Sensordaten und automatisierte Entscheidungen : Rechtsfragen beim Einsatz von KI

Von Maximilian Leicht, Frederik Möllers und Stephanie Vogelgesang, Saarbrücken

Der zunehmende Einsatz von künstlicher Intelligenz (KI) und algorithmischen Prozessen spiegelt sich inzwischen verstärkt im juristischen Diskurs wider. Dabei wird etwa die rechtliche Wirkung von Bewertungs- und Beurteilungssystemen gegenüber Betroffenen thematisiert, die zumindest teilweise auf automatisierten Entscheidungen beruhen.

Parallel und begleitend zu den kontinuierlichen Entwicklungen in diesem Bereich streben nationale sowie der europäische Gesetzgeber eine adäquate Regulierung für die algorithmische Entscheidungsfindung an (Algorithmic Decision-Making). Bereits im letzten Jahr sind die Ethics Guidelines for trustworthy AI [1] und die Policy and Investment Recommendations [2] der „High Level Expert Group on AI“ der Europäischen Kommission sowie ein Gutachten der Datenethikkommission veröffentlicht worden. In den kommenden Monaten sind weitere rechtliche Konkretisierungen zu erwarten (siehe „Fazit und Ausblick“).

Sensordaten

Bei der Datenverarbeitung durch Sensoren ist je nach konkreter Anwendung zu differenzieren, welche rechtlichen Anforderungen einzuhalten sind. Verarbeiten KI-Systeme personenbezogene Daten, ist allem voran das Datenschutzrecht relevant. Nach der EU Datenschutzgrundverordnung (DSGVO) liegen personenbezogene Daten vor, wenn sich die verarbeiteten Informationen auf eine identifizierte oder eine identifizierbare natürliche Person beziehen – „identifizierbar“ wird dabei grundsätzlich weit ausgelegt. Orientierung hierfür bietet zunächst die Auflistung in Artikel 4 Nummer 1 DSGVO: „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Daneben ist auch die Rechtsprechung des EuGH zum Personenbezug von IP-Adressen zu beachten: Demnach reicht es aus, wenn es dem Verantwortlichen möglich ist, auf Zusatzinformationen zuzugreifen, die eine Identifizierung ermöglichen (EuGH, Urteil vom 19. Okt. 2016 – C-582/14 – Breyer/Deutschland). In diesem Kontext ist auch beachtlich, dass eine Pseudonymisierung personenbezogener Daten den Verantwortlichen grundsätzlich nicht von den Verpflichtungen der DSGVO befreit (vgl. ErwG 26 Satz 2 DSGVO, https://dsgvo-gesetz.de/erwaegungsgruende/nr-26/).

Bei der Verarbeitung von Sensordaten ist es deshalb besonders relevant, eingesetzte Verfahren jeweils einzeln zu analysieren. In Bereichen wie dem autonomen Fahren, aber auch bei digitalen Assistenten oder der Hausautomation, werden meist personenbezogene Daten vorliegen. Erhöhte Anforderungen ergeben sich vor allem dann, wenn KI-Systeme zur automatisierten Entscheidungsfindung eingesetzt werden (vgl. insb. Art. 22 DSGVO) oder besondere Kategorien personenbezogener Daten – beispielsweise Gesundheitsdaten – verarbeitet werden (vgl. Art. 9 DSGVO). Weiter gehende Verpflichtungen treffen den Verantwortlichen auch, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (vgl. Art. 35 DSGVO). Relevant werden diese Anforderungen beispielsweise im nachfolgend beschriebenen Anwendungsfall.

