ClickCease
Share on linkedin
Share on facebook
Share on twitter
Share on email

KI und Datenschutz: Darauf müssen Unternehmen beim Einsatz von KI-gestützten Systemen achten

Jens Bimberg

Jens Bimberg

KI und Datenschutz: Darauf müssen Unternehmen beim Einsatz von KI-gestützten Systemen unbedingt achten

In einer Welt, die zunehmend von technologischen Fortschritten geprägt ist, eröffnet Künstliche Intelligenz (KI) sowohl faszinierende Möglichkeiten als auch potenziell beunruhigende Herausforderungen, insbesondere im Kontext der Verarbeitung personenbezogener Daten. Die fortschreitende Integration von KI-Algorithmen in verschiedene Bereiche unseres Lebens verspricht Effizienzsteigerungen, personalisierte Dienstleistungen und innovative Lösungsansätze. Doch gleichzeitig werfen die wachsende Menge an gesammelten Daten und die Komplexität der KI-Systeme auch berechtigte Fragen hinsichtlich Datenschutz, Privatsphäre und ethischer Verantwortung auf.  

In diesem Artikel werfe ich einen Blick auf einige datenschutzrechtliche Fragen und stelle Möglichkeiten vor, wie Sie im Rahmen von KI-Projekten mit schützenswerten Daten sicher umgehen können. 

 

Einsatzgebiete von KI, die nicht datenschutzrelevant sind 

Es gibt zahlreiche KI-Anwendungen, die nicht unmittelbar datenschutzrelevant sind. So wird KI etwa eingesetzt, um Erkenntnisse über die Entstehung von Sternen zu gewinnen oder Telekommunikationsnetze zu optimieren. In der Robotik kommt KI zum Einsatz, wenn es darum geht, in unbekannten Umgebungen sicher zu navigieren. Ein Produktionsunternehmen kann KI-Algorithmen einsetzen, um den Verschleiß von Produktionsmaschinen zu überwachen: basierend auf den erfassten Daten kann die KI vorhersagen, wann bestimmte Teile ausgetauscht oder gewartet werden müssen, um unvorhergesehene Stillstände zu verhindern. Auch in der Kunst kann KI zum Einsatz kommen und Bilder, Musik oder Videos generieren. Bei unserer Digital Publishing Software, Purple, setzen wir KI ein, um Journalist:innen von ungeliebten Arbeiten wie Verlinkung oder SEO zu befreien, damit sie sich auf ihre eigentliche journalistische Arbeit konzentrieren können. 

Bei all diesen Anwendungen werden keine personenbezogenen Daten verarbeitet und insofern sind diese nicht datenschutzrelevant. 

 

Verarbeitung von Personendaten 

Im Gegensatz zu den oben beschriebenen Einsatzfällen von KI unterliegt jegliche Verarbeitung von personenbezogenen Daten strengen Datenschutzregeln. Die DSGVO verbietet sogar ausdrücklich jede Verarbeitung von personenbezogenen Daten, es sei denn eine von 6 möglichen Bedingungen liegt vor: 

  • Die informierte Einwilligung der betroffenen Person 
  • Die Erfüllung eines Vertrages 
  • Die Erfüllung einer rechtlichen Verpflichtung 
  • Der Schutz lebenswichtiger Interessen 
  • Öffentliches Interesse 
  • Berechtigtes Interesse des Verantwortlichen 

Die meisten Anbieter berufen sich auf die “informierte Einwilligung”. Dabei stimmt die Person zu, dass ihre Daten verarbeitet werden, nachdem sie “in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache” über den Zweck der Datenverarbeitung informiert wurde. 

Die betroffene Person kann jederzeit Auskunft über von ihr verarbeitete Daten sowie deren Korrektur verlangen. Darüber hinaus kann die Person ihre einmal gegebene Einwilligung zur Datenverarbeitung jederzeit widerrufen. Das berührt nicht die bereits stattgefundene Datenverarbeitung, verbietet jedoch die weitere Nutzung der Daten und erzwingt deren Löschung. 

 

Verarbeitung von Personendaten mittels KI 

Das oben gesagte vorausgesetzt, ergibt sich für die verantwortliche Person ein unlösbares Problem, wenn sie personenbezogene Daten etwa zum Trainieren einer KI benutzt hat. Denn es ist praktisch nicht möglich, einzelne in ein KI-Modell eingespeiste Daten nachträglich zu verändern oder aus diesem wieder zu entfernen. Die verantwortliche Person hat nur die Option, das Modell wegzuwerfen und unter Auslassung der zu löschenden Daten zeitaufwendig neu zu trainieren, sofern sie die übrigen Trainingsdaten überhaupt noch hat. (Das wäre zum Beispiel nicht der Fall, wenn die Nutzer:innen direkt mit der KI kommunizieren.) 

 

Anonymisierung 

Eine Lösung für dieses Problem kann die Anonymisierung der Daten sein. Anonyme Daten sind per se nicht personenbezogen, d.h. deren Verwendung unterliegt nicht den Bestimmungen der DSGVO oder anderer Datenschutzgesetze.  

Die Anonymisierung selbst ist dabei natürlich eine Verarbeitung, der die betroffene Person zustimmen muss. Zieht sie später ihre Einwilligung zurück, so betrifft das die bereits stattgefundene Verarbeitung (Anonymisierung) wie oben ausgeführt nicht mehr, und die anonymen Daten können weiterhin zustimmungsfrei verwendet werden. 

Die Anonymisierung muss selbstverständlich so erfolgen, dass keine Rückschlüsse auf Personen mehr möglich sind (anderenfalls wäre es auch keine Anonymisierung). Werden beispielsweise nur Körpergröße und Augenfarbe von 100.000 Personen in einem Datenpool gespeichert, kann man diesen Datenpool sicher als anonym ansehen, da man aus den Datensätzen nicht mehr auf eine Person schließen kann. Wird ein KI-Modell nur mit anonymisierten Daten trainiert, so dürften keine datenschutzrechtlichen Bedenken bei seiner Benutzung bestehen. 

