KI und Datenschutz: Über neue Herausforderungen und Lösungen

1. Was ist Künstliche Intelligenz?
2. Was regelt der Datenschutz?
3. Trainingsdaten und der Datenschutz
4. Übersicht über aktuelle Behördenempfehlungen
5. Datenschutz und Einbeziehung der Datenschutzbeauftragten
6. Welche Tools unterstützen dich in den Bereichen Datenschutz und KI?
7. Fazit

„KI ist gekommen, um zu bleiben“ – diese und ähnliche Zitate kursieren mehr und mehr in sozialen Medien. Es ist unbestritten, dass Künstliche Intelligenz (KI) eine immer größere Rolle im Alltag von Menschen und in Unternehmen spielen wird und tatsächlich auch schon spielt. Bei allem – teils auch berechtigtem – Hype um KI darf ein wichtiger Punkt nicht ausgeblendet werden: Neben den Vorteilen gibt es auch eine Vielzahl von rechtlichen Implikationen, die berücksichtigt werden müssen, um KI-Systeme rechtssicher und vor allem DSGVO-konform nutzen zu können. Dieser Artikel gibt dir einen Überblick über die wichtigsten Aspekte von KI und Datenschutz, beleuchtet die damit verbundenen Herausforderungen und bietet praxisnahe Lösungsansätze, um den Einsatz von KI auch DSGVO-konform gestaltbar zu machen.

Was ist Künstliche Intelligenz?

Dreh- und Angelpunkt in der Juristerei ist es, dass komplexe Systeme im Gesetz näher definiert werden, damit jede*r Rechtsanwender*in überprüfen kann, ob ein bestimmter Umstand darunterfällt und ob ein Gesetz auch darauf Anwendung findet.

Jurist*innen nennen dies auch Legaldefinition – und für KI-Systeme findet sich eine solche in der neuen KI-Verordnung:

ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können;

Kurz ausgedrückt: Künstliche Intelligenz bezieht sich auf Systeme, die Aufgaben ausführen können, die normalerweise menschliche Intelligenz erfordern. Dies umfasst Problemlösung, Lernen, Entscheidungsfindung und Interaktion mit der Umgebung . Dazu benötigen KI-Systeme eine große Menge an Daten, um trainiert zu werden und effektiv zu funktionieren. Eben diese Trainingsdaten können eine Herausforderung für den Datenschutz darstellen, wenn zum Training von KI-Systemen auch personenbezogene Daten verwendet werden oder nicht transparent und beweisbar dargelegt wird, dass ausschließlich anonymisierte Daten verwendet werden.

Eine gute Übersicht über verschiedene Kategorien von KI-Softwares findest du übrigens im OMR-Beitrag „Die besten KI-Softwares & -Tools im Vergleich“. Doch lass uns nun näher auf die Anforderungen von der DSGVO auf KI-Systeme eingehen und vorab noch kurz darlegen, was denn der Datenschutz eigentlich ist.

Was regelt der Datenschutz?

Die Datenschutzgrundverordnung (DSGVO) findet Anwendung, sobald personenbezogene Daten verarbeitet werden. Personenbezogene Daten gemäß der DSGVO umfassen nicht nur offensichtliche Informationen wie Namen, E-Mail-Adressen und Telefonnummern, sondern auch spezifische Kennungen, die eine Person identifizierbar machen. Dazu gehören beispielsweise IP-Adressen und andere Online-Kennungen.

Ein zentraler Punkt der DSGVO ist das Verständnis des Begriffs "Verarbeiten". Dieser Begriff ist umfassend definiert und schließt nahezu alle Aktivitäten ein, die mit personenbezogenen Daten durchgeführt werden können. Dazu gehören das Erheben, Speichern, Verwenden, Übermitteln, Verändern und Löschen von Daten. Somit greift die DSGVO in einer Vielzahl von Anwendungsfällen, sobald personenbezogene Daten verwendet werden.

