Zum Inhalt springen
Home » Datenschutz-News » „KI-STRATEGIE bei erneuerbaren Energien“- eine Betragsreihe von TEDEXA und RMPrivacy

„KI-STRATEGIE bei erneuerbaren Energien“- eine Betragsreihe von TEDEXA und RMPrivacy

Die Anwendungsfelder der Künstlichen Intelligenz (KI) im Bereich der erneuerbaren Energien sind vielfältig. Zu den betroffenen Bereichen gehören die Auswahl geeigneter Flächen, die Planung, Verwaltung und Wartung von Wind- und Solaranlagen sowie die Verwaltung von Kunden-, Eigentümer- und Lieferantendaten.
Im ersten Teil unserer Beitragsreihe haben wir uns mit grundsätzlichen Fragen zum Thema KI-Strategie auseinandergesetzt. Im Folgenden möchten wir in gebotener Kürze auf die rechtlichen Rahmenbedingungen eingehen, die Unternehmen in der Branche der erneuerbaren Energien bei ihrer KI-Strategie beachten sollten.

Teil 2

Welche Gesetze finden bei der Anwendung meines KI-Tools Anwendung?

Abhängig vom jeweiligen Zweck bzw. geplanten Anwendungsfall sind unterschiedliche Rechtsvorschriften zu berücksichtigen. So sind beim Einsatz von KI zur Erstellung von Inhalten wie Bildern und Texten das Urheberrechtsgesetz (UrhG) und das Gesetz über den Schutz von Marken und sonstigen Kennzeichen (MarkenG) entsprechend zu berücksichtigen.

Bei der Entwicklung von Software mithilfe von Künstlicher Intelligenz können zudem neben dem Urheberrecht auch die speziellen Regelungen zu Open Source Lizenzen (z.B. MIT oder GNU (General Public License auch bekannt als GPL)) relevant werden. So kann es bei der Nutzung von Open Source dazu kommen, dass mehrere Bestandteile der von der KI entwickelten Software unter verschiedene Open Source Lizenzen fallen und diese im schlechtesten Fall unvereinbar sind.

Zudem ist bei Open Source Lizenzen mit sogenanntem strengem „Copyleft-Effekt“, wie eben der GPL-Lizenz, zu beachten, dass in diesem Fall nicht nur die Open Source Software Komponenten, sondern auch die darauf basierende oder verbundene Software unter der Open Source Lizenz vertrieben werden dürfen. Das führt zum einen in diesen Fällen dazu, dass der Quellcode der Software offengelegt werden muss und die künftigen Nutzenden der Software nicht daran hindern darf, diese kommerziell zu nutzen, weiterzuentwickeln oder umzugestalten.

DSGVO

Im Falle einer Verarbeitung personenbezogener Daten durch eine KI findet die Datenschutzgrundverordnung (DSGVO) Anwendung. Hierbei können verschiedene rechtliche Fehler gemacht werden, die zu vermeiden sind. Je nachdem ob die KI-Lösung in der eigenen IT-Umgebung implementiert wird oder ob hier auf einen Cloud-Dienst eines Anbieters im Rahmen eines Softwareserviceangebots zurückgegriffen wird, sind unterschiedliche Bedingungen zu erfüllen.

Ort der Datenverarbeitung

Bei Nutzung der KI über einen Cloud-Anbieter stellt sich die Frage, wo die personenbezogenen Daten verarbeitet werden. Die Anbieter verwenden in der Regel verschiedene Datenbanken, oft auch von Drittanbietern, in ihren Produkten. Um die Datenverarbeitung nachvollziehen zu können, ist ein umfassendes Data Mapping erforderlich. Bei der Nutzung von Rechenzentren eines KI-Anbieters mit Sitz in einem Drittland, also außerhalb der EU bzw. des EWR, ist zu prüfen, ob in diesem Land ein angemessenes Datenschutzniveau gewährleistet ist, das dem der EU entspricht.

Technische und organisatorische Maßnahmen

Des Weiteren ist der Diensteanbieter der KI im Hinblick auf seine technischen und organisatorischen Maßnahmen zu überprüfen. Es ist zu checken, ob geeignete Verschlüsselungsmaßnahmen vorhanden sind, ob Zugriffskontrollen stattfinden und ob das Thema Updates regelmäßig mit Sicherheitsupdates aktuell gehalten wird. Zudem ist zu erfragen, ob eine Systemüberwachung erfolgt, beispielsweise in Form von regelmäßigen Schwachstellentests.

Training der KI

Ein weiterer wichtiger Aspekt aus Datenschutzsicht ist die Prüfung, ob die eingegebenen personenbezogenen Daten etwa zu Trainingszwecken des zugrunde liegenden Modells des Anbieters genutzt werden. Eine solche Datennutzung durch den Anbieter sollte stets vermieden werden.

Datenschutz-Folgenabschätzung

Da hier eine KI zur Verarbeitung von personenbezogenen Daten verwendet wird, kann ferner das Erfordernis der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO entstehen. Das Risiko, das hierbei zu berücksichtigen ist, hängt maßgeblich davon ab, welchem Zweck die Datenverarbeitung dient. Insbesondere ist darauf zu achten, dass keine Entscheidungen, die natürliche Personen betreffen, durch die künstliche Intelligenz final getroffen werden.

