desto größer die Transparenz- und Offenlegungspflichten. Die DEK unterstreicht den Anspruch von Menschen auf Erklärung.“

„Zentral ist auch der doppelte Fokus auf den Schutz der Menschenrechte und der Würde des Menschen sowie die Wahrung und Förderung von Demokratie und gesellschaftlichem Zusammenhalt. Zu oft geht in der Debatte um Daten und Datafizierung das gesellschaftliche Ganze verloren.“

„Zukunftsgerechte Regulierung von Technologie muss individuelle Freiheitsräume schützen und gesellschaftliche Kohäsion fördern.“

„Ein Makel ist vielleicht die große Zahl an Vorschlägen: Hier sehe ich die Gefahr, dass die Vorschläge verpuffen, wenn sie nicht konsequent verfolgt werden. Daher sind jetzt die Internetpolitikerinnen und Internetpolitiker aller Parteien gefragt, hier aktiv zu werden. Der Bericht ist ein wuchtiger und wichtiger Aufschlag. Jetzt darf sich die Politik nicht vom Platz schleichen.“

„Die DEK ruft nach einigen neuen Institutionen – wie einem Kompetenzzentrum Algorithmische Systeme. Das ist wichtig und richtig.“

„Die DEK fordert zum Schutz von Overblocking ‚den Betroffenen zeitnahe und effiziente verfahrensrechtliche Schutzmechanismen einzuräumen‘. Das wird auch im Prozess der Reform des NetzDG intensiv diskutiert und macht viel Sinn.“

„Die DEK will auch ‚ein Recht auf ein wirksames Verfahren, um gelöschte Beiträge wieder einzustellen, solange diese keinen Gesetzen widersprechen‘. Während deutsche Gerichte die Ausstrahlungswirkung von Grundrechten auf (gewisse) soziale Netzwerke anerkannt haben, bewegt sich die DEK hier auf problematischem Terrain. Damit würde der Staat sozialen Netzwerken Präsenzpflichten für Inhalte auferlegen können. Dies widerspricht auch dem Bundesverfassungsgericht, das zuletzt im Beschluss zum ‚III.Weg‘ [1] betont hat, dass das ‚Recht und die Pflicht [der sozialen Netzwerke], einzelne Inhalte auf ihre Vereinbarkeit mit ihren Nutzungsbedingungen, den Rechten Dritter oder den Strafgesetzen zu prüfen und gegebenenfalls zu löschen‘ weiterhin gilt.“

„Die DEK schreibt, dass eine ‚Berufung der Netzwerke auf ihre eigenen Regeln als Grund für eine dauerhafte Löschung/Blockade allein nicht ausreichen‘ darf. Das halte ich für problematisch und das steht quer zur Judikatur. Das würde bedeuten, dass ein ‚Soziales Netzwerk der Katzen-Freude‘ auch Hunde-Bilder zu dulden hätte. Das leuchtet – ohne Berücksichtigung des Einzelfalls, insbesondere der jeweiligen Bedeutung des Netzwerks – nicht ein. Diese Aussage muss reduziert werden auf offene soziale Netzwerke von erheblicher Bedeutung, die ‚quasi-öffentliche Räume‘ sind und dezidiert nicht, wie die DEK schreibt, ‚für Nutzerinnen und Nutzer gegenüber allen sozialen Netzwerken‘.“

„Natürlich könnte ein entsprechendes Gesetz entworfen werden – etwa ein 2021 neu gefasstes NetzDG – aber dies wäre wohl ein verfassungswidriger Eingriff in die Eigentumsrechte der (kleineren, spezifischen) sozialen Netzwerke.“„Ein Recht auf Gegendarstellung zur Richtigstellung einer nachgewiesen falschen Behauptung ist denkbar, aber technisch äußerst schwierig umsetzen und wird – wie empirische Untersuchungen nahelegen – auch keine entsprechenden Effekte erzielen.“

„Schön, dass die DEK betont, dass man ‚Fake News‘ als Regulierungskonzept vergessen kann.“

