Datenschatz und Datenschutz – wie kann man den KI-Einsatz im Unternehmen vorbereiten

 

Der Begriff der künstlichen Intelligenz ist nicht fest definiert. Das europäische Parlament hat sich – nach der Kommission – an der folgenden Definition versucht^[1]: „AI refers to systems that display intelligent behaviour by analysing their environment and taking action – with some degree of autonomy – to achieve specific goals.“

 

Dabei fällt auf, dass diese Definition bereits auf viele „Technologien“ zutrifft, die bereits lange vor ChatGPT, Siri und Alexa am Markt waren. Und die Rechtsordnung hatte auf diese Technologien bereits Antworten gefunden. Man denke beispielsweise an die automatisierte Entscheidungsfindung beim Abschluss von Kreditverträgen oder anderen Leistungsbeziehungen, die eine Vorleistung des Gläubigers voraussetzen – und damit ein Risiko, die Vergütung überhaupt zu erhalten. Seit es Postpaid-Mobilfunkverträge gibt, haben Telekommunikations­unternehmen automatisierte Prozesse zum Abschluss von Mobilfunkverträgen eingesetzt. Viele weitere Bei­spiele lassen sich unschwer finden.
 
Besonderes Augenmerk verdient der Aspekt der Autonomie der Systeme. Bei den zuvor gezeigten Beispielen handelt es sich um Anwendungszusammenhänge, bei welchen die Datenverarbeitung stets ausschließlich auf den von betroffenen Personen bereitgestellten Daten basiert. Ferner finden sie in begrenzten Umfeldern statt (v.a. Kreditentscheidungen). Der Wertungsspielraum bezieht sich bei diesen Prozessen meist nur auf eine bestimmte Fragestellung (z.B. die Kreditwürdigkeit und das Zahlungsausfallrisiko).
 
Neu ist also, dass ein Computersystem scheinbar zusammenhanglose Daten aufsammelt, um diese Daten sodann frei von einem bestimmten Kontext, abhängig von einer ad hoc übermittelten Fragestellung, zu einer Antwort zusammenzufügen. Und ferner neu ist, dass nicht zwingend betroffene Personen Daten eingeben, sondern diese als Basis aus dem Pool frei zugänglicher Informationen herangezogen werden.
 
Verkürzt ausgedrückt, ergibt sich keine abweichende Antwort der Rechtsordnung auf die Frage der Zulässig­keit. Denn es bleibt dabei, dass personenbezogene Daten in der Regel nicht ohne Kenntnis des Betroffenen und nicht ohne Rechtsgrundlage verarbeitet werden dürfen. Das gilt sowohl dann, wenn sie Bestandteil des Daten­pools für das KI-Training sind, als auch dann, wenn personenbezogene Daten Gegenstand einer Fragestellung an eine KI sind. Zusätzliche Herausforderungen ergeben sich, wenn Antworten einer KI zur Grundlage einer Entscheidungsfindung gemacht werden (vgl. dazu Art. 22 DSGVO).
 
Mit anderen Worten: KI hat mit ChatGPT und vergleichbaren Werkzeugen eine neue Qualität erhalten. Aber gänzlich neu sind die darauf resultierenden Gefahren für die Rechte und Freiheiten natürlicher Personen nicht. Der Gesetzgeber hat diese Gefahren beim Abfassen der maßgeblichen Normen bereits im Blick gehabt.
 

Wie funktioniert KI

Wer von KI spricht, hat in diesen Tagen vor allem einen Anwendungsfall im Hinterkopf: ChatGPT. Der beeindru­ckende Kommunikations-Roboter (kurz: ChatBot) verblüfft seine Benutzer durch glatt formulierte und inhaltlich weitgehend korrekte Antworten. Hintergrund der gegebenen Rückmeldungen ist ein Datenschatz, der sich vor allem aus frei zugänglichen Informationen im Internet und freien Datenbanken wie z.B. Wikipedia oder des Projekts Gutenberg speist. Massenweiser Import strukturierter Informationen hat der Kommunikationsmaschi­nerie („Engine“) die Grundlage für das Erlernen menschlicher Kommunikationsmethoden gegeben. Dabei werden jedoch auch unbewusst vorhandene Informationen vervielfältigt, etwa wenn vorhandene „Rollenbilder“ aus den Trainingsdaten weitergeführt und beispielsweise „physician and nurse“ (im Englischen geschlechts-unspezifisch) mit „Arzt und Krankenschwester“ übersetzt werden. Nur punktuell vom Menschen unterstützt, haben Programmierer dafür gesorgt, dass sich ChatGPT ab einem gewissen Punkt weiter selbst optimiert und seine Antworten weiterentwickelt.
 

