KI und Datenschutz – her mit dem Datenfutter!

Künstliche Intelligenz ist auf dem Vormarsch, insbesondere seit ChatGPT. Nebst diversen anderen Besorgnissen wie «die KI kann in falschen Händen böse sein» – «die KI ist eine Gefahr» gibt es auch im Bereich Datenschutz Aspekte, die beachtet werden müssen. Inwiefern können die durch die Datenschutzgesetze verankerten Betroffenenrechte wie beispielsweise dem Recht auf Löschung, geltend gemacht werden? Wie weit geht die KI um über natürliche Personen ein Profil zu erstellen?

Die künstliche Intelligenz, kurz KI, wird die Zukunft mitgestalten. Aus Sicht des Datenschutzes und damit dem Schutz von Personen, kommt es immer darauf an, mit welchen Daten die KI gefüttert wird, wie diese Daten durch die KI verarbeitet werden und wie oder wo die Antworten inklusive der gestellten Fragen gespeichert werden.

Dies wird am Beispiel von Microsoft ersichtlich. Falls Microsoft externe KIs noch stärker in ihr Microsoft 365 Universum integriert und daher alle Fragen und auch Antworten an die KI übergibt und dort abholt, stellt sich nicht nur die Frage, was die KI mit den Daten macht, sondern auch, was die zwischengeschaltete Software damit anstellt. Das heisst, wäre die KI oder noch wahrscheinlicher Microsoft in der Lage, über den Nutzenden auf Basis seiner oder ihren gestellten Fragen ein Profil zu erstellen?

Eine weitere grosse Problematik ist, dass bei vielen komplexen KI-Algorithmen, die Nachvollziehbarkeit fehlt und keine Daten zum Entscheidungsfindungsprozess vorhanden sind. Diese Art der KI gilt somit als Black Box. Es fehlt die Erklärbarkeit, wie die KI zu ihren Resultaten kommt.

Die Anforderungen der DSGVO (Datenschutzgrundverordnung der EU) sind sehr hoch und die recht junge Technik passt aktuell wohl nicht ganz in das DSGVO Korsett. Daher droht OpenAI mit ChatGPT schon aus der EU wegen „Überregulierungen“ auszusteigen: „KI-Überregulierung“: OpenAI droht mit Einstellung von ChatGPT in der EU | heise online

In der DSGVO verankert sind die 7 Betroffenenrechte:

  • Recht auf Information
  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung
  • Recht auf Widerspruch
  • Recht auf Datenübertragbarkeit

Gesetzlich müsste also jeder natürlichen Person die Möglichkeit vorbehalten werden, von den 7 Betroffenenrechte Gebrauch zu machen. Wie das aber bewerkstelligt werden könnte, bleibt noch offen.

Es müssen Lösungen her, wie Unternehmen mit diesen KIs umgehen und vor allem, welche Daten hochgeladen werden. Denn die KI vergisst nichts, da jeder „Input“ in einer Art Massendatenverarbeitung zur Steigerung der KI-eigenen „Intelligenz“ verwendet wird. Wenn ich z.B. an ChatGPT eine Frage stelle, die meinen Namen beinhaltet, wird er gespeichert. Es ist also denkbar, dass Leute fragen „was weißt Du über David B.?“. ChatGPT/OpenAI beschreiben in ihrer Datenschutzrichtlinie (https://openai.com/policies/privacy-policy), wie die Daten geschützt und verwendet werden und dass keine personenbezogenen Daten erfasst werden, jedoch haben wir hier wieder das Problem der «Black-Box». Was wird wirklich genutzt, gesammelt und ausgewertet? Datenschutzerklärungen können auch wieder geändert werden – die Möglichkeiten zur Datennutzung ausgeweitet werden.

Ein ebenso herausforderndes Thema ist die Datenqualität und Transparenz. Die Daten, auf welche eine KI Zugang hat, müssen qualitativ hochwertig, unverzerrt und frei von Vorurteilen sein. Da es bei ChatGPT als Beispiel auch keine Quellenangaben gibt, ist dies schwer zu überprüfen. Auch, dass eine KI bei ungenügendem Wissen dazu neigt, eine Antwort zu „erfinden“, verstösst damit gegen den Grundsatz der Korrektheit (Artikel 5 Absatz d DSGVO).

Fazit

Es gilt also, eine gesunde Vorsicht im Umgang mit solchen Tools zu haben. Insbesondere folgende Massnahmen sind sicherlich sinnvoll und sollten beherzigt werden:

  • Keine sensiblen oder persönlichen Daten eingeben, von denen man nicht will, dass diese in irgendeiner Form wieder auftauchen könnten.
  • Eine Anonymisierung der Daten vornehmen, wenn man die KI «füttert». Auch wenn als Beispiel der Übersetzer deepl in seiner Datenschutzerklärung festhält, dass keine Texte aus den Anfragen gespeichert werden, gilt hier eine gesunde Vorsicht einzuhalten.
  • Auch wenn es interessantere Lektüre gibt: Die Datenschutzrichtlinien durchlesen.

Es ist nur eine Frage der Zeit, bis hier Lösungen gefunden werden. Denn aufhalten lässt sich diese Entwicklung nicht, nur sollte der Datenschutz dafür Sorge tragen, dass jeder technologische Fortschritt die Grundrechte von Personen, wie etwa das Recht auf informelle Selbstbestimmung, beachtet wird.

Beitrag teilen

David Britschgi

David Britschgi ist Partner Manager und Local Data Protection Officer bei der ALSO Schweiz AG und bloggt aus dem Unterricht des CAS Digital Business Innovation.

Alle Beiträge ansehen von David Britschgi →

Schreibe einen Kommentar