Folgenabschätzungen für Verwaltungs-Algorithmen
1. Auflage
Erschienen am 20. November 2023
334 Seiten
978-3-16-162582-4 (ISBN)
Beschreibung
Die Verwaltung setzt zunehmend algorithmische Systeme ein. Ein Mittel, um mit den Risiken umzugehen und die Vorteile zu optimieren, können Folgenabschätzungen sein. Die Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO bietet ein erstes Beispiel hierfür. Die geplante KI-Verordnung der EU sieht keine Folgenabschätzungen vor, mit dem Risikomanagementsystem und der Konformitätsbewertung kennt sie aber ähnliche Verfahren. Jonathan Dollinger untersucht, inwiefern die genannten Vorschriften einen tauglichen Rechtsrahmen für den KI-Einsatz in der Verwaltung darstellen. Dazu vergleicht er diesen Rechtsrahmen mit den Modellvorschriften des European Law Institute zu Folgenabschätzungen für Verwaltungs-Algorithmen sowie mit ausgewählten ausländischen Regelungen. Anschließend plädiert er für verwaltungsspezifische Folgenabschätzungen, die gegenüber den allgemeinen Vorschriften einen weiteren Prüfungsmaßstab und eine intensivere Öffentlichkeitsbeteiligung vorsehen.
Weitere Details
Weitere Ausgaben
Person
Inhalt
- Cover
- Titel
- Vorwort
- Inhaltsübersicht
- Inhaltsverzeichnis
- Abkürzungsverzeichnis
- Einführung
- § 1 Gegenstand und Ziele der Arbeit
- A. Relevanz des Themas und zentrale Fragestellungen
- B. Methodische Vorbemerkung
- I. Ziel und Gegenstände des Vergleichs
- II. Gründe für die Auswahl der Vergleichsgegenstände
- III. Vergleichs- und Bewertungsmaßstab
- 1. Grundsatz: Vergleich gesetzgeberischer Ausgestaltungsoptionen
- 2. Keine abschließende Bewertung von Regelungsoptionen
- 3. Trotzdem bestehender Wert der Vergleiche
- C. Ausgeklammerte Aspekte
- D. Gang der Untersuchung
- § 2 Algorithmische Systeme in der Verwaltung
- A. Technische Grundlagen
- I. Algorithmisches System
- II. Algorithmendeterminierte und -basierte Entscheidungen
- III. Künstliche Intelligenz und lernende Algorithmen
- 1. Definitionsansätze für KI
- 2. Lernende Algorithmen und Big Data
- 3. Fortbestehende Relevanz deterministischer Algorithmen
- B. Einsatzfelder algorithmischer Systeme in der Verwaltung
- C. Potenzial und Risiken
- I. Potenzial
- II. Risiken
- 1. Verfehlen der anvisierten Ziele
- 2. Intransparenz und mangelnde Erklärbarkeit
- 3. Risiken für Grundrechte
- 4. Menschliche Beteiligung und Akzeptanz
- 5. Gesellschaftliche Auswirkungen
- 6. Auswirkungen in der Verwaltung selbst
- D. Fazit
- Teil 1: Begriff, Ziele und Risiken von Folgenabschätzungen
- § 3 Begriff und Geschichte von Folgenabschätzungen
- § 4 Ziele von Folgenabschätzungen
- A. Sensibilisierung, Wissensgenerierung und Selbstreflexion
- B. Transparenz, Rechenschaft und Rechtsschutz
- C. Akzeptanz und Legitimation
- D. Kompensationsfunktion
- § 5 Risiken und Grenzen von Folgenabschätzungen
- A. Mangelnde Effektivität
- B. Aufwand und Bürokratie
- C. Fehlen wissenschaftlicher Erkenntnisse und Standards
- D. Schwierigkeit beim Verständnis und bei der Erklärung algorithmischer Systeme
- Teil 2: Überblick über die untersuchten Rechtsinstitute
