Kirchenrecht (DSG-EKD): Umgang mit Fotos und Videos
13. Mai 2024Löschkonzepte
27. Mai 2024Kirchenrecht (DSG-EKD): Umgang mit Fotos und Videos
13. Mai 2024Löschkonzepte
27. Mai 2024Orientierungshilfe für den Einsatz Künstlicher Intelligenz: Datenschutz und rechtliche Grundlagen
Künstliche Intelligenz (KI) wird zunehmend von Unternehmen, Organisationen und Behörden, insbesondere seit dem Aufkommen generativer KI wie ChatGPT, eingesetzt. Die Nutzung großer Sprachmodelle (Large Language Models, LLMs) bringt jedoch zahlreiche datenschutzrechtliche Fragen mit sich. Aus diesem Grund hat die deutsche Datenschutzkonferenz eine Orientierungshilfe für Unternehmen herausgegeben, die sich zwar auch für andere KI-Modelle eignet, jedoch speziell auf Sprachmod abzielt.
Struktur der Orientierungshilfe
Die Orientierungshilfe gliedert sich in drei Hauptbereiche:
- Einsatzfelder und Zwecke der KI-Anwendungen: Hier wird betont, dass bei der Auswahl einer KI-Anwendung im Unternehmen zwingend ein klar definierter Zweck festgelegt werden muss. Dies soll sicherstellen, dass personenbezogene Daten nur dann verwendet werden, wenn es wirklich notwendig ist.
- Implementierung: Die Datenschutzkonferenz unterstreicht, dass Unternehmen technische geschlossene Systeme bevorzugen sollten, um die datenschutzrechtlichen Anforderungen besser zu erfüllen. Offene Systeme, bei denen Daten in die Cloud wandern, sind aus Datenschutzsicht problematischer.
- Nutzung: Anwender müssen sicherstellen, dass durch KI-Anwendungen keine Fehler in ihren Systemen entstehen. Dies ist besonders relevant, wenn KI-Modelle personenbezogene Daten enthalten, die ungewollt verarbeitet werden können.
Herausforderungen bei Sprachmodellen
Die Datenschutzkonferenz weist darauf hin, dass es bei Sprachmodellen nahezu unmöglich ist, die Verwendung personenbezogener Daten vollständig zu vermeiden. Ein Beispiel ist die Auswertung einer Rohstoffkartierung ohne personenbezogene Daten im Gegensatz zu einem Sprachmodell, das durch Trainingsmaterial personenbezogene Daten enthält. Hier müssen Anwender sicherstellen, dass keine unerwünschten oder fehlerhaften Daten ausgegeben werden.
Rechtsgrundlage und menschliche Kontrolle
Jede KI-Anwendung, die personenbezogene Daten verarbeitet, benötigt eine klare Rechtsgrundlage. Zudem dürfen KI-Anwendungen keine automatisierten Entscheidungen treffen, die erhebliche Auswirkungen auf Personen haben, wie etwa die Ablehnung eines Bewerbers. Solche Entscheidungen müssen von Menschen getroffen werden, um Transparenz und Fairness zu gewährleisten.
Transparenz und Dokumentationspflichten
Anbieter von KI-Systemen müssen ihre Transparenzpflichten einhalten, damit Unternehmen informierte Entscheidungen treffen können. Dies umfasst auch Dokumentationspflichten, wie sie im AI Act vorgesehen sind. Der AI Act verlangt, dass General Purpose AI (GPAI) gesondert kontrolliert und zertifiziert wird.
Recht auf Berichtigung und Löschung
Die DSGVO garantiert Menschen das Recht auf Berichtigung und Löschung ihrer Daten. Allerdings ist es bei LLMs schwierig bis unmöglich, einmal integrierte Informationen zu löschen. Unternehmen müssen daher sicherstellen, dass organisatorische und technische Verfahren vorhanden sind, um diese Rechte wirksam durchzusetzen. Ein Feintuning der KI-Anwendungen kann helfen, unerwünschte Ausgaben zu verhindern.
Verantwortlichkeiten und Schulung der Mitarbeiter
Bei der Implementierung von KI-Anwendungen muss klar geregelt sein, ob der Anbieter oder der Anwender rechtlich verantwortlich ist. Mitarbeiter müssen wissen, was sie mit den KI-Anwendungen tun dürfen und was nicht. Die Datenschutzkonferenz vermutet, dass derzeit viele Beschäftigte eigenmächtig KI-Anwendungen nutzen und dabei gegen den Datenschutz verstoßen. Eine Datenschutz-Folgenabschätzung, wie sie in der DSGVO vorgesehen ist, ist daher notwendig.
Fazit
Der Einsatz von Künstlicher Intelligenz, insbesondere von großen Sprachmodellen, bringt erhebliche Herausforderungen im Bereich des Datenschutzes mit sich. Der Leitfaden der deutschen Datenschutzkonferenz bietet Unternehmen eine wertvolle Orientierung, um diese Herausforderungen zu bewältigen und den rechtlichen Anforderungen gerecht zu werden. Unternehmen müssen transparente, gut dokumentierte Prozesse einführen und sicherstellen, dass sowohl technische als auch organisatorische Maßnahmen getroffen werden, um den Datenschutz zu gewährleisten.