Datenschutz und der Umgang mit KI

Der Gedanke eines Verantwortlichen, Künstliche Intelligenz (kurz: KI, AI [Englisch: Artificial Intelligence]) im Unternehmen, der Behörde, dem Krankenhaus, dem Verein etc. einzusetzen, wirft in vielerlei Weise weitere Fragen auf. Eine dieser Fragen ist dabei der Datenschutz und der Umgang mit KI durch Beschäftigte. Auch dies ist zu regeln, insbesondere mit Blick auf die weiterhin unsicheren Aspekte des KI-Einsatzes.

Aktuelle Unsicherheiten

Die wohl größte Unsicherheit ist, dass niemand zu wissen scheint, was mit den dabei verarbeiteten personenbezogenen Daten passiert. Es bleiben Fragen offen, wie es für betroffene Personen möglich ist, von ihren Betroffenenrechten gemäß Artt. 15 – 22 DSGVO Gebrauch zu machen. Des Weiteren bestehen Schwierigkeiten bei der Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO. Nicht außen vor zu lassen ist Art. 25 DSGVO, also die Einhaltung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Datenschutz-Folgenabschätzung

Setzt ein Verantwortlicher KI ein, um personenbezogene Daten zu verarbeiten, gar um Entscheidungen zu treffen, ist die Durchführung einer sogenannten Schwellwertanalyse notwendig. Diese dient der Feststellung, ob vor Einsatz der KI eine Datenschutz-Folgenabschätzung durchzuführen ist.

Dabei stellt sich auch die Frage, auf welcher Rechtsgrundlage ein Verantwortlicher den Einsatz von KI stützen darf. Spezielle Fragen sind beispielsweise, ob eine Einwilligung erforderlich ist, ob die KI-Bildanalyse beim Hautkrebs-Screening auf einer vertraglichen Grundlage zulässig ist oder ob auch der Rationalisierungseffekt als berechtigtes Interesse genügt.

Schließlich, aber nicht abschließend, stellt sich die Frage, ob Informationspflichten zu erfüllen sind.

… Und das sind noch nicht alle ungeklärten Fragen zum Datenschutz beim Einsatz Künstlicher Intelligenz.

Regelungen in Unternehmen

In unserem Beitrag „Künstliche Intelligenz während des Bewerbungsverfahrens“ gingen wir schon auf eine Auswahl genereller Vorgänge bei geplanter Nutzung Künstlicher Intelligenz ein. Eine organisatorische Maßnahme, die wir dabei allerdings nicht erwähnten, ist die Implementation einer Richtlinie zur Nutzung Künstlicher Intelligenz im Betrieb für die Beschäftigten. Diese Richtlinie stellt eine Arbeitsanweisung dar. Diese Anweisung kommuniziert klar, welche internen Vorschriften die Beschäftigten zu beachten haben, wenn sie Künstliche Intelligenz zur Erledigung ihrer täglichen Aufgaben nutzen.

Mögliche Maßnahmen

Die Maßnahme können unterschiedlich definiert sein und hängen vom jeweiligen Verantwortlichen selbst ab. In Anbetracht der oben genannten Aspekte bieten sich u. a. folgende Regelungen zur Implementation an:

1) Nutzung von ausschließlich der durch den Verantwortlichen freigegebenen KI-Dienste.

2) Ein Befehl (Englisch: Prompt), sofern solche Dienste wie beispielsweise ChatGPT genutzt werden, ist so zu gestalten, dass er keinerlei personenbezogenen Daten enthält. Bei KI-Anwendungen, die Befehle in der Cloud verarbeiten, würde sonst eine Datenübermittlung ohne Rechtsgrundlage erfolgen.

3) Mit Bezug zur IT-Sicherheit lässt sich diese Anweisung, keine geschützten Informationen in die Befehle aufzunehmen, auch auf Unternehmensinformationen anwenden. Demnach ist also darauf zu achten, beispielswiese keine Unternehmensgeheimnisse auf diese Weise preiszugeben.

4) Kritisches Denken ist essentiell, wenn beispielsweise eine von z. B. ChatGPT formulierte Anwendung verwendet wird. Das bedeutet, dass ein Satzbaustein, der wissenschaftliche Erkenntnisse enthalten kann, nicht einfach zu übernehmen ist. Stattdessen ist die Richtigkeit der angegebenen Fakten zu überprüfen. Der Grund hierfür ist, dass die KI, um eine Antwort geben zu können, auch Antworten frei „erfinden“ kann. Des Weiteren nutzt sie auch ggf. falsche Informationen, mit der sie trainiert wird.

5) Weiterführend ist es wichtig, etwaige Quellen angeben zu können. Wenn beispielsweise ein Text erstellt wird, der Angaben aus wissenschaftlichen Forschungen enthält, ist es u. a. wichtig, zu wissen und darüber informieren zu können, auf welcher Forschung die Ergebnisse basieren.

6) Natürlich ist es ebenfalls nicht zu vernachlässigen, keine Urheberrechte bei Verwendung von Texten, Bildern, Audiosequenzen etc. zu verletzen. Wer also beispielsweise KI-Programme nutzt, um Bilder für den Kunden-Newsletter zu erstellen, sollte hierbei ebenfalls Acht geben.

7) Verwendet ein Verantwortlicher KI beispielsweise für eine Art Text-Scan, ist auch hier aus datenschutzrechtlicher Sicht zu beachten, dass die KI keine personenbezogenen Daten auslesen kann. Dementsprechend ist zu formulieren, dass nur Dokumente ohne personenbezogene Daten, Geschäftsgeheimnisse oder mit sonstigen, ähnlich kritischen Informationen durch KI gescannt werden dürfen.

Wie Sie anhand der Beispiele für Regelungsinhalte einer KI-Richtlinie sehen, stellt der Einsatz von KI nicht nur die datenschutzkonforme Anwendung des Datenschutzes vor Herausforderungen. Auch die Gefahr der Verletzung anderer Gesetze (Urheberrechtsgesetz, Gesetz zum Schutz von Geschäftsgeheimnissen etc.) droht. Es gilt also die internen Gegebenheiten und die Möglichkeiten eines datenschutzkonformen Einsatzes zu betrachten.

Fazit

Ein datenschutzkonformer Einsatz von Künstlicher Intelligenz ist möglich. Die Verantwortlichen, die sowohl den Datenschutz und auch andere Gesetze beachten, entgehen nicht nur etwaigen Schadenersatzansprüchen und Bußgeldern, sondern auch Gerichtsverfahren, Abmahnungen und Rufschäden.

Kontaktieren Sie uns gern, sofern wir Sie zur datenschutzkonformen Nutzung von KI beraten können.