Datenschutzkonformer Umgang mit KI

8-Punkte-Roadmap zum datenschutzkonformen Umgang mit KI

Ihre 8-Punkte Roadmap zum datenschutzkonformen Umgang mit KI | Foto von Andrea De Santis auf Unsplash, genutzt von JOWECON GmbH

Wir unternehmen in diesem Blogbeitrag eine kleine Reise durch die Datenschutzanforderungen beim Einsatz von KI. Dieser Aufsatz inklusive der „8-Punkte-Roadmap zum datenschutzkonformen Umgang mit KI“ soll Ihnen als Orientierungshilfe bei der datenschutzrechtlichen und konzeptionelle Einordnung des Themas helfen. Aktualisiert haben wir unseren Artikel um weiterführende Hinweise der Landesdatenschutzbehörden mit teilweise hilfreichen Checklisten.

Als Entscheider*in müssen Sie auch im Datenschutz und der Informationssicherheit heute breiter und zukunftsorientiert denken. Die Digitalisierung und die damit verbundenen Chancen und Risiken beeinflussen Ihre Zukunftsstrategie und damit die Prozesse (Stichwort Datenschutz durch Technikgestaltung) und Investitionen in Mitarbeiter (Stichwort lebenslanges Lernen). In dieser dynamischen Zeit gilt es im wahrsten Sinne des Wortes „das Gras wachsen hören“.

KI- Die Rolle des Gesetzgebers

Natürlich bilden die Rechtsakte auf europäischer und deutscher Ebene die Grundlage für die von Ihnen als Verantwortliche zu erwartende Umsetzungen. Datenschutz ist von entscheidender Bedeutung, da KI-Systeme oft große Mengen an persönlichen Daten verarbeiten, um fundierte Entscheidungen zu treffen. Oft kann man auch nicht erkennen wo die Daten verarbeitet oder gespeichert werden. Die DS-GVO wurde im Mai 2018 eingeführt, um den Schutz personenbezogener Daten zu gewährleisten und die Rechte und Freiheiten der Einzelpersonen zu stärken. Sie ist die Grundlage für die datenschutzrechtliche Beurteilung, muss aber aufgrund der KI-Dynamik in der Zukunft durch weitere Gesetze flankiert werden.

Die KI-Dynamik treibt den Gesetzgeber vor sich her

Innovationen wie Bing Chat von Microsoft, ChatGPT von AI oder Bard von Google eröffnen komplett neue Dimensionen. Neue digitale Servicedienstleistungen (Stichworte IoT, Bots, Blockchain, Bausteine in der App-Entwicklung) werden neue Jobs in Unternehmen schaffen. Die IT wird vom Cost-Center zum Innovations-Center. Die Cyberrisiken steigen und es ist nur eine Frage der Zeit, wann Ihr Unternehmen davon betroffen ist. Auch stellen sich immer mehr Fragen nach den Hoheitsrechten der Daten. Wer hat eigentlich das Copyright? Wer ist im Falle eines Datenschutzvorfalls zur Verantwortung zu ziehen (Stichworte: Einkauf von IT-Bausteinen, AVV)? Das wiederum erfordert Investitionen in die Informationssicherheit und in den Datenschutz (Stichworte: Notfallkonzept, Schulungen, technisch-organisatorische Maßnahmen). Sonst wird es noch teurer, bzw. die Cyberversicherungen greifen nicht.

DSA, DMA, AI-Act und Data Act

Der Gesetzgeber läuft zwar hinterher, jedoch holt er auf. Das hat Auswirkungen auf Ihr Geschäft. Mit der „Erklärung über die europäischen digitalen Rechte und Grundsätze“ setzt die EU einen Rahmen für den zu beschreitenden Weg der kommenden 10 Jahre. Damit allerdings belässt sie es nicht. Das Gesetz über digitale Märkte (DMA, Digital Markets Act) ergänzt das Wettbewerbsrecht und beschränkt die Macht marktbeherrschender Digitalkonzerne. Der ab 17. Februar 2024 geltende DSA – Digital Service Act, also das Gesetz über digitale Dienste, wird die inzwischen 20 Jahre alte E-Commerce-Richtlinie ergänzen und Teile von ihr aktualisieren.

Im April 2021 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI), auch bekannt als KI-Verordnung, vorgelegt. Die KI-Verordnung der EU gilt als fundamentaler Grundstein für die Regulierung von künstlicher Intelligenz in der EU. Es gibt hierzu viele Diskussionen und wir sehen nicht gerade eine positive Einstellung der EU zur Fortschrittlichkeit.

