Das australische Unternehmen Atlassian revolutioniert mit Atlassian Intelligence ihre Produkte – dabei stellen sich auch viele relevante rechtliche Fragen im Datenschutz.
Das australische Softwareunternehmen Atlassian hat mit seinen Produkten wie Jira, Confluence und Bitbucket und Trello die Zusammenarbeit und das Projektmanagement in Unternehmen maßgeblich beeinflusst. Mit der Einführung von Atlassian Intelligence, einer künstlichen Intelligenz in den Atlassian Produkten, verspricht das Unternehmen eine noch effizientere und intelligentere Arbeitsweise. Die neuen KI-Funktionalitäten sollen Teams unterstützen, indem sie die individuelle Produktivität steigern, Einblicke in Unternehmensdaten erleichtern oder automatisierte Prozesse anstoßen. Wie können diese Ziele jedoch datenschutzkonform umgesetzt werden?
Datenschutz und Atlassian Intelligence: Unternehmen müssen handeln, um datenschutzkonform zu bleiben.
Datenschutzkonformität ist nach der DSGVO und dem BDSG in Deutschland gesetzlich vorgeschrieben und betrifft Unternehmen aller Größen. Die Einführung von Atlassian Intelligence erfordert von Unternehmen eine sorgfältige Prüfung, ob die bisherigen Maßnahmen im Datenschutz ausreichen. Eine Datenschutz-Folgenabschätzung ist auch nach den Vorgaben der Aufsichtsbehörden unerlässlich, um potenzielle Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen.
Im Artikel meines Kollegen Matthias Rosa, der sich mit dem Thema der Datenschutz-Folgenabschätzungen bei KI-Anwendungen und der neuen Rolle von KI im Unternehmensalltag bereits auseinandergesetzt und dort eine Handlungsempfehlung ausgesprochen hat, können Sie die Details zu KI und Datenschutz-Folgeabschätzungen nochmal nachlesen.
Doch die Durchführung einer Datenschutz-Folgenabschätzung ist nicht das Einzige, was sich durch die Einführung der Dienste ändert:
Eine kritische Betrachtung der Datenübertragung an Dritte
Bei der Integration von Künstlicher Intelligenz in Kollaborationsplattformen stellt sich die Frage, ob die Datenverarbeitung innerhalb von Diensten wie Jira, Confluence usw. datenschutzkonform erfolgt, wenn Atlassian Intelligence aktiv genutzt wird und Daten an Dritte übergeben werden. Hierbei sind nicht nur die automatisierten Prozesse, sondern auch potenzielle Auswirkungen auf die Privatsphäre der Nutzenden und die Sicherheit sensibler Unternehmensdaten von großer Bedeutung. Atlassian nutzt, wie viele andere KI-Anwendungen auch, im Hintergrund das Large Language Model (LLM) von OpenAI – ChatGPT.
Atlassian selbst bezieht zu diesen Anliegen wenig Stellung und bietet auf der Webseite Atlassian Trust Center nur oberflächliche Antworten zur Sicherheit und Transparenz der Datenverarbeitung durch Atlassian Intelligence. Es ist ratsam, diese Informationen genau zu prüfen und in die eigene datenschutzrechtliche Risikobewertung einzubeziehen.
Atlassian sagt zu der Verarbeitung der Daten durch OpenAI:
„Die von dir übermittelten Daten und die von Atlassian Intelligence generierten Antworten werden nicht verwendet, um die Modelle oder Services von OpenAI zu optimieren oder zu verbessern. Jede Datenanfrage wird einzeln über einen SSL-verschlüsselten Service an OpenAI weitergeleitet, wo sie bearbeitet und an Atlassian zurückgesandt wird.“
Aus der Antwort von Atlassian lässt sich ableiten, dass die Daten zwar verschlüsselt übermittelt werden, jedoch davon auszugehen ist, dass Daten zunächst bei OpenAI entschlüsselt werden und dann dort weiterverarbeitet werden. Es wäre aus der Sicht eines Unternehmens mindestens notwendig, sicherzustellen, dass keine Daten in diesem Fall genutzt werden, welche die KI von OpenAI trainiert.