„Wichtig erscheint mir auch die Betonung, dass, wer Daten verarbeitet, Pflichten hat: Datenrechte sind mit Datenpflichten gekoppelt. Maßnahmen gegen ethisch ‚nichtvertretbare Datennutzungen‘ müssen dringend gesetzt werden, das gilt auch für soziale Netzwerke, die stärker in die Pflicht genommen werden können, etwa die Integrität der Persönlichkeit verletzende Profilbildung und die gezielte Ausnutzung von Vulnerabilitäten zu unterlassen.“

„Äußerst komplex ist die Forderung an den Gesetzgeber, Meinungsvielfalt im Internet darzustellen. Hier sehe ich kompetenzrechtliche Schwierigkeiten, gerade angesichts der Rolle von Ländern in der Medienkontrolle.“

Prof. Dr. Tobias Keber

Professor für Medienrecht und Medienpolitik in der digitalen Gesellschaft, Hochschule der Medien, Stuttgart

„Zunächst einmal muss man feststellen, dass ein sehr interdisziplinär besetztes Gremium (Experten der Fachrichtungen Medizin, Recht, Informatik, Statistik, Volks- und Betriebswirtschaft, Theologie, Ethik und Journalismus) sich innerhalb eines Jahres auf einen gemeinsamen Bericht einigen konnte. Angesichts der hochkomplexen Fragestellung ist das alles andere als eine Selbstverständlichkeit. Denkbar wäre gewesen, dass es abweichende ‚Sondervoten’ gibt, wie es das beispielsweise bei der (nicht vergleichbar besetzten) Enquete-Kommission ‚Internet und digitale Gesellschaft‘ 2013 gegeben hat.“

„Zum Bericht: Die einführend vorgestellten zentralen Leitgedanken reflektieren meines Erachtens einen allgemeinen Konsens (unter anderem Menschenzentrierte und werteorientierte Gestaltung von Technologie), das kann man so ohne weiteres unterschreiben. Das Gremium formuliert dann 75 Empfehlungen, wovon zunächst 35 rund um die Nutzung und den Zugang personenbezogener Daten kreisen oder den Datenzugang jenseits des Personenbezugs betreffen. In diesem Kontext erscheinen mir die Empfehlungen zum Teil als Versuch, datenschutzrechtliche Defizite (namentlich der DSGVO) zu adressieren. In diesem Zusammenhang wird die im Gremium stark vertretene datenschutzrechtliche Perspektive (vielleicht etwas zu) deutlich. Mir erscheint die vom Gremium in diesem Zusammenhang befürwortete Stärkung der Konzepte, unter anderem Privacy by Design, Datenportabilität und ein noch stärkerer Fokus auf besonders vulnerable Gruppen (Jugendliche, bedürftige Menschen in der Pflege) aber als sehr schlüssig. Die verbleibenden Empfehlungen (36-75) betreffen Algorithmische Systeme, unter anderem in sehr sensiblen Anwendungsszenarien, etwa ihrem Einsatz durch staatliche Stellen oder bei Medienintermediären.“

„Begrüßenswert ist insgesamt, dass der Bericht zu einzelnen Fragen doch sehr konkret Position bezieht, etwa bei der deutlichen Absage an das Konzept des so genannten Dateneigentums (Empfehlung Nr. 5), jedenfalls im Kontext personenbezogener Daten oder im Kontext der Regulierung (beziehungsweise des gegenwärtigen Defizits) mit Blick auf Medienintermediäre. Denn: Dass der Status Quo der gegenwärtigen Medienregulierung die (nutzerindividuelle) Auslieferung medialer Inhalte auf Grundlage algorithmischer ‚Entscheidungen‘ nicht adäquat (letztlich gar nicht) adressiert, kann man meines Erachtens nicht bestreiten. Wie genau Regulierung an dieser Stelle erfolgen soll, sagt das Gremium auch nicht. Das ist ohnehin nicht seine, sondern die Aufgabe des Gesetzgebers. Im Bericht ist im Kontext von Algorithmen bei Medienintermediären von einer ‚Kritikalitätspyramide‘ mit gestufter, risikoadaptierter Regulierung (mit niederschwelligen Vorgaben wie Kennzeichnungspflichten bis hin zu Verboten) die Rede. Dieses allgemeine Modell praktisch mit Leben zu füllen, ist jetzt Aufgabe weiterer (medienrechtlicher) Forschung sowie des Landesgesetzgebers, dem insoweit unverbindliche, aber zur Orientierung doch dienliche Leitplanken zur Verfügung gestellt werden.“

„Hinter meinen Hoffnungen und Erwartungen zurück bleibt das Gremium hinsichtlich konkreter(er) Überlegungen rund um das Thema Nachhaltigkeit, das man sowohl ökonomisch, als auch ökologisch adressieren kann. Nachhaltigkeit wird im Bericht nur auf oberstem Abstraktionsniveau angesprochen.“„Aus der Sicht eines Wissenschaftlers schließlich sind Aussagen zu beklagen, die ohne nähere Begründung auskommen. So heißt es in Empfehlung 71 vor dem Hintergrund denkbarer Szenarien, in denen durch Algorithmen der Vollzug von Rechtsnormen automatisiert wird: ‚Zwar ist aus ethischer Sicht ein generelles Recht auf Freiheit zur Nichtbefolgung von Normen nicht anzuerkennen.‘ Diese These hätte man eingehend begründen und belegen müssen.“

Auf die Frage, inwiefern es juristisch möglich ist, Plattformen eine Löschung von Beiträgen nur auf Basis eigener Regeln zu verbieten:
„An dieser Stelle reflektiert der Bericht die (juristische) Debatte um die Verantwortlichkeit (und ihre Grenzen) für Intermediäre wie Facebook, Instagram, Google, YouTube und so weiter, die seit Jahren geführt wird, unter anderem im Rahmen von Änderungen des Telemediengesetzes und der Einführung des NetzDG. Zentrale Frage ist, wie weit Grundrechte wie die Meinungsfreiheit und die Informationsfreiheit der Nutzer:Innen soweit Auswirkung auf das Hausrecht der Plattformen (AGB, Nutzungsbedingungen) haben können, dass jene das Hausrecht nach Belieben bestimmen und folglich ‚willkürlich‘ Nutzer:Innen aussperren können. Hier braucht es gemeinsame Standards und geeignete Verfahren, damit die User gegebenenfalls auch gesperrte Inhalte reaktivieren können. Juristisch sind hier Konstruktionen mit unterschiedlichen Tools (regulierte Selbstregulierung mit entscheidungsbefugten, externen Gremien) möglich, aber das ist Sache der Legislative. Auch hier gibt der Bericht nur grobe Leitplanken und geht meines Erachtens nicht über das in der medienpolitischen Debatte bereits Bekannte hinaus.“

Auf die Frage, wie es möglich sein kann, große internationale Firmen wie Facebook, Google und Twitter in Deutschland juristisch zu Maßnahmen zwingen oder haftbar zu machen:
„Dass man originär in USA etablierte Unternehmen auch in Europa mit Regulierung adressieren kann, haben das NetzDG und die DSGVO doch schon gezeigt. Ob das auch tatsächlich dazu führt, dass Nutzerinnen und Nutzer nachhaltig von einer für sie günstigeren Rechtsposition profitieren, kann man meiner Ansicht nach noch nicht abschließend sagen (die DSGVO muss noch zeigen, dass sie wirkt). Stellenweise bestimmt. So wurde etwa das Problem, schon keinen Ansprechpartner für Eingaben gegen Facebook (in Deutschland) zu haben, über einen verbindlich hier zu bestellenden Zustellungsbevollmächtigten (eine Rechtsanwaltskanzlei) gelöst. Anderenfalls droht ein hohes Bußgeld. Jedenfalls dieser Ansatz hat funktioniert.“

Auf die Frage, wie sinnvoll der Vorschlag ist, Rechtsprechung nur in Randsituationen von Algorithmen tätigen zu lassen:
„Algorithmen bergen die Gefahr, bestehende Vorurteile in Gestalt von Schwächen in den Trainingsdaten zu verstetigen und zu automatisieren. Wenn man die Entscheidung, ob eine Person inhaftiert wird oder ob sie auf Kaution auf freien Fuß gesetzt wird (einzig) auf Grundlage von Algorithmen (Herkunft, soziale Kontakte und so weiter) stützt, deren Trainingsdaten mit einem ‚bias‘ behaftet sind, ist das selbstverständlich ein Diskriminierungsproblem. Um das feststellen zu können, muss der Algorithmus und seine Arbeitsweise im weiteren Sinne aber hinreichend transparent und erklärbar, zumindest jedenfalls nachvollziehbar sein. Werden diese Vorgaben nicht erfüllt, hat diese Technik in dem fraglichen Bereich nichts zu suchen. Technik löst dann kein Problem, sondern schafft neue. Ich glaube, Europa tut gut daran, dem im technophilen Silicon Valley so gerne bemühten Narrativ vom Algorithmus, der es potentiell objektiver und damit besser macht als der Mensch, kritisch reflektiert entgegenzutreten. Gegebenenfalls auch in Gestalt von Gesetzen, die bestimmte Anwendungsfälle ausschließen. Der Verdienst der Datenethikkommission besteht darin, die jetzt zu führende Debatte um konkrete legislative Maßnahmen vorstrukturiert zu haben.“