Besondere Aufmerksamkeit erfordert die Verarbeitung sensibler Daten, die in der DSGVO als besondere Kategorien personenbezogener Daten bezeichnet werden. Dazu zählen Informationen über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Die Verarbeitung dieser sensiblen Daten ist streng geregelt und nur unter bestimmten Voraussetzungen erlaubt, beispielsweise mit ausdrücklicher Einwilligung der betroffenen Person oder zur Wahrung lebenswichtiger Interessen. Der Schutz dieser sensiblen Daten ist – nicht nur bei KI-Systemen – besonders wichtig, um Diskriminierung und Missbrauch zu verhindern.

Trainingsdaten und der Datenschutz

Die Qualität und Vielfalt der gesammelten Daten beeinflussen die Leistungen und Ergebnisse von KI-Systemen erheblich. Schlechte Datenqualität kann zu falschen oder diskriminierenden Entscheidungen oder Ausgabeergebnisse führen. Oft stellt sich auch die Frage der Herkunft der Daten, mit welchen KI-Systeme trainiert werden. Greifen Unternehmen auf Daten ihrer bereits bestehenden Kunden zurück und bleibt der Personenbezug aufrecht, um KI-Systeme zu trainieren, stellt sich aus Sicht der DSGVO vereinfacht gesagt die Frage: Ist das ohne Weiteres erlaubt?

Diese Frage wurde vor Kurzem auch öffentlich diskutiert und aufgegriffen, als Meta – das Unternehmen hinter Facebook und Instagram – in einer E-Mail an ihre Nutzer*innen innerhalb der EU bzw. des EWR darüber informierte, dass sie Datenschutzhinweise auch für Datenverarbeitungen im Zusammenhang mit KI ausweiten werden:

Quelle: E-Mail vom 31. Mai 2024

Folge dieser E-Mail war, dass zahlreiche Beschwerden über die geplanten KI-Maßnahmen bei Meta bei den nationalen Datenschutzbehörden eingebracht wurden (hier ein Beispiel für Österreich und Deutschland). Folge dieser Beschwerden ist, dass Meta erklärte, dass es seine KI-Pläne in der EU aktuell stoppt.

Doch warum ist dieses Extrembeispiel so aussagekräftig? Weil die Fragen auf alle Unternehmen übertragen werden können: Betroffene Personen von Datenverarbeitungen müssen als Ausfluss des Transparenzprinzips in der DSGVO darüber informiert werden, welche Daten wozu verwendet werden. Die DSGVO sieht nämlich einen strengen Zweckbindungsgrundsatz vor. Das bedeutet: Personenbezogene Daten dürfen nur für jene Zwecke (weiter)verarbeitet werden, welche Zwecke den Personen kommuniziert wurden bzw. nachträglich kommuniziert werden. Doch dabei ist entscheidend, dass Unternehmen nicht nur eine*n versierte*n Datenschutzbeauftragte*n bestellt haben, sondern dass sie auch eine langfristige KI-Strategie ausarbeiten, die mit den Geschäftszielen und dem Geschäftsmodell einhergehen. Denn nur wenn ich weiß, in welche Richtung das Boot segeln soll, können die Segel richtig gesetzt werden. Um die Segel richtig setzen zu können, ein kurzer Überblick aktueller Empfehlungen von Behörden zum Einsatz von KI in Unternehmen.