Die Frage ist jedoch, wie stellt Atlassian dies sicher? Hier sind bisher keine Antworten von Atlassian erfolgt. Als verantwortliche Stelle für personenbezogene Datenverarbeitungen müssen Sie jedoch ein geeignetes Schutzniveau für personenbezogene Daten gem. Art. 32 DSGVO sicherstellen.
Zustimmung zur Datennutzung: Transparenz als Schlüsselfaktor
Atlassian betont, dass die Nutzung von Atlassian Intelligence nur mit ausdrücklicher Zustimmung möglich ist. Hierzu erklärt Atlassian:
„Die Nutzung von Atlassian Intelligence ist nur mit deiner Zustimmung möglich. Nach Zustimmung werden deine Ein- und Ausgaben allerdings nicht verwendet, um Atlassian Intelligence speziell zu trainieren. Dazu wird nur dein Feedback herangezogen.“
Diese Erklärung wirft einige weitere Fragen auf: nämlich, ob in den Konfigurationen von Atlassian Intelligence eine Ablehnung aktiv eingestellt werden muss oder ob die Voreinstellung tatsächlich eine aktive Zustimmung erfordert. Unternehmen sollten daher genau prüfen, ob die Standardeinstellungen den datenschutzrechtlichen Anforderungen entsprechen oder stattdessen eine manuelle Konfiguration erforderlich ist.
Des Weiteren ist es von entscheidender Bedeutung zu klären, wer die Zustimmung oder Ablehnung erteilt – individuelle Benutzende oder Administrierende. Möglicherweise ist eine klare Richtlinie zur Verwaltung dieser Zustimmungen erforderlich, um sicherzustellen, dass die Nutzung von Atlassian Intelligence im Einklang mit dem Datenschutz erfolgt.
Diese Aspekte verdeutlichen die Komplexität der datenschutzrechtlichen Fragen im Zusammenhang mit Atlassian Intelligence. Unternehmen sind also intensiv gefordert, eine umfassende Analyse durchzuführen und sicherzustellen, dass die Nutzung dieser KI-Technologie im Einklang mit den geltenden DSGVO-Bestimmungen steht.
Fazit und Handlungsempfehlung: Datenschutz im Fokus behalten
Atlassian Intelligence bietet zweifellos erhebliche Chancen für die Effizienzsteigerung und bessere Entscheidungsfindung. Dennoch sollten Unternehmen nicht die damit verbundenen Risiken außer Acht lassen. Datensicherheit, Transparenz und die Einhaltung von Datenschutzstandards müssen weiterhin eine hohe Priorität haben.
Neben der erwähnten Datentransparenz und den Zustimmungsproblematiken werfen die bisher von Atlassian gegebenen Antworten weitere Fragen auf. So sind die Themen: Weiterleitung von Daten, Zustimmungsbedürftigkeit zur Datennutzung, Datenübertragung an Dritte, dem Ort der Datenverarbeitung und der Einschränkung der Datenweitergabe bisher weitestgehend ungeklärt und bedürfen weiterer Erklärungen seitens Atlassian.
Unternehmen, die Atlassian-Produkte nutzen oder die Einführung von Atlassian Intelligence erwägen, sollten proaktiv handeln. Eine umfassende Datenschutz-Folgenabschätzung ist notwendig, um die Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen. Gleichzeitig ist eine transparente Kommunikation mit Mitarbeitenden und Stakeholdern wichtig, um Vertrauen zu schaffen.
In der Ära von KI und datengetriebenen Lösungen ist Datenschutz nicht verhandelbar. Atlassian Intelligence kann einen bedeutenden Beitrag zur Optimierung von Arbeitsprozessen leisten, doch nur unter der Voraussetzung, dass Unternehmen ihre Datenschutzverpflichtungen ernst nehmen und entsprechende Maßnahmen ergreifen, wie bspw. konkrete Richtlinien erlassen und die Mitarbeitenden im Umgang mit den neuen KI-Modellen schulen.
Bei Fragen zu der Umsetzung von KI-Anwendungen und einer etwaigen Datenschutz-Folgenabschätzung stehen wir gerne zur Verfügung: Kontakt.
Bildnachweis: KI generiert