Die Möglichkeiten der KI sind aktuell in aller Munde und nahezu täglich erscheinen neue Dienste, welche auf den verschiedensten KI-Modellen basieren. Bei der Nutzung und dem Training werden Unmengen von Daten verarbeitet. Dabei stellt sich nun die Frage, inwieweit dies mit dem Datenschutz vereinbar ist. Dieser Frage soll in diesem Beitrag nachgegangen werden. Zu beachten ist, dass datenschutzrechtlich ausschließlich personenbezogene Daten relevant sind. Für nicht personenbezogene Daten gelten die Vorgaben der DSGVO nicht.
Wie werden personenbezogene Daten mit der KI verarbeitet?
Die Verarbeitung von personenbezogenen Daten erfolgt in der KI auf zwei unterschiedlichen Wegen. So ist zu unterscheiden zwischen den Daten, welche durch den Anbieter verwendet wurden, um das LLM zu trainieren, und den Daten, welche der Anwender dem Tool übergibt, damit seine Anfrage ausgeführt werden kann. Relevant für den Datenschutz des Anwenders bzw. des Unternehmens, welches diese Tools nutzen möchte, ist die zweite Gruppe der Daten. Dies kommt daher, dass diese Daten aus dem Datenbestand des Unternehmens stammen und dieses für diese verantwortlich ist.
Bedeutung für den Datenschutz
Was bedeutet dies nun für den Datenschutz? Die Unternehmen müssen auch beim Einsatz von KI Lösungen stets eine datenschutzrechtliche Betrachtung durchführen und dürfen sich nicht von den neuen Möglichkeiten blenden lassen. Dies gilt nicht nur für die Software, welche das Unternehmen einsetzt, sondern es ist auch organisatorisch darauf zu achten, dass Mitarbeiter keine Lösungen einsetzen, welche nicht freigegeben sind. Dies kann z. B. durch die Sperrung entsprechender Websites erreicht werden. Ebenso ist es notwendig, entsprechende AV-Verträge abzuschließen und die Verarbeitungen in das Verarbeitungsverzeichnis und die Datenschutzerklärung aufzunehmen. Erfolgt eine Übermittlung in Drittländer, sind die entsprechenden Vorgaben zu erfüllen und zu dokumentieren. Eine DSFA ist im Bereich KI stets zu empfehlen, da es sich um eine neue Technologie handelt, für welche noch wenig Präzedenzfälle verfügbar sind. Liegt dazu noch ein hohes Risiko für die Betroffenen vor, so ist diese verpflichtend durchzuführen, dies folgt aus Art. 35 DGSVO.
Was sagen die Anbieter zum Thema Datenschutz?
Wie festzustellen ist, muss in diesem Bereich ein großes Vertrauen in Anbieter gesteckt werden und den Aussagen dieser Glauben geschenkt werden. Doch wie stellen sich verschiedene Anbieter zu dieser Thematik auf? Als Beispiele sollen hierbei Microsoft Copilot und ChatGPT von OpenAI dienen.
Microsoft Copilot
Microsoft äußert sich zum Thema Datenschutz beim Einsatz von Microsoft Copilot in dem Sinne, dass die Verarbeitung der Daten nur nach Zustimmung des Kunden erfolgt. Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der Antworten und mit den Kundendaten erfolgt kein Training der LLMs. Dadurch werden mit den eigenen Daten die Modelle auch nicht weiterentwickelt und stehen somit ausschließlich dem eigenen Unternehmen zur Verfügung. Der Zugriff ist dabei nur durch autorisierte Benutzer möglich und beschränkt sich auf die für diesen sichtbaren Daten. Zusammengefasst kann gesagt werden, dass die LLMs unverändert bleiben und diese temporär die Unternehmensdaten verarbeiten. Eine dauerhafte Einbindung der Daten in die Modelle erfolgt nicht. Ebenso sichert Microsoft zu, sich stets den aktuellen Vorgaben anzupassen. (vgl. Microsoft Learn)
ChatGPT/OpenAI
Bei ChatGPT von OpenAI ist das Thema Datenschutz noch nicht so aufbereitet wie bei z. B. Mircosoft. So hat OpenAI keinen europäischen Standort und somit keine direkte Zuständigkeit einer einzigen Aufsichtsbehörde. Daraus folgt, dass jede Behörde für ihren Zuständigkeitsbereich eigenständig handeln und prüfen muss. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat z. B. eine offizielle Anfrage an OpenAI gestellt, dass diese einen Fragenkatalog beantworten. Ebenso wirkt dieser auf ein europäisches Vorgehen in diesem Fall hin. (vgl. Pressemeldung LfDI Baden-Württemberg)
Allgemeiner kann man sagen, dass ChatGPT eine Blackbox für den Datenschutz ist, da es keine klare Information über die Verarbeitungen gibt und somit auch keine wirksame Einwilligung möglich ist. Ebenso handelt es sich um die Übermittlung von Daten in die USA, welche somit außerhalb der EU gelangen. Die Datenschutzerklärung von OpenAI ermöglicht dem Unternehmen außerdem, personenbezogene Daten für die Verbesserung der Dienste zu verwenden. Inwieweit daher die Daten zur Modellverbesserung von GPT verwendet werden, kann nicht abgeschätzt werden. Ob auch die Rechte der betroffenen Person wie z. B. das Recht auf Berichtigung gegeben ist, kann nicht festgestellt werden.
Aus Sicht des Datenschutzes gibt es momentan keinerlei Möglichkeit ChatGPT konform einzusetzen. Sollte sich dennoch für einen Verwendung entschieden werden, so kann nur zu einer detaillierten und dokumentierten Abwägung und Entscheidung geraten werden. Ebenso sollten alle möglichen Vorkehrungen getroffen werden, um eine Datenpanne zu vermeiden.
Fazit
Wie Sie sehen können, handelt es sich beim Thema Datenschutz und KI um ein komplexes, sich wandelndes Thema. Dieses muss immer aus der technischen und datenschutzrechtlichen Sicht betrachtet werden. Am Ende müssen die Anwender den Anbietern vertrauen, dass diese ihre Zusicherungen und Versprechen halten und die Daten nur wie kommuniziert verarbeiten. Gerne beraten wir bei Rewion Sie ganzheitlich im Bereich KI und Datenschutz und helfen Ihnen, diese Lösungen sinnvoll und korrekt in Ihrem Unternehmen zu integrieren.
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.
