Sind meine Daten sicher vor Künstlicher Intelligenz?

 Bildnachweis: AdobeStock@Ruslan

KI und Datenschutz: Hindernis oder Symbiose?

Künstliche Intelligenz (KI) ist zweifelsohne eine der disruptiven Technologien des 21. Jahrhunderts. Sie ermöglicht neue Anwendungen und Lösungen in allen Bereichen der Wirtschaft und Gesellschaft - von der Industrie über die Gesundheit bis hin zur Bildung. Die Möglichkeit, Zusammenhänge und Muster in komplexen und riesigen Datenmengen zu analysieren, birgt Chancen, die noch bei Weitem nicht vollständig erkundet sind. Trotz der großen Fortschritte der letzten Jahre ist das Potenzial dieser Technologie nach wie vor nicht ausgeschöpft. Das lässt sich jedoch auch über die Risiken und Herausforderungen sagen, die KI mit sich bringt. Eine der Bedenken, die von Anfang an laut wurden, ist der Schutz der persönlichen Daten der Nutzer:innen.

Bedenken hinsichtlich des Schutzes der persönlichen Daten von Nutzer:innen hatte auch die italienische Datenschutzbehörde. Im März 2023 leitete sie daher eine Ermittlung wegen Verdacht auf Datenschutz-Verstöße gegen OpenAI ein, die Macher von ChatGPT. Einer der Hauptvorwürfe: die fehlende Zurverfügungstellung von Information an die Nutzer:innen, deren personenbezogene Daten durch OpenAI verarbeitet werden. Nach der Einarbeitung einiger Änderungen durfte OpenAI ihren KI-Dienst wieder in Italien anbieten, jedoch wird das amerikanische Unternehmen weiterhin von den Behörden geprüft. 

KI und personenbezogene Daten
Bevor man über die möglichen datenschutzrechtlichen Fettnäpfchen dieser Technologie reden kann, sollte zuerst geklärt werden, wo die Berührungspunkte von persönlichen Daten und KI eigentlich liegen. 

Laut der aktuellen Fassung des Entwurfs der KI-Verordnung wird ein KI-System als Software definiert, welche im Hinblick auf vom Menschen definierte Ziele Ergebnisse erzeugen kann. Um aus einem Input passende Outputs für die gewünschten Zwecke zu erstellen, benötigen KI-Systeme riesige Mengen an Trainingsdaten. Für diesen Lernprozess werden hochqualitative und vollständige Daten benötigt, um die besten Ergebnisse zu erzielen. Wenn personenbezogene Daten für das Training verwendet werden, muss sichergestellt sein, dass diese Daten gemäß der Datenschutz-Grundverordnung (DSGVO) gesammelt und verarbeitet wurden. 

Der Datenschutz in KI-Systemen wird dadurch erschwert, dass  KI Teile ihrer Trainingsdaten auch in ihren Erzeugnissen verwenden können. Auf diese Weise ist es einer KI möglich, personenbezogene Daten missbräuchlich zu nutzen. Bei ChatGPT kann beispielsweise davon ausgegangen werden, dass fälschliche Daten konkreter Personen des öffentlichen Lebens bereits permanent erlernt sind. 

Ist die DSGVO ein Hindernis für KI?
Die DSGVO der EU legt die Grundsätze und Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten fest. Einige dieser Grundsätze sorgen in Bezug auf KI für reichlich Diskussion:
  • Datenminimierung: Persönliche Daten dürfen grundsätzlich nur für das vordefinierte Ziel der Datenerhebung verwendet werden. Zusätzlich sollte die Verwendung auch nur auf das notwendige Maß beschränkt werden. Durch die große Anpassungsfähigkeit von KI-Systemen ist es schwer, sicherzustellen, dass diese Voraussetzungen immer erfüllt sind.
  • Zweckbindung: Die Verwendung von personenbezogenen Daten darf nur so lange erfolgen, wie es der vereinbarte Zweck notwendig macht. Beim Trainieren einer KI kann es jedoch zu einem Datenschutzverstoß kommen, wenn Daten verwendet werden, die für verschiedene Zwecke gesammelt wurden. Solange diese kompatibel sind, kann es nach dem Training dazu kommen, dass die KI die Daten „zweckentfremdet“.
  • Richtigkeit: Dass künstliche Intelligenzen keine verlässlichen Quellen für akkurate Informationen sind, sollte mittlerweile allen bewusst sein. Deshalb müssen Anbieter:innen von KI-Tools gewährleisten, dass personenbezogene Daten inhaltlich korrekt und aktuell sind. Zurzeit ist dies aber noch ein großes Problem der generativen KI, da sie dazu neigen, Fakten zu erfinden.

