Zwischen DSVGO und AI Act – Wie Unternehmen beim Einsatz von KI rechtliche Risiken im Blick behalten

Illustration: Absmeier biancoblue

Fünf Jahre ist die DSGVO nun in Kraft und die Europäische Kommission will die Regelung noch im ersten Halbjahr verbessern. Konkret sollen verbindliche Fristen für die Weiterleitung von Beschwerden und eine generelle Bearbeitungsfrist kompletter Beschwerdeverfahren eingeführt werden. Das Thema KI wird die EU separat im »AI Act« regeln, wobei DSGVO und KI eng verflochten sind, wie der Bann von ChatGPT in Italien zeigt. Wie Firmen das Potenzial von KI für sich nutzen können, unter kontrolliertem rechtlichen Risiko, erläutert Mark Molyneux, EMEA CTO bei Cohesity und formuliert vier konkrete Empfehlungen:

 

»ChatGPT hat KI für jeden frei zugänglich gemacht und in den Alltag gebracht. Diesen Januar sollen mehr als 100 Millionen aktive User die KI genutzt haben – zwei Monate nach ihrem Start. Damit ist ChatGPT nach Reuters die am schnellsten gewachsene Consumer-Anwendung der Geschichte. Und mit jeder neuen Version wird diese KI größer und besser. Und mit jeder neuen Version wirft sie mehr Fragen auf – rechtlich, technisch und ethisch. Denn es mangelt an Transparenz, niemand von außen kann in diese Black Box schauen.

Die Italienische Regierung hat sich entschieden, ChatGPT zu bannen. Die KI verstoße gegen Prinzipien der DSGVO, heißt es von der italienischen Staatsanwaltschaft. Die Europäischen Staaten und ihre Datenschutzbehörden sehen sich in der Pflicht, die KI in den Blick zu nehmen. Es passt ins Bild, dass gegen die Firma für Gesichtserkennung, Clearview AI, im vergangenen Jahr gleich dreimal Strafen von bis zu 20 Millionen Euro ausgesprochen wurden. Die Datenschützer in Großbritannien , Italien und Griechenland waren der Meinung, diese Firma und ihre AI verletze die Rechte der Bürger.

Das Gesamtbild ist unscharf, es sind aber klare Tendenzen erkennbar, dass der Einsatz von KI mit bestimmten Daten rechtliche Risiken schafft, wenn mit DSGVO-relevanten Daten hantiert wird. Und die Statistiken zeigen, dass die Behörden in Europa weiter hohe Strafen verhängen – insbesondere gegen Big Data. Von Mai 2022 bis Mai dieses Jahres wurden Bußgelder in Höhe von 1,1 Milliarden Euro erhoben – neun der zehn höchsten Strafen wurden gegen Tech-Giganten aus den USA ausgesprochen.

Die EU will die Rechtslage im AI Act klarer regeln. Das europaweite KI-Gesetz hat am 11. Mai die erste Hürde genommen und soll Mitte Juni im Plenum verabschiedet werden. Es wird bis 2024 dauern, bis das Gesetz tatsächlich in Kraft tritt. Und erst viel später wird in den ersten Fällen klar, wie es in der Praxis tatsächlich wirkt. Sicher ist, dass auf Firmen und ihre Mitarbeiter aus Compliance-Sicht neue Aufgaben und Pflichten zukommen.

 

Dabei sein – mit kontrolliertem Risiko

Niemand in der freien Wirtschaft kann es sich leisten, bis dahin zu warten. Firmen und Privatpersonen brauchen jetzt klare Orientierung. Denn sie wollen das große Potenzial dieser Technik nutzen, erste Firmen tun es bereits. Es gibt vier klare Empfehlungen, wie Firmen dies angehen können, ohne rechtliche Risiken zu verursachen und trotzdem den Usern nicht im Weg zu stehen. Und zugleich so aufgestellt zu sein, dass man den AI Act voll umsetzen kann, ohne die IT auf den Kopf zu stellen:

  • Compliance immer mitdenken:
    Ob der Einsatz von KI Compliance betrifft, hängt schlicht vom Anwendungsszenario und den genutzten Daten ab. Wer KI DSGVO-konform einsetzen will, sollte vor Einführung den Rat eines Datenschutzexperten einholen.
  • Daten kennen:
    Unternehmen und ihre Mitarbeiter müssen genau wissen, mit welchen Daten sie die KI füttern und welchen Wert diese Daten für die Firma besitzen. Einige KI -Anbieter übertragen diese Entscheidung bewusst an die Daten-Owner, weil sie die Daten am besten kennen.
  • Inhalte der Daten verstehen:
    Damit die Daten-Owner richtig entscheiden können, muss der Wert und Inhalt der Daten klar sein. Im Alltag ist diese Aufgabe gigantisch und die meisten Firmen haben Berge von Informationen angehäuft, von denen sie überhaupt nichts wissen. Auf diesem Gebiet kann KI und Machine Learning massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen automatisiert klassifiziert. Vordefinierte Filter fischen Compliance-relevante Daten wie Kreditkarten oder andere personenbezogene Details sofort aus dem Datenteich und markieren sie. Diese KI entwickelt einmal auf die Daten losgelassen eine firmenbezogene Sprache, einen Firmendialekt. Und je länger sie arbeitet und je mehr Firmendaten sie untersucht , desto genauer werden ihre Ergebnisse. Der Charme dieser KI-getriebenen Klassifizierung zeigt sich vor allem, wenn neue Vorgaben einzuhalten sind. Was auch immer der AI Act bringt, die ML und KI getriebene Klassifizierung wird diese zusätzlichen Attribute suchen können und der Firma ein Stück Zukunftssicherheit verschaffen.
  • Datenflüsse steuern:
    Sind die Daten mit den richtigen Merkmalen eingestuft und klassifiziert, lassen sich von der darunter liegenden Datenmanagement-Plattform automatisch Regeln durchsetzen, ohne dass der Data Owner eingreifen muss. Dadurch sinken die Chancen für menschliche Fehler und die Risiken. So könnte eine Firma durchsetzen, dass bestimmte Daten wie Intellectual Property oder Finanzdaten niemals an andere Speicherorte oder externe KI-Module weitergegeben werden dürfen. Moderne Datenmanagement-Plattformen steuern den Zugriff auf diese Daten, indem sie diese automatisch verschlüsseln und sich Anwender per Access Controls und Multifaktor-Authentifizierung autorisieren müssen.

 

Fazit

KI wird die Wirtschaft so umwälzen, wie es das Internet tat. Firmen wollen, dass ihre Mitarbeiter KI innovativ nutzen. KI selbst hat die Kraft, KI zu zähmen, indem sie die Daten und ihren Inhalt durchleuchten kann. Dies eröffnet Firmen viele gute Wege, wie sie den Einsatz von KI steuern können, ohne hohe Risiken und Strafen fürchten zu müssen.«

 


 

5 Jahre DSGVO: ethische & datenschutzrechtliche Aspekte der KI-Nutzung im Fokus

Illustration: Absmeier freepik

Am 25. Mai waren es fünf Jahre, seit die europäische Datenschutzgrundverordnung (DSGVO) in Kraft trat. In den letzten Jahren standen vor allem die Verbesserungen bei der Governance, Überwachung, Sensibilisierung und strategischen Entscheidungsfindung in Bezug auf die Nutzung von Verbraucherdaten im Fokus. Innerhalb der letzten 12 Monate ist aber auch ein weiteres Thema ins Blickfeld der DSGVO-Compliance gerückt: die Entwicklung und der Einsatz von Lösungen auf Basis künstlicher Intelligenz (KI). Asha Palmer, SVP Compliance Solutions bei Skillsoft, hat Erfahrungen von Rechtsexperten, Beispiele von DSGVO-Verstößen im Zusammenhang mit der Nutzung von KI, und die Auswirkungen der DSGVO auf Compliance-Verantwortliche zusammengestellt. Eine Checkliste zeigt außerdem auf, welche drei Schritte besonders wichtig für Unternehmen sind, um eine Compliance-Strategie, inklusive Berücksichtigung von KI, aufzubauen.

