Skip to main content

KI im Unternehmen: Chancen nutzen, Datenschutz meistern

Integration von Künstlicher Intelligenz in der Organisation: Erste Überlegungen zur Datenschutzkonformität

Als die Firma OpenAI im November 2022 das generative Sprachmodell ChatGPT veröffentlichte, dauerte es gerade einmal ganze zwei Monate, bis einhundert Millionen Nutzer erreicht waren. Zum Vergleich: bei Facebook dauerte es noch viereinhalb Jahre und bei WhatsApp dreieinhalb Jahre.

Im Rückblick wird man 2023 als das Jahr der Euphorie und der Experimente bezüglich der sogenannten Large Language Models (LLMs), also der großen Sprachmodelle bezeichnen und 2024 wird, das zeichent sich heute schon ab, wohl als das Jahr in die Geschichte eingehen, in dem die Technologie, auf der ChatGPT beruht, auf breiter Ebene Einzug in die Unternehmen halten wird, sei es durch die originäre Nutzung solcher Anwendungen oder durch die Anreicherung von bereits bislang genutzten Anwendungen mit „Künstlicher Intelligenz (KI)“.

Also gerade jetzt der richtige Zeitpunkt, den Einsatz der Technologie einmal unter datenschutzrechtlichen Aspekten zu betrachten.

Eines vorab: Wenn nachfolgend von KI-Anwendungen gesprochen wird, dann könnte man das gleichsetzen damit, dass von „dem Einsatz von Fahrzeugen im Unternehmen“ gesprochen wird und dies sowohl die Dienstfahrzeuge des Außendienstes ebenso umfasst wie den Fuhrpark für den Materialtransport, den Stapler im Lager genauso wie den Helikopter des Geschäftsführers. Genauso allgemein wie diese Klassifizierung sind die Einsatzgebiete von generativen Sprachmodellen im Unternehmen und generative Sprachmodelle wiederum sind nur ein kleiner Ausschnitt von KI. Deshalb können die nachfolgenden datenschutzrechtlichen Ausführungen auch nur allgemein gehalten werden. Letztlich kommt es auf die konkrete Anwendung an - und die Lernkurve dürfte anfänglich oft eher steil sein.

Generative Sprachmodelle sind eine Grundlageninnovation vergleichbar mit der Einführung des Internets oder der App-Technologie des IPhones. In beiden Fällen ist Unglaubliches daraus entwachsen und dies wird bei generativen Sprachmodellen ebenfalls der Fall sein. Im Umkehrschluss bedeutet dies, dass sich die Anwendungen, die Einzug ins Unternehmen finden, immer individuell betrachtet werden müssen, weil es keine allgemeingültige Regel geben wird. Dennoch versuchen wir nachfolgend, einige Rahmenbedingungen herauszuarbeiten.

Generative Sprachmodelle sind eine Grundlageninnovation vergleichbar mit der Einführung des Internets oder der App-Technologie des IPhones. In beiden Fällen ist Unglaubliches daraus entwachsen und dies wird bei generativen Sprachmodellen ebenfalls der Fall sein. Im Umkehrschluss bedeutet dies, dass sich die Anwendungen, die Einzug ins Unternehmen finden, immer individuell betrachtet werden müssen, weil es keine allgemeingültige Regel geben wird. Dennoch versuchen wir nachfolgend, einige Rahmenbedingungen

Was sind generative Sprachmodelle?

Ganz einfach gesagt, sind es Algorithmen, die mit unzähligen Daten gefüttert wurden und die darauf aufbauend Worte auf Grund von errechneten Wahrscheinlichkeiten aneinanderreihen. Der gesamte Prozess funktioniert mathematisch, ist unheimlich komplex und wird deshalb auch von den Entwicklern der Systeme nicht in allen Details durchschaut.

Und damit stelle sich schon die erste zentrale - auch datenschutzrechtlich relevante - Frage für Unternehmensverantwortliche: Wenn die Entwickler schon nicht mehr verstehen, wie der Output im Detail zustande kommt - wie soll ich als Verantwortlicher meiner datenschutzrechtlichen Rechenschaftspflicht dann gerecht werden können.

Diese Frage besitzt bei Anwendungen im Produktions- oder Logistikprozess im Unternehmen sicherlich eine andere Relevanz als bei Anwendungen im Personal- oder Kundenumfeld, bei denen personenbezogene Daten verarbeitet werden. Dennoch muss die Antwort in allen Bereichen verantwortungsbewusst sein.

Die europäische KI-Verordnung

Bevor wir uns in die Tiefen des Datenschutzes begeben, wollen wir uns einer weiteren Verordnung widmen, die einen großen Einfluss auf die KI-Anwendungen in den Unternehmen haben wird: Die europäische KI-Verordnung.

