Alle Welt spricht von künstlicher Intelligenz (engl. Artificial Intelligence = AI). Alle sprechen von den Veränderungen, die KI für unsere Leben bedeuten wird, von dem – zukünftigen – Einfluss auf unsere Arbeit, auf Dienstleistungen und Kreativität. Datenschutz wird im öffentlichen Gespräch über KI dabei deutlich weniger thematisiert, obwohl KI-Technologien in dieser Hinsicht viele Fragen und Herausforderungen aufwerfen.
In diesem Artikel wollen wir daher einen Überblick geben, welche Bedeutung KI für den Unternehmensalltag in Bezug auf Datenschutz und Informationssicherheit hat. Zum einen wollen wir über den Umgang mit und den Einsatz von Tools wie ChatGPT im Unternehmen und den damit verbundenen Datenschutzfragen sprechen. Weiterhin geben wir Hinweise, wie sich Unternehmen auf die kommende europäische KI-Verordnung vorbereiten können.
Der Einfachheit halber fassen wir dabei alle Instrumente unter „KI“ zusammen, die unsere analog geprägten Gehirne mit diesem Begriff verbinden – auch wenn es formale Unterschiede zwischen KI und den „Large Language Models“ gibt, wie es z.B. ChatGPT eines ist.
Einsatz von KI im Unternehmen
Es gibt beim Einsatz von KI in Bezug auf Datenschutz und Datensicherheit noch viele offene Fragen. Die Anbieter von KI-Anwendungen tragen mit der ihr eigenen Intransparenz in Bezug auf die Nutzung personenbezogener Daten und Offenlegung interner Prozesse derzeit nicht zur Klärung bei. Insofern müssen sich Unternehmen die Lösungen weitgehend selber erarbeiten.
Sie müssen auch die Entwicklungen in Bezug auf die verschiedenen KI-Anwendungen im Blick behalten und die Lösung gegebenenfalls anpassen. Worauf gilt es aktuell zu achten?
Personenbezogene Daten in einer KI
Datenschutzrechtlich ist der Einsatz von KI immer relevant, wenn mit der jeweiligen Anwendung personenbezogene Daten verarbeitet werden. Daten also, die es ermöglichen eine lebende Person zu identifizieren, aber auch alle Daten, die weiter mit der Person verbunden sind (zum Beispiel Schriftstücke). Um hier Konflikte zu vermeiden, ist es sinnvoll, Daten vor Nutzung in einer KI-Anwendung zu anonymisieren.
ChatGPT und die vielen vergleichbaren Angebote sind nicht wie vielfach angenommen eine erweiterte Google Suche, sondern ein eigenständiges Instrument und den Umgang damit muss man lernen. Das fängt schon bei der Formulierung der sogenannten Prompts an, mit denen man sich das gewünschte Ergebnis zusammenstellen lässt.
Gibt man personenbezogene Daten und/oder Geschäftsgeheimnisse ein, kann dies insofern zum Problem werden, als die Anbieter alle Informationen sammeln und sie für die Weiterentwicklung der Anwendung benutzen. Abhilfe kann hier zum Beispiel der Einsatz einer Proxy Lösung schaffen, bei der die Eingaben der Mitarbeitenden nicht an die KI-Anbieter gesendet werden.
Zusätzlich zu den technischen Lösungen sollten aber unbedingt die Mitarbeitenden im Umgang mit KI-Technologien geschult werden und das Unternehmen entsprechende Vereinbarungen und Vorgaben treffen.
Datenschutz-Folgenabschätzung
Art. 35 Datenschutz-Grundverordnung (DSGVO) fordert eine Datenschutz-Folgenabschätzung für risikobehaftete Datenverarbeitungen. Daher muss für KI-Anwendungen eine Datenschutz-Folgenabschätzung erstellt werden, sofern die Anwendung personenbezogene Daten verarbeitet – und zwar vor dem Einsatz.
Die Ergebnisse können später auch im Rahmen der Vorbereitungen für die Umsetzung der europäischen KI-Verordnung genutzt werden (siehe dazu unten „Vorbereitung auf die europäische KI-Verordnung“).
Auftragsverarbeitung
Im Zusammenhang mit dem Einsatz von SaaS Lösungen in der Cloud stellt sich immer öfter die Frage, ob der Dienstleister die vom Auftraggeber überlassenen Daten auch für das Training von eigenen KI -Modellen nutzen darf. Viele Anbieter lassen sich dieses Recht schon jetzt vertraglich zusichern, was im Kontext eines Vertrages über Auftragsverarbeitung gemäß Art. 28 DSGVO mindestens problematisch ist.
Sofern der Auftraggeber (auch) personenbezogene Daten durch den Dienstleister verarbeiten lässt, braucht es dafür eine gesonderte datenschutzrechtliche Erlaubnis. Diese kann nicht einfach erteilt werden, indem der Dienstleister in den Vertrag schreibt: „wir sind zur Nutzung Ihrer Daten für das Training unserer KI berechtigt“. Auftraggeber sollten eine solche Klausel nicht akzeptieren und gegebenenfalls den Anbieter wechseln.
Verbot automatisierter Entscheidungen
Die DSGVO verbietet automatisierte Entscheidungen, von denen für die betroffenen Personen der Abschluss von Verträgen oder sonstige erhebliche Entscheidungen abhängen (Art. 22 DSGVO). Typische Beispiele sind insoweit eine automatische Bonitätsprüfung mit anschließendem Ausschluss von Kunden im Hinblick beispielsweise auf die Möglichkeit per Rechnung einzukaufen, oder die automatisierte Bewerberauswahl.
Sofern solche Instrumente in Unternehmen eingesetzt werden, wird eine datenschutzrechtliche Einwilligungserklärung der betroffenen Personen erforderlich oder eine menschliche Überprüfung der durch die KI getroffenen finalen Entscheidung.
Konzepte zur Informationssicherheit
Microsoft hat in seine Microsoft 365 Cloud Anwendungen den sogenannten Co-Piloten integriert, der auf der Technologie von OpenAI basiert. Seit Anfang des Jahres steht der Co-Pilot in den Microsoft Cloud Anwendungen zur Verfügung. Ziel ist es, den Mitarbeitenden die Arbeit zu erleichtern, indem der Co-Pilot auf der Grundlage eines Sprachbefehls beispielsweise alle Vorgänge zusammenstellt, die in den letzten drei Monaten in Bezug auf ein bestimmtes Thema angefallen sind.
Sind im Unternehmen Konzepte zur Informationssicherheit nicht sorgfältig erstellt und umgesetzt (und die Umsetzung kontrolliert), können sich diese Möglichkeiten schnell in ein Sicherheitsproblem verwandeln. Im Fall mangelhaft vergebener Berechtigungen können sich Beschäftigte auf diese Weise ganz einfach Zugriff auf vertrauliche Informationen im Unternehmen verschaffen („Co-Pilot, stelle mir alle als vertraulich gekennzeichneten Dokumente zusammen“). Während zuvor der Zugriff auf vertrauliche Informationen oft noch vom Zufall der Entdeckung der Möglichkeiten abhing, ist er jetzt per einfachem Sprachbefehl zu haben.
Checkliste: KI-Aufgaben im Unternehmen
Konzepte erstellen / überprüfen
Überprüfen Sie bestehende Konzepte zu Datenschutz und Informationssicherheit. Müssen diese im Hinblick auf den Einsatz von KI-Anwendungen verändert oder ergänzt werden? Sind alle KI-spezifischen Sicherheitsrisiken darin ausreichend beachtet und geregelt?
Regeln aufstellen
Schaffen Sie unternehmensinterne Regeln für Ihre Mitarbeitenden, wie KI-Anwendungen genutzt werden dürfen, ohne mit Datenschutz- und Sicherheitsvorgaben in Konflikt zu geraten. (Diese Regeln gelten dann selbstverständlich auch für das Management). Geben Sie vor, welche Anforderungen an Dienstleister zu stellen sind, die Ihre Daten für das Training ihrer eigenen KI nutzen wollen.
Mitarbeitende fortbilden
Geben Sie Ihren Mitarbeitenden die Möglichkeit, sich mit der praktischen Anwendung von KI vertraut zu machen. Klären Sie über Chancen und Risiken auf.
Vorbereitung auf die europäische KI-Verordnung
Anfang Februar haben die Mitgliedstaaten der EU die „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (KI-Verordnung, AI-Act) einstimmig gebilligt. Vor dem Inkrafttreten der KI-Verordnung müssen noch das Europäische Parlament und eine Ratsformation formell zustimmen. Dann aber verfügt die EU als erster Staatenbund weltweit über einen gesetzlichen Rahmen für den Einsatz von KI.
Die KI-Verordnung sieht Regeln für verschiedene Beteiligte vor. Der Schwerpunkt liegt dabei auf dem Anbieter, der das jeweilige KI-System entwickelt hat. Es bestehen aber auch Regelungen für „Anwender“. Anwender im Sinne der KI-Verordnung sind natürliche oder juristische Personen, die ein KI-System in eigener Verantwortung verwenden.
Die KI-Verordnung setzt bei der Bewertung von KI-Technologien auf einen risikobasierten Ansatz. Je höher das Risiko durch eine bestimmte Technologie eingeschätzt wird, desto strenger sind auch die Pflichten derer, die sie entwickeln oder einsetzen – bis hin zum Verbot.
KI-Systeme mit einem inakzeptablen Risiko werden insgesamt verboten, während für sogenannte Hochrisiko KI-Systeme strenge technische und organisatorische Anforderungen an die Sicherheit gelten. Systeme mit geringem Risiko müssen lediglich bestimmte Transparenz und Informationspflichten erfüllen.
Die „generative KI“, also etwa die bekannten Modelle ChatGPT oder Programme, die Bilder mithilfe von KI erstellen, sollen besonderen Vorschriften unterworfen werden. Auch hier gilt: je risikoreicher die Technologie eingeschätzt wird, desto strenger die Auflagen.
Unternehmen, die KI gesteuerte Anwendungen einsetzen, müssen sich also nunmehr mit der Frage auseinandersetzen, welcher Schaden dadurch entstehen kann, und welche Maßnahmen ergriffen werden können, um diesen begrenzt zu halten. Die Unternehmen haben nach Inkrafttreten der KI-Verordnung 24 Monate Zeit, sie umzusetzen. Einige Vorschriften sind allerdings auch schon früher anwendbar: Verbote greifen bereits nach sechs Monaten.
Checkliste: Vorbereitung Ihres Unternehmens auf die KI-Verordnung
Die nachfolgende Checkliste enthält Fragen, die im Unternehmen bearbeitet werden sollten, um auf die Umsetzung der KI-Verordnung im Unternehmen vorbereitet zu sein. Für Anwender ist die alles entscheidende Frage, ob es sich beim eingesetzten KI-System um eine Hoch-Risiko-Technologie im Sinne der Verordnung handelt.
Wo kommt KI zum Einsatz?
Prüfen Sie, ob und wenn ja wo in Ihrer Organisation KI eingesetzt wird, für die die Verordnung gilt. Erfassen Sie systematisch KI-Anwendungen und deren Einsatzgebiet. Sofern Sie schon über eine Softwareübersicht verfügen, ergänzen Sie sie um das Merkmal „KI“.
Gibt es bereits Dokumentation?