Grundlegende rechtliche Herausforderungen

Diese Autonomie ist es, die nur bedingt Rückschlussmöglichkeiten auf die Grundlagen der Entscheidungs­findung bei der Gestaltung der Antworten bietet. Wenn überhaupt, hat der Entwickler und Betreiber der KI selbst Zugriff auf diese Informationen. Nach dem, was öffentlich recherchierbar ist, dürfte es sich um das am besten gehütete Geheimnis der Entwickler im Zusammenhang mit Anwendungen wie ChatGPT handeln. Dem Vernehmen nach waren Jahre der Datensammlung und Optimierung notwendig. Man denke dabei neben der eigentlichen Entwicklung der Applikation an die mit dem Training verbundenen Hardware-, Betriebs - und Personalkosten.
 
Daraus folgt, dass der Einsatz von KI im Unternehmen nur in den altbekannten Grundbetriebsmodellen funktio­nieren kann: Entweder durch den eigenen Aufbau eines Datenpools als Entscheidungsgrundlage für eine solche Engine (on premise-Betriebsmodell) oder aber die Übermittlung von Anfragen aus dem Unternehmen an eine fremde Engine (as a service-Betriebsmodell).
 
Während der on-premise-Betrieb mit erheblichen und vermutlich in den meisten Fällen unwirtschaftlichen Investitionen verbunden ist, stellt die Nutzung einer cloud-basierten KI Unternehmen vor ganz erhebliche datenschutzrechtliche Herausforderungen. Das nutzende Unternehmen ist für die Einhaltung datenschutz­rechtlicher Normen verantwortlich – und das über die Grenzen des eigenen Betriebsgeländes hinaus. Soweit aber übermittelte Informationen vom Cloud-Dienstleister (z.B. Open AI im Falle von ChatGPT) zu eigenen Zwecken weiterverarbeitet werden, scheidet z.B. eine Stellung als Auftragsverarbeiter ohne Weiteres bereits aus. Was bleibt, ist (wie immer) die Frage nach einer tragfähigen Rechtsgrundlage – ganz abgesehen von den weiteren Handlungsnotwendigkeiten (Transparenz, privacy-by-design, privacy-by-default, Datensicherheit, Datenminimierung etc.).
 
Beim Einsatz einer lokal betriebenen KI mit selbst erstellten Datenbanken hat ein Betreiber die Einhaltung geltenden Rechts zwar in der Hand. Schon wegen der Ungewissheit über die Funktionsweise externer KI-Anwendungen im Einzelfall, aber auch zum Schutz der eigenen Unternehmensdaten, kann das vorzugswürdig sein. Allerdings spielt der Schutz personenbezogener Daten nicht erst bei den Abfragen eine Rolle, sondern bereits beim Nutzen und Erstellen der Trainingsdaten.

 

Beim Wirksamwerden der Datenschutz-Grundverordnung 2018 gab es vereinzelt behördliche Hilfestellungen. Diese konnten und können bis heute als grobe Richtschnur für die Entwicklung einer Umsetzungsstrategie verstanden werden (so z.B. Fragebogen vom BayLDA).

Nun wurde bekannt, dass einige Behörden im Falle von ChatGPT das Betreiberunternehmen OpenAI mit einem Fragenkatalog konfrontiert haben^[2]. Die dort aufgeführten Fragenkataloge geben einen guten Eindruck über diejenigen Datenschutz-Fragen, die sich KI-einsetzende Unternehmen stellen und beantworten können sollten, bevor sie mit dem operativen Betrieb beginnen.