Dr. Christian Grimme

Privatdozent am Institut für Wirtschaftsinformatik, Westfälische Wilhelms-Universität Münster

„In der Kürze der Zeit kann ich mir leider kein abschließendes Urteil über den Bericht bilden. Grundsätzlich ist ein Gutachten dieser Art aus meiner Sicht sinnvoll. Er erlaubt der Politik eine Einschätzung der Handlungsnotwendigkeit aus Sicht von Teilen der wissenschaftlichen Community in Entscheidungen einzubeziehen. Der Bericht mag an der ein oder anderen Stelle auch wichtige Forderungen (etwa zur Datennutzung durch die Wissenschaft) enthalten. Zugleich scheint er eine Vielzahl von Fragestellungen und Themen anzureißen. Inwieweit die (teilweise sehr vorsichtig und schwammig) formulierten Handlungsempfehlungen zielführend sind, muss sicher im Einzelfall diskutiert werden. Eine grundsätzliche Beschäftigung mit den angerissenen Themen und eine Diskussion dazu scheint jedoch durchaus berechtigt.“

Auf die Frage nach der Sinnhaftigkeit einer Kennzeichnungspflicht für Social Bots:
„Aus dem Bericht geht keine konkrete Empfehlung für die Implementierung der Kennzeichnungspflicht hervor: Wer ist für die Markierung verantwortlich, der Betreiber des Bots oder die soziale Plattform (Medienintermediäre)?“

„Im ersten Fall ist zu klären, warum ein Bot-Betreiber einen automatisierten Account kennzeichnen sollte, wenn dieser manipulativ aktiv ist. Der anonyme Betrieb außerhalb des deutschen und europäischen Rechtsrahmen ist durch leicht zugängliche Technologien möglich.“

„Die Kennzeichnungspflicht von Social Bots durch soziale Plattformen ist ein fragwürdiger Ansatz, setzt er doch die (effiziente automatische) Erkennung von Social Bots voraus. Zudem ignoriert der Vorschlag die technischen Realitäten der Bot-Erkennung und des Bot-Betriebs weitgehend. Es stellt sich die Frage, warum Social Bots gekennzeichnet werden sollten, wenn man sie Plattform-seitig (auch maschinell/automatisch) erkennen könnte. Ist dies der Fall – und wird der Bot als ‚gefährlich‘ (wer immer dies entscheidet) eingestuft, so kann man ihn löschen/blockieren. Eine Markierung wäre sinnlos. Ist die Automatisierung nicht zu erkennen, kann man den betreffenden Social Bot auch nicht zuverlässig markieren. Einzig in dem Fall, in dem ein Social Bot ungefährlich und (manuell oder technisch) erkennbar ist, kann eine entsprechende Markierung erfolgen. Aufgrund der Ungefährlichkeit stellt sich dann jedoch die Frage nach dem Nutzen der Markierung.“

„Die vorherrschende binäre Sichtweise auf Social Bots ist ebenfalls zu kurz gegriffen. Es wird nicht erklärt, wie mit sogenannten hybriden Accounts – also Accounts, die teilautomatisiert betrieben werden – umgegangen wird. Hier ist insbesondere interessant, ab wann ein Account als automatisiert gilt und ab wann nicht.“