 

Wir haben in fünf Jahren viel erreicht – aber wir sind noch nicht am Ziel

Hat die durch die DSGVO herbeigeführte Sensibilisierung ausgereicht, um nachhaltige Veränderungen im Datenschutz herbeizuführen? Skillsoft sprach mit Jonathan Armstrong, Partner in der Kanzlei Cordery Legal Compliance, die darauf spezialisiert ist, Unternehmen in Compliance-Fragen zu unterstützen. Armstrong hat Hunderte von DSGVO-Angelegenheiten in der EU bearbeitet. Er zieht eine gemischte Bilanz hinsichtlich der Veränderungen, die die DSGVO bewirkt hat: Einerseits wurden viele der versprochenen Maßnahmen nicht umgesetzt, einschließlich der Rationalisierung und Vereinheitlichung der Art und Weise, wie Unternehmen mit Daten umgehen. Andererseits hat die DSGVO einige bemerkenswerte Dinge erreicht, die über ihren zunächst vorgesehenen Geltungsbereich hinausgehen. Wichtig ist etwa, dass dank ihr Unternehmen eine Zeit massiver Umbrüche überstanden haben. Nach Meinung von Armstrong waren sie mithilfe der DSGVO in der Lage, den schnellen technologischen Wandel zu bewältigen, einschließlich der zunehmenden Verbreitung von Lösungen auf Basis künstlicher Intelligenz

Auf Basis der DSGVO haben Regulierungsbehörden allein im Zusammenhang mit KI mehr als 80 Millionen Euro an Bußgeldern kassiert. Viele Unternehmen denken auch aus diesem Grund mittlerweile über Best Practices nach, um den Einsatz von KI im Unternehmen DSGVO-konform zu machen. Italien beispielsweise hat kürzlich als erstes westliches Land den Chatbot ChatGPT blockiert, während die Aufsichtsbehörden prüfen, ob er DSGVO-konform ist. Obwohl die Blockade nach Gesprächen mit den Eigentümern von ChatGPT nun aufgehoben wurde, werden die Ermittlungen fortgesetzt.

 

Konzentration auf ethische KI

Wenn man sich die Bußgelder betrachtet, die in den letzten fünf Jahren aufgrund der DSGVO verhängt wurden, können Unternehmen viel darüber lernen, worauf sie ihre Bemühungen konzentrieren müssen, um eine maximale Wirkung zu erzielen. Die Sicherheit der Daten ist ein wesentliches Ziel der DSGVO, aber die letzten fünf Jahre haben gezeigt, dass ein grundlegender Teil der Compliance darin besteht, das Richtige zu tun.

Bevor die DSGVO in Kraft trat, gingen viele Unternehmen davon aus, dass es sich bei den meisten Verstößen um Sicherheitsverletzungen handeln würde. Laut Armstrong war es jedoch interessant festzustellen, dass es bei den meisten höheren Bußgeldern um Fragen der Transparenz ging – also einfach darum, den Nutzern gegenüber ehrlich zu sein, wie man ihre Daten nutzt.

Auch die künstliche Intelligenz (KI) war laut Armstrong ein beliebtes Diskussionsthema. Immer mehr Unternehmen entwickeln und nutzen KI-gestützte Tools und Dienste. Ist diese frühe Phase also quasi eine gesetzesfreie Zone da es noch keine Regulierungen rund um KI gibt?

 

KI wird durch die DSGVO reguliert

Die DSGVO verlangt von Organisationen, dass sie Einzelpersonen darüber informieren, welche Informationen über sie gespeichert werden und wie diese verwendet werden. Das bedeutet, dass Organisationen bei jeder Art automatisierter Entscheidungsfindung verpflichtet sind, den betroffenen Personen Informationen über die damit verbundene Logik dieser Entscheidungen zur Verfügung zu stellen. Sie müssen sie also darauf aufmerksam machen, dass eine automatisierte Entscheidung getroffen wird und sie über die Bedeutung der automatisierten Entscheidung sowie die spezifische Logik des Algorithmus aufklären, der die automatisierten Entscheidungen trifft.