Anwendung: Quantified Self / Wearables

Im Bereich der „digitalen Selbstvermessung“ (Quantified Self) setzen immer mehr Dienstanbieter auf KI-Systeme, um ihre Angebote zu erweitern und zu verbessern. Im Hinblick auf rechtliche Fragestellungen ergibt sich hier die Besonderheit, dass Nutzer die verarbeiteten Daten unmittelbar selbst erfassen (mithilfe von Wearables o. Ä.). Daher wird die Verarbeitung in der Praxis oft auf eine Einwilligung oder die Erfüllung eines Nutzungsvertrags gestützt (vgl. Art. 6 Abs. 1 Satz 1 lit. a/b DSGVO).

Als problematisch wird in der Forschung sowie im gesellschaftlichen Diskurs hauptsächlich die Sammlung großer Datenmengen (Big Data) durch Diensteanbieter sowie die Verknüpfung der Daten verschiedener Nutzer angesehen (vgl. [3]). Da die Daten häufig aus höchst persönlichen Lebensbereichen stammen und oft gesundheitliche Aspekte betreffen, ergeben sich schnell weitreichende Anforderungen an die Verarbeitung und damit auch an die verwendete Technologie.

Nach der sogenannten „Muss-Liste“ [4] der Datenschutzkonferenz (DSK) ist beispielsweise in der Regel eine Datenschutzfolgenabschätzung (DSFA, vgl. Art. 35 DSGVO) durchzuführen, wenn besondere Kategorien personenbezogener Daten zentral verarbeitet werden, die über Sensoren erfasst wurden oder zur Beurteilung der Leistungsfähigkeit der Betroffenen verwendet werden können. Gemäß Artikel 9 DSGVO fallen beispielsweise Gesundheitsdaten unter besondere Kategorien personenbezogener Daten. Bei diesen besonders sensiblen Daten steigen auch die Anforderungen an die technischen und organisatorischen Maßnahmen unter anderem zum Schutz vor Angriffen und Datenlecks (vgl. Art. 32 DSGVO).

Für Anbieter derartiger Dienste sind neben datenschutzrechtlichen Aspekten auch weitere Verpflichtungen relevant: So schreibt etwa die „Digitale-Inhalte-Richtlinie“ (Richtlinie EU 2019/770) in Artikel 8 Absatz 2 vor, dass Unternehmen für Verbraucher Aktualisierungen (Updates) zur Verfügung stellen müssen, die für den Erhalt der angebotenen Dienste erforderlich sind. Zwar ist die Richtlinie zum aktuellen Zeitpunkt noch nicht in deutsches Recht umgesetzt – das soll aber spätestens bis zum 1. Juli 2021 passieren. Ab dem 1. Januar 2022 wird die Richtlinie angewandt. Bis dahin ist auch zu erwarten, dass die Anforderungen an die Bereitstellung von Aktualisierungen weiter konkretisiert werden. Die Richtlinie selbst schreibt noch keine konkreten Zeiträume vor, wie lange etwa Anbieter ihre Produkte mit Sicherheitsaktualisierungen versorgen müssen.

Durch Wearables können jedoch auch Daten erfasst werden, die über den bestimmungsgemäßen Gebrauch hinausgehen. Insofern kann die – private oder berufliche – Nutzung von Wearables durch Einzelne auch Auswirkungen auf geschäftliche Belange haben. Dies ist etwa dann der Fall, wenn Fitnesstracker die Bewegungen innerhalb eines Bürogebäudes erfassen und dadurch Rückschlüsse auf gegebenenfalls schützenswerte Informationen möglich werden. Bei einem entsprechend hohen Sicherheitsbedarf ist es deshalb empfehlenswert, Wearables auch als mögliche Angriffsvektoren in Betracht zu ziehen.

Automatisierte Entscheidungen

Rechtliche Herausforderungen ergeben sich auch im Zusammenhang mit algorithmenbasierten Entscheidungen oder Entscheidungsvorschlägen. Besonders problematisch erscheint dabei, dass für Anwender meist nicht nachvollziehbar ist, warum beziehungsweise auf welcher Grundlage ein Algorithmus zu einer bestimmten Entscheidung gelangt ist. In der Wissenschaft wird dieser Aspekt unter den Stichworten Algorithmentransparenz und „Explainable Artificial Intelligence (XAI)“ diskutiert.

