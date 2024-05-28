Im November 2023 veröffentlichte die California Privacy Protection Agency (CPPA) einen Entwurf von Vorschriften zur Nutzung von KI und automatisierter Entscheidungstechnologie.
Die vorgeschlagenen Regeln befinden sich noch in der Entwicklung, aber die Unternehmen sollten ihre Entwicklung aufmerksam verfolgen. Da der Bundesstaat viele der größten Technologieunternehmen der Welt beheimatet, könnten alle KI-Vorschriften, die Kalifornien verabschiedet, weit über seine Grenzen hinaus Auswirkungen haben.
Darüber hinaus hat ein kalifornisches Berufungsgericht kürzlich entschieden, dass der CPPA die Regeln sofort nach ihrer endgültigen Festlegung durchsetzen kann. Indem Unternehmen verfolgen, wie sich die ADMT-Regeln entwickeln, können sie sich besser positionieren, um sie einzuhalten, sobald die Vorschriften in Kraft treten.
Die CPPA nimmt noch öffentliche Stellungnahmen entgegen und überprüft die Regeln, daher können sich die Bestimmungen noch ändern, bevor sie offiziell verabschiedet werden. Dieser Beitrag basiert auf dem aktuellsten Entwurf vom 9. April 2024.
Der California Consumer Privacy Act (CCPA), Kaliforniens wegweisendes Datenschutzgesetz, befasste sich ursprünglich nicht direkt mit der Verwendung von ADMT. Das änderte sich mit dem Erlass des California Privacy Rights Act (CPRA) im Jahr 2020, der den CCPA in mehreren wichtigen Punkten abänderte.
Der CPRA hat die CPPA geschaffen, eine Regulierungsbehörde, die CCPA-Regeln umsetzt und durchsetzt. Der CPRA gab der CPPA auch die Befugnis, Vorschriften über die Rechte kalifornischer Verbraucher auf Zugang zu Informationen über automatisierte Entscheidungen und auf Widerspruch gegen diese zu erlassen. Das CPPA arbeitet unter dieser Autorität an den ADMT-Regeln.
Wie die übrigen Bestimmungen des CCPA würden auch die Entwurfsregeln für gewinnorientierte Unternehmen gelten, die in Kalifornien Geschäfte tätigen und mindestens eines der folgenden Kriterien erfüllen:
Darüber hinaus würden die vorgeschlagenen Regelungen nur für bestimmte Anwendungen von KI und ADMT gelten: das Treffen wichtiger Entscheidungen, die Erstellung umfangreicher Profile von Verbrauchern und die Schulung von ADMT-Tools.
Der aktuelle Entwurf definiert automatisierte Entscheidungsfindungstechnologie als jede Software oder jedes Programm, das personenbezogene Daten verarbeitet und Berechnungen nutzt, um eine Entscheidung auszuführen, die menschliche Entscheidungsfindung zu ersetzen oder die menschliche Entscheidungsfindung wesentlich zu erleichtern. Der Entwurf weist ausdrücklich darauf hin, dass diese Definition Software und Programme umfasst, „die aus maschinellem Lernen, Statistik, anderen Datenverarbeitungstechniken oder künstlicher Intelligenz abgeleitet sind“.
Im Entwurf der Regeln werden einige Tools explizit genannt, die nicht als ADMT gelten, darunter Spamfilter, Spreadsheets und Firewalls. Wenn ein Unternehmen jedoch versucht, diese freigestellten Tools zu nutzen, um automatisierte Entscheidungen zu treffen, die die Vorschriften umgehen, gelten die Regeln für diese Nutzung.
Die Entwurfsregeln würden für jede Nutzung von ADMT zur Entscheidungsfindung gelten, die erhebliche Auswirkungen auf die Verbraucher hat. Im Allgemeinen ist eine bedeutende Entscheidung eine, die die Rechte einer Person oder den Zugang zu entscheidenden Gütern, Dienstleistungen und Möglichkeiten betrifft.
Zum Beispiel würden die Entwürfe automatisierte Entscheidungen abdecken, die die Möglichkeit einer Person beeinflussen, einen Job zu finden, zur Schule zu gehen, Gesundheitsversorgung zu erhalten oder einen Kredit zu erhalten.
Profiling ist die automatische Verarbeitung persönlicher Informationen einer Person, um deren Eigenschaften und Eigenschaften wie Arbeitsleistung, Produktinteressen oder Verhalten zu bewerten, zu analysieren oder vorherzusagen.