Transparenzpflichten

Weiterhin werden Fragen der Transparenz, d.h. der Information der betroffenen Personen relevant, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden.

AI Act bzw. KI-Verordnung

Mit der KI-Verordnung der Europäischen Union ist eine weitere Regulierung hinzugekommen, mit der sich Unternehmen auseinandersetzen müssen. Diese gilt seit August, weshalb die Umsetzungsfristen nun begonnen haben. Dabei spielt es auch hier eine wesentliche Rolle, welchem Zweck das KI-System dient und welche Anwendungsfälle geplant sind. Besonders wichtig ist die Einstufung des KI-Systems, ob es als Hochrisiko-KI-System klassifiziert wird. Hochrisiko-KI-Systeme unterliegen strengeren Anforderungen und sind beispielsweise in den Bereichen kritische Infrastrukturen wie Stromversorgung, Gesundheitswesen und Strafverfolgung zu finden.

Unternehmen müssen klären, ob sie als Anbieter oder Betreiber des KI-Systems agieren. Hintergrund ist, dass diese Rollen unterschiedliche rechtliche Pflichten mit sich bringen. Anbieter sind für die Entwicklung und das Inverkehrbringen von KI-Systemen verantwortlich. Dies betrifft unter anderem Algorithmen- und interfacebezogene Anforderungen, wozu bspw. Fehlertoleranzen, Cybersicherheit und menschliche Aufsicht zählen. Weiterhin bestehen Dokumentations-, Protokollierungs- und Transparenzpflichten sowie insbesondere ein Risikomanagement, was den gesamten Lebenszyklus des KI-Systems umfassen sollte. Grundliegende Pflicht von Anbietern sog. Hochrisiko-KI-Systeme ist dabei die Durchführung eines sogenannten Konformitätsbewertungsverfahren, in dessen Rahmen die Einhaltung der Anforderungen der KI-Verordnung zu überprüfen sind.

Ist das Unternehmen Betreiber eines KI-Systems, also Anwender z.B. eines Hochrisiko-KI-Systems, treffen dieses nach KI-Verordnung ebenfalls zumindest bestimmte Transparenzpflichten.

Auch die Frage nach der Haftung bei einem durch das KI-System verursachten Schaden, ist in diesem Zusammenhang stets zu berücksichtigen.

Auf welche Daten darf mein KI-Tool überhaupt zugreifen?

Eng verbunden mit den Fragen zu Geschäftsgeheimnissen und Datenschutz ist das Thema der Berechtigungen. Das heißt, auf welche Daten darf KI überhaupt Zugriff haben.

Gibt es hier ein Berechtigungskonzept, darf dieses durch eine KI nicht umgeben sein. Keinesfalls sollte es dazu kommen, dass die Daten des Unternehmens zu Trainingszwecken der KI genutzt werden. Unabhängig davon, ob es sich um personenbezogene Daten, Geschäftsgeheimnisse oder sonstige Informationen, die aus der Sicht des Unternehmens als sensibel gelten, handelt. Dies gilt insbesondere dann, wenn die KI auf Systemen von Drittanbietern laufen sollte.

Datenklassifizierung

In diesem Zusammenhang zeigt sich auch, wie wichtig das Thema Datenklassifizierung ist. So kann eine sog. „Allowlist“ den Beschäftigten helfen, nachvollziehen zu können, welche KI sie für welche Datenklassen nutzen dürfen.

Beispiel:

KI-ModellBeschreibungErlaubte DatenklassenEinschränkungen
OpenAI GPTTextgenerierung, Q&A    ÖffentlichKeine personenbezogenen oder sensiblen Daten
Google Cloud Vision APIBilderkennung, Optical Character Recognition (OCR)Öffentlich, internKeine vertraulichen oder personenbezogenen Bilder
DeepLÜbersetzung mit KIÖffentlich, intern, vertraulichVereinbarung zur Auftragsverarbeitung + NDA
Lokales KI-ModellEigenentwicklung, lokaler ServerÖffentlich, intern, vertraulich streng vertraulich,Lokale Sicherheits- und Datenschutzmaßnahmen müssen umgesetzt und eingehalten werden

Ausblick

Nachdem wir neben den grundlegenden Fragestellungen zu einer KI-Strategie auch die rechtlichen Rahmenbedingungen erörtert haben, werden wir im letzten und dritten Teil der Beitragsreihe nochmals speziell auf das Thema Organisation eingehen. Dabei werden wir insbesondere die Punkte Change-Management und KI-Kompetenzcenter besprechen. Wir freuen uns, wenn Sie auch hier dabei sind.

Bildnachweis: KI generiert

AUTOREN

Michael Darnieder, Geschäftsführer der TEDEXA GmbH, KI-Experte und Redner zu KI-Themen.
TEDEXA bietet 360-Grad-KI-Beratung und Produktentwicklung sowie individuelle Softwareentwicklung an.

Matthias Rosa ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und Konzerne tätig. Darüber hinaus ist er Rechtsanwalt und Fachanwalt für IT-Recht bei der Kanzlei Bette Westenberger & Brink in Mainz sowie Dozent zu datenschutzrechtlichen Themen beim Mainzer Medieninstitut im Rahmen des Masterstudiengangs Medienrecht.