KI und Datenschutz: Passt das zusammen?

KI-Technologien haben enorme Fortschritte gemacht und können viele Bereiche unseres Lebens optimieren. Aber je mehr Daten wir sammeln und je mehr wir KI-Systeme verwenden, desto größer wird auch das Risiko, dass personenbezogene Daten missbraucht oder gestohlen werden. Im aktuellen Datenschutzinfobrief stellen wir einige datenschutzrechtlichen Risiken vor.

Was ist eine KI?

Künstliche Intelligenz bezieht sich auf Technologien, die es Computern ermöglichen, menschenähnliche Fähigkeiten wie Sprach- und Bilderkennung, Entscheidungsfindung und automatisierte Aktionen auszuführen. Dadurch, dass ihnen große Datensätze zur Verfügung stehen und sie ständig dazulernen können, sollen durch KI bestehende Arbeitsprozesse optimiert, Verfahrensabläufe beschleunigt, die Qualität gesteigert und neue Lösungswege aufgezeigt werden. 
Daher wird sie auch bereits in vielen Bereichen des Alltags eingesetzt – von Navis mit Stauprognosen über Suchmaschinen bis hin zu Smart-Home-Anwendungen und Übersetzungssoftware. Sogar in der Anwendung des Datenschutzes selbst kann KI hilfreich sein. So ist es beispielsweise möglich, durch KI Datenpannen früher zu erkennen.

Welche Datenschutz-Problematiken ergeben sich aus der Nutzung von KI?

KI-Technologien haben enorme Fortschritte gemacht und können viele Bereiche unseres Lebens optimieren. Aber je mehr Daten wir sammeln und je mehr wir KI-Systeme verwenden, desto größer wird auch das Risiko, dass personenbezogene Daten missbraucht oder gestohlen werden. Hier sind einige Herausforderungen, die im Zusammenhang mit KI und Datenschutz auftreten können:

1. Datenschutzverletzungen und Beeinträchtigung der Informationssicherheit

Wenn personenbezogene Daten gesammelt werden, besteht immer die Möglichkeit, dass diese Daten gestohlen oder anderweitig kompromittiert werden. Wie eine Datenpanne konkret aussieht, zeigt das Beispiel Samsung. Das Unternehmen hatte seinen Mitarbeitenden erlaubt, ChatGPT für die Arbeit zu verwenden. 
Daraufhin haben Beschäftigte sensible Daten, wie vertrauliche Codes und andere unternehmensinterne Daten, an den Chatbot gesendet. Dadurch sind die Daten außerhalb von Samsungs Netzwerk gelandet und könnten – dadurch, dass ChatGPT durch seine Konversationen lernt – an andere ChatGPT-Nutzer*innen geschickt werden. Auch der Grundsatz der Datenminimierung scheint dem Modell von KI entgegenzustehen. In der Regel benötigt eine KI einen möglichst großen Datensatz, um zuverlässig arbeiten zu können – Stichwort Big Data.

2. Fehlende Transparenz

KI-Systeme können aufgrund ihrer Komplexität und ihres maschinellen Lernens schwer zu verstehen sein. Dadurch, dass das System dazu lernt und sich weiterentwickelt, ist der Algorithmus im Zweifel nicht einmal für seine Entwickler*innen nachvollziehbar. 
Datenschützende bezeichnen KI daher auch als Blackboxes. Häufig ist unklar, welche Daten wie verarbeitet werden. Das erschwert Datenschutz-Folgenabschätzungen ungemein. Auch, welche Daten zu Lernzwecken herangezogen werden, ist oft unklar – für Betroffene, aber auch für die Unternehmen, die KI entwickeln. Hier fehlen oft die nötige Dokumentation und Strategie zum Aufbau von Datensätzen.