- § 6 Die Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO
- A. Geschichte und Stellung in der DS-GVO
- I. Vorabkontrolle in der Datenschutzrichtlinie
- II. Die Stellung der Datenschutz-Folgenabschätzung in der DS-GVO
- B. Anwendungsbereich und Erforderlichkeit der Folgenabschätzung
- C. Ablauf und Inhalt der Folgenabschätzung
- § 7 Konformitätsbewertung und Risikomanagementsystem im Entwurf einer KI-Verordnung
- A. Regelungskonzept des KI-VO-E
- B. Hintergrund: Der KI-VO-E als Produktsicherheitsrecht nach der Neuen Konzeption
- I. Grundidee der Neuen Konzeption
- II. Materielle Vorgaben für Hochrisiko-KI
- 1. Beschränkung auf grundlegende Vorgaben
- 2. Das Risikomanagementsystem
- III. Verfahren
- 1. Konformitätsbewertung
- 2. Marktüberwachung
- IV. Harmonisierte Normen
- V. Zwischenergebnis
- § 8 Beispiele verwaltungsspezifischer Vorschriften
- A. Das kanadische "Algorithmic Impact Assessment"
- I. Die Directive on Automated Decision-Making
- II. Das Algorithmic Impact Assessment und seine Konsequenzen
- III. Einschätzung
- B. Washington Senate Bill 5116 (2021): "Algorithmic Accountability Report"
- I. Anwendungsbereich und materielle Vorgaben
- II. Der "Algorithmic Accountability Report"
- III. Einschätzung
- C. Die ELI Model Rules on Impact Assessment of Algorithmic Decision-Making Systems used by Public Administration
- I. Anwendungsbereich und Risikoschwelle
- II. Bericht
- III. Verfahren
- 1. "substantial risk"-Systeme
- 2. Zusätzliche Vorgaben für "high risk"-Systeme
- IV. Aufsichtsbehörde und Rechtsschutz
- V. Einschätzung
- D. Zwischenergebnis: Vielfalt der Ausgestaltungsmöglichkeiten
- Teil 3: Vergleich und Bewertung der Datenschutz-Folgenabschätzung, der Instrumente des KI-VO-E und der ELI Model Rules
- § 9 Vorbemerkungen
- A. Überblick
- B. Konzeptionelle Überlappung von Folgenabschätzungen und KI-VO-E
- I. Folgenabschätzung und Risikomanagement
- II. Folgenabschätzung und Konformitätsbewertung
- III. Fazit
- § 10 Der Anwendungsbereich
- A. Erfasste Technik
- I. Art. 35 DS-GVO: Datenverarbeitung
- 1. Weite des Begriffs des Personenbezugs
- 2. Grenzen
- a) Daten über juristische Personen
- b) Verarbeitung von Sach- und statistischen Daten
- II. KI-VO-E: KI-Systeme
- 1. Abschließende, aber weite Definition des KI-Systems
- 2. Verengung des KI-Begriffs durch Rat und Parlament?
- III. ELI Model Rules: Algorithmisches Entscheidungssystem
- 1. Weite des Begriffs
- 2. Einschränkungen
- IV. Bewertung
- B. Einsatzbereich des algorithmischen Systems
- I. Art. 35 DS-GVO: weiter Anwendungsbereich mit wenigen Ausnahmen
- 1. Anwendungsbereich des Unionsrechts
- 2. Bereichsausnahmen
- 3. Zwischenergebnis
- II. KI-VO-E: Beschränkung auf spezifische Einsatzzwecke
- III. ELI Model Rules: umfassender Anwendungsbereich
- IV. Bewertung
- C. Risikoschwelle
- I. Art. 35 DS-GVO
- 1. Allgemeine Risikodefinition
- 2. Bestimmung des "hohen" Risikos
- a) Schwellwertanalyse (Screening)
- b) Fallgruppen
- c) Listen
- II. KI-VO-E
- III. ELI Model Rules
- IV. Bewertung
- 1. Notwendigkeit einer Risikoschwelle
- 2. Einzelfallgerechtigkeit oder Typisierung?