 

Sie überlegen, welche Potenziale KI in Ihrem Unternehmen entfalten kann? Jetzt KI-Workshop anfragen.

 

Andere hinreichende Bedingungen für die Datenverarbeitung 

Für die Verarbeitung personenbezogener Daten ist nicht zwingend die Zustimmung der betroffenen Person erforderlich, wie ich oben gezeigt habe. Die Verarbeitung ist auch erlaubt, wenn sie etwa im öffentlichen Interesse liegt oder im berechtigten Interesse des Verantwortlichen (und dabei nicht das Interesse der betroffenen Person überwiegt). In diesen Fällen können personenbezogene Daten auch durch KI verarbeitet werden. Hier darf allerdings Artikel 22 der DSGVO nicht außer Acht gelassen werden: Personen dürfen nicht ausschließlich automatisierten Entscheidungen unterworfen werden. Im Grunde stellt dieser Artikel einen Vorgriff auf die zurzeit noch in Abstimmung befindliche KI-Verordnung der EU-Kommission dar, in der solche Fälle ausführlich geregelt werden. 

Fällt der Grund für die Verarbeitung weg, so müssen die Daten gelöscht werden. Das ist kein Problem, wenn der Grund für die Verarbeitung für alle Personen gleichzeitig wegfällt, man würde ohnehin das ganze KI-Modell löschen. Bei einer Datenverarbeitung, die so gestaltet ist, dass sie für einzelne Personen nur eine gewisse Zeit erforderlich ist, etwa zur Durchführung eines Vertrages, käme wieder das bereits oben angesprochene Problem zum Tragen: niemand kann die Daten einer Person aus einem KI-Modell wieder entfernen. Derartige Datenverarbeitungen sind also nicht rechtssicher umzusetzen. 

 

Öffentliche verfügbare oder private Modelle 

Verschiedene öffentliche KI-Modelle wie z. B. Google Bard werden von Millionen Nutzern weltweit benutzt. Dabei fließen alle Eingabedaten, also die Nutzerprompts, an den Betreiber. Dieser benutzt die Eingabedaten zur Weiterentwicklung seiner Modelle, wobei sie unter anderem auch von Menschen gelesen werden (Reviewer). Es ist evident, dass sich derartige öffentliche Modelle nicht datenschutzkonform benutzen lassen.  

Es ist jedoch zum Glück nicht schwer, eine eigene KI zu betreiben, sei es im eigenen Rechenzentrum oder bei einem Cloud-Anbieter. Dabei können Sie auf “pre-trained models” zurückgreifen, also KI-Modelle, die bereits mit einer Vielzahl von Daten für bestimmte Zwecke trainiert wurden, und diese für die eigenen Zwecke anpassen oder weiterentwickeln. 

 

Fazit 

Es gibt zahlreiche Möglichkeiten, wie Sie KI sinnvoll einsetzen können, ohne mit dem Datenschutz in Berührung zu kommen. Aber auch die KI-gestützte Verarbeitung von Personendaten kann, wie ich in diesem Artikel aufgezeigt habe, so gestaltet werden, dass sie konform mit bestehenden Datenschutzgesetzen erfolgt.  

Die größten Risiken von KI sind Compliance, Datensicherheit, Kontrollierbarkeit sowie ethische Konflikte. Wie wir damit umgehen? Proaktiv. Wir dokumentieren die Entwicklung unsere KI-Systeme transparent und nachvollziehbar. Außerdem arbeiten wir auf technischer sowie prozessualer Ebene eng mit Ihnen zusammen, um mögliche Risiken früh zu erkennen. So sind wir in der Lage, die passenden Safeguards in Ihre Workflows und Systeme zu integrieren. Hier erfahren Sie mehr über unsere KI-Leistungen.  

Wie können wir helfen?

Herausfordernde Plattform- und App-Projekte treiben uns an. Wenn Sie auf der Suche nach einer Agentur sind, mit der Sie Ihr Geschäftsmodell digitialisieren wollen, sind wir der richtige Partner.

Prozessdigitalisierung (Prozesse digitalisieren) für große und mittlere Unternehmen

Prozessdigitalisierung: Ihr Weg zur erfolgreichen Transformation

Prozessdigitalisierung bedeutet Zukunft. Wer sie meistert, wird die wirtschaftlichen Herausforderungen unserer Zeit erfolgreich bewältigen. Denn digitale Prozesse sind nicht nur fehlerfreier und kosteneffizienter als analoge …

RAG Chatbot: Wie das Chatten mit eigenen Daten Unternehmensprozesse revolutioniert

RAG Chatbot: Wie das Chatten mit eigenen Daten Unternehmensprozesse revolutioniert

Im digitalen Zeitalter sind Daten der Schlüssel zu Ihrem Erfolg. Um sie effizient zu verwalten, zu analysieren und in wertvolle Erkenntnisse zu verwandeln, benötigt Ihr …

HPI Connect Interview mit Fabian Georgi

Über die HPI Connect zum Traumjob als Werkstudent in der Softwareentwicklung

Vor eineinhalb Jahren ist Fabian Georgi auf der HPI Connect Messe das erste Mal auf SPRYLAB aufmerksam geworden. Im Interview gibt er euch Einblicke in …

Tech-Newsletter

Erhalten Sie zusammen mit unseren 2.000+ Abonnent:innen einmal im Monat Updates zu Fachartikeln, Case Studies, Webinaren, Veranstaltungen und Neuigkeiten von uns und aus der Branche.