Die Schnittstelle zwischen der Welt der künstlichen Intelligenz (KI) und dem Umgang mit personenbezogenen Daten ist beträchtlich. Gerade Systeme, die eigenständig lernen, müssen in der Regel auf umfangreiche Datensätze zu greifen. Diese Systeme sind in der Lage, selbstständig Entscheidungen zu fällen, was jedoch das Risiko für die persönlichen Rechte und Freiheiten der Dateninhaber erhöht.

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der EU sind auch spezifische Regelungen in Kraft getreten, die den Einsatz künstlicher Intelligenz betreffen. Demzufolge ist der Schutz personenbezogener Daten ein essenzieller Faktor beim Einsatz von KI-Technologien. Dies gilt ganz unabhängig von den derzeitigen Plänen des EU-Parlaments zur KI-Regulierung.

 

Das Wichtigste in Kürze

  • Neben vielen Vorteilen birgt der Einsatz von Künstlicher Intelligenz auch Risiken für die Rechte der von der Verarbeitung betroffenen Personen.
  • Der Anwendungsbereich der DSGVO ist eröffnet, sobald durch die KI personenbezogene Daten verarbeitet werden.
  • Bestenfalls sollte eine Anonymisierung aller relevanten personenbezogenen Daten erfolgen.

 

Datenschutzrechtliche Probleme im Zusammenhang mit künstlicher Intelligenz

Ein deutliches Spannungsverhältnis zeichnet sich zwischen der Anwendung von Künstlicher Intelligenz und den Anforderungen des Datenschutzes ab. Die Effektivität von KI-Systemen hängt unmittelbar von der Qualität und dem Umfang der Daten ab, die zur Verfügung stehen. Um fortschrittliche und leistungsstarke KI zu entwickeln, ist die Verarbeitung großer Datenmengen unumgänglich. Dabei kommt es häufig zur Einbeziehung personenbezogener Informationen, deren Verarbeitung gemäß den strikten Vorgaben der DSGVO reguliert ist.

Die Bedeutung von künstlicher Intelligenz sowie die Wichtigkeit des Schutzes persönlicher Daten haben in jüngerer Vergangenheit zunehmend an Beachtung gewonnen.

Im unternehmerischen Alltag sind viele Anwendungsszenarien denkbar, wie KI-gestützte Systeme hilfreich sein können. Sei es im Kundensupport für die automatisierte Beantwortung von Kundenanfragen und Zurverfügungstellung von Informationen über Produkte und Dienstleistungen oder für die Generierung von Inhalten und Entwürfen sowie als virtuelle Assistenten, welche zur Optimierung von Abläufen dienen.

KI-Modelle durchlaufen für ihre Einsatzbereitschaft ein intensives Training, bei dem sie häufig auf frei zugängliche Daten, wie sie im Internet zu finden sind, zurückgreifen. Die Risiken sind dabei nicht zu unterschätzen, denn diese Datenquellen können fehlerhafte sein oder diskriminierende Inhalte enthalten, was sich potenziell in den Ergebnissen, die von der KI produziert werden, widerspiegeln könnte. Darüber hinaus besteht die Möglichkeit, dass die von der KI generierten Ergebnisse personenbezogene Daten enthalten, was datenschutzrechtlich bedenklich ist und für Unternehmen, die nicht alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten, rechtliche Schwierigkeiten mit sich bringen kann.

 

Tipps für Unternehmen beim Einsatz von künstlicher Intelligenz

Für viele stellt sich die Frage, ob ein datenschutzkonformer Einsatz von KI überhaupt möglich ist. Die Integration von Large Language Models (LLMs) wie ChatGPT in Unternehmensprozesse beispielsweise bietet vielfältige Chancen, bringt jedoch auch wesentliche datenschutzrechtliche Verpflichtungen mit sich. Large Language Models sind große generative Sprachmodelle mit Künstlicher Intelligenz, die mit riesigen Mengen an Textdaten vortrainiert sind.

Um diese Technologie konform mit den Datenschutzgesetzen zu nutzen, sollten Unternehmen einige Punkte beachten.

Zuallererst muss ein Unternehmen sicherstellen, dass die Datenverarbeitung durch LLMs rechtmäßig erfolgt. Dies bedeutet, dass die Verarbeitung der Daten einen rechtlichen Rahmen hat, der beispielsweise durch Einwilligungen oder gesetzliche Erlaubnistatbestände gegeben ist.

Ein weiterer essenzieller Schritt ist der Abschluss eines Auftragsverarbeitungsvertrages mit dem Anbieter des LLMs. Dieser Vertrag regelt insbesondere die Verantwortlichkeiten in Bezug auf den Datenschutz und sollte gegebenenfalls auch Standardvertragsklauseln enthalten, wenn Daten in Drittländer übertragen werden.

Vor der Einführung eines LLMs sollten Unternehmen eine Datenschutzfolgenabschätzung (DSFA) und ein Transfer Impact Assessment (TIA) durchführen. Diese Assessments dienen dazu, die Risiken der Datenverarbeitung zu bewerten und entsprechende Maßnahmen zu ihrer Minimierung zu dokumentieren.

Der Einsatz des Dienstes muss in der Datenschutzerklärung des Unternehmens transparent gemacht und im Verzeichnis für Verarbeitungstätigkeiten dokumentiert werden, um den Transparenzpflichten nachzukommen.