Flankiert wird die KI-Verordnung durch den Data Act. Der Data Act wird Bürger, Politik und die Aufsichtsbehörden fordern. Er verfolgt zwei Ziele: Zum Einen Fairness im Zugang zu Daten, also wer welche Daten unter welchen Voraussetzungen nutzen darf. Das zweite Ziel will den wirtschaftlichen Wert von Daten maximieren.

KI-Anwendungen im Alltag und Datenschutz

In unserem Alltag haben sich KI-Anwendungen bereits etabliert. Beispielsweise analysieren personalisierte Empfehlungssysteme das Nutzerverhalten, um Inhalte und Produkte anzupassen. Doch hinter den Empfehlungen stecken oft komplexe Algorithmen, die auf umfangreichen Datensätzen basieren.

Wenn Sie in Ihrem Unternehmen solche Systeme einsetzen müssen sicherstellen, dass die Daten korrekt und nur für den angegebenen Zweck verwendet werden. Es ist entscheidend, dass die erhobenen Daten nicht unangemessen genutzt oder weitergegeben werden, um die Privatsphäre der Nutzer zu schützen. Zum DSGVO-Konformen Einsatz der KI gehört die transparente Informationsweitergabe über die Datenverarbeitung, die Einholung der Einwilligung der Betroffenen, die Sicherstellung der Datensicherheit und die Berücksichtigung der Rechte der betroffenen Personen, wie das Recht auf Zugang, Berichtigung und Löschung ihrer Daten.

KI in der Arbeitswelt und die Pflichten nach DS-GVO

In der Arbeitswelt revolutioniert KI die Produktivität und Effizienz. KI-basierte Systeme automatisieren Prozesse und unterstützen Entscheidungsfindungen. Blicken wir auf den HR-Bereich: Von der Bewerberauswahl über die Performance-Analyse bis hin zur Mitarbeiterentwicklung verspricht KI eine Revolution in der Art und Weise, wie Unternehmen Personalmanagement betreiben. Doch auch hier gibt es Risiken und es müssen die DSGVO-Vorgaben beachtet werden.

Die Verantwortlichen im Unternehmen haben dafür zu sorgen, dass personenbezogene Daten nur für legitime Zwecke verarbeitet und angemessene Sicherheitsmaßnahmen zum Schutz dieser Daten getroffen werden. Darüber hinaus müssen sie sicherstellen, dass die Mitarbeiter über die Verarbeitung ihrer Daten informiert und ihre Rechte respektiert werden.

KI-Ethik und die Verantwortung der Entwickler

Die ethische Dimension der KI bezieht sich nicht nur auf den Datenschutz, sondern auch auf den möglichen Missbrauch von KI-Technologien. Die DS-GVO enthält jedoch auch Prinzipien, die die Verantwortung der Entwickler und Anwender betonen.

Entwickler sollten bereits bei der Konzeption von KI-Systemen Datenschutz und Informationssicherheit berücksichtigen. Dazu gehört die Implementierung von Datenschutz durch Technikgestaltung (Privacy by Design) und die Durchführung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments), um potenzielle Risiken zu erkennen und zu minimieren.

Ihre 8-Punkte-Roadmap zum datenschutzkonformen Umgang mit KI

Die Prüfung einer KI-Technologie unter Berücksichtigung der Datenschutz-Grundverordnung (DS-GVO) umfasst mehrere Kriterien, um sicherzustellen, dass der Datenschutz und die Informationssicherheit gewährleistet sind. Die folgende nicht abschließende Liste, soll Ihnen als Leitfaden dienen:

1. Datensparsamkeit:

Die KI sollte nur die für ihren bestimmten Zweck erforderlichen Daten verarbeiten. Es ist wichtig, dass unnötige oder sensible Daten nicht gesammelt oder verwendet werden, um die Privatsphäre der betroffenen Personen zu schützen.

2. Transparenz und Informationspflicht:

Nutzer müssen über die Datenverarbeitung und den Zweck der KI-Anwendung umfassend informiert werden. Die Datenschutzerklärung sollte klar und leicht verständlich sein, um den Nutzern die Entscheidung zu ermöglichen, ihre Einwilligung zur Datenverarbeitung zu erteilen.

3. Einwilligung:

Wenn die KI personenbezogene Daten verarbeitet, muss die Zustimmung der betroffenen Personen eingeholt werden. Die Einwilligung sollte freiwillig, spezifisch und informiert sein, und die betroffenen Personen sollten das Recht haben, ihre Einwilligung jederzeit zu widerrufen.

