Datenschutz und Datensicherheit im Kontext KI

Datenschutz und Datensicherheit im Kontext KI

Avatar von Steffen Hartmann

Der Aufstieg der KI (Künstlichen Intelligenz) hat gerade erst begonnen und durch Entwicklungen wie das allseits bekannte ChatGPT von OpenAI befeuert. Unternehmen spüren den Druck, den diese neue Technologie verursacht … und die FOMO (Fear of Missing Out) wächst. 

Vor lauter Aktionismus und der Angst, einen neuen Trend zu verschlafen und mögliche Wettbewerbsvorteile nicht zu nutzen, dürfen jedoch auch wesentliche Gefahren für die Daten der Unternehmen nicht übersehen oder ignoriert werden. Denn der Einsatz von KI wirft neue Fragestellungen im Kontext Datenschutz und Sicherheit auf. Diese Fragen betreffen nicht nur die DSGVO oder GDPR, sondern auch den generellen Schutz von unternehmensinternen Wissen und dem damit verbunden geistigen Eigentum.

KI und der Datenschutz

ChatGPT und andere KI-gestützte Systeme können Wissensarbeit erheblich vereinfachen und beschleunigen. Jedoch hat diese Vereinfachung einen Preis, den viele Unternehmen aktuell noch übersehen. Um diesen Preis zu verstehen, ist es wichtig, die Funktionsweise von KI noch mal explizit zu machen: Jede Frage und jede Aufgabe wird von KI-Systemen – in den meisten Fällen – nicht lokal verarbeitet, sondern an ein externes System weitergesendet und dort ausgewertet und verarbeitet.

Unternehmen müssen lernen, neue Technologien zu nutzen, zu etablieren und auch sicherstellen, dass diese Nutzung den internen und rechtlichen Bedingungen gerecht wird.

Im Falle von ChatGPT, welches das aktuell meist genutzte System ist, fließen diese Daten auf die OpenAI-Server in den USA, um dort analysiert und weiterverarbeitet zu werden. Was alleine schon als kritischer Punkt im Bezug auf Datenschutz und Datensicherheit zu bewerten ist, wird noch relevanter, wenn man bedenkt, dass die gesendeten Daten nicht nur im Sinne der Verarbeitung einer Anfrage genutzt werden, sondern auch zur weiteren Optimierung der KI und ihrer Fähigkeiten verwendet werden können. So können aus internen Unternehmensdaten schnell Trainingsdaten für KI-Anbieter werden.

Was also auf der einen Seite die Produktivität steigern kann, führt zur gleichen Zeit zum Abfluss von unternehmensrelevanten Daten. So kann es ein Vorteil und eine Arbeitserleichterung sein, wenn z. B. ein wissenschaftlicher Mitarbeiter ChatGPT zur Validierung von gewonnener Erkenntnisse nutzt. Auf der anderen Seite bedeutet es auch, das diese Erkenntnisse und zugehörige interne Daten mit einem Drittsystem außerhalb des Unternehmens geteilt und dort verarbeitet werden. Selbiges gilt auch im Kontext personenbezogener Daten, welche in Deutschland und der EU durch die DSGVO geschützt sind, weshalb somit eine Weitergabe dieser Daten an Drittsysteme – besonders außerhalb der EU – besonders kritisch zu bewerten ist. 

Unternehmen müssen somit nicht nur lernen, neue Technologien zu nutzen und zu etablieren, sondern auch sicherstellen, dass diese Nutzung den internen und rechtlichen Bedingungen gerecht wird. Das erfordert eine Betrachtung in zwei Dimensionen: organisatorische sowie rechtliche Rahmenbedingungen.

Organisatorische Rahmenbedingungen

Diese organisatorischen Rahmenbedingungen müssen sicherstellen, das keine unkontrollierte Weitergabe von Wissen und geistigen Eigentum passiert. Die einfachste Möglichkeit wäre ein Verbot der Nutzung von ChatGPT im Unternehmen, was jedoch zu kurz gegriffen wäre. Weil ein Verbot löst das Problem nicht und die Daten werden ihren Weg trotzdem finden, denn Mitarbeitende sind erfinderisch und Verbote nutzen eher dem Zweck, kreative Wege zu finden, diese zu umgehen als das sie dem initialen Zweck dienen.

Besser ist es, den Mitarbeitenden die Sensitivität der Daten bewusst zu machen und Wege zu etablieren, KI zu nutzen, ohne diese Daten zu gefährden.

Das ist sogar mit ChatGPT möglich, denn Daten werden dort nur zu Trainingszwecken verwendet, wenn sie direkt auf der Weboberfläche erfasst wurden. Daten, die z. B. über das API verarbeitet werden, unterliegen einem erweiterten Datenschutz (How your data is used to improve model performance | OpenAI Help Center).

Auch ist es notwendig, die Bereiche im Unternehmen zu identifizieren, in denen KI Vorteile bringen kann und diese gegen Datenschutz und Datensicherheit abzuwägen, um daraufhin Entscheidungen bezüglich des weiteren Vorgehens zu treffen.

