KI und Datenschutz: Passt das zusammen?

Zuletzt aktualisiert am 09. Mai 2023

Die Verwendung von Künstlicher Intelligenz (KI) im Arbeitsumfeld ist seit Jahren ein Thema, das viel diskutiert wird. Besondere Aufmerksamkeit erhielt das Thema zuletzt durch Anwendungen wie ChatGPT und viele weitere, die immer mehr auch in die Interaktion mit Menschen treten.

Einerseits bietet KI viele Vorteile, wie zum Beispiel eine effizientere Arbeitsweise und verbesserte Entscheidungsfindung. Andererseits gibt es Bedenken hinsichtlich des Datenschutzes und der Sicherheit.

In diesem Blogbeitrag werden wir uns damit beschäftigen, wie KI und Datenschutz zusammenhängen und welche Herausforderungen und Lösungen es für die Anwendung im beruflichen Umfeld gibt. 

Künstliche Intelligenz bezieht sich auf Technologien, die es Computern ermöglichen, menschenähnliche Fähigkeiten wie Sprach- und Bilderkennung, Entscheidungsfindung und automatisierte Aktionen auszuführen. Dadurch, dass ihnen große Datensätze zur Verfügung stehen und sie ständig dazulernen können, sollen durch KI bestehende Arbeitsprozesse optimiert, Verfahrensabläufe beschleunigt, die Qualität gesteigert und neue Lösungswege aufgezeigt werden. Daher wird sie auch bereits in vielen Bereichen des Alltags eingesetzt – von Navis mit Stauprognosen über Suchmaschinen bis hin zu Smart-Home-Anwendungen und Übersetzungssoftware.

Auch in der Medizin wird zunehmend KI eingesetzt. Dort unterstützt KI unter anderem in der Röntgendiagnostik. Computer schaffen es, Tumore in einem sehr frühen Stadium mit einer enorm hohen Trefferquote zu erkennen. Selbst Spezialist:innen mit langjähriger Berufserfahrung erreichen nicht derart hohe Trefferquoten.

Sogar in der Anwendung des Datenschutzes selbst kann KI hilfreich sein. So ist es beispielsweise möglich, durch KI Datenpannen früher zu erkennen. In vielen Organisationen ist das keine leichte Aufgabe. Datenlecks bleiben nicht selten unerkannt. Eine KI könnte hier helfen, Lecks zu erkennen und Fristen einzuhalten. Auch bei Datenschutz-Folgenabschätzungen kann KI unterstützen. Bei der Bearbeitung der Fälle kann KI zudem die Vielzahl an Eingaben effektiver bearbeiten, auch wenn es stets individuelle Fälle sind und eine manuelle Sichtung dringend geboten ist. 

KI-Technologien haben enorme Fortschritte gemacht und können viele Bereiche unseres Lebens optimieren. Aber je mehr Daten wir sammeln und je mehr wir KI-Systeme verwenden, desto größer wird auch das Risiko, dass personenbezogene Daten missbraucht oder gestohlen werden. Hier sind einige Herausforderungen, die im Zusammenhang mit KI und Datenschutz auftreten können:

Wenn personenbezogene Daten gesammelt werden, besteht immer die Möglichkeit, dass diese Daten gestohlen oder anderweitig kompromittiert werden. Microsoft plant beispielsweise die Integration einer KI-Unterstützung in M365. Damit hätte ein Large Language Model Echtzeitzugriff auf sensible Unternehmensdaten wie Chatverläufe, E-Mails, Kalendereinträge und Dokumente. Dabei ist Microsoft den deutschen Datenschutzbehörden ohnehin schon nicht durch seinen umfassenden Datenschutz aufgefallen.

Wie eine Datenpanne konkret aussieht, zeigt das Beispiel Samsung. Das Unternehmen hatte seinen Mitarbeitenden erlaubt, ChatGPT für die Arbeit zu verwenden. Daraufhin haben Beschäftigte sensible Daten, wie vertraulichen Code und andere unternehmensinterne Daten, an den Chatbot gesendet. Dadurch sind die Daten außerhalb von Samsungs Netzwerk gelandet und könnten – dadurch, dass ChatGPT durch seine Konversationen lernt – an andere ChatGPT-Nutzer:innen geschickt werden.

Auch der Grundsatz der Datenminimierung scheint dem Modell von KI entgegenzustehen. In der Regel benötigt eine KI einen möglichst großen Datensatz, um zuverlässig arbeiten zu können – Stichwort Big Data.  

KI-Systeme können aufgrund ihrer Komplexität und ihres maschinellen Lernens schwer zu verstehen sein. Dadurch, dass das System dazu lernt und sich weiter entwickelt, ist der Algorithmus im Zweifel nicht einmal für seine Entwickler:innen nachvollziehbar. Datenschützende bezeichnen KI daher auch als Blackboxes. Häufig ist unklar, welche Daten wie verarbeitet werden. Das erschwert Datenschutz-Folgenabschätzungen ungemein.

