Künstliche Intelligenz ist für viele nicht mehr wegzudenken – auch für Unternehmen gewinnt sie stetig an Bedeutung. Nicht nur die Nutzung, auch das KI-Training unterliegt datenschutztechnisch einigen Anforderungen.
Übersicht
1) Warum lohnt sich der Einsatz von KI?
Der Einsatz von Künstlicher Intelligenz kann für Unternehmen aus unterschiedlichen Gründen attraktiv sein. Zum einen können repetitive Aufgaben so ausgelagert und von der KI übernommen werden. Sie kann aber auch als Unterstützung dienen, um Geschäftsprozesse zu verbessern und zu optimieren.
Damit das funktioniert, muss der Algorithmus der KI trainiert werden. Dazu wird diese mit Daten „gefüttert“. Die KI lernt mithilfe der Daten bestimmte Muster zu erkennen, kann sich so verbessern und ihre Fähigkeiten ausbauen und verfeinern. Je mehr Daten der KI zugeführt werden, desto exakter können Strukturen von ihr erkannt werden. Dem Modell wird so beigebracht, selbstständig Entscheidungen und Vorhersagen, auf Basis bekannter, früherer Erfahrungen und Daten, zu treffen. Die Art der Daten, die benötigt werden, ist natürlich vom Unternehmen und dem Zweck abhängig, für welchen die KI eingesetzt werden soll. Gerade im Hinblick auf den Datenschutz ergeben sich dabei einige Herausforderungen. Den Datenschutz zu betrachten ist nämlich unerlässlich, denn Aufsichtsbehörden können die Löschung von ganzen Modellen verlangen, wenn diese rechtswidrig trainiert wurden.
2) Ist eine Verarbeitung erlaubt?
Generell gilt, dass bei der Verarbeitung von personenbezogenen Daten, wie sie oftmals zum Trainieren einer KI eingesetzt werden, die DSGVO gilt. Um diese Daten verwenden zu dürfen, ist eine gültige Rechtsgrundlage erforderlich, welche regelmäßig geprüft werden muss.
Der Einsatz personenbezogener Daten ist zum einen nur rechtmäßig, wenn ein wirklich substanzielles berechtigtes Interesse besteht. Das heißt, dass Verantwortliche (Unternehmens- oder Behördenleitung) ein konkretes Ziel verfolgen müssen, sowie darlegen können, wozu die Datenverarbeitung konkret benötigt wird. Das könnte beispielsweise eine Einrichtung sein, welche ein KI-Modell zur Vorselektion von Kunden- oder Bürgeranfragen einsetzen möchte, um schneller und effizienter zuzuordnen, welcher Mitarbeiter für diese zuständig ist.
Weiter muss die Verarbeitung, sowie der Umfang der eingesetzten personenbezogenen Daten erforderlich sein, um das berechtigte Interesse zu verfolgen. Im besagten Beispiel sind das etwa frühere Anfragen von Kunden und Bürgern, die der KI zugeführt werden müssen, um diese zu trainieren.
Drittens ist eine Interessensabwägung erforderlich. Hier wird dem Schutzinteresse der Betroffenen das Interesse der Trainingsverantwortlichen gegenübergestellt. Um die Verarbeitung der Daten von Kunden bzw. Bürgern hier etwa weiterhin zu rechtfertigen, muss das Interesse der Einrichtung überwiegen.
3) Regeln für die Datenverarbeitung beim KI-Training
Ist der Einsatz personenbezogener Daten zum Training eines KI-Modells vertretbar, gibt es einige Vorschriften zu beachten. Verantwortliche müssen eine Reihe von technischen und organisatorischen Maßnahmen ergreifen. Zum einen sind diese in der Pflicht, Daten zu pseudonymisieren und zu anonymisieren. Es darf auch nicht möglich sein, beim Training eingesetzte personenbezogene Daten der KI im Nachhinein durch eine Abfrage wieder entnehmen zu können. Auch eine Prüfung, ob sich nicht der Einsatz synthetischer Daten anbieten würde, ist ratsam. Es gilt allgemein auf den Grundsatz der Verhältnismäßigkeit zu achten.
Zentral sind hier die…
- Datenminimierung. Es sollten lediglich solche Daten verwendet werden, die für das Trainingsziel erforderlich und relevant sind. Vom Ansatz „mehr ist mehr“, der häufig beim Trainieren von KI verwendet wird, sollten Unternehmen absehen.
- Zweckbindung. Daten dürfen nur eingesetzt werden, wenn sie mit dem Ziel bzw. dem Zweck des KI-Trainings verbunden sind.
- Speicherbegrenzung. Personenbezogene Daten müssen gelöscht werden, sobald der Zweck der Verarbeitung entfällt. Hier ist fraglich, ob diese dann auch aus den trainierten Modellen entfernt werden müssen.
Auch Organisationen, die eine KI nicht selbst trainieren, sondern ein bereits bestehendes Modell einsetzen wollen, sollten darauf achten, dass der Einsatz datenschutzkonform erfolgt.
4) Fazit
Insgesamt gilt, dass Organisationen in der Pflicht sind, Betroffene über den Einsatz ihrer Daten zu informieren und eine Einwilligung einzuholen. Da sich das in der Praxis jedoch häufig als kompliziert herausstellen kann, wenn Daten etwa aus sekundärer Nutzung stammen oder massenhaft verbreitet sind, ist beispielsweise eine Widerspruchs-Regelung ratsam. Unternehmen und Einrichtungen sollten in diesem Belangen unbedingt transparent kommunizieren. Besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) sind mit erhöhter Sorgfalt zu handhaben oder ganz wegzulassen.
Es besteht die Gefahr, dass frühere Ungleichbehandlungen von zum Beispiel Kunden oder Bürgern in das Training mit einfließen, und die KI dadurch eventuell Fehler reproduziert. Ganz automatisierte und an die KI ausgelagerte Entscheidungen sind daher heikel. Um fehlerhafte Entscheidungen zu vermeiden, ist es wichtig, diese nicht vollständig an eine KI auszulagern und nachzuprüfen.
Falls Sie es noch nicht wussten: Wir bieten gerne mit unserer Leistung zur Einführung von KI-Produkten in Ihrer Organisation eine individuell auf Sie zugeschnittene Begleitung solcher Fragestellungen an – von der Konzeption bis zur Richtlinie hin zu Schulung der Nutzung der Tools. Melden Sie sich gerne bei uns! Nur das Training der Tools, sollten Sie dieses in Betracht ziehen, machen Sie mit dem Hersteller des Tools selbst.
Einige der Gedanken hier haben wir aus folgendem Beitrag übernommen: Datenschutzrechtliche Anforderungen an das KI-Training.