- a) Vor- und Nachteile der Typisierung
- b) Detaillierte Fragebögen als Mittelweg
- 3. Möglichkeit regionaler Unterschiede
- 4. Ausdifferenzierung der Risikostufen
- 5. Zwischenergebnis
- D. Ausnahme für eilbedürftige Fälle
- I. Ausnahme im KI-VO-E
- II. Alternative in den ELI Model Rules
- § 11 Der Verpflichtete
- A. Definition des Verpflichteten
- I. Verpflichteter nach Art. 35 DS-GVO: der Verantwortliche
- II. Verpflichteter nach den ELI Model Rules: "implementing authority"
- III. Verpflichteter nach dem KI-VO-E: Anbieter und Nutzer
- 1. Anbieter
- a) Inverkehrbringen
- b) Inbetriebnahme
- 2. Der Nutzer und seine Behandlung als Anbieter
- B. Auseinander- oder Zusammenfallen der Verpflichtung?
- I. Ausgangspunkt: unterschiedliche Verpflichtete
- II. Zusammenfallen der Verpflichtungen
- III. Sonderfall: fortbestehender Einfluss des Entwicklers
- 1. Das technische Phänomen
- 2. Rechtliche Einordnung
- a) Rollenverteilung nach dem KI-VO-E
- b) Datenschutzrecht
- c) ELI Model Rules
- C. Bewertung
- I. Mangelnde Flexibilität der ELI Model Rules
- II. Probleme des Fokus des KI-VO-E auf den Anbieter
- 1. Problem der "general purpose AI"
- 2. Berücksichtigung des Einsatzkontexts
- 3. Outsourcing des Risikomanagements für die Verwaltung an den Anbieter im KI-VO-E
- III. Fazit
- § 12 Der Zeitpunkt der Prüfung, insbesondere ihre Wiederholung oder Aktualisierung
- A. Art. 35 DS-GVO
- I. Normalfall: ex-ante-Prüfung und Aktualisierungspflichten
- II. Sonderfall: Vorverlagerung in das Gesetzgebungsverfahren
- B. KI-VO-E
- I. Konformitätsbewertung: einmalig vorab, punktuelle Wiederholung
- II. Risikomanagementsystem: andauernde Verpflichtung
- C. ELI Model Rules
- D. Bewertung
- § 13 Die Prüfung und Bewertung der Auswirkungen
- A. Der Prüfungsmaßstab
- I. Der Prüfungsmaßstab des Art. 35 DS-GVO
- 1. Das Problem: unklarer Wortlaut der Vorschrift
- 2. Vorbemerkungen
- a) Der risikobasierte Ansatz der DS-GVO
- b) Grundrechtsdogmatischer Hintergrund: Datenschutz (auch) als instrumentelles Recht
- 3. Meinungsstand
- a) Compliance-Ansatz
- b) Grundrechtsorientierter Ansatz
- 4. Vergleich der Ansätze
- 5. Vorzugswürdigkeit des grundrechtsorientierten Ansatzes
- a) Sekundärrechtlich
- b) Verständnis des risikobasierten Ansatzes
- c) Grundrechtsdogmatisch
- d) Steuerungsperspektive
- 6. Ergänzung um berechtigte Interessen
- 7. Ergebnis: Vorrang der Rechtmäßigkeitsprüfung, Auffangwirkung der Grundrechtsprüfung
- II. Der Prüfungsmaßstab der Instrumente des KI-VO-E
- 1. Die Problematik des Schutzguts des KI-VO-E
- 2. Risikomanagementsystem: Schutzgut-Risiko
- a) Das Problem: fehlende Anhaltspunkte im Wortlaut
- b) Argumente für ein Compliance-Risiko
- c) Argumente für ein Schutzgut-Risiko
- d) Welches Schutzgut?