Zumindest gerichtliche Entscheidungsvorschläge müssen für die rechtsstaatlich geforderte Begründungspflicht von richterlichen Entscheidungen transparent sein. Nachvollziehbare algorithmenbasierte Entscheidungen oder Entscheidungsvorschläge stellen allerdings unter anderem die Voraussetzung dafür dar, dass ein Verantwortlicher seiner Auskunftspflicht gemäß Artikel 15 DSGVO nachkommen kann. Denn Betroffene haben bei der Verarbeitung personenbezogener Daten ein Auskunftsrecht (Art. 15 Abs. 1 lit. h DSGVO), unter anderem für folgende Informationen: das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Anforderungen an die Transparenz können sich zudem aus Artikel 5 DSGVO ergeben (Abs. 1 lit. a): Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dieser Grundsatz „legt ausdrücklich das Erfordernis einer für die betroffene Person nachvollziehbaren Verarbeitung der sie betreffenden personenbezogenen Daten fest“ [5]. Inhaltliche Anforderungen an diesen Transparenzgrundsatz ergeben sich im Besonderen aus Erwägungsgrund (ErwG) 39 DSGVO (https://dsgvo-gesetz.de/erwaegungsgruende/nr-39/): Danach betrifft dieser Grundsatz insbesondere auch Informationen, „die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten“.

Dass dieser Grundsatz auch IT-Systeme erfasst, ergibt sich eindeutig aus ErwG 78 DSGVO. Danach ist es zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um die Anforderungen der Verordnung zu erfüllen. Solche Maßnahmen könnten unter anderem darin bestehen, dass Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt oder Betroffenen ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen.

Teilweise wird unter Rückgriff auf Artikel 5 Absatz 1 lit. a DSGVO in der juristischen Literatur vertreten, dass nur Datenverarbeitungen durchgeführt werden dürfen, die nachvollziehbar sind. Dies kann Verantwortliche beim Einsatz von maschinellen Lernverfahren vor größere Herausforderungen stellen, allem voran im Kontext der sogenannten Blackbox-Problematik und zugehörigen Bestrebungen um XAI.

Der Grundsatz der Transparenz wurde bereits vor Inkrafttreten der DSGVO intensiv im Zusammenhang mit Kreditscoring diskutiert. Das Scoring kann als eine Alternative des Profiling (Art. 4 Nr. 4 DSGVO) je nach Ausgestaltung unter den Anwendungsbereich des Artikels 22 DSGVO fallen. Danach hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Anwendung: Bewerbungsverfahren

Aktuelle praktische Relevanz hat der Einsatz von KI-Systemen nicht zuletzt im Rahmen von Bewerbungsverfahren. Verantwortliche versprechen sich hiervon in der Regel nicht nur verbesserte Matching-Prozesse, sondern auch eine (ggf. aber nur vermeintlich) objektivere Beurteilung während des Auswahlverfahrens.

Die sich hieraus ergebenden Vorteile sind allerdings gegen mögliche Risiken solcher Verfahren abzuwägen. So wurden in der Vergangenheit aufgrund von Verzerrungen in den Trainings- und Testdaten (Bias) unerwünschte Ergebnisse und Diskriminierungen durch KI-Systeme beobachtet (vgl. [6]). Hieraus können sich einerseits Imageschäden ergeben. In der juristischen Literatur wird aber ebenfalls diskutiert, inwiefern eine Haftung des Arbeitgebers für die im Bewerbungsverfahren eingesetzten Systeme bestehen kann. So könnte eine Benachteiligung von Bewerbern etwa wegen ihres Geschlechts oder ihrer ethnischen Herkunft Haftungsrisiken aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) zur Folge haben (vgl. etwa [7,8]).

