Der Einsatz künstlicher Intelligenz in Unternehmen und Behörden nimmt zu
Der Einsatz von künstlicher Intelligenz (KI) ist seit einigen Monaten in aller Munde. Ob Midjourney, BHuman oder ChatGPT, die Zahl der frei verfügbaren KI-Anwendung nimmt kontinuierlich zu und deren Nutzung erfreut sich wachsender Beliebtheit. Doch kann man solche Anwendungen tatsächlich bedenkenlos und unbegrenzt einsetzen? Zumindest aus Sicht des Datenschutzes sind dabei einige Punkte zu berücksichtigen.
So hatte die italienische Datenschutzaufsichtsbehörde aufgrund datenschutzrechtlicher Bedenken ein landesweites Verbot der KI-Anwendung ChatGPT ausgesprochen (das inzwischen wieder aufgehoben wurde) . Die deutschen Datenschutzaufsichtsbehörden haben mittlerweile ebenfalls ein Prüfverfahren eingeleitet. Es zeichnet sich ein grundsätzliches Spannungsverhältnis zwischen KI und Datenschutz ab.
Bedenken beim Einsatz von KI
Wie kann man im Unternehmen also die neuen technologischen Möglichkeiten nutzen, ohne dabei den Datenschutz in den Wind zu schießen? Geht das überhaupt?
Die Bedenken der Datenschutzaufsichtsbehörden beziehen sich insbesondere darauf, ob die Verarbeitung personenbezogener Daten bei ChatGPT
- mit den Grundprinzipien der DSGVO vereinbar ist,
- auf einer gültigen Rechtsgrundlage beruht und
- die betroffenen Personen ausreichend informiert werden.
Die Bedenken der Behörden sind nicht neu und auf andere KI-Lösungen, die personenbezogene Daten verarbeiten, übertragbar.
Sind die Grundsätze des Datenschutzes mit dem Einsatz einer KI vereinbar?
Werfen wir zunächst einen Blick auf einige der Grundsätze des Datenschutzes und deren Vereinbarkeit mit der Nutzung künstlicher Intelligenz am Beispiel von ChatGPT.
- Richtigkeit der Datenverarbeitung
Falschinformationen können für Betroffene schwerwiegende Nachteile haben. Die DSGVO verlangt daher grundsätzlich, dass nur sachlich richtige personenbezogene Daten verarbeitet werden. Unrichtige personenbezogene Daten sind unverzüglich zu löschen oder zu berichtigen. Werden Systeme wie ChatGPT jedoch aufgefordert, Angaben zu konkreten Personen zu machen, fügt die KI nach derzeitigem Stand häufig unrichtige Informationen hinzu. Diese auch als „Halluzination“ bezeichnete Eigenschaft kollidiert folglich mit dem datenschutzrechtlichen Grundsatz der Richtigkeit. Werden unrichtige Daten verarbeitet, steht den Betroffenen nach der DSGVO zudem ein Recht auf Berichtigung zu.
- Fehlende Rechtsgrundlage
Nach der DSGVO ist für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage erforderlich. Beim Training von KI-Systemen stellt sich deshalb regelmäßig die Frage, ob personenbezogene Daten verarbeitet werden dürfen. Denn für das Anlernen werden KI-Systeme u.a. mit den vom jeweiligen Nutzer eingegebenen Daten „gefüttert“ – einschließlich der darin enthaltenen personenbezogenen Daten. Als Rechtsgrundlage für diese Verarbeitung kommt – mangels Einwilligung der Betroffenen – nur ein berechtigtes Interesse der für die Datenverarbeitung Verantwortlichen in Betracht. Diese Rechtsgrundlage setzt jedoch voraus, dass dieses berechtigte Interesse die Rechte und Freiheiten der Betroffenen überwiegt. Ob dies beim Einsatz von KI der Fall ist, ist im Einzelfall zu prüfen.
Sofern besonders sensible personenbezogene Daten, wie z.B. Gesundheitsdaten, mit Hilfe von ChatGPT verarbeitet werden sollen, kann das berechtigte Interesse nicht als Rechtsgrundlage herangezogen werden. Es ist eine gesonderte Rechtsgrundlage gemäß Artikel 9 DSGVO erforderlich – ob eine solche vorliegt muss im Einzelfall geprüft werden, dies ist jedoch im Zusammenhang mit der Nutzung von KI eher als fraglich einzustufen.
- Transparente Datenschutzinformation
Wer personenbezogene Daten verarbeitet, ist nach der DSGVO verpflichtet, die Datenverarbeitung für die Betroffenen transparent zu machen und sie entsprechend zu informieren. Die Information muss transparent und verständlich sein und in einer klaren und einfachen Sprache erfolgen. Für KI-Lösungen wie ChatGPT ergeben sich in dieser Hinsicht mehrere Herausforderungen. U.a. ist beim Einsatz von KI ist eine transparente und leicht verständliche Information schon aufgrund der technischen Funktionsweise eine Herausforderung. Hinzu kommt, dass durch die Nutzung von KI durch viele Beschäftigte im Unternehmen es nahezu unkontrollierbar ist, welche Daten denn überhaupt an die KI zur weiteren Verarbeitung gegeben werden. Eine transparente Information zur Datenverarbeitung auf einer solchen Basis ist nahezu unmöglich.
Um diesen Herausforderungen zu begegnen braucht es letztendlich einen bewussten Umgang mit der KI und klare Regeln, die den Mitarbeitenden kommuniziert werden. Die Mindestanforderungen, die für die Nutzung von ChatGPT eingehalten werden sollten, werden wir im nächsten Beitrag am 08.08.2023 beleuchten.