- aa) Das Problem: unklare Vorgaben des KI-VO-E
- bb) Lösungsansatz: sektorspezifischer Einbezug öffentlicher Interessen
- e) Der Ansatz des Ratsentwurfs
- 3. Konformitätsbewertungsverfahren: Compliance-Ansatz unter Einbezug des Risikomanagementsystems
- 4. Zwischenergebnis
- III. Der Prüfungsmaßstab der ELI Model Rules
- IV. Vergleich und Bewertung, insbesondere: Erweiterung des Prüfungsmaßstabs
- 1. Individualinteressen
- 2. Auswirkungen auf die Gesellschaft und die Umwelt
- 3. Auswirkungen innerhalb der Verwaltung
- 4. Leistungsfähigkeit
- 5. Einfachrechtliche, insbesondere verwaltungsrechtliche Bestimmungen
- 6. Ethische Aspekte
- V. Fazit
- B. Die Risikodefinition und ihre Grenzen, insbesondere der Umgang mit Wissensdefiziten
- I. Grenzen des Risikobegriffs
- 1. Risiko, Unsicherheit, Nichtwissen
- 2. Unterschiedliche Ansätze der Risikobewertung
- II. Umgang mit Wissensdefiziten in der Datenschutz-Folgenabschätzung
- III. Umgang mit Wissensdefiziten im KI-VO-E
- IV. Umgang mit Wissensdefiziten in den ELI Model Rules
- V. Fazit
- § 14 Risikosteuerung
- A. Art. 35 DS-GVO und ELI Model Rules: Gesetzeskonformität und Selbstreflexion
- B. KI-VO-E: Gesetzeskonformität und Generalklausel zur Risikosteuerung
- C. Impulse aus den anderen verwaltungsspezifischen Vorschriften
- D. Fazit
- § 15 Konkretisierung der Untersuchungsmethode
- A. Art. 35 DS-GVO: Datenschutzmethodologien
- B. KI-VO-E: Harmonisierte Normen und gemeinsame Spezifikationen
- I. Harmonisierte Normen und ihre Probleme
- II. Gemeinsame Spezifikationen als Alternative?
- C. ELI Model Rules: Fragebögen
- D. Vergleich und Bewertung
- § 16 Verfahrensvorschriften
- A. Öffentlichkeitsbeteiligung
- I. Potenzial und Schwierigkeiten einer Öffentlichkeitsbeteiligung
- 1. Potenzial
- 2. Schwierigkeiten
- II. Art. 35 DS-GVO: konkretisierungsbedürftige Beteiligung im Einzelfall
- 1. Notwendigkeit der Öffentlichkeitsbeteiligung
- 2. Zu konsultierende Personen
- 3. Verfahren
- 4. Zwischenergebnis
- III. KI-VO-E: keine Beteiligung im Einzelfall, unzureichende Kompensation durch Beteiligung an der Normung
- 1. Verfahren der Normungsorganisationen
- 2. Erstellung gemeinsamer Spezifikationen
- IV. ELI Model Rules: formalisierte Beteiligung bei hohem Risiko
- V. Vergleich und Bewertung
- B. Expertenbeteiligung
- I. Datenschutz-Folgenabschätzung: interner Datenschutzbeauftragter
- II. KI-VO-E: Expertenbeteiligung nur im Rahmen der Normung
- III. ELI Model Rules: formalisierte Expertenbeteiligung bei hohem Risiko
- IV. Vergleich und Bewertung
- C. Dokumentation und Veröffentlichung
- I. Art. 35 DS-GVO: fehlende Veröffentlichungspflicht und Alternativen
- 1. Alternative: Informationspflichten und Auskunftsrechte?
- 2. Alternative: "Recht auf Erklärung"?
- 3. Alternative: Informationsfreiheitsrecht?
- II. KI-VO-E
- 1. Dokumentation für die Aufsichtsbehörden
- 2. Im Wesentlichen formale Veröffentlichungspflichten
- a) Konformitätserklärung: Mangel an Details
- b) CE-Kennzeichnung: keine inhaltliche Begründung
- 3. Veröffentlichungspflichten mit inhaltlichen Ausführungen
- a) Mitteilung von Restrisiken aus dem Risikomanagementsystem
- b) Potenzial und Grenzen der Gebrauchsanweisung
- c) Datenbank für Hochrisiko-KI-Systeme
- 4. Fazit
- III. ELI Model Rules: umfassender Bericht und Datenbank
- IV. Vergleich und Bewertung
- D. Überprüfung durch Dritte und Interaktion mit Aufsichtsbehörden
- I. Selbstkontrolle und vorherige Konsultation bei der Datenschutz-Folgenabschätzung
- 1. Voraussetzungen der vorherigen Konsultation
- 2. Handlungsmöglichkeiten der Aufsichtsbehörde
- 3. Abweichende Ausgestaltung in der JI-RL
- II. KI-VO-E: Elemente der Selbstkontrolle und Ausnahmen
- III. ELI Model Rules: Selbstkontrolle und Einbindung der Aufsichtsbehörde
- IV. Vergleich und Bewertung
- 1. Vorzüge der Selbstkontrolle
- 2. Vorzüge von Meldepflichten an die Aufsichtsbehörde
- 3. Einführung einer Genehmigungspflicht?
