KI nicht ohne Privacy-by-Strategy
Das Thema Künstliche Intelligenz prägt die technischen Entwicklungen dieser Zeit. ChatGPT hat KI in die Wohnzimmer der Bevölkerung gebracht. Jede Woche liest man von weiteren neuen Produkten oder Services, die künstliche Intelligenz enthalten. Was heißt das für den Datenschutz? Ich meine: Die perfekte KI-Formel ist mehr als ein Algorithmus. KI und Datenschutz müssen Hand in Hand gehen und von Beginn an zusammen gedacht werden. Es braucht hier einen neuen Ansatz: Privacy-by-Strategy.
Bereits 2019 habe ich mir selbst die Frage gestellt, ob künstliche Intelligenz (KI) ein Datenschutz-Sünder sein könne. Natürlich ist sie das nicht per se, aber je nach Ausgestaltung und Einsatz kann sie es werden. Die Basis für KI-Anwendungen sind und bleiben Daten und ein Programmcode der diese Daten verarbeitet. Zahlreiche Modelle verarbeiten auch personenbezogene Daten – zum Teil sogar sehr umfangreich. Deswegen ist neben der technischen Machbarkeit gerade der Datenschutz eine wichtige Frage für KI und umgekehrt.
Wenn die Branchenführer neue KI-Technologien vorstellen, dann zeichnet sich diese unter anderem dadurch aus, dass sie mit immer größeren Datenmengen umgehen können. Besonders prägnante Beispiele sind dabei Large Language Models (LLM) wie ChatGPT oder Bildgeneratoren wie DALL-E. Diese Algorithmen lernen anhand riesiger Datenmengen eigene Inhalte zu generieren, die mitunter täuschend echt aussehen oder klingen können. Verschiedene Fragestellungen stehen bei diesen generativen KIs sehr schnell im Fokus: Welche Daten werden zum Training der Modelle genutzt? Wird mit ihnen korrekt umgegangen? Werden die Daten für mehr genutzt, als der Anwender vielleicht annimmt? Je nach Antwort bzw. praktischer Anwendung kann es schnell zu weitreichenden (datenschutz-) rechtlichen Folgen kommen.
Im Hype um KI wurde und wird zu oft nur das Ergebnis bestaunt. Doch je mehr wir uns mit dem Rechenweg und dem verwendeten Ausgangsmaterial zum Anlernen der KI beschäftigen, wird deutlich, dass eine KI und ihre Macher vom Projektstart an in jeder Hinsicht sauber arbeiten müssen. Nur wer die Balance zwischen technischer Machbarkeit einerseits und Rechtmäßigkeit (nicht nur in Bezug auf den Datenschutz) andererseits beherrscht, wird mit KI-Lösungen und den dazugehörigen Geschäftsmodellen erfolgreich sein. Es reicht aber nicht mehr Privacy-by-Design zu betreiben. Es braucht hier einen zeitlich noch früheren Ansatz: Privacy-by-Strategy.
Das bedeutet, dass der Datenschutz noch viel früher strategisch einbezogen werden sollte. Die Datenschutzorganisation muss die kommenden digitalen Trends im Markt und in den Fach-Communities kennen, um die strategischen Ansätze des Unternehmens von Anfang an begleiten zu können. So ist es möglich dem Management und den zuständigen operativen Einheiten frühzeitig einzuordnen, ob ein Ansatz grundsätzlich umgesetzt werden kann. So entsteht im besten Fall eine tragfähige KI-Strategie oder mindestens erste Leitplanken für einen machbaren Weg, um eine IT-Lösung zu realisieren.
Der „klassische“ Privacy-by-Design-Ansatz greift zeitlich zu spät, um in einem Unternehmen neue digitale Trends smart und ressourcenschonend zu setzen. Aber der neue Ansatz macht Privacy-by-Design nicht obsolet. Es bleibt auch weiterhin wichtig, bei der konkreten Ausgestaltung der Technik bzw. der IT-Lösung den Datenschutz mitzudenken.
Als Konzerndatenschutz betrachten wir das Thema KI in all seinen Facetten und verfolgen aufmerksam, wie es sich entwickelt. Uns ist dabei wichtig, dass wir allen Kolleginnen und Kollegen ein heute so wichtiges Datenschutzbewusstsein vermitteln. Damit helfen wir unseren Produktentwicklern und Programmierern den optimalen Weg zu neuen IT-Lösungen zu finden. In unserem Privacy-Security-Assessment (PSA-Verfahren), welches alle neuen Produkte und Services durchlaufen müssen, kommen daher nun die neuen internen Datenschutzanforderungen zu Künstliche Intelligenz (pdf, 44,7 KB) zum Einsatz. Sie ergänzen dabei die ohnehin schon sehr umfangreichen Anforderungen für Produkt- und IT-Entwicklungen um einen speziell auf KI abgestimmten Fragekatalog.
Wir schreiben damit den bisherigen Leitfaden KI fort, aber konkretisieren ihn inhaltlich an vielen Stellen. Die Datenschutzanforderung wurde auf Basis der DSGVO, der Konzernrichtlinie „Binding Corporate Rules Privacy“ und weiteren Elementen entwickelt. Als Datenschutz und Sicherheit ist es uns wichtig, dass innerhalb des Konzerns einheitliche Standards bei der Bewertung und Entwicklung von KI-Systemen gelten.
Die Vorgaben spiegeln im Übrigen auch die frühzeitigen strategischen Gespräche wider, die wir in unserer beraterischen Neuausrichtung „Privacy-by-Strategy“ mit den wesentlichen Stakeholdern im Konzern und außerhalb führen. Das ermöglicht uns die vorausschauende Gestaltung und Vermittlung von passenden Anforderungen für zukünftige Produkten und IT-Lösungen.
Die neuen Datenschutzanforderungen geben klare Leitplanken vor und erleichtern so die Entwicklungsarbeit im Umfeld künstlicher Intelligenz. Wir geben alles dafür, dass künstliche Intelligenz nicht zum Datenschutz-Sünder wird.
Und wir haben wirklich jeden im Blick, nicht nur die Entwickler, auch die Nutzenden. Das Beispiel ChatGPT zeigt, auf welche Art und Weise künstliche Intelligenz zu einem Datenschutzsünder gemacht werden kann. Umso wichtiger ist es also einerseits für die Entwickler und die Betreiber einer KI-Lösung ständig ein Auge darauf zu haben, wie sich eine künstliche Intelligenz im laufenden Betrieb entwickelt. Andererseits ist es wichtig, die Anwenderinnen und Anwender stetig zu sensibilisieren und an ihre Eigenverantwortung zu erinnern.
Als Datenschutz sehen wir die vielfältigen Chancen, die diese Technologie bietet und die wir zum Vorteil unserer Kundinnen und Kunden sowie der Mitarbeitenden einsetzen. Hierfür ist der Schutz personenbezogener Daten wichtig. Unsere neue Datenschutzanforderung bietet dafür die Basis. Die weiteren Entwicklungen im Bereich KI werden wir intensiv verfolgen und unsere Anforderungen und Awareness-Maßnahmen auf dem neuesten Stand halten. Gerne machen wir unsere Vorgaben zudem transparent und stellen sie zur Diskussion. Wir freuen uns über fachlich konstruktive Kritik. Nehmen Sie gerne Kontakt zu uns auf.