Viele Unternehmen verwenden bereits KI-Tools wie ChatGPT. Aber: Haben sie auch ihre Hausaufgaben gemacht und sich über KI und Datenschutz informiert? Wenn nicht, könnte es Probleme geben…

Wir erklären, warum Datenschutz beim Einsatz künstlicher Intelligenz so wichtig ist.

KI-Tools eröffnen neue Möglichkeiten

Keine Frage: Anwendungen, die mit künstlicher Intelligenz arbeiten, könnten sich für viele Unternehmen als äußerst nützlich erweisen. Viele haben die Hoffnung, dass moderne KI-Tools ihren Mitarbeitern nützliche kleine Helfer an ihrer Seite bieten und dass dadurch ihre Produktivität deutlich gesteigert wird. Besonders optimistische KI-Befürworter wagen es sogar, in neuen KI-Technologien eine Antwort auf den Fachkräftemangel zu sehen.

Fakt ist, dass viele Unternehmen KI-Tools bereits aktiv im Geschäftsalltag einsetzen. Der Branchenverband Bitkom hat dazu bereits 2022 eine Umfrage durchgeführt und herausgefunden, dass 9 Prozent der befragten Unternehmen bereits KI einsetzen. Und im April 2023 plante bereits jedes sechste Unternehmen, generative KI gezielt für die Textgenerierung einzusetzen.

Doch so vielversprechend das Potenzial künstlicher Intelligenz auch erscheinen mag, Unternehmen können nicht anders, als sich bei ihrer Nutzung auf das Thema KI und Datenschutz zu konzentrieren. Hier gibt es noch viele unbeantwortete Fragen, auf die die Datenschutzbehörden und manchmal jedes Unternehmen selbst eine Antwort finden müssen.

KI und Datenschutz — was ist das Problem?

Das Problem von KI und Datenschutz liegt an seinen Ursprüngen: Künstliche Intelligenz soll menschliche Intelligenz und menschliches Handeln nachahmen und muss auch von den Menschen selbst lernen — oder von den Daten, die sie produzieren.

Die großen Sprachmodelle (LLMs), die hinter (generativer) KI in Form von neuronalen Netzwerken (ähnlich dem menschlichen Gehirn) stehen, werden mit riesigen Datensätzen trainiert, darunter Bücher, Artikel, Bilder, Videos und Code. Selbst kleinste Informationen fördern maschinelles Lernen oder Deep Learning. Daten aus ihren praktischen Anwendungen werden auch für die Weiterentwicklung der KI-Tools verwendet. ChatGPT und Google Bard beispielsweise lernen mit jeder Konversation mehr.

All dies ist problematisch, da es auch viele persönliche Daten beinhaltet. Denn: Mit jeder Eingabe können Nutzer direkt oder indirekt manchmal sensible Informationen über sich und andere preisgeben — zum Beispiel zu politischen, religiösen, weltanschaulichen oder wissenschaftlichen Themen oder auch zu ihrer persönlichen Lebenssituation. Das ist genau der Knackpunkt. Denn gerade solche Informationen gelten als besonders schützenswert.

Personenbezogene Daten stehen auf dem Spiel

Das zentrale Problem von KI und Datenschutz besteht daher darin, dass es um personenbezogene Daten geht — oder möglicherweise auf dem Spiel steht. Unter anderem stellt sich die Frage, wie sicher die gewonnenen Daten bei den Betreibern der Tools sind. Ist der Schutz vor Datenlecks gewährleistet? Besteht die Gefahr eines Datendiebstahls durch Cyberkriminelle?

Kritiker stellen auch die Transparenz der Datennutzung in Frage. Welche Daten werden genau gesammelt und wie werden sie verwendet? Können Tools entwickelt werden, um sensible Informationen preiszugeben (Stichwort: Training Data Extraction Attack)? Besteht das Risiko der Profilerstellung, wenn personenbezogene Daten aus verschiedenen Quellen kombiniert werden? Welche Chance haben Nutzer, eine solche Datenerfassung zu verhindern? Und was ist mit dem Recht, vergessen zu werden?

Das sind alles legitime Fragen, die zu KI und Datenschutz gestellt werden (müssen). Es ist wichtig, angemessene Datenschutzbestimmungen und Ethikrichtlinien zu entwickeln, um sicherzustellen, dass KI-Technologien den Rechten und Bedürfnissen des Einzelnen entsprechen. Dies erfordert in erster Linie sowohl Technologieentwickler als auch Aufsichtsbehörden.

Datenschutzbehörden überprüfen KI-Tools

Natürlich beschäftigen sich die zuständigen Datenschutzbehörden schon lange mit diesem Thema. Sie stellen Technologieentwicklern umfangreiche Fragenkataloge, unter anderem zur Transparenz der Datenverarbeitung, zu Rechtsgrundlagen, Altersgrenzen für die Nutzung, zur Verwendung von Nutzungsdaten und zu Schutzmechanismen. Damit soll vor allem geklärt werden, für welche Zwecke eingegebene Daten verarbeitet werden und aus welchem Datenpool die KI ihr Wissen speist — und ob die datenschutzrechtlichen Grundprinzipien eingehalten werden.