Daneben stellt der Einsatz von KI-Systemen zur Bewerberauswahl Verantwortliche auch im Hinblick auf ihre datenschutzrechtliche Compliance vor Herausforderungen. Grundsätzlich ist die Verarbeitung personenbezogener Daten von Bewerbern aufgrund einer gesetzlichen Rechtsgrundlage zulässig (vgl. § 26 Abs. 1 Satz 1 und Abs. 8 Satz 2 BDSG). Dies gilt jedoch nur, soweit die Datenverarbeitungen für den Zweck des potenziellen Beschäftigungsverhältnisses und somit auch für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich sind. Ob Datenverarbeitungen in diesem Sinne erforderlich sind, ist nach verschiedenen Kriterien zu beurteilen.

Wenn über die Einführung eines KI-Systems zur Bewerberauswahl entschieden werden soll, ist dagegen ein Kriterium besonders zentral: Damit die Erforderlichkeit vorliegen kann, muss die Auswahlmethode überhaupt für den eingesetzten Zweck geeignet sein. An dieser Stelle ist daher weder eine rein juristische noch eine rein technische Betrachtungsweise ausreichend. Vielmehr bedarf es für die Beurteilung einer interdisziplinären Betrachtung des einzuführenden Systems.

Besondere Herausforderungen ergeben sich in der Folge, wenn die Eignung des Personalauswahlverfahrens nicht auf wissenschaftlich fundierte Erkenntnisse (etwa aus der Eignungsdiagnostik) zurückgeführt werden kann (siehe [9]). Ist es dem Verantwortlichen also gerade nicht möglich darzulegen, inwiefern das eingesetzte Verfahren für den Zweck der Personalauswahl geeignet ist, kann die Beurteilung der Erforderlichkeit insoweit nicht erfolgen. Fehlt diese, kann sich der Verantwortliche für die Datenverarbeitung jedoch zur Begründung des Beschäftigungsverhältnisses nicht mehr auf die oben genannte gesetzliche Rechtsgrundlage nach § 26 BDSG stützen. Daher sollten vor der Auswahl und Einführung solcher Verfahren nicht nur rein datenschutz- und arbeitsrechtliche Fragen geklärt, sondern auch die konkrete Auswahlmethode auf ihre wissenschaftliche Fundierung hin überprüft werden.

Zwar sieht die DSGVO als denkbare Rechtsgrundlage für Datenverarbeitung auch die Einwilligung von Betroffenen vor (vgl. Art. 6 Abs. 1 Satz 1 lit a und Art. 7 DSGVO). Diese stellt jedoch im Kontext von Personalauswahlverfahren in der Regel keine geeignete Rechtsgrundlage dar:

• Erfüllt die gewählte Methode die Anforderungen des § 26 Absatz 1 BDSG, ist die Einholung einer Einwilligung überflüssig. Vielmehr setzt sie den Verantwortlichen der Gefahr aus, die zusätzlich zur gesetzlichen Grundlage geforderte Einwilligung fehlerhaft einzuholen.
• Erfüllt die Methode die Anforderungen des § 26 Absatz 1 BDSG jedoch nicht, weil eine entsprechende wissenschaftliche Fundierung nicht erkennbar ist, wird regelmäßig auch die Einholung einer rechtskonformen Einwilligung praktisch schwer umsetzbar sein. Für Einwilligungen im Kontext von Beschäftigungsverhältnissen hat der Gesetzgeber strenge Anforderungen definiert (vgl. Art. 7 DSGVO, § 26 Abs. 2 und Abs. 8 Satz 2 BDSG). Ob diese erfüllt werden können, wenn die Anforderungen an die Geeignetheit im Rahmen der gesetzlichen Rechtsgrundlage bereits nicht dargelegt werden können, erscheint grundsätzlich zweifelhaft. Dies ist daher im jeweiligen Einzelfall kritisch zu prüfen.