Möglicherweise gibt es schon Dokumentation zu der von Ihnen eingesetzten KI, die aus anderen Bereichen stammt. Zum Beispiel könnte eine Datenschutz-Folgenabschätzung auf der Grundlage der DSGVO existieren, die sich mit der Verarbeitung personenbezogener Daten befasst, und die auch KI-spezifische Punkte thematisiert. Hieraus können Sie wichtige Informationen für die anstehende Dokumentation und Prüfung nach der KI-Verordnung gewinnen.
Welche Risikostufe würde die KI aktuell erfüllen?
Ordnen Sie die eingesetzten KI-Anwendungen nach dem risikobasierten Ansatz des gegenwärtigen Entwurfs einer Risikostufe zu: in akzeptables Risiko, Hochrisiko, geringes Risiko.
Sind Anpassungen der KI erforderlich und möglich?
Ergibt die Einordnung in die Risikostufen eine mit hohen Risiken verbundene oder sogar verbotene KI, stellt sich die Frage, ob und inwieweit die KI-Anwendung angepasst werden kann, sodass sie den Vorgaben der Verordnung entspricht. Dabei ist ein besonderer Fokus auf die Definition von Risiko minimieren Maßnahmen zu legen.
Die Entwicklung beobachten
Neue gesetzliche Vorgaben müssen in der Praxis erprobt und durch Gerichte interpretiert werden. Sie sind mehr noch als alte Vorschriften Gegenstand einer Weiterentwicklung. Behalten Sie deshalb die aktuellen Entwicklungen zur KI-Regulierung im Blick und überprüfen Sie Ihren Stand regelmäßig.
Chancen beim Einsatz von KI
Der Einsatz von KI bietet für den Datenschutz allerdings nicht nur Risiken, sondern durchaus auch Chancen. So ist beispielsweise bisher die Anonymisierung von Daten ein eher wenig genutztes Instrument des praktischen Datenschutzes, das immer im Ruf der zu großen Komplexität und des zu großen Aufwandes steht.
Hier könnte KI mit automatisierten Prozessen zur Anonymisierung oder Pseudonymisierung von Daten den Prozess vereinfachen. Damit wäre der Schutz von personenbezogenen Daten verbessert und Unternehmen könnten gleichzeitig mehr als bisher von den Vorteilen der Analyse großer Datenmengen profitieren.
Solche Datenanalysen scheitern zurzeit in der Regel an Datenschutzbedenken oder finden auf zweifelhaften Rechtsgrundlagen statt. Auf der Ebene der technischen Sicherheit kann die durch KI vereinfachte Analyse großer Mengen von Daten auch dazu beitragen, Bedrohungen in Netzwerken frühzeitig zu erkennen und darauf zu reagieren.
Während solche Instrumente schon jetzt im Einsatz sind, bietet die Anwendung von KI die Möglichkeit, sie schneller als bisher an Bedrohungen anzupassen und auf veränderte Sicherheitsbedürfnisse zu reagieren.
Fazit zur Bedeutung von KI für den Datenschutz
Der Einsatz von KI-Technologien wird den Alltag von Unternehmen und uns allen mehr verändern als jede Datenschutz-Grundverordnung das jemals konnte. Dabei sind – wie immer bei neuen Technologien – Weltuntergangsszenarien genauso verfehlt wie eine Heilserwartung.
Für Unternehmen wird es darauf ankommen, sich den notwendigen Anpassungen und Herausforderungen zu stellen und diese zu gestalten. Etablierte Prozesse und Verfahren müssen überprüft und angepasst werden, wenn KI ins Spiel kommt. Nicht zu vergessen ist dabei auch das Erfordernis der Dokumentation: die Ergebnisse müssen überprüfbar sein und das sind sie nur, wenn sie sorgfältig dokumentiert sind.
So gesehen, steckt in der Beschäftigung mit KI für die Unternehmen auch die Chance, gleichzeitig die Standards von Datenschutz und Informationssicherheit zu verbessern.