Auf die Frage nach der Beurteilung des Ansatzes der risikobasierten Regulierung von Algorithmen:
„Die Kritikalität oder die gesellschaftlichen und ethischen Auswirkungen eines ‚Algorithmus‘ (besser: eines komplexen Systems) abhängig von seinem Einsatzkontext, der Schwere von eventuellen Schäden und ethischen Werten zu beurteilen ist ein valider Ansatz, der jedoch erhebliche Fragen in der konkreten Umsetzung aufwirft. Diese erscheint offenbar auch den Autoren als größte Herausforderung. Hier stellt sich insbesondere die Frage der Praktikabilität: Wie kann die Regulierung (auch das vorgeschlagene Stufenmodell) konkret implementiert werden? Wer legt die Stufen fest? Ist dies ein demokratisch legitimierter Prozess? Gelten international ähnliche Normen (abgesehen von der Basisregulierung durch die EU)? Wer beurteilt die Funktionsweise sehr komplexer Algorithmischer Systeme – von Systemen, deren Verhalten gegebenenfalls von der zur Verfügung stehenden Datenbasis (siehe Verfahren des maschinellen Lernens) abhängen? Ist in letzterem Falle der Algorithmus zu prüfen oder die Datenbasis? Solange nicht auch diese technischen Fragen konkret beantwortet werden, erscheint eine Regulierung eher abstrakt.“

Prof. Dr. Tobias Matzner

Professor für Medien, Algorithmen und Gesellschaft, Universität Paderborn

„Im Allgemeinen halte ich den Bericht für sehr gelungen. Er bringt wichtige Details und Differenzierungen in die Debatte ein. Der Bericht bündelt die enorme Bandbreite von ethischen Fragen, die sich im Bereich der Informationstechnik stellen, und bietet umfassende ethische und rechtliche Orientierung.“

„Der Bericht stellt Individuen und individuelle Rechte in den Vordergrund. Die Auswirkungen von Informationstechnologie auf gesellschaftlicher Ebene werden zwar in einigen Fällen thematisiert, zum Beispiel die Nutzung von Algorithmen bei Meinungsintermediären, die Gefahren für Pluralität und demokratische Öffentlichkeiten bietet. Dennoch gäbe es diverse Punkte aus überindividueller und gesellschaftlicher Sicht, die auch im Rahmen einer Datenethik überdacht werden müssen.“

„Den einen wichtigsten Aspekt gibt es nicht. Aber ich möchte ein paar Punkte hervorheben, die mir besonders relevant erscheinen.“

„Ein wichtiger Aspekt ist etwas versteckt. Die Datenethikkommission (DEK) fordert, dass digitale Selbstbestimmung ‚den selbstbestimmten Umgang mit nicht-personenbezogenen Daten‘ einschließen muss (S. 17, S. 85). Das ist sehr wichtig, weil die Möglichkeit, in der Analyse viele Daten zu neuen, eindeutigen Merkmalen zu kombinieren, die Trennung von personenbezogenen und nicht-personenbezogenen Daten unwirksam werden lässt.“

„Sehr relevant ist auch die Handlungsempfehlung Nr. 2. Die DEK beobachtet ein ‚Vollzugsdefizit‘, das heißt, bestehende Rechte werden nicht genügend angewendet oder sind von Betroffenen zu umständlich oder zu teuer einzuklagen. Das ist ein Faktor, der meines Erachtens bisher zu wenig Beachtung gefunden hat.“„Ebenfalls sehr wichtig ist die Handlungsempfehlung 53. Algorithmische Bewertungen unterlaufen bisher gültigen Schutzmaßnahmen gegen Diskriminierung. Sie ermöglichen ‚Diskriminierungen aufgrund von Gruppenmerkmalen [...], die an sich nicht zu den gesetzlich geschützten Diskriminierungsmerkmalen zählen‘ (S.28). Die Forderung, auch hierfür Schutzmechanismen zu etablieren, ist sehr wichtig.“

Auf die Frage nach der Beurteilung des Ansatzes der risikobasierten Regulierung von Algorithmen:
„Den risikobasierten Ansatz halte ich für sinnvoll. Informationstechnische Systeme müssen abhängig von den verwendeten Daten und Algorithmen, dem Einsatzkontext, der spezifischen Anwender (Privatpersonen, öffentliche Stellen, Unternehmen, NGOs, Parteien und so weiter) und der Betroffenen bewertet werden. Ich bin mir allerdings nicht sicher, ob es gelingen wird, all diese Komplexität in fünf einfache Stufen zu fassen. Wahrscheinlich wird es hier aufwändigere Bewertungsinstrumente brauchen. Die DEK geht diesen komplexeren Weg ja selbst teilweise, indem sie zum Beispiel eben für die Rechtsprechung oder Medienintermediäre besondere Anforderungen stellt.“

Auf die Frage nach der Sinnhaftigkeit der Empfehlung, Algorithmen Rechtsprechung nur in Randbereichen zu überlassen:
„Das halte ich unbedingt für sinnvoll. Wir brauchen Gerichte, weil die Anwendung der Gesetze eben keine einfache Ableitung aus festen Regeln ist, sondern in großem Umfang soziales, historisches Wissen braucht, genauso wie eine umfassende Kenntnis des verhandelten Sachverhalts. Das ist algorithmisch nicht zu leisten.“

Auf die Frage, ob bei den Forderungen zum Datenschutz eine sinnvolle Abwägung zwischen Bedarf an Daten und Recht der Nutzer auf Privatsphäre getroffen wurde:
„Die DEK wägt meines Erachtens gar nicht so sehr ab, sondern schlägt einen sehr sinnvollen Rahmen für eine solche Abwägung vor. Dazu gehört, dass Daten nicht als Eigentum gesehen werden sollten (Handlungsempfehlung 5), das wie Gegenstände gehandelt werden könnte. Das bedeutet, dass Daten auch nicht als ‚Gegenleistung‘ für digitale Dienste oder Services gesehen werden sollten (Handlungsempfehlung 6). Dazu gehört auch die Forderung nach einem besseren Zugang zu personenbezogenen Daten oder Interoperabilität zwischen Marktteilnehmern.“

Prof. Dr. Anne Riechert

Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences, Frankfurt am Main

„Der Bericht ist mit Blick auf unsere digitale Realität ausgearbeitet und bildet die Fakten sehr gut ab. Auf dieser Grundlage werden Handlungsempfehlungen für notwendige politische Entscheidungen in unterschiedlichen datenschutzrechtlichen Bereichen ausgesprochen. Ein wichtiger Aspekt ist, dass der Einzelne zur Kontrolle über seine personenbezogenen Daten befähigt werden soll, aber auf der anderen Seite soll er von Entscheidungen entlastet werden, die ihn überfordern. Daher empfiehlt die Datenethikkommission die Forschung und Entwicklung von Datentreuhandmodellen als wichtige Schnittstelle zwischen Belangen des Datenschutzes und der Datenwirtschaft. Diese Ansätze sind zwar nicht neu, zeigen jedoch, dass die Datenethikkommission den Weg für ein modernes und innovatives Datenschutzrecht ebnet. Von unmittelbarer Relevanz für die Bürgerinnen und Bürger ist außerdem die deutliche Empfehlung der Datenethikkommission zum raschen Ausbau digitaler Infrastrukturen innerhalb des Gesundheitssektors (elektronische Patientenakte).“

„Die Datenethikkommission hat auf die richtigen Schritte verwiesen, muss aber mit der bestehenden Realität auskommen und ihre Empfehlungen können die Welt ‚nicht auf einen Schlag‘ ändern. Letztendlich müssen wir als Gesellschaft einen Weg finden, wie wir besser und verantwortungsvoller mit digitalen Tatsachen und der Technik umgehen. Technik muss dem Menschen dienen und nicht umgekehrt. Es muss daher zukünftig das Verständnis für digitale Systeme erzeugt werden, da es ansonsten schwierig ist – wie es die Datenethikkommission formuliert – den Mehrwert zu vermitteln. Dies hat nach den Ausführungen der Datenethikkommission auch Auswirkungen auf die Verbreitung der Technologien, selbst wenn diese Vorteile bezüglich ihrer ethischen oder datenschutz-rechtlichen Eigenschaften mit sich bringen. Sie betont daher, dass es interdisziplinärer Ansätze und ebenso eines Umdenkens bedarf, wie zum Beispiel in der Hochschullandschaft.“

„Mit Blick auf die Entwicklung der elektronischen Patientenakte empfiehlt die Datenethikkommission die Vielfalt ethischer Aspekte als integralen Bestandteil im Rahmen eines ‚ethics by, in and for design‘-Ansatzes zu berücksichtigen. Dieser Ansatz ist in Bezug auf die Privatsphäre bereits in der DSGVO enthalten (privacy by design, privacy by default) und wird durch die Datenethikkommission in der Forderung der Einführung verbindlicher Vorgaben für datenschutzfreundliches Design konkretisiert und fortgeführt.“

Auf die Frage, wie es möglich sein kann, große internationale Firmen wie Facebook, Google und Twitter in Deutschland juristisch zu Maßnahmen zwingen oder haftbar zu machen:
„Jeder Dienstanbieter ist gemäß der Datenschutzgrundverordnung dazu verpflichtet, sich an die Vorgaben von privacy by design, privacy by default zu halten. Die Datenethikkommission empfiehlt nun ergänzend, eine Reihe verbindlicher Vorgaben für datenschutzfreundliches Design von Produkten und Dienstleistungen einzuführen. Dazu gehören gemäß der Ausführungen der Datenethikkommission auch für Verbraucher verständliche und einheitliche Bildsymbole für eine transparente und informierte Entscheidung. Außerdem wird eine strafbewehrte De-Anonymisierung von Daten vorgeschlagen, sofern bei bisher anonymen Daten ein Personenbezug hergestellt werden kann. Dies sind keine unrealistischen Forderungen, zumal der Grundsatz ‚privacy by design/default‘ sowie die Verwendung von Piktogrammen bereits in der Datenschutzgrundverordnung verankert sind.“

„Speziell für Anbieter von Sozialen Netzwerken wie Facebook oder Messengerdiensten bezieht sich die Datenethikkommission auf eine Pflicht zur Interoperabilität mit einer nach Marktmacht gestaffelten Regulierung. Da bereits in der Vergangenheit aus politischer Sicht eine Pflicht zu Interoperabilität gefordert wurde, ist dieser Vorschlag auch realistisch, sofern der politische Wille dazu vorhanden ist.“

Auf die Frage nach der Beurteilung des Ansatzes der risikobasierten Regulierung von Algorithmen:
„Bei dem Ansatz, Algorithmen nach ‚Kritikalität‘ einzustufen, handelt es sich um ein sinnvolles und detailliertes Konzept für die Praxis mit klaren Handlungsempfehlungen. Es schafft die Voraussetzung dafür, dass nicht jedes System gleich behandelt wird, sondern richtet sich an den möglichen Gefahren aus. Der Gesetzgeber soll hierbei das Schädigungspotenzial algorithmischer Systeme anhand eines übergreifenden Modells einheitlich vornehmen und ein Prüfschema definieren. Die Datenethikkommission nennt außerdem konkrete Instrumente zur Umsetzung, wie eine Kennzeichnungspflicht oder eine individuelle Erklärung durch den Betreiber, die dazu dienen sollen, dass der einzelne Bürger als betroffene Person in verständlicher Weise über die Tragweite eines solches Systems informiert ist. Unterstützt werden kann diese Maßnahme durch das empfohlene bundesweite Kompetenzzentrum oder spezifische Gütesiegel. Ebenso stellt das Bekenntnis der Betreiber zu einem Algorithmic Accountability Codex eine wichtige Anforderung dar. Neben diese Maßnahmen sollen haftungsrechtliche Sanktionen durch Anpassung des geltenden Haftungsrechts treten. Auf diese Weise kann das Vertrauen der Bürgerinnen und Bürger in ein für sie ansonsten undurchschaubares System massiv gestärkt werden.“

Angaben zu möglichen Interessenkonflikten

Prof. Dr. Tobias Keber: „Meines Erachtens keine.“

Dr. Christian Grimme: „Aus meiner Sicht bestehen keine Interessenskonflikte, außer, dass ich (als Wissenschaftler) die Meinung der Kommission teile, dass die Wissenschaft als transparenzschaffende Instanz eine wichtige Rolle im gesamten Themenkomplex spielen kann und muss.“

Alle anderen: Keine angegeben.

Literaturstellen, die von den Experten zitiert wurden

[1] Bundesverfassungsgericht (2019): Beschluss der 2. Kammer des Ersten Senats vom 22. Mai 2019.

Weitere Recherchequellen

Grimme C (2018): Kennzeichnungspflicht für Social Bots bringt nichts.