4. Datensicherheit:

Die KI-Entwickler und -Betreiber müssen angemessene technische und organisatorische Maßnahmen treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dazu gehören Verschlüsselung, Zugriffsbeschränkungen und regelmäßige Sicherheitsüberprüfungen.

5. Rechte der betroffenen Personen:

Die DS-GVO gewährt den betroffenen Personen bestimmte Rechte, wie das Recht auf Zugang, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung ihrer Daten. Die KI muss so gestaltet sein, dass diese Rechte respektiert und unterstützt werden.

6. Datenschutz-Folgenabschätzung (Data Protection Impact Assessment – DPIA):

Bei KI-Systemen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, ist eine Datenschutz-Folgenabschätzung erforderlich. Eine DPIA ermöglicht es, Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen, um diese zu minimieren.

7. Privacy by Design und Privacy by Default:

Datenschutz sollte von Anfang an in die KI-Entwicklung integriert werden (Privacy by Design). Standardmäßig sollten nurdie notwendigen Daten verarbeitet werden, um die Datensparsamkeit zu gewährleisten (Privacy by Default).

8. Auftragsverarbeitung:

Wenn ein Dritter die Datenverarbeitung für den KI-Betreiber durchführt, muss ein angemessener Vertrag zur Auftragsverarbeitung (AV-Vertrag) abgeschlossen werden, der die Anforderungen der DSGVO erfüllt.

Die Einhaltung dieser Kriterien hilft Ihnen nicht nur bei der Vermeidung möglicher Bußgelder. Sie ist von entscheidender Bedeutung, um das Vertrauen der Nutzer in KI-Anwendungen zu stärken und gleichzeitig die Rechte und Freiheiten der betroffenen Personen zu schützen. Es liegt in Ihrer Verantwortung als Entwickler und Betreiber, sicherzustellen, dass Ihre KI-Technologien die DSGVO-Bestimmungen erfüllen und die höchsten Standards für Datenschutz und Informationssicherheit einhalten.

Fazit: KI und Datenschutz – Eine Gratwanderung

Die faszinierende Welt der Künstlichen Intelligenz bietet unglaubliche Potenziale für unsere Gesellschaft. Doch gleichzeitig müssen wir uns den Herausforderungen des Datenschutzes und der Informationssicherheit stellen.

Die DS-GVO ist ein wichtiger Schritt in die richtige Richtung, um den Schutz unserer persönlichen Daten zu gewährleisten. Nehmen Sie als Unternehmen und Entwickler Ihre Verantwortung wahr, indem Sie Datenschutz und Sicherheit von Anfang an in Ihre KI-Entwicklungen einbeziehen.

Nachtrag: Weiterführende Lektüre der Aufsichtsbehörden zur künstlichen Intelligenz

LfDI Baden-Württenberg legt Diskussionspapier vor

In dem  Diskussionspapier zu Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz legt das LfDI eine Arbeitshilfe zur Analyse spezifischer Einsatzszenarien innerhalb des gegebenen rechtlichen Rahmens vor. Im Mittelpunkt steht dabei die Frage, unter welchen Bedingungen personenbezogene Daten für das Training und die Anwendung von künstlicher Intelligenz verarbeitet werden dürfen. Es handelt sich dabei ausdrücklich nicht um eine abschließende datenschutzrechtliche Bewertung. Für eine erste Einordnung kann die unter Punkt X. aufgestellte „Kurz-Checkliste zur Verarbeitun“ dienen. Zur Vertiefung in die Thematik enthält das Dokument außerdem eine hilfreiche Materialsammlung. Eine Kommentierung des Diskussionspapiers ist erwünscht und noch bis zum 01.02.2024 möglich.

Checkliste zum Einsatz LLM-basierter Chatbots vom Hamburgischen Datenschutzbeauftragten

Die Checkliste zum Einsatz cloudbasierter LLM Chatbots soll Unternehmen und Behörden als Leitfaden dazu dienen, wie solche cloudbasierten Large Language Models (LLM) datenschutzkonform genutzt werden können. Die Checkliste enthält 15 Punkte zum kontrollierten Umgang mit LLM-Chatbots, die neben dem Datenschutz auch weitere Aspekte wie das Phänomen der „Halluzination“ und den Geheimnisschutz thematisieren.

Autor: Oliver Zeh

Schlagworte: KI, DSGVO, Informationssicherheit