Grundsätzlich kann allerdings festgehalten werden, dass die europäischen Vorschriften zum Schutz personenbezogener Daten den technologischen Fortschritt und die Weiterentwicklung von KI-Systemen weder unmöglich machen noch verhindern. Der Ansatz, welchen die DSGVO verfolgt, ist grundsätzlich risikobasiert und technologieneutral. Der Grund hierfür ist, dass der Datenschutz nicht in den technologischen Standards des Einführungsjahres (2018) eingefroren werden sollte. Ob ein System lediglich Daten speichert oder sich selbst laufend weiterentwickelt, macht im Auge des Datenschutzes keinen Unterschied. Ein Faktor, der hingegen für den Datenschutz eine sehr große Rolle spielt, ist das verbundene Risiko der Daten (sensible oder nicht-sensible). Die Verarbeitung von medizinischen Daten unterliegt deshalb deutlich strengeren Vorgaben als beispielsweise KI-Systeme, welche lediglich Bilddateien generieren.  

Datenschutz in der Praxis
Aufgrund der vielen offenen Fragen in Bezug auf den Datenschutz bei der Anwendung von KI-Systemen ist im Berufsalltag Vorsicht geboten. Unternehmen sollten daher genau darauf achten, welche Daten in ihren Geschäftsprozessen von KI verarbeitet werden. Sollten KI-Tools lediglich für die Erstellung von Daten ohne Personenbezug genutzt werden, dann liegt keine Relevanz der DSGVO vor. Darunter fällt beispielsweise das Generieren von Marketingtexten, Bildern oder Code-Snippets. Idealerweise werden aber personenbezogene Trainingsdaten anonymisiert – das kann datenschutzrechtlich ebenso von Vorteil sein, wie die Einrichtung eines KI-Systems auf den eigenen Servern. 

Wenn eine KI folgende Kriterien erfüllt, sollte man sich diesbezüglich professionell beraten lassen:
  • Daten mit Personenbezug werden verarbeitet 
  • KI-Tools sind Teil der Erfüllung von Vertragspflichten 
  • Geschäftsentscheidungen werden von einer KI getroffen oder Verträge abgeschlossen
  • Daten werden außerhalb der EU verarbeitet
  • Verarbeitung von eigenen und fremden Geschäftsgeheimnissen

Ausblick
Zusammenfassend kann gesagt werden, dass KI und Datenschutz keine Feinde sind. Im Gegenteil, denn sie ergänzen sich in vielen Fällen und tragen dafür Sorge, dass die Grundrechte der EU-Bürger:innen gewahrt werden. Selbstverständlich gibt es noch Überschneidungen zwischen KI und Datenschutz. Mit diesen befasst sich aber die Europäische Kommission bereits. Aus diesem Grund wurde ein Entwurf für das „Gesetz über Künstliche Intelligenz“ vorgelegt, das sogenannte KI-Gesetz bzw. der AI Act. In einer gemeinsamen Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) und des Europäischen Datenschutzausschusses (EDSA) wird sogar von einer engen Verzahnung zwischen dem Entwurf für ein KI-Gesetz und der DSGVO gesprochen. 

KI ist eine Schlüsseltechnologie für Österreichs Zukunft. Sie bietet viele Möglichkeiten für Innovationen und Verbesserungen, aber fordert auch einen verantwortungsvollen Umgang mit den personenbezogenen Daten der Bürger:innen. Um dies zu gewährleisten, müssen KI-Systeme im Einklang mit den geltenden datenschutzrechtlichen Vorgaben entwickelt werden. 

Dieser Blog stellt lediglich eine generelle Information und keine Rechtsberatung dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. digital.tirol übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs. Bitte wenden Sie sich bei Fragen an einen Rechtsbeistand. 

Links
>> EU-Vorschlag für „Gesetz über Künstliche Intelligenz“
>> ChatGPT in Italien wieder verfügbar
>> Datenschutz und Künstliche Intelligenz
>> Künstliche Intelligenz (KI) und Datenschutz
>> Datenschutz als Stolperstein für künstliche Intelligenz?
>> KI & Datenschutz – Checkliste für den Einsatz künstlicher Intelligenz

Zurück

Kontakt

MMag. Fritz Fahringer

Digitalisierung und resiliente Produktion, digital.tirol
Standortagentur Tirol fritz.fahringer@standort-tirol.at
m +43 676 843 101 223
t +43 512 576262 223