„Umfassendes Profiling“ bezieht sich auf bestimmte Arten von Profiling:
Die Entwurfsregeln würden für die Verwendung personenbezogener Daten von Verbrauchern durch Unternehmen zum Trainieren bestimmter ADMT-Tools gelten. Konkret würden die Regeln das Training eines ADMT abdecken, das dazu verwendet werden kann, bedeutende Entscheidungen zu treffen, Personen zu identifizieren, Deepfakes zu erstellen oder physische oder biologische Identifikationen und Profilierungen durchzuführen.
Da es sich bei dem CCPA um ein kalifornisches Gesetz handelt, erstrecken sich die Verbraucherschutzbestimmungen nur auf Verbraucher mit Wohnsitz in Kalifornien. Dasselbe gilt für die Schutzmaßnahmen, die der Entwurf der ADMT-Regeln gewährt.
Allerdings definieren diese Regeln den Begriff „Verbraucher“ weiter als viele andere Datenschutzbestimmungen. Neben Personen, die mit einem Unternehmen interagieren, gelten die Regeln auch für Mitarbeiter, Studierende, unabhängige Auftragnehmer sowie Schul- und Arbeitsbewerber.
Der Entwurf der CCPA-KI-Regulierungen enthält drei Hauptanforderungen. Organisationen, die ADMT einsetzen, müssen die Verbraucher vor der Nutzung informieren, Möglichkeiten zum Widerspruch gegen ADMT anbieten und erläutern, wie sich die Nutzung von ADMT durch das Unternehmen auf den Verbraucher auswirkt.
Der CPPA hat die Verordnungen zwar schon einmal überarbeitet und wird dies wahrscheinlich noch einmal tun, bevor die Regeln offiziell verabschiedet werden, aber diese Kernanforderungen sind bisher in jedem Entwurf enthalten. Die Tatsache, dass diese Anforderungen weiterhin bestehen, lässt vermuten, dass sie auch in den endgültigen Regelungen erhalten bleiben werden, selbst wenn sich die Details ihrer Umsetzung ändern.
Bevor ADMT für einen der abgedeckten Zwecke verwendet wird, müssen Organisationen den Verbrauchern klar und auffällig eine Vornutzungsbenachrichtigung zustellen. Die Mitteilung muss in klarer Sprache darlegen, wie das Unternehmen ADMT nutzt, und die Rechte der Verbraucher auf weiteren Zugang zu ADMT und einen Ausstieg aus dem Prozess erläutern.
Das Unternehmen kann nicht auf allgemeine Formulierungen zurückgreifen, um zu beschreiben, wie es ADMT einsetzt, wie etwa „Wir verwenden automatisierte Tools, um unsere Dienstleistungen zu verbessern“. Stattdessen muss das Unternehmen die konkrete Verwendung beschreiben.
Der Hinweis muss Verbraucher auf zusätzliche Informationen zur Funktionsweise des ADMT hinweisen, einschließlich der Logik des Tools und der Art und Weise, wie das Unternehmen seine Ergebnisse nutzt. Diese Informationen müssen nicht im Text der Mitteilung enthalten sein. Die Organisation kann den Verbrauchern einen Hyperlink oder eine andere Möglichkeit zum Zugriff anbieten.
Wenn das Unternehmen den Verbrauchern die Möglichkeit gibt, gegen automatisierte Entscheidungen Einspruch einzulegen, muss die Vorabmitteilung das Einspruchsverfahren erläutern.
Verbraucher haben das Recht, die meisten abgedeckten Anwendungsfälle von ADMT abzulehnen. Unternehmen müssen dieses Recht erleichtern, indem sie den Verbrauchern mindestens zwei Möglichkeiten bieten, Widerspruchsanfragen einzureichen.
Mindestens eine der Widerspruchsmethoden muss denselben Kanal nutzen, über den das Unternehmen hauptsächlich mit den Verbrauchern interagiert. Ein Online-Händler kann beispielsweise ein Webformular anbieten, das die Nutzer ausfüllen können.
Die Widerspruchsmethoden müssen einfach sein und dürfen keine unnötigen Schritte beinhalten, wie z. B. die Aufforderung an die Benutzer, ein Konto zu erstellen.
Nach Erhalt einer Widerspruchsanfrage muss ein Unternehmen innerhalb von 15 Tagen die Verarbeitung der personenbezogenen Daten eines Verbrauchers mithilfe dieser automatisierten Entscheidungsfindung und Technologie einstellen. Das Unternehmen darf die zuvor verarbeiteten Kundendaten nicht mehr verwenden. Das Unternehmen muss außerdem alle Dienstanbieter oder Dritte informieren, mit denen es die Daten des Nutzers geteilt hat.