Anwendung: Überwachungssysteme

Überwachungssysteme lassen sich für die rechtliche Betrachtung in zwei Bereiche unterteilen: Auf der einen Seite steht die Überwachung öffentlicher Bereiche, die üblicherweise mithilfe von Videokameras realisiert wird. Auf der anderen Seite stehen computer- und netzwerkbasierte Überwachungssysteme, die zwar primär dazu dienen, Angriffe auf IT-Systeme zu verhindern oder nachzuvollziehen, im Übrigen jedoch auch die Messung der Arbeitsleistung einzelner Beschäftigter ermöglichen können.

• Die Überwachung öffentlicher Bereiche durch Videokameras ist nicht neu. Seit einiger Zeit mehren sich jedoch Diskussionen um den Einsatz von Verfahren zur Gesichtserkennung. Das Bundesinnenministerium startete bereits 2017 einen entsprechenden Test. Die neue Technik soll es Behörden ermöglichen, in Aufzeichnungen von Videokameras automatisch Gesichter von Personen zu erkennen und diesen Namen zuordnen, um so zunächst Unbekannte zu identifizieren sowie die Bewegung einzelner Personen nachvollziehen zu können. Ob und in welchem Umfang diese größtenteils anlasslose Erfassung von Daten sowie die damit einhergehende Profilbildung mit den Grundsätzen des Datenschutzes vereinbar sind, wird derzeit (besonders im Hinblick auf Medienberichte um Clearview und PimEyes) kontrovers diskutiert.
• Messung der Arbeitsleistung: Ähnlich wie im Bereich „Quantified Self“ werden vermehrt auch im dienstlichen Umfeld Daten erhoben, um etwa Produktivität zu messen und langfristig zu steigern. Anders als im Privaten geben Angestellte entsprechende Daten in der Regel jedoch nicht selbstständig ein. Diese werden vom Arbeitgeber erhoben – dementsprechend besteht eine andere Rechtslage. Versucht der Arbeitgeber, auf eine Einwilligung oder eine arbeitsvertragliche Klausel abzustellen, ist das verschobene Machtgleichgewicht der beiden Parteien zu berücksichtigen: Beschäftigte können in eine derartige Verarbeitung nicht unbedingt rechtswirksam einwilligen, wenn sie bei einer Weigerung den Verlust des Arbeitsplatzes oder zumindest eine Schlechterstellung im Beruf zu befürchten haben. Der Gesetzgeber hat dieses gesellschaftliche Problem erkannt und mit § 26 Absatz 2 BDSG eine rechtliche Regelung geschaffen, die höhere Hürden an eine Einwilligung zur Verarbeitung personenbezogener Daten im Rahmen eines Arbeitsverhältnisses stellt (vgl. Abschnitt „Bewerbungsverfahren“).
• Erkennung von Schadsoftware: Im Gegensatz zur Überwachung von Personen ist die maschinelle Überwachung und Auswertung digitaler Daten zur Abwehr von Angriffen und weiteren Gefahren wenig umstritten. Programme zur Erkennung von Schadsoftware sowie Systeme zur Überwachung des Netzwerkverkehrs gehören seit längerer Zeit zur festen Ausstattung größerer Betriebe.

Inzwischen setzen viele Hersteller von Antivirensoftware dabei auf Cloud-Lösungen, bei denen Stichproben zu scannender Dateien zum Anbieter übertragen werden. Dieser untersucht sie unter anderem mit Algorithmen des maschinellen Lernens auf mögliche schädliche Wirkungen. Auch netzwerkbasierte Erkennungssysteme (Intrusion Detection/Prevention Systems – IDS/IPS) setzen vermehrt auf maschinelle Lernverfahren zur Identifikation verdächtiger Kommunikation.