Ziel der Verordnung ist, klare Regeln für die Nutzung von KI-Systemen zu setzen. Diese gelten sowohl für Anbieter als auch für Nutzer von KI-Systemen.

Die Verordnung unterscheidet zwischen verschiedenen Risikostufen von KI-Anwendungen und legt detaillierte Vorschriften fest, die je nach Risikostufe einzuhalten sind.

Das aktuelle Problem an der Verordnung ist, dass sie derzeit in einen rechtsverbindlichen Verordnungstext gegossen wird und vermutlich erst im ersten Quartal 2026 für Anbieter und Nutzer verbindlich werden wird. Im Umkehrschluss bedeutet dies, dass es bis dahin keine verbindliche Regelung für den Einsatz solcher Anwendungen geben wird, was die Unsicherheit nicht unbedingt verringert.

Für Unternehmensverantwortliche bedeutet dies, dass sie ihre Anwendungen zukünftig anhand der Kriterien klassifizieren müssen und rechtliche Vorgaben umsetzen müssen.

Nach heutigem Stand kann man sagen, dass der Einsatz von Standardanwendungen wie ChatGPT von der Verordnung nicht beeinflusst werden. Beim Einsatz von Chatbots für Kunden sind hingegen erhöhte Transparenz- und Informationspflichten vorgesehen, aber in einem Umfang, der mit sehr überschaubarem Aufwand zu bewältigen sein wird. Interessant wird es bei Spezialanwendungen werden, die tief in die Rechte von Personen eingreifen. Hier steigen die Vorschriften sukzessive bis hin zu einem expliziten Verbot des Einsatzes.

Datenschutzrechtliche Verantwortung

Die datenschutzrechtlichen Anforderungen sind unabhängig von der KI-Verordnung. Vorrangig findet die DSGVO Anwendung. Dies hat den Vorteil, dass sie nach mehr als fünf Jahren im Einsatz hinlänglich bekannt ist. Es besteht aber gleichzeitig der Nachteil, dass sie keine KI-spezifischen Regelungen enthält und sich an vielen Stellen zeigen werden muss, ob ihre Vorgaben den Eigenheiten einer solch neuen Grundlagentechnologie gerecht werden wird ohne deren Chancen für die Organisationen unangemessen einzuschränken.

Es sind insbesondere drei Aspekte, die, sofern personenbezogene Daten verarbeitet werden, unter datenschutzrechtlichen Gesichtspunkten zu beachten:

  1. die Rechtsgrundlagen der Datenverarbeitung,
  2. die Erfüllung der Informationspflichten und
  3. die Gewährleistung der weiteren Betroffenenrechte.

Auf diese wollen wir uns nachfolgend konzentrieren.

Rechtsgrundlagen

Jede datenschutzrechtlich relevante Verarbeitung bedarf einer Rechtsgrundlage. Im Umfeld der künstlichen Intelligenz werden hier vorwiegend folgende Rechtsgrundlagen herangezogen werden:

Werden beispielsweise auf einer Webseite von einem Chatbot personenbezogene Daten erfasst, die als Grundlage für einen Geschäftsvertrag dienen, dann wird hier Art. 6 Abs. 1. lit. b) einschlägig sein, zumindest für die Daten, die für den Geschäftsabschluss unmittelbar notwendig sind. Werden darüber hinaus weitere Daten, die zwar einen engen Bezug zur Kundenbeziehung haben, für den geplanten Vertragsabschluss aber nicht unmittelbar relevant sind, wird man diese Verarbeitung vermutlich mit einem überwiegenden Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f) begründen wollen.

Variiert man den Prozess ein wenig und lässt der Datenerfassung eine automatisierte Entscheidung über Vertragsannahme bzw. -abschluss folgen, dann können die oben genannten Rechtsgrundlagen schnell obsolet werden und letztlich nur noch eine Einwilligung gemäß Art. 56 Abs. 1 lit. a) übrig bleiben. Erst im Dezember 2023 hat der EuGH ein wegweisendes Urteil zu automatisierten Entscheidungsprozessen gesprochen SCHUFA-Urteil), das auch, ob gewollt oder nicht gewollt, grundlegende Auswirkungen auf durch KI gesteuerte Vertragsprozesse hat.

Der Einsatz von KI in diesem Bereich wird vielfältig sein und noch sind bei weitem nicht alle möglichen Konstellationen diskutiert. Deshalb kann hier nur ein Ansatz für die Rechtsgrundlagen aufgezeigt werden.

Entscheidend für die Wahl der Rechtsgrundlage wird der Zweck der Verarbeitung sein. KI wird zukünftig Prozessschritte ersetzen. Dies muss aber nicht zwangsläufig zu einer Änderung der Verarbeitung personenbezogener Daten führen. Im ersten Fall wird sich an der Rechtsgrundlage nichts ändern, im zweiten Fall muss sie definitiv auf den Prüfstand. Dies wird ein Szenario sein, welches in der Übergangsphase zur KI sehr oft diskutiert werden wird.

Und abschließend interessant wird in vielen Fällen auch die Diskussion werden, ob die Zusammenarbeit mit einem KI-Dienstleister mit einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgebildet werden kann oder ob dies nur über eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO gerechtfertigt werden kann.

Informationspflichten

Unmittelbar abgeleitet aus dem Verarbeitungszweck und der Rechtsgrundlage werden wesentliche Bestandteile der Informationspflichten gemäß Art. 13 DSGVO und in vielen Fällen sicher auch Art. 14 DSGVO.

Neben inhaltlichen Fragen werden auch praktische Fragen zur zeitgerechten Betroffeneninformation Bedeutung erlangen. Auch wird es in vielen Fällen interessant werden, wie z.B. beim Einsatz eines unabhängigen Netzwerks aus KI-Agenten, die teilweise autonom Entscheidungen über den Einsatz von Hilfsmitteln im Prozessverlauf treffen, über die Verarbeitung informiert werden kann.

Waren wir bisher gewohnt, Verarbeitungsprozesse bis auf den kleinsten Schritt transparent darzustellen, wird sich dies zukünftig in vielen Bereichen, z.B. durch den Einsatz besagter Bots, ändern. Wie Verantwortliche in dem Umfeld der Informationspflicht gerecht werden können, wird ein interessantes Thema werden.

Betroffenenrechte

Losgelöst von der eigentlichen Verarbeitung, aber in diesem Zusammenhang nicht weniger elementar ist die Frage nach der Erfüllung der Betroffenenrechte. Vielfach wird ausgesagt, dass die Entwickler von generativen KI-Modellen die im Modell ablaufenden Verarbeitungsprozesse nicht im Detail erklären können. Zu komplex ist Abläufe. Da sei dann schon die Frage erlaubt, wie Verantwortliche, welche diese Programme nutzen, ihrer Auskunftspflicht gemäß Art. 15 DSGVO oder ihrer Löschpflicht gem. Art. 17 DSGVO nachkommen können. Oder wie soll das Recht auf Berichtigung von Daten gemäß Art. 16 DSGVO umgesetzt werden, wenn die Daten im Modell im Rahmen des Verarbeitungsprozesses autonom erstellt wurden?

Es ist nicht von der Hand zu weisen, dass die Umsetzung der Betroffenenrechte im Umfeld von KI-Anwendungen einem ganz besonderen Spannungsverhältnis unterliegen werden. Zum einen erleben wir bereits heute, wie restriktiv Gerichte die Durchsetzung datenschutzrechtlicher Betroffenenrechte unterstützen. Im Umfeld künstlicher Anwendungen, bei denen die Verantwortlichen die Verarbeitungswege teilweise gar nicht nachvollziehen können, wird deren Rechtsposition nicht unbedingt verstärkt und es zeichnet sich heute schon ab, dass die Gerichtsbarkeit hier in besonderem Maße gefragt sein wird und über diesen Weg unmittelbaren Einfluss auf die Einsatzmöglichkeiten von KI-Anwendungen haben wird.

Die Konsequenz: Privacy-by-Design und Privacy-by-Default

Zum heutigen Zeitpunkt ist es in gewissem Maße auch müßig über datenschutzrechtrechtliche Aspekte bei der Betroffeneninformation und bei der Umsetzung von Betroffenenrechten zu diskutieren. Viele Anwendungen, die irgendwann in der Anwendung beurteilt werden müssen, sind heute noch gar nicht erfunden.

Was sich jedoch heute schon herauskristallisiert, ist die Anforderung an die Produktentwickler, datenschutzrelevante Aspekte bereits bei der Entwicklung intensiv mitzudenken. Gerade im Umgang mit Betroffenenrechten werden die Aspekte des Privacy-by-design, also die Berücksichtigung des Datenschutzes bei der Produktentwicklung und das Privacy-by-default, also die datenschutzkonformen Voreinstellungen bei den Applikationen ein entscheidendes Produktmerkmal werden.

Mit dem temporären Verbot des Einsatzes der OpenAI-Produkte hat die italienische Datenschutzaufsichtsbehörde eindrücklich ihre Grenzen aufgezeigt. Und auch die deutschen Aufsichtsbehörden sind in einem konzertierten Austausch mit dem Marktführer hinsichtlich grundsätzlicher Fragen zum Datenschutz.