Übersicht über aktuelle Behördenempfehlungen

1. Einsatzfelder und Zwecke bestimmen: Verantwortliche sollten explizit festlegen, welche Einsatzfelder für die KI-Anwendung vorgesehen sind und welchem Zweck diese dienen.
2. Rechtmäßigkeit der Einsatzfelder: Bestimmte Einsatzfelder sind in der KI-Verordnung als unzulässig definiert wie etwa „Social Scoring“ und biometrische Echtzeitüberwachung öffentlicher Räume.
3. Einsatzfelder ohne personenbezogene Daten: Prüfung, ob es Einsatzbereiche gibt, in denen keinerlei personenbezogene Daten vorkommen.
4. Datenschutzkonformes Training: Sicherstellen, dass für das Training der KI-Anwendung datenschutzkonform vorgegangen wurde.
5. Rechtsgrundlage für die Datenverarbeitung: Jede Verarbeitung personenbezogener Daten erfordert eine datenschutzrechtliche Rechtsgrundlage.
6. Keine automatisierte Letztentscheidung: Entscheidungen mit Rechtswirkung dürfen grundsätzlich nur von Menschen getroffen werden.
7. Geschlossenes oder offenes System: Geschlossene Systeme sind aus datenschutzrechtlicher Sicht vorzugswürdig.
8. Transparenz: Verantwortliche müssen ausreichend Informationen zur Verfügung stellen, um Transparenzanforderungen zu erfüllen.
9. Transparenz und Wahlmöglichkeit hinsichtlich KI-Training: Prüfen, ob Ein- und Ausgabedaten für das Training verwendet werden und die Möglichkeit bieten, die Nutzung der Daten für das Training auszuschließen.
10. Transparenz und Wahlmöglichkeit hinsichtlich Eingabe-Historie: Nutzern ermöglichen, selbst zu entscheiden, ob ihre Eingabe-Historie gespeichert wird.
11. Berichtigung, Löschung und weitere Betroffenenrechte: Sicherstellen, dass betroffene Personen ihre Rechte auf Berichtigung und Löschung ausüben können.
12. Datenschutzbeauftragte und Beschäftigtenvertretung wie Betriebsrat einbinden: Datenschutzbeauftragte und ggf. Betriebs- und Personalräte einbeziehen.
13. Klare Regelungen zu Verantwortlichkeiten im Unternehmen verbindlich festlegen.
14. Interne Regelungen treffen: Klare interne Weisungen zur Nutzung von KI-Anwendungen erteilen.
15. Datenschutz-Folgenabschätzung: Vor der Verarbeitung personenbezogener Daten eine Risikoabschätzung durchführen.
16. Datensicherheit: KI-Anwendungen müssen IT-Sicherheitsanforderungen erfüllen.
17. Beschäftigte sensibilisieren: Schulungen und Leitfäden zur Nutzung von KI-Anwendungen bereitstellen.

Datenschutz und Einbeziehung der Datenschutzbeauftragten

Die Rolle der Datenschutzbeauftragten (DSB) in Unternehmen ist von zentraler Bedeutung, um den Schutz personenbezogener Daten zu gewährleisten und gesetzliche Vorgaben einzuhalten. Datenschutzbeauftragte sind verantwortlich für die Überwachung der Einhaltung der Datenschutzgesetze, die Schulung der Mitarbeiter und die Durchführung von Datenschutz-Folgenabschätzungen , welche insbesondere im Rahmen des Einsatzes von KI in der Regel notwendig sein werden. Aus diesem Grund ist es von besonderer Bedeutung, die internen sowie externen Datenschutzbeauftragte von Beginn an in KI-Projekte einzubeziehen. Ihre Expertise hilft, datenschutzrechtliche Risiken frühzeitig zu erkennen und geeignete Maßnahmen zur Risikominimierung zu implementieren.

Welche Tools unterstützen dich in den Bereichen Datenschutz und KI?

Auf OMR Reviews kannst du zahlreiche nützliche Werkzeuge in den Kategorien Datenschutz Management und KI-Text-Generator entdecken, die dir dabei helfen, künstliche Intelligenz effektiv im Berufsalltag zu nutzen. Nutze die Filterfunktionen und verifizierten Nutzerbewertungen, um das ideale Tool für dein Unternehmen zu finden.

Aktuell sind auf OMR Reviews folgende Datenschutz Management Tools besonders beliebt:

heyData

Dieter

Legally ok

PrivacyBee

SAI360

Und diese KI-Text-Generator Tools sind derzeit auf OMR Reviews besonders beliebt:

neuroflash

Conversionmaker.ai

OpenAI ChatGPT

Creaitor

Retresco Textengine

Fazit

Künstliche Intelligenz bietet viele Vorteile, bringt aber auch neue Herausforderungen im Bereich des Datenschutzes mit sich. Unternehmen müssen sicherstellen, dass ihre KI-Systeme datenschutzkonform sind und die Privatsphäre der Nutzer*innen schützen. Durch die frühzeitige Einbindung von Datenschutzbeauftragten können Unternehmen diese Herausforderungen meistern und das Vertrauen der Nutzerinnen gewinnen.