- a) Beispiele für stärkere Fremdkontrolle
- b) Argumente für und gegen eine Genehmigungspflicht
- 4. Ausgestaltung der Aufsichts- oder Genehmigungsbehörde
- a) Möglichkeiten für die Auswahl der Aufsichtsbehörde
- aa) Datenschutzbehörden
- bb) Fachaufsichtsbehörde
- b) Aufsichtsbehörde und mögliche Genehmigungspflicht
- § 17 Zusammenfassung und Schlussfolgerungen
- A. Überschneidungen und Kombinationsmöglichkeiten der Instrumente des KI-VO-E und der Folgenabschätzungen
- I. KI-VO-E und Datenschutz-Folgenabschätzung
- 1. Überschneidungen im Anwendungsbereich
- 2. Überschneidungen und Kombinationsmöglichkeiten im Verfahren
- a) Auseinanderfallen von Anbieter und datenschutzrechtlich Verantwortlichem
- b) Zusammenfallen von Anbieter und datenschutzrechtlich Verantwortlichem
- II. Mögliche Veränderungen durch Implementation der ELI Model Rules
- B. Gesamtbewertung der EU-Rechtsakte
- I. Folgenabschätzung und Instrumente des KI-VO-E: Gemeinsamkeiten und Unterschiede
- II. Guter "Basisschutz", ausbaufähig hinsichtlich Transparenz und öffentlicher Debatte
- C. Gesamtbewertung der ELI Model Rules
- Teil 4: Rechtspolitische Optionen zum Ausbau von Folgenabschätzungen
- § 18 Folgenabschätzungen im KI-VO-E?
- A. Kein zusätzlicher Nutzen einer Verpflichtung des Anbieters
- B. Verpflichtung des Nutzers
- I. Möglichkeiten
- II. Abwägung der Lösungen
- 1. Fehlende materielle Nutzerpflichten als Argument gegen eine Konformitätsbewertung
- 2. Schwierige Abgrenzbarkeit von den Verpflichtungen des Anbieters als Argument gegen ein Risikomanagementsystem
- 3. Koordinierbarkeit mit der Datenschutz-Folgenabschätzung als Argument für die Folgenabschätzung
- 4. Zwischenergebnis
- III. Zwischenergebnis
- § 19 Spezifische Folgenabschätzungen für algorithmische Systeme in der Verwaltung
- A. Vor- und Nachteile verwaltungsspezifischer Folgenabschätzungen
- I. Vorteile
- II. Nachteile
- B. Wahl der Regelungsebene
- I. Unklare Kompetenzgrundlage im Unionsrecht
- 1. Art. 114 AEUV
- 2. Alternative Kompetenzgrundlagen
- II. Möglichkeit einer verwaltungsspezifischen Folgenabschätzung im mitgliedstaatlichen Recht
- 1. Sperrwirkung des EU-Datenschutzrechts
- 2. Sperrwirkung des KI-VO-E
- III. Lösungsvorschlag: Öffnungsklauseln
- C. Möglichkeiten der Ausgestaltung
- I. Anwendungsbereich, Verpflichtete und Zeitpunkt
- II. Prüfungsmaßstab, Risikosteuerung, Methodologie
- III. Verfahren
- IV. Aufsichtsbehörde und Genehmigungspflicht
- V. Gerichtliche Kontrolle
- VI. Konkurrenz zu anderen Vorschriften
- Schluss
- § 20 Zusammenfassung der Thesen der Arbeit
- § 21 Ausblick
- Anhang: Fragebogen des kanadischen Algorithmic Impact Assessment
- Literaturverzeichnis
- Sachregister