Der Umgang mit Privacy-by-design und Privacy-by-default auf Anbieterseite und deren Bewertung durch Aufsichtsbehörden und Gerichte wird letztlich einen starken Einfluss darauf haben, mit welcher Macht sich Open Source-Modelle am Markt etablieren können. Der Umgang mit dem Datenschutz spielt in ihre Hände. Deshalb sollten die Anbieter von Closed-Source-Modellen wie z.B. OpenAI und Diensteanbieter, die im Hintergrund auf solche Modelle zugreifen, gut beraten sein, dies angemessen zu berücksichtigen.

Praktische Datenschutzhinweise

Noch sind die meisten Unternehmen in der Findungsphase, wie generative Sprachmodelle in die Wertschöpfungskette integriert werden können. Applikationen im Realbetrieb sind - zumindest bei meinen Kunden - noch die Ausnahme. Und sofern sie Einsatz finden, ist die Verarbeitung personenbezogener Daten noch ausgeklammert. Das wird sich jedoch zeitnah ändern und deshalb ist es sinnvoll, bereits jetzt einige Richtlinien zu entwickeln und sie auf ihre Sinnhaftigkeit im Tagesbetrieb zu prüfen. Hier sind einige Vorschläge, die bei der Verarbeitung personenbezogener Daten durch KI-Anwendungen zukünftig immer Berücksichtigung finden sollten:

1. Klare Regeln für KI-Tools

Es ist unerlässlich, klare und gut definierte Regeln für die Verwendung von KI-Tools in Ihrem Unternehmen einzuführen. Künstliche Intelligenz wird vielerorts tief in das Unternehmensgeschehen eingreifen. Entsprechend sollten diese Regeln in der Unternehmenskultur verankert sein und von allen Mitarbeitern befolgt werden.

2. Sensible Daten vermeiden

Wo immer es möglich ist, sollte die Verarbeitung sensibler personenbezogener Daten mit Hilfe von KI-Applikationen vermieden. Ist es notwendig, KI-Applikationen einzusetzen oder kann der Verarbeitungszweck auch auf anderem Wege angemessen erreicht werden? Reduzieren Sie auf jeden Fall den Umfang der verarbeiteten Daten auf das notwendige Minimum und schützen Sie sie angemessen.

3. Beschäftigtenschulungen

Informieren und schulen Sie Ihre Beschäftigten gründlich im Umgang mit KI-Tools und Datenschutzrichtlinien. Sensibilisieren Sie sie für die Bedeutung des Datenschutzes und stärken Sie das Bewusstsein.

4. Datenschutzrechtliche Entwicklungen

Bleiben Sie auf dem Laufenden über die neuesten Entwicklungen im Datenschutzrecht. Gesetze und Vorschriften können sich ändern, die Rechtsprechung wird konkretisieren. Daher ist es wichtig, Ihre Datenschutzpraktiken entsprechend anzupassen.

5. Privacy-by-Design und Privacy-by-Default

Sofern Sie die Möglichkeit haben, integrieren Sie Datenschutz von Anfang an in die Entwicklung und Implementierung Ihrer KI-Tools. Stellen Sie sicher, dass Ihre Systeme standardmäßig die Privatsphäre schützen und nur die für ihre Funktion erforderlichen Daten verarbeiten.

6. Do-it-yourself

Die gesamten Ausführungen in dem Artikel gehen davon aus, dass auf Modelle von Fremdanbietern zurückgegriffen wird. Das wird anfänglich überwiegend der Fall sein. Aber es wird machbar sein, komplett autarke Modelle einzusetzen. Der Aufwand wird vertretbar sein und kann sich gerade in Bereichen, in denen sensible Daten verarbeitet werden, lohnen. Beobachten Sie diese Entwicklungen. Sie sind spannend.

Fazit

Die Integration von KI in Unternehmen bietet unglaubliche Chancen, bringt aber auch Verantwortung mit sich, insbesondere im Bereich des Datenschutzes. Durch sorgfältige Planung und die Einhaltung von Best Practices können Sie sicherstellen, dass Ihr Unternehmen von den Vorteilen der KI profitiert, ohne unangemessen in die Privatsphäre Ihrer Kunden einzugreifen.

Bleiben Sie informiert und bleiben Sie open-minded. Wir werden weiterhin aktuelle Informationen und Hinweise bereitstellen, um Sie auf diesem spannenden Weg zu begleiten. Seien Sie dabei!

Ralf
...schreibt immer wieder zu Themen, die ihm in der Beratung begegnen und die schreibenswert sind.
Veröffentlicht
23. Januar 2024
Kategorie
Datenschutz
Tags

Weitere Beiträge

Kümmern Sie sich um Ihre wertvolle Arbeit
Das mit dem Datenschutz erledigen wir. Eine kurze E-Mail oder ein Anruf 0 62 45 - 9 94 55 72 genügt.
E-Mail schreiben