Die Schaffung von organisatorischen Rahmenbedingungen geht nicht nur mit der Erstellung von Richtlinien und Regeln einher, sondern setzt auch eine ganzheitliche Strategie voraus, welche die Ziele der KI Nutzung beinhaltet. KI ist kein Selbstzweck, sondern soll Unternehmen und Mitarbeitern helfen, die Wertschöpfung zu optimieren. 

Zusammengefasst geht es bei den organisatorischen Rahmenbedingungen um die folgenden Punkte:

Zielgerichtet / Wertschöpfend

  • Welche Ziele verfolgt der Einsatz von KI im Unternehmen?
  • In welchen Bereichen des Unternehmens ist der Einsatz von KI gewünscht?
  • Welche Risiken birgt der Einsatz von KI in diesen Bereichen?

Risikominimierend

  • Welche Risiken birgt der unkontrollierte Einsatz von KI?
  • Welche Richtlinien (nicht Verbote) können diesen Einsatz verhindern?
  • Welche technischen Möglichkeiten gibt es, KI datensparsam einzusetzen?
  • Welches Wissen benötigen Mitarbeitende bei der Nutzung von KI-Systemen?

Rechtliche Rahmenbedingungen

Wie bereits erwähnt, gibt es auch noch rechtliche Rahmenbedingungen zu berücksichtigen, die sich zum Großteil aus der DSGVO ableiten. Diese beziehen sich auf die Verarbeitung von personenbezogenen Daten und beinhaltet jegliche Form von Personendaten – egal ob von Kunden, Interessenten oder Mitarbeitenden. Der Schutz dieser Daten wird von der DSGVO klar definiert und stellt einige Hürden für die Verarbeitung in KI-Systemen auf.

Einwilligung

Die Verarbeitung persönlicher Daten setzt eine ausdrückliche und aktive Einwilligung der betroffenen Person voraus, die nachweisbar erfolgen muss. Eine bestehende Einwilligung kann nicht einfach übernommen werden, wenn Daten initial zu einem anderen Zweck verarbeitet werden (Art 6. Abs 4 DSGVO). Ob und wie KI den Zweck verändert ist im Einzelfall rechtlich zu klären, jedoch kann eine erneute Einwilligung der betroffenen Person notwendig sein; was sowohl Kunden wie auch Mitarbeitende betreffen kann.

Transparenz und Auskunftsrecht

Personen haben das Recht, jederzeit eine Auskunft darüber zu erhalten, wie und wo ihre Daten verarbeitet werden. Dieser Grundsatz gilt auch, wenn Daten an interne oder externe KI-Systeme weitergegeben werden, was die Notwendigkeit impliziert, als Unternehmen selbst Kenntnis von dieser Datenweitergabe zu haben. Dies erfordert auch eine Prüfung von Tools, die KI verwenden, um sicherzustellen, dass über diese keine Daten abfließen und wenn doch, sicherzustellen, dass eine Einwilligung entsprechend der weiteren Datenverwendung vorliegt.

Informationspflicht

Es besteht gegenüber betroffenen Personen eine Informationspflicht über die Art und Weise der Datenverarbeitung sowie darüber, welche Möglichkeiten des Widerrufs es gibt. Im Kontext von KI-Systemen wird Art. 15. Abs 1 (h) besondere Relevanz haben, der definiert, dass „aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen“ zur Verfügung zu stellen sind.

Datenverarbeitung durch Dritte

Werden personenbezogene Daten an Dritte weitergegeben, ist sicherzustellen, dass diese dritte Partei diese Daten im Sinne der DSGVO weiterverarbeiten und den entsprechenden datenschutzrechtlichen Pflichten auch nachkommen. Dies gilt auch für Daten, die an externe KI-Systeme wie ChatGPT weitergegeben werden.

Datenübermittlung an Drittstaaten

Der aktuell noch kritische Punkt in Bezug auf die Nutzung von ChatGPT und anderen KI-Tools ist die Übermittlung der Daten auf Server in den USA, da es sich hier um eine Datenübermittlung an ein Drittland im Sinne der DSGVO handelt. Diese Übermittlung erfordert – sofern personenbezogene Daten betroffen sind – dass der in der DSGVO Abs. 44 ff. definierte Schutz der Daten bei der Übermittlung und Verarbeitung gegeben ist. Aktuell sind alle OpenAI- und auch Microsoft-Azure-Server nur in den USA verfügbar, was dazu führt, das bei der Nutzung dieser Systeme immer ein Drittland involviert ist.

KI als Chance für Unternehmen

KI bietet viele neue Chancen für Unternehmen, jedoch bergen diese Chancen auch Risiken für Unternehmens- und Personendaten, die es zu berücksichtigen gilt. Richtlinien zum Schutz dieser Daten sollen KI nicht verhindern, sondern müssen dafür sorgen, das die Risiken des Einsatzes minimiert werden.

Es ist wichtig für Unternehmen, neue technologische Trends wie beispielsweise KI auch organisatorisch frühzeitig zu etablieren, um Möglichkeiten nicht zu verpassen, aber zugleich auch sicher im Kontext von Datenschutz und anderer organisatorisch Regularien agieren zu können.

Unsere Leistungen im Bereich AI

Avatar von Steffen Hartmann

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert