Mit der Veröffentlichung der 144-seitigen KI-Verordnung im EU-Amtsblatt beginnt ein neues Kapitel in der Regulierung von Künstlicher Intelligenz (KI) in Europa. Diese Verordnung wird in spätestens zwei Jahren in Kraft treten
und bringt eine Vielzahl neuer Anforderungen und Herausforderungen mit sich, die Unternehmen und Datenschutzexperten gleichermaßen betreffen. Der zunehmende Einsatz von KI-Technologien erfordert ein ausgewogenes Verhältnis zwischen Innovation und dem Schutz personenbezogener Daten.
Der „Datenhunger“ der KI-Anbieter
KI-Anbieter benötigen eine immense Menge an Daten, um ihre Algorithmen zu trainieren und zu verbessern. Diese Daten sind das "Futter" für maschinelles Lernen und entscheiden über die Leistungsfähigkeit und Genauigkeit der KI-Systeme.
Datenquellen und rechtliche Herausforderungen
Viele KI-Anbieter greifen auf öffentlich zugängliche Datenquellen zurück, einschließlich Website-Inhalten, die ohne Einwilligung der Urheber kopiert werden dürfen. Dies führt dazu, dass auch personenbezogene Daten europäischer Bürger, oft ohne deren Wissen, in Länder wie die USA fließen. Diese Praxis steht im Widerspruch zur DSGVO, die strengen Regeln für den grenzüberschreitenden Datenfluss festlegt.
Beispiel: Microsoft und der Datenfluss
Ein aktuelles Beispiel für die Herausforderungen im Umgang mit Daten stellt Microsoft dar. Mit der Einführung von Windows 11 wird eine verstärkte Nutzung der Cloud angestrebt, was es für Nutzer schwierig macht, ein lokales Benutzerkonto einzurichten. Dies könnte als Schritt hin zu einem zukünftigen Cloud-basierten Betriebssystem wie Microsoft 365 gesehen werden. Die Speicherung und Verarbeitung von Daten in der Cloud eröffnet jedoch Risiken in Bezug auf den Datenschutz, insbesondere wenn diese Daten für KI-Trainingszwecke genutzt werden.
Schutz personenbezogener Daten in europäischen Organisationen
Europäische Organisationen müssen proaktiv Maßnahmen ergreifen, um den Schutz personenbezogener Daten zu gewährleisten. Dies gilt insbesondere im Kontext der Nutzung von KI-Systemen, bei denen folgende Datenarten betroffen sein können:
- Daten wie Kaufhistorien oder Fotos von Kunden können zur Verbesserung von KI-Modellen verwendet werden. Diese Daten müssen sorgfältig geschützt werden, um Missbrauch zu verhindern.
- Bei der Interaktion mit KI-Systemen fallen Nutzungsdaten an, die ebenfalls als personenbezogene Daten klassifiziert werden können.
- Nutzer können KI-Systeme mit personenbezogenen Daten füttern, etwa durch Hochladen von Dokumenten zur Übersetzung oder Analyse.
Neue KI-Transparenzpflichten
Die neue KI-Verordnung ergänzt bestehende Transparenzpflichten im Datenschutz. Unternehmen, die KI-Technologien einsetzen, müssen klar und verständlich kommunizieren, wie diese Technologien funktionieren und welche Daten verarbeitet werden.
Beispiel: Transparenz bei KI-gestützten Diensten
Ein konkretes Beispiel ist die Nutzung von KI in Telefon-Hotlines. Hier müssen Unternehmen darüber informieren, dass die Spracherkennung und Ausgabe durch KI erfolgt und welche Implikationen dies für den Datenschutz hat.
Die Rolle der Datenschutzexperten und Behörden
Datenschutz-Experten spielen eine entscheidende Rolle in der Diskussion um KI und Datenschutz. Sie helfen, die komplexen rechtlichen Fragen zu klären, die sich aus der Nutzung von KI ergeben.
Diskussionen über personenbezogene Daten in KI
Es gibt intensive Diskussionen darüber, ob die Daten, die in KI-Systemen verarbeitet werden, als personenbezogene Daten gelten. Diese Debatten betreffen auch scheinbar einfache Themen wie die Anonymisierung, die in der Praxis oft schwer umzusetzen ist. Datenschutz-Aufsichtsbehörden sind daher gefordert, klare Richtlinien und Vorschriften zu entwickeln, um den Datenschutz in der KI-Nutzung zu gewährleisten.
Beispiel: Italien und ChatGPT
Ein bemerkenswertes Beispiel für die Rolle der Aufsichtsbehörden ist die Entscheidung der italienischen Datenschutzbehörde, 2023 den Einsatz von ChatGPT im Land zu stoppen. Diese Entscheidung zeigt, dass Datenschutzbehörden bereit sind, restriktive Maßnahmen zu ergreifen, um den Schutz personenbezogener Daten zu gewährleisten.
Handlungsempfehlungen für Unternehmen
Angesichts der zunehmenden Bedeutung von KI und den damit verbundenen datenschutzrechtlichen Herausforderungen sollten Unternehmen folgende Maßnahmen ergreifen:
- Es ist essenziell, dass Unternehmen über fundierte Kenntnisse im Bereich KI verfügen, um die Chancen und Risiken dieser Technologien richtig einschätzen zu können. Schulungen und Weiterbildung der Mitarbeiter sind hierbei zentrale Maßnahmen.
- Die Entwicklung klarer interner Richtlinien für den Einsatz von KI kann dazu beitragen, die Nutzung von KI-Systemen sicher und rechtskonform zu gestalten. Diese Richtlinien sollten auch Anforderungen an die Schulung der Mitarbeiter umfassen.
- Die Einführung von Checklisten, die alle relevanten Punkte zur Planung und Implementierung von KI-Systemen abdecken, kann dazu beitragen, Risiken frühzeitig zu identifizieren und zu minimieren. Diese Checklisten sollten Aspekte wie Datensicherheit, Datenschutz und ethische Überlegungen umfassen.
Unternehmen müssen einen spezialisierten KI-Rechtsexperten hinzuziehen, sobald sie:
- Als KI-Anbieter gemäß Artikel 3 (1) Nr. 1 der KI-Verordnung auf dem Markt aktiv werden
- Ein Hochrisiko-KI-System gemäß Anhang III der KI-Verordnung einsetzen, insbesondere in den Bereichen Nr. 2-4.
Fazit
Die Schnittmenge zwischen Künstlicher Intelligenz und Datenschutz ist erheblich und wird in den kommenden Jahren weiter wachsen. Unternehmen müssen proaktiv handeln, um sicherzustellen, dass sie sowohl die gesetzlichen Anforderungen erfüllen als auch die technologischen Potenziale voll ausschöpfen können. Dabei sind klare Richtlinien, umfassende Schulungen und ein tiefes Verständnis der rechtlichen Rahmenbedingungen unerlässlich. Nur so können Unternehmen die Herausforderungen meistern und die Chancen, die KI bietet, optimal nutzen.