Auch, welche Daten zu Lernzwecken herangezogen werden, ist oft unklar – für Betroffene, aber auch für die Unternehmen, die KI entwickeln. Hier fehlen oft die nötige Dokumentation und Strategie zum Aufbau von Datensätzen. Das war auch bei der Firma Clearview AI der Fall. Diese soll ohne Zustimmung der Betroffenen mehr als 30 Milliarden Fotos aus dem Internet genutzt und damit ihre KI zur Gesichtssuche trainiert haben. Die französische Datenschutzaufsichtsbehörde hat Clearview AI daraufhin mit einer Geldbuße in Höhe von 20 Millionen Euro belegt – dem höchstmöglichen Pauschal-Betrag für Datenschutzverstöße in der EU. 

KI-Systeme können Entscheidungen treffen, die sich auf das Leben von Menschen auswirken, wie beispielsweise die Entscheidung, wer einen Kredit bekommt und wer nicht. Es ist wichtig, dass Nutzer:innen die Kontrolle darüber behalten, wie ihre Daten verwendet werden, und dass Entscheidungen von KI-Systemen überprüfbar und nachvollziehbar sind.

Außerdem muss es für Betroffene möglich sein, ihre Rechte geltend zu machen. Hier ist es beispielsweise fraglich, inwieweit das Recht auf Löschung umgesetzt werden kann. Die riesigen Datensätze, mit denen KI arbeitet, sind teils weit fragmentiert, was es schwierig macht, Daten von Einzelpersonen zu identifizieren und zu löschen. Zudem können diese Daten weiterhin im Internet verfügbar sein und von der KI zu einem späteren Zeitpunkt wieder in den Datensatz aufgenommen werden. 

KI-Systeme können aufgrund von Vorurteilen in den Daten, auf denen sie trainiert werden, Vorurteile und Diskriminierung verstärken. Je nach Einsatzzweck sind die Folgen hier unterschiedlich gravierend. Wie das aussehen kann, zeigt das Beispiel eines Unternehmens, das KI im Recruiting eingesetzt hat. Da in der Vergangenheit häufig männliche Bewerber eingestellt wurden, hat die KI ein Muster vermutet und kategorisch weibliche Bewerberinnen aussortiert und dadurch die Diskriminierung von Frauen im Arbeitsmarkt verstärkt.

Es gibt verschiedene Ansätze, um den Datenschutz in Verbindung mit KI zu verbessern. Hier sind einige mögliche Lösungen:

KI-Systeme sollten so entwickelt werden, dass Entscheidungen nachvollziehbar und überprüfbar sind. Dies kann erreicht werden, indem die Entscheidungsfindung von KI-Systemen transparent gemacht wird und Nutzer:innen in der Lage sind, die Entscheidungen von KI-Systemen zu verstehen. Das kann jedoch auch eine Herausforderung sein – besonders, wenn Dienstleistungen einfach nur eingekauft werden, ohne zu verstehen, was tatsächlich wie funktioniert. Aus diesem Grunde wird Fachwissen im Umgang mit KI enorme Bedeutung bekommen.

Um den Datenschutz zu gewährleisten, können personenbezogene Daten anonymisiert oder pseudonymisiert werden. Dadurch wird verhindert, dass einzelne Personen aufgrund ihrer Daten identifiziert werden können.

KI-Systeme sollten auf einer breiten Datenbasis trainiert werden, um Vorurteile und Diskriminierung zu vermeiden. Außerdem sollten Entscheidungen von KI-Systemen fair und gerecht sein. Vor dem Einsatz von KI-Systemen sollten daher die Risiken für die Rechte und Freiheiten von Personen bewertet werden. Ziel muss sein, auch verdeckte Diskriminierung durch Gegenmaßnahmen zuverlässig auszuschließen. Auch während des Einsatzes sollte deshalb regelmäßig eine Risikobewertung erfolgen.

„Je höher das Schädigungspotenzial einer künstlichen Intelligenz oder eines algorithmischen Systems ist, desto strenger müssten die Anforderungen an seinen Einsatz sein", sagt Christof Stein, Pressesprecher des Bundesbeauftragten für Datenschutz und Informationsfreiheit. Vor dem Einsatz einer KI ist eine Datenschutz-Folgenabschätzung daher unerlässlich. Zudem sollten Organisationen genau überlegen, für welche Zwecke und Prozesse eine KI sinnvoll ist. KI sollte nicht zum Selbstzweck genutzt werden, sondern um Prozesse nachhaltig zu optimieren. Dafür muss sie richtig ausgewählt und integriert werden.