Unternehmen müssen den Verbrauchern nicht gestatten, ADMT zu deaktivieren, die für die Sicherheit und den Schutz vor Betrug verwendet werden. Die Entwürfe der Regeln erwähnen ausdrücklich die Verwendung von ADMT zur Erkennung und Reaktion auf Datensicherheitsvorfälle, zur Verhinderung und Verfolgung betrügerischer und illegaler Handlungen sowie zur Gewährleistung der physischen Sicherheit einer natürlichen Person.
Gemäß der Ausnahmeregelung für menschliche Beschwerden muss ein Unternehmen keinen Widerspruch ermöglichen, wenn es Menschen ermöglicht, automatisierte Entscheidungen bei einem qualifizierten menschlichen Prüfer einzulegen, der befugt ist, diese Entscheidungen aufzuheben.
Unternehmen können auch auf Widersprüche für bestimmte enge Verwendungszwecke von ADMT im beruflichen und schulischen Kontext verzichten. Zu diesen Verwendungen gehören:
Diese Arbeits- und Schulnutzungen sind jedoch nur dann von Widersprüchen ausgenommen, wenn sie die folgenden Kriterien erfüllen:
Keine dieser Ausnahmen gilt für verhaltensbezogene Werbung oder ADMT-Schulungen. Verbraucher können sich jederzeit von diesen Nutzungen abmelden.
Verbraucher haben das Recht, Informationen darüber zu erhalten, wie ein Unternehmen ADMT bei ihnen einsetzt. Unternehmen müssen Verbrauchern eine einfache Möglichkeit bieten, diese Informationen anzufordern.
Bei der Beantwortung von Zugriffsanfragen müssen Organisationen Angaben machen wie den Grund für die Nutzung von ADMT, die Ausgabe des ADMT bezüglich des Verbrauchers und eine Beschreibung, wie das Unternehmen die Ausgabe zur Entscheidungsfindung genutzt hat.
Antworten auf Zugriffsanfragen sollten auch Informationen darüber enthalten, wie der Verbraucher seine CCPA-Rechte ausüben kann, etwa durch das Einreichen von Beschwerden oder die Beantragung der Löschung seiner Daten.
Wenn ein Unternehmen ADMT nutzt, um eine bedeutende Entscheidung zu treffen, die einen Verbraucher negativ beeinflusst – zum Beispiel durch eine Kündigung – muss das Unternehmen dem Verbraucher eine besondere Mitteilung über seine Zugangsrechte in Bezug auf diese Entscheidung senden.
Die Mitteilung muss Folgendes enthalten:
Die CPPA entwickelt neben den vorgeschlagenen Regeln für KI und ADMT Verordnungsentwürfe für Risikobewertungen. Obwohl es sich technisch gesehen um zwei separate Regelwerke handelt, würden sich die Vorschriften zur Risikobewertung darauf auswirken, wie Unternehmen KI und ADMT einsetzen.
Die Regeln zur Risikobewertung würden von Unternehmen verlangen, Bewertungen durchzuführen, bevor sie ADMT nutzen, um wichtige Entscheidungen zu treffen oder eine umfassende Profilerstellung durchzuführen. Unternehmen müssten außerdem Bewertungen durchführen, bevor sie persönliche Daten verwenden, um bestimmte ADMT- oder KI-Modelle zu schulen.
Risikobewertungen müssen die Risiken identifizieren, die der ADMT für Verbraucher darstellt, die potenziellen Vorteile, Nutzen für das Unternehmen oder andere Stakeholder sowie Schutzmaßnahmen zur Minderung oder Beseitigung des Risikos. Unternehmen müssen von der Nutzung von KI und ADMT absehen, wenn das Risiko den Nutzen überwiegt.
Die kalifornischen Regelentwürfe für ADMT sind bei Weitem nicht der erste Versuch, den Einsatz von KI und automatisierten Entscheidungen zu regulieren.
Der EU AI Act, das KI-Gesetz der Europäischen Union, stellt strenge Anforderungen an die Entwicklung und den Einsatz von KI in Europa.
In den USA geben der Colorado Privacy Act und der Virginia Consumer Data Protection Act Verbrauchern das Recht, die Verarbeitung ihrer personenbezogenen Daten für wichtige Entscheidungen abzulehnen.
Auf nationaler Ebene unterzeichnete Präsident Biden im Oktober 2023 einen Erlass, der Bundesbehörden und Ministerien anweist, Standards für die Entwicklung, Nutzung und Überwachung von KI in ihrem jeweiligen Gerichtsbarkeit zu schaffen.
Aber die von Kalifornien vorgeschlagenen ADMT-Vorschriften ziehen mehr Aufmerksamkeit auf sich als andere staatliche Gesetze, weil sie sich potenziell auf das Verhalten von Unternehmen jenseits der Grenzen des Staates auswirken können.
