Der Einsatz von künstlicher Intelligenz (KI) nimmt im Alltag von Unternehmen einen immer größeren Stellenwert ein. KI-Anwendungen wie Chat GPT, Google Bard oder Tools zur Bildgenerierung wie Midjourney bieten Unternehmen vielfältige Anwendungsmöglichkeiten. Doch trotz aller Potenziale und Chancen sollten auch die möglichen Risiken, insbesondere für Datenschutz und Unternehmenswerte nicht außer Acht gelassen werden.
Die Rolle von KI-Anwendungen im Unternehmensalltag
Die Frage, ob KI-Anwendungen unternehmensintern eingesetzt werden sollen, ist längst keine mehr. Entweder treiben Unternehmen selbst aktiv den Einsatz von KI voran oder ihre Beschäftigten verwenden solche Anwendungen ohne interne Abstimmung. In jedem Fall ist es ratsam, sich intensiv mit den rechtlichen Aspekten von KI auseinanderzusetzen.
Wie ist KI reguliert?
Mit dem bevorstehenden AI-Act (KI-Verordnung), der voraussichtlich vor der Europawahl in Kraft treten wird, kommt jedenfalls die erste umfassende Regulierung von KI zum Tragen. Werden personenbezogene Daten mithilfe von KI verarbeitet, greifen jedoch jetzt schon die Regelungen der Datenschutzgrundverordnung (DSGVO).
Datenschutz im Fokus
Immer dann, wenn eine Datenverarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, müssen Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art.35 DSGVO durchführen. Dies betrifft insbesondere die Nutzung neuer Technologien wie künstliche Intelligenz, die zur Steuerung der Interaktion mit Nutzern oder zur Bewertung persönlicher Aspekte von Personen eingesetzt wird. Aufsichtsbehörden, wie das Bayerische Landesamt für Datenschutzaufsicht, führen in einigen Fällen auch anlasslose Prüfungen zur Schwellwertprüfung solcher Datenschutzfolgeabschätzungen durch.
Für Unternehmen ist es daher ratsam, vor der Einführung von KI-Tools sorgfältig zu prüfen, wie und wofür sie diese einsetzen möchten.
Was ist bei einer Datenschutz-Folgenabschätzung relevant?
Aus Datenschutzsicht geht es immer erst einmal darum, in Erfahrung zu bringen, zu welchem Zweck die KI-Anwendung eingesetzt werden soll bzw., ob personenbezogenen Daten in diesem Kontext verarbeitet werden sollen. Bei der Einführung von KI-Systemen gilt es, zu prüfen, ob bzw. welche Risiken für die betroffenen Personen bestehen und welche Abhilfemaßnahmen bei Feststellung solcher Risiken getroffen werden.
Ist dies der Fall, sollten insbesondere die folgenden Punkte berücksichtigt werden:
Berechtigungen
Es sollte stets gewährleistet sein, dass bestehende Berechtigungen, z.B. Zugriff auf Gehaltsdaten oder sonstige Daten, auf die nicht jeder im Unternehmen zugreifen darf, durch ein internes KI-Tool nicht umgangen werden können. Beispielsweise empfiehlt Microsoft (siehe Exkurs) vor der Einführung seiner KI-Anwendung CoPilot den Aufbau einer sogenannten Zero-Trust-Architektur, so dass niemand Zugriff auf Unternehmensressourcen erhält, bis nicht die Legitimation des Benutzers validiert und dieser autorisiert wurde.
Exkurs
KI-Revolution: Microsoft Copilot im Unternehmenseinsatz
KI-Revolution: Microsoft Copilot im Unternehmenseinsatz
Seit November letzten Jahres hat Microsoft den Microsoft Copilot für Microsoft 365 eingeführt. Ein Tool, das auf künstlicher Intelligenz basiert. Dieses Angebot steht Unternehmenskunden als kostenpflichtiges Add-on für M365 E3/E5 Lizenzen zur Verfügung und markiert einen Wendepunkt in der Art und Weise, wie Unternehmen Software nutzen.
Das Softwareunternehmen hat hierbei die Ankündigung gemacht: „Ab dem 26. September wird Copilot in der nächsten Version von Windows 11 integriert, gefolgt von Bing, Edge und Microsoft 365 Copilot im Herbst.“ Dies stellt Unternehmen, die Windows 11 nutzen, vor die Herausforderung, den Copilot rechtssicher einzusetzen
Datenklassifizierung
In diesem Kontext wird es auch notwendig werden, nach Möglichkeit eine Datenklassifizierung einzuführen, die von dem eingesetzten KI-System abgebildet wird.
Deaktivierung bestimmter Daten zu Traingszwecken
Geschäftsdaten und personenbezogene Daten sollten nicht zur Schulung von KI-Modellen nutzbar sein. Es sollten Technologien eingesetzt werden, die eine sichere Übertragung und Speicherung von Daten gewährleisten. Insofern sollte die Möglichkeit bestehen, die Nutzung der eingegebenen Daten zu Trainingszwecken zu deaktivieren.
Ort der Datenverarbeitung
Weiterhin sollte klar sein, wo die Datenverarbeitung stattfindet, etwa in Rechenzentren innerhalb der EU oder des ERW. In diesem Zusammenhang kann es sein, dass die KI-Anwendung nur leistungsfähig ist, wenn eine bestimmte Anzahl an Rechenzentren genutzt werden kann. Dies kann dazu führen, dass auch solche in Drittländern miteingebunden werden oder von den Softwareanbietern, wie etwa Microsoft, genutzt werden.
Bei einer Datenverarbeitung außerhalb der EU sollte immer ein angemessenes Datenschutzniveau gewährleistet sein.
Löschfristen
Es sollte auch klar sein, wann personenbezogene Daten im Zusammenhang mit der Nutzung einer KI-Anwendung gelöscht werden können.
Fazit
Die Einführung von KI-Tools wie Microsoft Copilot bietet Unternehmen zweifellos viele Vorteile, birgt jedoch auch neue Herausforderungen. Entscheidend ist, sich intensiv mit den rechtlichen Aspekten der KI-Nutzung auseinanderzusetzen, um die Vorteile dieser Technologie voll auszuschöpfen und gleichzeitig Compliance und Datensicherheit zu gewährleisten.
Bei Fragen zur Datenschutz-Folgenabschätzung und KI-Anwendungen stehen wir gerne zur Verfügung: Kontakt.