Derartige Sicherheitssysteme untersuchen laufend die Kommunikation sowie die Aktivitäten auf den Computern von Angestellten. Es wäre somit theoretisch möglich, anhand der gesammelten Daten auch umfangreiche Nutzungsprofile und Leistungsbewertungen der Mitarbeiter anzufertigen. Tatsächlich werden die Daten jedoch üblicherweise nur verwendet, um Verdachtsfälle zu melden und eine manuelle Überprüfung zu empfehlen. Diese Diskrepanz zwischen möglicher und tatsächlicher Auswertungstiefe wirft sowohl rechtliche als auch technische Fragen auf: So orientieren sich die Anforderungen nach der DSGVO etwa hauptsächlich an den möglichen Gefahren für Betroffene und weniger an den aus der Datenverarbeitung tatsächlich gewonnenen Erkenntnissen – fraglich ist derweil, ob dieser Grundsatz in jedem Anwendungsfall sinnvoll ist.

Auf der technischen Seite stellt sich wiederum die Frage, wie man derartige Schutzmaßnahmen mit dem Grundsatz der Datensparsamkeit vereinbaren kann. Eine umfangreiche Sammlung und Auswertung kann demnach nicht zielführend sein, wenn bessere Verfahren mit geringeren Mengen an Eingabedaten auskommen und dennoch vergleichbare Ergebnisse produzieren. Ob ein grundlegender und unumstößlicher Zusammenhang zwischen dem Umfang der Eingabedaten und der Qualität der Ergebnisse besteht, ist eine der zentralen Fragen datenschutzgerechter Algorithmenentwicklung.

Fazit und Ausblick

Der aktuelle gesellschaftliche Diskurs zeigt, dass sich beim Einsatz von künstlicher Intelligenz und Algorithmen zur Entscheidungsfindung nicht nur ethische, sondern auch rechtliche Fragen und Probleme ergeben. Diese folgen bereits aus geltendem Recht. Beim Einsatz von KI-Systemen sowie besonders bei deren Konzeption und Entwicklung sollten Verantwortliche jedoch auch heute schon zukünftige Regulierungsansätze beachten. Gerade auf EU-Ebene zeichnen sich diesbezüglich relevante Entwicklungen ab.

Nachdem die Europäische Kommission Anfang des Jahres im „Weißbuch zur künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen“ [10] grundlegende Regulierungsvorschläge formuliert hat, wurde kürzlich ein Berichtsentwurf des Europäischen Parlaments vom 27. April 2020 [11] bekannt. Dieser enthält bereits einen konkreten Gesetzentwurf, der die Schaffung einer zivilrechtlichen Haftung für KI-Systeme vorsieht. Für Betreiber von KI-Systemen mit hohem Risiko soll eine Gefährdungshaftung („strict liability“) eingeführt werden (vgl. Art. 4 Abs. 1 des Entwurfs). Betreiber von KI-Systemen mit geringerem Risiko sollen hingegen verschuldensabhängig haften und erhalten Exkulpationsmöglichkeiten, die sich etwa mittels einer Due-Diligence-Prüfung erfüllen ließen (vgl. Art. 8 Abs. 1 und 2). Auch Hersteller sind im Rahmen von Kooperationspflichten und möglichen Regressansprüchen von dem Regulierungsvorschlag betroffen (vgl. Art. 8 Abs. 4 bzw. Art. 12 Abs. 3).

Welche konkreten KI-Systeme als solche mit hohem Risiko einzustufen sind, ist im Annex des Berichtsentwurfs festgelegt: Dort werden beispielsweise autonome Roboter, Fahrzeuge mit hohem Automatisierungsgrad sowie automatische Verkehrsmanagementsysteme genannt. Dieser Annex soll innerhalb von 6 Monaten durch die Kommission aktualisiert werden können.