Da generative KI immer fortschrittlicher und weiter verbreiteter wird, müssen Unternehmen also eine Governance für ihren Einsatz am Arbeitsplatz entwickeln und dabei Aspekte der Sicherheit, des Datenschutzes, der Vertraulichkeit sowie die ethischen Auswirkungen berücksichtigen. Denn eine komplette Sperre gegen die Nutzung von KI ist in den meisten Fällen keine Option. Solange Organisationen, die auf KI setzen, nachweisen können, dass sie die genannten Anforderungen einhalten, sind sie auf dem richtigen Weg. Sie müssen sich aber auch mit anderen Aspekten befassen, darunter Fairness, Transparenz und Maßnahmen zur Bearbeitung individueller Anfragen

 

Transparenz als Schlüsselfaktor bei der Einhaltung der DSGVO

Beispiele der Fälle, die im Zusammenhang mit KI und DSGVO vor Gericht landeten, zeigen deutlich, wie wichtig eine transparente Datennutzung ist – ganz besonders auch beim Einsatz von KI:

Lieferservice-Apps müssen Strafzahlungen für den Einsatz von KI-Algorithmen leisten

Die italienische Datenschutzbehörde Garante verhängte ein Bußgeld gegen zwei der größten Online-Lebensmittelliefer-Apps des Landes, weil sie mithilfe von Algorithmen Lieferfahrer begünstigten, die zu Zeiten hoher Nachfrage arbeiten konnten – insbesondere freitags, samstags und sonntags. Arbeitnehmer, die an diesen Tagen beispielsweise aufgrund religiöser Gründe nicht arbeiten konnten, wurden von den Algorithmen benachteiligt. Die DSGVO verbietet eine automatisierte Entscheidungsfindung, einschließlich Profiling.

Behörden untersagen die Nutzung bestimmter ChatBots

Replika ist ein KI-gestützter Chatbot, der virtuelle Freundschaften mit Benutzern per Text und Video simuliert. Der Chatbot hatte keine Altersverifizierung und die italienische Datenschutzbehörde Garante war besorgt über die Möglichkeit, sexuell unangemessene Inhalte mit Minderjährigen zu teilen. Die Aufsichtsbehörde kam zu dem Schluss, dass Replika Daten rechtswidrig verarbeitet habe, da Kinder keinen gültigen Nutzungsvertrag abschließen könnten.

Dieser Fall fällt unter die Anforderungen der DSGVO an Datentransparenz. Laut der Einschätzung von Jonathan Armstrong werden Unternehmen weiterhin auf Konflikte rund um KI und DSGVO stoßen, wenn sie nicht im Voraus damit beginnen, über diese Art von Problemen nachzudenken und stattdessen »Abkürzungen nehmen«, um den Lieferzyklus für neue Apps oder Funktionen zu verkürzen.

Nutzung von KI bei der Personal-Rekrutierung

Viele Unternehmen setzen KI-Chatbots auch im Rahmen der Mitarbeiter-Rekrutierung ein. Da diese Praxis weiter zunimmt, befürchten die Aufsichtsbehörden, dass dadurch die Privatsphäre von Arbeitssuchenden beeinträchtigt oder bestehende Vorurteile in Bezug auf Rasse und Geschlecht begünstigt werden könnten. Aus diesem Grund erwägt der US-Kongress die Einführung des sogenannten Algorithmic Accountability Acts. Dieser würde Arbeitgeber dazu verpflichten eine Folgenabschätzung für jedes automatisierte Entscheidungssystem durchführen, das den Zugang, die Bedingungen oder die Verfügbarkeit einer Beschäftigung für eine Person erheblich beeinträchtigt.