Es ist darauf zu achten, dass bei der Nutzung von LLMs keine personenbezogenen Daten offengelegt werden. Unternehmensinterne Daten müssen daher vor der Eingabe anonymisiert werden.

Zudem müssen adäquate Maßnahmen ergriffen werden, um die Sicherheit der Datenverarbeitung zu gewährleisten. Beispielsweise sollte bei der Nutzung von ChatGPT eingestellt werden, dass die Daten nicht für Trainingszwecke genutzt werden dürfen.

Diese Anleitung soll Unternehmen dabei unterstützen, den Einsatz von LLMs wie ChatGPT möglichst rechtssicher und verantwortungsvoll zu gestalten. Abschließende Rechtssicherheit wird man jedoch nicht erlangen können. Es ist von höchster Bedeutung, dass diese Schritte sorgfältig umgesetzt werden, um den Schutz personenbezogener Daten zu gewährleisten und die Compliance mit den gesetzlichen Datenschutzanforderungen zu sichern.

 

KI aus Sicht der Aufsichtsbehörden

Im Frühjahr 2023 untersagte die italienische Datenschutzbehörde (GPDP) vorübergehend die Datenverarbeitung italienischer Bürger durch OpenAI, das für ChatGPT verantwortlich ist. Die Behörde äußerte Bedenken hinsichtlich der Gültigkeit der rechtlichen Grundlage für die Verarbeitung personenbezogener Daten zur Algorithmus-Schulung und bemängelte die unvollständige Erfüllung von Informationspflichten. Der inkorrekte Umgang mit personenbezogenen Daten durch ChatGPT wurde ebenfalls problematisiert.

Ein weiteres Problem war das Fehlen einer Altersverifizierung, obwohl die Dienstleistungen von OpenAI gemäß den Nutzungsbedingungen erst ab 13 Jahren zugänglich sind, was zu potenziell altersunangemessenen Inhalten für jüngere Kinder führen könnte.

ChatGPT ist inzwischen wieder zugänglich für die italienische Bevölkerung, nachdem OpenAI die Forderungen der italienischen Datenschutzbehörde erfüllt hat: OpenAI musste auf seiner Website eine überarbeitete Datenschutzrichtlinie bereitstellen, die über die Datenverarbeitung und die Rechte der Betroffenen aufklärt.

Ebenso darf das Unternehmen nicht länger die Vertragserfüllung (Art. 6 Absatz 1 lit. b DSGVO) als Rechtsgrundlage anführen, sondern muss sich stattdessen auf die Zustimmung der betroffenen Personen oder ihre berechtigten Interessen stützen. OpenAI wurde auferlegt, Verfahren zur Berichtigung und Löschung von Daten sowie zum Widerspruch gegen deren Nutzung sowohl für ChatGPT-Nutzer als auch für Nicht-Nutzer zu implementieren.

Zum Schutz Minderjähriger muss OpenAI zunächst die Volljährigkeit des Nutzers bestätigen und bis September 2023 ein Altersverifikationssystem einrichten, das Minderjährige unter 13 Jahren und solche zwischen 13 und 18 Jahren ohne Zustimmung der Erziehungsberechtigten ausschließt.

Auch in Deutschland gründete die deutsche Datenschutzkonferenz (DSK) im April 2023 eine spezielle KI-Taskforce, welche sich mit dem Thema Künstliche Intelligenz befassen soll.

Als initiale Maßnahme richteten die deutschen Regulierungsinstanzen einen Fragenkatalog an OpenAI, um Einblicke etwa in die Herkunft der Daten und die Algorithmen, die der automatisierten Verarbeitung zugrunde liegen, zu gewinnen. Nachdem die Antwortfrist bereits einmal verlängert wurde, steht die Vorlage der Rückmeldungen durch OpenAI bevor. Auf Basis dieser Informationen planen die deutschen Behörden, eine Datenschutzanalyse von ChatGPT durchzuführen.

 

 

Fazit

Es ist zu erwarten, dass künftige Veränderungen der Gesetzgebung erfolgen werden, um mit der fortschreitenden Integration von künstlicher Intelligenz Schritt zu halten. Dabei stehen in der politischen Diskussion häufig die Gefahren von besonders riskanten Anwendungen mit weitreichenden Folgen und der deshalb erforderlichen Regulierung im Vordergrund. Die KI bietet jedoch auch erheblich praktische Vorteile, wie etwa die Verbesserung und Erkennung von Cybersecurity-Bedrohungen. Darüber hinaus können Unternehmen von der Effizienzsteigerung ihrer Prozesse durch den Einsatz künstlicher Intelligenz profitieren. Die Prognose, wie sich die Anwendung von KI entwickeln wird, gestaltet sich schwierig, da viele Aspekte noch im Unklaren liegen und wohl erst im Zuge weiterer technologischer Fortschritte konkretisiert werden können.

Obwohl Künstliche Intelligenz bereits in zahlreichen Bereichen Anwendung findet, bliebt es ein Themenfeld mit erheblichem Entwicklungspotenzial für die kommenden Jahre, welches sorgfältig beobachtet werden sollte.

Datenschutz spielt beim Einsatz von KI eine wesentliche Rolle, die auch es auch zukünftig besonders zu beachten gilt. Es ist für Unternehmen daher empfehlenswert, sich frühzeitig mit notwendigen Strategien und Compliance auseinanderzusetzen, um die Konformität ihrer KI-Systeme insbesondere auch mit Datenschutzvorschriften sicherzustellen.

 

„>

 
Kontakt aufnehmen