3. Fehlende Kontrolle

KI-Systeme können Entscheidungen treffen, die sich auf das Leben von Menschen auswirken, wie beispielsweise die Entscheidung, wer einen Kredit bekommt und wer nicht. Es ist wichtig, dass Nutzer*innen die Kontrolle darüber behalten, wie ihre Daten verwendet werden, und dass Entscheidungen von KI-Systemen überprüfbar und nachvollziehbar sind. Außerdem muss es für Betroffene möglich sein, ihre Rechte geltend zu machen. Hier ist es beispielsweise fraglich, inwieweit das Recht auf Löschung umgesetzt werden kann.

4. Bias und Diskriminierung

KI-Systeme können aufgrund von Vorurteilen in den Daten, auf denen sie trainiert werden, Vorurteile und Diskriminierung verstärken. Je nach Einsatzzweck sind die Folgen hier unterschiedlich gravierend. Wie das aussehen kann, zeigt das Beispiel eines Unternehmens, das KI im Recruiting eingesetzt hat. Da in der Vergangenheit häufig männliche Bewerber eingestellt wurden, hat die KI ein Muster vermutet und kategorisch weibliche Bewerberinnen aussortiert und dadurch die Diskriminierung von Frauen im Arbeitsmarkt verstärkt.

Wie können Organisationen das Datenschutzrisiko beim Einsatz von KI verringern?

Aktuell ist es kaum möglich, KI oder ChatGPT datenschutzkonform einzusetzen: 

  • Datenschutz-Folgenabschätzungen sind aufgrund des Blackbox Paradoxon kaum aussagekräftig, 
  • Daten werden in die USA und weitere Drittländer übermittelt, 
  • Möglicherweise wurden Daten ohne Zustimmung der Betroffenen erhoben,
  • Betroffenenrechte können ggf. nicht umgesetzt werden.

Allerdings ist es durch folgende Maßnahmen möglich, Risiken zu minimieren und den Einsatz so konform wie möglich zu gestalten:

  • Gehen Sie auf KI-Betreiber*innen zu und bitten Sie um mehr Informationen hinsichtlich der Datenverarbeitung.
  • Führen Sie eine Datenschutz-Folgenabschätzung durch und dokumentieren Sie diese.
  • Geben Sie keine personenbezogenen Daten in die Prompts bei ChatGPT oder anderen KI-Lösungen ein.
  • Wenn Sie APIs nutzen, prüfen Sie, ob Sie der Datennutzung zu eigenen Zwecken widersprechen können und welche sonstigen vertraglichen Regelungen gelten.
  • Bieten Sie KI-Betreiber*innen eine Vereinbarung zur gemeinsamen Verantwortlichkeit an und bitten Sie um den Abschluss von Standardvertragsklauseln.
  • Bitten Sie Ihre zuständige Aufsichtsbehörde um Empfehlung und Einschätzung.
  • Nehmen Sie die Verarbeitungen in Ihr Verzeichnis der Verarbeitungstätigkeiten auf.
  • Passen Sie Ihre eigene Datenschutzerklärung entsprechend an.
  • Verabschieden Sie ggf. eine Richtlinie zur Nutzung von KI-Anwendungen und sensibilisieren Sie Ihre Beschäftigten.

Fazit

Künstliche Intelligenz bringt weitreichende und vielfältige Vorzüge mit sich – aber eben auch Nebenwirkungen, die ein nicht unerhebliches Risiko für die Grundrechte der Bürger und Bürgerinnen darstellen können. 
Das Fazit daraus sollte allerdings nicht sein, von KI sicherheitshalber und kategorisch die Finger zu lassen. Das ist weder realistisch noch sinnvoll oder zukunftsorientiert. 
Vielmehr geht es darum, die Technologie so zu gestalten, dass sie den Menschen und seine Rechte in den Mittelpunkt stellt und gleichzeitig innovative Entwicklungen und einen breiten Einsatz in vielen Bereichen ermöglicht.

Aktuelle Informationen zum Datenschutz erhalten Sie als Mitglied des FA-Datenschutzportals in unserem monatlichen Info-Brief. Ein kostenloses Probeexemplar und Informationen zum Leistungsumfang des Portals senden wir Ihnen gerne auf Anfrage zu.