Ein Großteil der globalen Technologiebranche hat seinen Hauptsitz in Kalifornien. Somit müssen viele der Unternehmen, die fortschrittlichsten automatisierten Entscheidungsfindungstools entwickeln, diese Regeln einhalten. Der Verbraucherschutz gilt nur für Einwohner Kaliforniens, aber Unternehmen könnten der Einfachheit halber auch Verbrauchern außerhalb Kaliforniens die gleichen Optionen anbieten.
Der ursprüngliche CCPA wird oft als US-Version der Datenschutz-Grundverordnung (DSGVO) angesehen, da er die Messlatte für landesweite Datenschutzpraktiken höher gelegt hat. Diese neuen KI- und ADMT-Regeln könnten ähnliche Ergebnisse erzielen.
Die Regeln sind noch nicht endgültig festgelegt, daher lässt sich das nicht mit Sicherheit sagen. Dennoch gehen viele Beobachter davon aus, dass die Regeln frühestens Mitte 2025 in Kraft treten werden.
Die CPPA wird voraussichtlich im Juli 2024 eine weitere Vorstandssitzung abhalten, um die Regeln weiter zu besprechen. Viele glauben, dass der CPPA-Vorstand bei dieser Sitzung wahrscheinlich den formellen Regelungsprozess einleiten wird. In diesem Fall hätte die Behörde ein Jahr Zeit, die Regeln endgültig festzulegen, daher der geschätzte Zeitpunkt des Inkrafttretens Mitte 2025.
Wie bei anderen Teilen des CCPA wird das CPPA befugt sein, Verstöße zu untersuchen und Geldstrafen gegen Organisationen zu verhängen. Der kalifornische Generalstaatsanwalt kann bei Nichteinhaltung auch zivilrechtliche Strafen verhängen.
Unternehmen können mit einer Geldstrafe von 2.500 USD für unbeabsichtigte Verstöße und 7.500 USD für vorsätzliche Verstöße belegt werden. Diese Beträge gelten pro Verstoß, und jeder betroffene Verbraucher zählt als ein Verstoß. Wenn Verstöße mehrere Verbraucher betreffen, wie dies häufig der Fall ist, können die Strafen schnell eskalieren.
Die Entwurfsregeln sind noch nicht endgültig festgelegt. Die CPPA bittet weiterhin um öffentliche Stellungnahmen und führt Vorstandsdiskussionen durch, und es ist wahrscheinlich, dass sich die Regeln vor ihrer Verabschiedung noch einmal ändern werden.
Die CPPA hat aufgrund vorheriger Rückmeldungen bereits wesentliche Änderungen an den Regeln vorgenommen. Nach der Vorstandssitzung im Dezember 2023 fügte die Behörde beispielsweise neue Ausnahmen vom Recht auf Widerspruch ein und setzte Einschränkungen für physische und biologische Profilierung.
Die Agentur hat auch die Definition von ADMT angepasst, um die Anzahl der Geräte zu begrenzen, für die die Regeln gelten würden. Während der ursprüngliche Entwurf jede Technologie enthielt, die menschliche Entscheidungsfindung erleichtert, gilt der aktuellste Entwurf nur für ADMT, die menschliche Entscheidungsfindung wesentlich erleichtert.
Viele Branchengruppen sind der Meinung, dass die aktualisierte Definition die praktischen Realitäten der ADMT-Nutzung besser widerspiegelt, während Befürworter des Datenschutzes befürchten, dass dadurch ausnutzbare Schlupflöcher entstehen.
Selbst im CPPA-Vorstand herrscht Uneinigkeit darüber, wie die endgültigen Regeln aussehen sollten. Bei einer Sitzung im März 2024 äußerten zwei Vorstandsmitglieder Bedenken, dass der aktuelle Entwurf die Befugnisse des Gremiums überschreitet.
Angesichts der bisherigen Entwicklung der Regeln besteht eine gute Chance, dass die Kernanforderungen an Vorabmitteilungen, Widerspruchsrechte und Zugriffsrechte erhalten bleiben. Unternehmen haben jedoch möglicherweise noch offene Fragen, wie zum Beispiel:
Unabhängig vom Ergebnis werden diese Regeln erhebliche Auswirkungen darauf haben, wie KI und Automatisierung landesweit reguliert werden – und wie Verbraucher im Zuge dieser rasant wachsenden Technologie geschützt werden.
Haftungsausschluss: Die Einhaltung sämtlicher geltender Gesetze und Vorschriften liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Services oder Produkte von IBM die Konformität von Gesetzen oder Verordnungen durch den Kunden sicherstellen.