Wenn Unternehmen – oder ihren Managern – hohe Gewinne vor den Augen schweben, dann können der Datenschutz und die Ethik beim Einsatz von KI schnell zu kurz kommen. Viele Firmen investieren enorme Summen in neue KI-Systeme, um aus ihren Prozessen mehr Profit herauszuquetschen. Wer jedoch glaubt, der Einsatz künstlicher Intelligenz würde eines Tages in der Zukunft geregelt werden, der vergisst, dass heutige Einsatzzwecke bereits existierenden Gesetzen unterliegen.
Verletzungen dieser Gesetze können bereits heute zu hohen Strafen führen. Am „einfachsten“ kann das in Europa beispielsweise durch die Nichteinhaltung der europäischen Datenschutzverordnung (DSGVO) passieren. Und die Behörden verhängen auch tatsächlich bereits seit Jahren teilweise sehr hohe Sanktionen. Die DSGVO gibt es seit 2018 und die Regulierungsbehörden hatten seitdem genug Zeit, zu „üben“.
Es mag sein, dass einige Unternehmen bewusst in Kauf nehmen, gegen Gesetze zu verstoßen oder sich in kritischen Grauzonen zu bewegen. Wer groß genug ist, besitzt viel Geld und kann längere Wege über Widerspruch, Klage, Verzögerung usw. durchaus einkalkulieren. Allerdings können die Strafen schlussendlich sehr hoch sein, sodass sich solche Frechheiten letztlich nicht lohnen.
Wer in der Software-Entwicklung verantwortungsvoll agierender Unternehmen arbeitet, etwa als Business Analyst, Solution Designer oder IT-Berater, sollte immer rechtzeitig die Compliance-Abteilung(en) einbeziehen. Im Laufe des Entwicklungsprozesses kann es an mehreren Stellen Berührungspunkte zwischen KI und Compliance geben. Das fängt bei der Architektur an, geht über Security, Privacy bis zu ethischen Gesichtspunkten.
In der EU kann es schnell gehen
Viele bisher verhängte Strafen wurden KI-Anwendungen in der EU ausgesprochen. Die Behörden können dabei die Datenverarbeitung durch KI-Systeme anhand der Vorschriften der Datenschutz-Grundverordnung (DSGVO) prüfen. Die maximale Höhe der Strafen ist ebenfalls geregelt. Das neue EU-KI-Gesetz wiederum beinhaltet auch Regelungen über Strafhöhen. Wer mit den europäischen Behörden spielt, kann schnell viel Geld verlieren und auch einen Imageschaden davontragen.
Beispiele für Sanktionen gegen illegale KI
Oft erfährt man nicht viel von verhängten Sanktionen, es sei denn, eine Zeitung greift den Fall auf. Im Nachrichtengeschäft sticht die Berichterstattung über abgestrafte Unternehmen jedenfalls seit Jahren nicht hervor. Jedoch kann man nach Beispielen suchen. Ich möchte stellvertretend einige nennen und verlinke zur Information gleich jeweils eine Quelle:
1. Luxemburgs Datenschutzbehörde verhängt Rekordstrafe gegen Amazon
Im Jahr 2021 verhängte die luxemburgische Datenschutzbehörde eine Geldstrafe von 746 Millionen Euro gegen Amazon. Grund hierfür sah die Behörde in der Verletzung der DSGVO durch Amazons Werbe-Targeting-Tool. Amazon sieht das naturgemäß anders und hat Berufung eingelegt. Der Fall ist 2024 immer noch anhängig.
2. Großbritannien: Britische Datenschutzbehörde verhängt hohe Geldstrafe gegen TikTok
Die britische Datenschutzbehörde verhängte im Jahr 2023 eine Geldstrafe von 12,7 Millionen Pfund (etwa 14,5 Millionen Euro) gegen TikTok wegen der Verarbeitung personenbezogener Daten von Kindern unter 13 Jahren ohne ordnungsgemäße Einwilligung. Die Plattform ermöglichte obendrein über einer Million Kindern unter 13 Jahren den Zugang, obwohl sie diesbezüglich Altersregeln getroffen hatte. Entsprechend wurde für die Kinder auch gezielt Werbung ausgespielt.
3. Italiens und Griechenland verbieten Clearview AI das Sammeln und Verarbeiten biometrischer Daten
Die italienische Datenschutzbehörde verhängte im Jahr 2022 eine Geldstrafe von 20 Millionen Euro gegen Clearview AI wegen Verletzung der DSGVO. Clearview AI hatte Bilder aus dem Internet ohne Zustimmung der Betroffenen gesammelt und daraus eine biometrische Datenbank erstellt. Diese wiederum diente zur Identifizierung von Personen durch Strafverfolgungsbehörden. Das Unternehmen wurde aufgefordert, die Daten von Personen in Italien zu löschen. Die griechische Datenschutzbehörde zog im selben Jahr kurz nach Italien nach und verhängte ebenfalls eine Strafe von 20 Millionen Euro. Und auch Frankreich verhängte 2022 eine Strafe über 20 Millionen Euro. Ungünstig für ein Unternehmen, das damit hausieren geht, auf eine Datenbankgröße von 100 Millionen Personenfotos hinzuarbeiten.
4. Deutschland bestraft Bank aus Berlin wegen mangelnder Transparenz bei automatisierten Entscheidungen
Gegen eine Bank aus Berlin (nicht genannt) verhängte der Berliner Beauftragte für Datenschutz und Informationsfreiheit im Jahr 2023 eine Geldstrafe von 300.000 EUR. Die Bank hatte einen Antrag auf eine Kreditkarte automatisiert abgelehnt, ohne den Bewerber transparent über die Gründe dieser Entscheidung zu informieren.
5. USA: EEOC ahndet Altersdiskriminierung durch iTutorGroup
In den USA wurde von der iTutorGroup ein KI-gestütztes Rekrutierungswerkzeuge sanktioniert. Im August 2023 einigte sich die Equal Employment Opportunity Commission (EEOC) mit dem Unternehmen auf eine Geldstrafe von 365.000 US-Dollar wegen KI-gestützter Altersdiskriminierung, Die iTutorGroup hatte ein Algorithmus eingesetzt, der über 200 qualifizierte Bewerber allein aufgrund ihres Alters automatisch ablehnte. Frauen über 55 und Männer über 60 wurden vom System automatisch disqualifiziert.
Es gibt noch viel mehr Beispiele. Ich wollte jedoch nur ein kurzes Schlaglicht darauf werfen, dass Nachlässigkeiten beim Einsatz neuer KI-Werkzeuge im Umfeld des Wettrennens um den Einsatz dieser Technologie schnell ins Auge gehen können. Also, seid wachsam!