Datenschutzanforderungen sollten jedoch nicht darauf abzielen, KI zu blockieren, sondern sie sollten KI und Datenschutz miteinander in Einklang bringen. Mit anderen Worten, aus den neuen KI-Technologien sollte der größtmögliche Nutzen gezogen werden, gleichzeitig sollten aber auch die Grundrechte und Datenschutzprinzipien beim Einsatz von KI-Technologien geschützt und gefördert werden.

Die kommende Zeit wird zeigen, wie das alles funktionieren kann. Das Europäische Parlament hat bereits einen wichtigen ersten Schritt zur Regulierung von KI und Datenschutz getan: mit dem KI-Gesetz — dem weltweit ersten Gesetz zur Arbeit mit künstlicher Intelligenz.

Einsatz von KI am Arbeitsplatz

Prinzipiell muss jedes Unternehmen die mit dem Einsatz von KI verbundenen (Datenschutz-) Risiken für sich selbst einschätzen und abwägen. Doch wie kann ein datenschutzkonformer Einsatz von KI-Tools am Arbeitsplatz aussehen? Hier sind ein paar Tipps:

• Generell sollten Unternehmen beim Einsatz von KI-Tools vorsichtig sein und auf die Ergebnisse der Datenschutzaufsichtsbehörden achten. Hier ist gerade viel Bewegung — seien Sie gespannt auf aktuelle Entscheidungen und Entwicklungen!
• Legen Sie klare Regeln für den Einsatz von KI-Tools im Unternehmen fest. Berücksichtigen Sie dabei, für welche Zwecke Sie KI einsetzen möchten. Für die Forschung ist sie zum Beispiel weniger problematisch zu verwenden, da sie nur Rückschlüsse auf (Unternehmens-) Interessen zulässt.
• Sie sollten unbedingt darauf achten, dass Mitarbeiter keine persönlichen und sensiblen Daten eingeben! Wenn Sie beispielsweise ein Anschreiben an einen Kunden schreiben lassen möchten, geben Sie nicht dessen Namen an, sondern verwenden Sie Pseudonyme wie Max Mustermann. Den KI-generierten Textentwurf können Sie später in Word oder Google Docs an die tatsächlichen Daten anpassen.
• Erlauben Sie, dass KI-Tools nur für Unternehmenszwecke verwendet werden. Private Nutzung sollte ausdrücklich verboten werden — nicht, um Ihre Mitarbeiter zu ärgern, sondern um ihre persönlichen Daten zu schützen.
• Stellen Sie die Einstellungen in KI-Tools so ein, dass sie maximalen Schutz bieten. Mit einigen Tools kannst du beispielsweise verhindern, dass Konversationen auf die Trainingsdaten der KI übertragen werden. In einigen Fällen ist es auch möglich, dass Suchverläufe nicht oder nur für einen bestimmten Zeitraum gespeichert werden.
• Lassen Sie sich von Experten zu KI und Datensicherheit schulen und bieten Sie solche Schulungen auch Ihren Mitarbeitern an, damit auch sie die internen Richtlinien verstehen und umsetzen.
• Beachten Sie, dass KI-Tools zu falschen Ergebnissen führen können. Hier muss ein Test durchgeführt werden!

Als Arbeitgeber müssen Unternehmen den Einsatz von KI am Arbeitsplatz regulieren. Sollte es aufgrund von KI-Tools zu einem Datenschutzvorfall kommen, müssen Unternehmen schnell reagieren und die zuständige Datenschutzbehörde sowie die betroffenen Nutzer informieren.

IT-Experten helfen bei KI und Datenschutz

KI-Tools können ein Sicherheitsrisiko darstellen — müssen es aber nicht, wenn Unternehmen sorgfältig damit umgehen. Vieles ist derzeit noch unklar, und eine Entscheidung darüber, ob ChatGPT datenschutzkonform eingesetzt werden kann, steht bei den Datenschutzbehörden noch aus — Stand 28. August 2023. Wie bereits erwähnt, halten Sie sich auf dem Laufenden, auch über unseren Blog, und folgen Sie in der Zwischenzeit unseren Tipps. Vielleicht sind Sie auch daran interessiert, sich und Ihre Mitarbeiter von einem externen IT-Experten zu KI und Datenschutz oder Datenschutz im Allgemeinen schulen zu lassen?

---

Weitere Links:
SECURITY INSIDER, BIGDATA INSIDER, SECURITY INSIDER, Spiegel

Lesen Sie den Originalartikel auf IT-SERVICE.network