Der Berichtsentwurf des Europäischen Parlaments ist ein weiterer Schritt auf dem Weg zu einer unionsrechtlichen Regulierung von KI-Systemen. Welche konkreten Regelungen sich im Rahmen des Gesetzgebungsprozesses durchsetzen werden, bleibt abzuwarten. Aufgrund der zu erwartenden höheren Regulierungsdichte werden jedoch auch in Zukunft rechtliche Betrachtungen bei der Entwicklung und Implementierung von KI-Systemen unerlässlich sein.

Dipl.-Jur. Maximilian Leicht (maximilian.leicht@uni-saarland.de) ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Rechtsinformatik der Universität des Saarlandes. Frederik Möllers, M.Sc. (frederik.moellers@uni-saarland.de) ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Rechtsinformatik an der Universität des Saarlandes sowie Senior Berater bei der Defendo GbR. Dr. iur. Stephanie Vogelgesang (stephanie.vogelgesang@uni-saarland.de) ist Researcher am CISPA – Helmholtz-Zentrum für Informationssicherheit in Saarbrücken und Geschäftsführerin der Defendo GbR.

Literatur

[1] Hochrangige Expertengruppe für künstliche Intelligenz (HEG-KI), Ethik-Leitlinien für eine vertrauenswürdige KI, April 2019, in verschiedenen Sprachen abrufbar über https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai
[2] High-Level Expert Group on Artificial Intelligence (AI HLEG), Policy and Investment Recommendations for Trustworthy AI, Juni 2019, abrufbar über https://ec.europa.eu/digital-single-market/en/news/policy-and-investmentrecommendations-trustworthy-artificial-intelligence
[3] Dominik Leibenger, Frederik Möllers, Anna Petrlic, Ronald Petrlic, and Christoph Sorge, Privacy Challenges
in the Quantified Self Movement – An EU Perspective, in: Proceedings on Privacy Enhancing Technologies 2016, Heft 4, S. 315, online verfügbar via https://doi.org/10.1515/popets-2016-0042
[4] Datenschutzkonferenz (DSK), Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den nichtöffentlichen Bereich, Version 1.1, Oktober 2018, www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf
[5] Heberlein, zu Art. 5 Rn. 11, in: Ehmann/Selmayr, Datenschutz-Grundverordnung: DS-GVO, Kommentar, 2. Auflage, C. H. Beck, 2018, ISBN 978-3-406-72006-2
[6] Maximilian Leicht, Julia Karst, Jasmin Zimmer, Diskriminierung und Frauenfeindlichkeit – KI als Spiegel unserer
Gesellschaft, in: Erich Schweighofer, Walter Hötzendorfer, Franz Kummer, Ahti Saarenpää (Hrsg.), Verantwortungsbewusste Digitalisierung, Tagungsband des 23. Internationalen Rechtsinformatik Symposions IRIS 2020, Editions Weblaw, Februar 2020, S. 73, ISBN 978-3-96698-589-5
[7] Dzida, Groh, Diskriminierung nach dem AGG beim Einsatz von Algorithmen im Bewerbungsverfahren, Neue Juristische Wochenschrift (NJW) 27/2018, S. 1917
[8] Carmen Freyler, Robot-Recruiting, Künstliche Intelligenz und das Antidiskriminierungsrecht, Neue Zeitschrift für Arbeitsrecht (NZA) 5/2020, S. 284
[9] Nina Diercks, Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG, Arbeit und Arbeitsrecht (AuA), Heft 12/2018, S. 704, online verfügbar auf https://diercks-digital-recht.de/2018/12/recruiting-und-personalauswahlverfahren-unter-dsgvo-und-bdsg/
[10] Europäische Kommission, Zur künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen, Weißbuch, Februar 2020, https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificialintelligence-feb2020_de.pdf
[11] Rechtsausschuss des Europäischen Parlaments, Entwurf eines Berichts mit Empfehlungen an die Kommission zu zivilrechtlicher Haftung beim Einsatz künstlicher Intelligenz, April 2020, https://www.europarl.europa.eu/doceo/document/JURI-PR-650556_DE.pdf