 

Auswirkungen der DSGVO auf Compliance-Verantwortliche

Compliance-Experten spielen eine Schlüsselrolle bei der Einhaltung der DSGVO – auch im Hinblick auf Aspekte der KI. Sie müssen sich für Transparenz einsetzen und die Schnittstelle zwischen den im eigenen Unternehmen entwickelten oder genutzten Technologie und deren Auswirkungen auf seine Nutzer bilden. Dabei sollten folgende Fragen berücksichtigt werden:

  • Welche Arten von Technologie werden im gesamten Unternehmen verwendet?
  • Wer stellt diese Technologie bereit, und ist diese Organisation seriös und erfüllt alle relevanten Compliance Vorgaben?
  • Wie genau funktioniert die Technologie?
  • Ist die Technologie fair und unparteiisch?

Nur auf Basis dieser Informationen können Organisationen ihre Mitarbeitenden und Anwender schützen – und zudem das Risiko von Bußgeldern im Zusammenhang mit der DSGVO verringern.

 

 

Wichtige Schritte für eine Compliance-Strategie mit Berücksichtigung von KI

Compliance-Experten sollten folgende Schritte durchführen, um potenzielle Probleme anzugehen:

Schritt 1. Durchführung einer Datenschutz-Folgenabschätzung

Überprüfen Sie die Auswirkungen Ihrer aktuell genutzten Technologien (Tech-Stacks) – einschließlich der Arten von Informationen, die sie sammeln, und wie sie diese verwenden. Richten Sie ein Verfahren ein, um die Risiken künftig eingeführter Technologien sorgfältig abzuwägen. Eine formelle Datenschutz-Folgenabschätzung kann die Rechtsgrundlage für einige der vorgeschlagenen Anwendungen von Technologielösungen, einschließlich KI, bilden.

Selbst wenn Ihre Systeme extrem sicher und rechtskonform sind, ist dies bei Ihren Outsourcing-Partnern möglicherweise nicht der Fall. Unternehmen lagern heute auch kritische Geschäftsprozesse aus – Gehaltsabrechnung, Reiseplanung, Zeitmanagement, Kundeninteraktionen und mehr. So betraf etwa eine kürzlich aufgedeckte Sicherheitsverletzung in einer Organisation 900 Unternehmen, die mit dieser Organisation zusammenarbeiteten. Daher müssen Unternehmen noch sorgfältiger darauf achten, Risiken zu reduzieren und vorauszuplanen.

Schritt 2. Verfahren zum Umgang mit DSGVO-Problemen und Verstößen

Egal wie gewissenhaft Ihre Organisation ist, Verstöße können immer passieren. Sie sollten daher Verfahren schaffen, die sofort für Abhilfe sorgen. Das ist besonders wichtig, da die meisten Organisationen nur 72 Stunden Zeit haben, um Aufsichtsbehörden einen Bericht vorzulegen, nachdem sie vor einem DSGVO-Problem gewarnt wurden. Die Richtlinien und Verfahren sollten einfach gehalten, auf den Punkt gebracht sein und eine klare Richtung vorgeben.

Schritt 3. Training anhand eines Reaktionsplans

Wenn die Richtlinien und Verfahren zum Schutz des Unternehmens festgelegt wurden, sollten die Abläufe trainiert werden. Die gesamte Organisation muss verstehen, wie sie in einer Krise reagieren sollte.

»Die Compliance-Anforderungen wachsen weiter. Dabei ist es für Unternehmen einerseits wichtig zu berücksichtigen, wie die gesamte Compliance-Strategie integriert wird und andererseits, wie die relevanten Inhalte möglichst effizient und nachhaltig an die Belegschaft vermittelt werden. Keine leichte Aufgabe – aber es steht fest, dass die Vermittlung der notwendigen Informationen an Compliance-Teams, sowie an alle Teile der Belegschaft ein Schlüsselelement zur erfolgreichen Umsetzung von Compliance-Maßnahmen ist«, resümiert Andreas Rothkamp, VP für die Region DACH bei Skillsoft.«

Weitere Informationen rund um Trainings und Lerninhalte zum Thema Compliance, gibt es auch unter: https://www.skillsoft.com/de/compliance-leaders