Aus Gründen der Informationssicherheit und des Datenschutzes ist es dringend geboten, auch die Mitarbeitenden mit dem Umgang vertraut zu machen. 

Zuletzt kamen immer mehr Bedenken bezüglich ChatGPT auf. Die deutschen Datenschutzaufsichtsbehörden haben sich daher entschlossen, OpenAI, den Betreiber des Chatbots ChatGPT, zu untersuchen. Es besteht der Verdacht, dass personenbezogene Daten ohne die erforderliche Rechtsgrundlage zum Training von ChatGPT verwendet wurden. Daher haben deutsche Datenschutzbehörden ein Verwaltungsverfahren angestrengt. Die deutsche KI-Taskforce hat einen Fragenkatalog für OpenAI vorbereitet, der von den Landesdatenschutzbeauftragten an das Unternehmen verschickt werden soll. Sollte sich herausstellen, dass personenbezogene Daten ohne Rechtsgrundlage verwendet wurden, droht ein Verbot des Betriebs des Chatbots. Bundesverkehrsminister Wissing betont allerdings, dass eine Regulierung, die ermöglicht und nicht behindert, nötig sei, um Raum für Innovationen zu lassen: „Wir wollen anwenden und nicht zurückdrängen.“ Daher sprach sich Wissing auch gegen ein ChatGPT-Verbot aus.

Die Sorge um den Datenschutz bei OpenAI ist auch in weiteren Teilen der EU angekommen. So hat beispielsweise das European Data Protection Board eine Taskforce für ChatGPT eingerichtet. Die spanische Datenschutzbehörde geht einen Schritt weiter als die deutschen und hat ein vorläufiges Ermittlungsverfahren wegen möglicher Nichteinhaltung der Vorschriften gegen OpenAI eingeleitet. In Italien wurde bereits der Zugang zu ChatGPT gesperrt, das Verbot ist nun jedoch wieder aufgehoben worden.

Wegen derartiger Bedenken wird bereits seit einigen Jahren an einer EU-weiten Verordnung zur Regulierung Künstlicher Intelligenz gearbeitet. Im April 2021 wurde ein erster Entwurf vorgelegt, der unter anderem eine Risikoeinstufung für KI-Systeme hinsichtlich von Grundrechten, Sicherheit und Privatsphäre vorsieht. Bei letzten Fortschritten in den Verhandlungen wurden strengere Regeln für KI-Systeme mit vielen möglichen Einsatzzwecken wie Sprach- oder Bilderkennung („General Purpose AI“) beschlossen. Die Verantwortung für den Missbrauch von KI-Programmen soll bei den Entwickler:innen liegen und nicht bei Unternehmen oder Verbraucher:innen. Wann die Verordnung in Kraft treten wird, ist allerdings noch unklar. Spätestens die Rechtspraxis wird daher in Zukunft für Gewissheit sorgen und nötige Standards setzen. 

Aktuell ist es kaum möglich, KI wie ChatGPT datenschutzkonform einzusetzen: Datenschutz-Folgenabschätzungen sind aufgrund des Blackbox Paradoxon kaum aussagekräftig, Daten werden in die USA und weitere Drittländer übermittelt, möglicherweise wurden Daten ohne Zustimmung der Betroffenen erhoben und Betroffenenrechte können ggf. nicht umgesetzt werden.

Allerdings ist es möglich, durch folgende Maßnahmen Risiken zu minimieren und den Einsatz so konform wie möglich zu gestalten: 

• Gehen Sie auf KI-Betreiber:innen zu und bitten Sie um mehr Informationen hinsichtlich der Datenverarbeitung.
• Führen Sie eine Datenschutz-Folgenabschätzung durch und dokumentieren Sie diese.
• Geben Sie keine personenbezogenen Daten in die Prompts bei ChatGPT oder anderen KI-Lösungen ein.
• Wenn Sie APIs nutzen, prüfen Sie, ob Sie der Datennutzung zu eigenen Zwecken widersprechen können und welche sonstigen vertraglichen Regelungen gelten.
• Bieten Sie KI-Betreiber:innen eine Vereinbarung zur gemeinsamen Verantwortlichkeit an und bitten Sie um den Abschluss von Standardvertragsklauseln.
• Bitten Sie Ihre zuständige Aufsichtsbehörde um Empfehlung und Einschätzung.
• Nehmen Sie die Verarbeitungen in Ihr Verzeichnis der Verarbeitungstätigkeiten auf.
• Passen Sie Ihre eigene Datenschutzerklärung entsprechend an.
• Verabschieden Sie ggf. eine Richtlinie zur Nutzung von KI-Anwendungen und sensibilisieren Sie Ihre Beschäftigten.