Die KI und der Schutz von Daten…

KI – die neue Wunderwaffe?

Der Begriff KI wurde 1955 erstmalig geprägt. Seither hat es immer wieder Produkte, Innovationen und Ideen zu diesem Thema gegeben. Allen gemein war, dass es regelmäßig programmierte Logiken waren, die einem Muster folgten, mit „Intelligenz“ hatten diese Lösungen demnach nicht wirklich viel zu tun.

Und auch wenn die aktuellen Modelle genau genommen Sprachmodelle sind und damit nur bereits bekannte oder auffindbare Informationen in verständlichen Text umwandeln können, haben es doch diese Modelle, allen voran ChatGPT von OpenAI, es geschafft, das Thema für nahezu alle Menschen interessant und bekannt zu machen.

Wie bei allen neuen Techniken sind aktuell noch einige Fragen zu klären. Neben der Frage einer Ethik für KI-Systeme, haben für uns dabei natürlich die Fragen zum Datenschutz und zur Informationssicherheit eine gehobene Position.

Diese Fragen möchten wir kurz anreißen, auf die Risiken hinweisen und einen ersten Handlungsansatz für Ihr Unternehmen liefern.


KI und der Datenschutz…

Bei der Anwendung der KI müssen Sie sich, wie immer im Datenschutz, folgende Fragen vor der Einführung stellen:

  • Haben Sie einen Rechtfertigungsgrund für die Datenverarbeitung? *
  • Wie können Sie die Betroffenenrechte sicherstellen? **

* Denken Sie daran, personenbezogene Daten dürfen ohne Erfüllung von Art. 6 DSGVO nicht verarbeitet werden. Es bedarf aus Sicht eines Unternehmens daher einer Einwilligung oder eines Vertrages mit der betroffenen Person, oder einer rechtlichen Verpflichtung zur Datenverarbeitung. Ein berechtigtes Interesse kann in engen Grenzen genutzt werden.

** Wie gehen Sie vor, wenn Daten der KI wieder entzogen werden müssen? In allen Fällen kann der Betroffene seine Betroffenenrechte geltend machen. Neben der Auskunft, die in bestimmten Verarbeitungssituationen schon schwierig genug sein kann, gehören dazu auch die Korrektur- und Löschpflichten des Unternehmens.

Wir gehen derzeit davon aus, dass der äußere Einfluss auf die KI hier schlichtweg zu gering ist. Dem Konzept einer KI steht die Löschung entgegen. KI-Systeme sollen sich stets weiterentwickeln, die Löschung von Daten würde jedoch einen Rückschritt bedeuten. Aus diesem Grund wird eine Löschung oder Einschränkung mit sehr hoher Wahrscheinlichkeit nicht möglich sein.

Ein Beispiel:

In einer Datenbank kann man einzelne Datensätze löschen und eine Person damit „vergessen“.

Stellen wir uns das bei einer KI vor: Wenn die einzelnen Informationen aufeinander aufbauend zu einem Ergebnis führen, kann dann überhaupt ein einzelner Datensatz gelöscht werden, oder lässt dies die Struktur einer KI gar nicht zu? Zusammengefasst: Kann man einer KI ein Stück „Erinnerung“ nehmen?

Datenschutzrechtlich kratzen wir momentan an der oberen Schicht. Um die KI, in diesem Fall eben ChatGPT, richtig einordnen zu können, hat die Landesbeauftragte für den Datenschutz in Schleswig-Holstein, Marit Hansen, einen 6-seitigen Fragenkatalog an OpenAI geschickt. Dieser erste Schritt ist wichtig, um die Möglichkeiten der Einflussnahme auf die KI und die eingegebenen Datensätze absehen zu können. Eine Beantwortung steht noch aus, OpenAI hat Anfang Juni Fristverlängerung beantragt. Dies könnte ein Indiz dafür sein, dass die Beantwortung der Fragen und die Einhaltung der Datenschutzgrundsätze in Bezug auf eine KI nicht so trivial sind.

Übrigens gelten die Betroffenenrechte auch für Ihre Mitarbeiter! Ob eine endgültige Löschung der Eingaben und Nutzungsinformationen möglich ist, ist ebenfalls noch unbekannt.


KI und der Geheimnisschutz…

Wie im Bereich Datenschutz angemerkt: Die KI lernt und verbessert eigene Ergebnisse durch neue (ihre) Informationen.

Was passiert aber, wenn versehentlich Informationen an die KI übermittelt werden, die Dritten eigentlich unzugänglich sein sollten?

Dabei fallen uns eine Vielzahl von Informationen ein, die damit gemeint sein könnten. Neben Unternehmenskennzahlen gehören auch Rezepturen, Informationen zu Entwicklungen, Quellcodes oder andere geheimhaltungsbedürftige Informationen zu den schützenswerten Informationen.

Dabei spielen gesetzliche Geheimhaltungspflichten eine Rolle, denn Ärzte, Rechtsanwälte, Steuerberater und weitere Berufsgruppen sind beispielsweise zur Verschwiegenheit verpflichtet, aber auch vertragliche Geheimhaltungspflichten im Rahmen von Verträgen können relevant sein.

Erfahrungen und Vorgehen großer Unternehmen

Welche Auswirkung ein unvorsichtiger Umgang mit der KI haben kann, musste z.B. Samsung feststellen. Dort ist es nach Freigabe vom ChatGPT im Unternehmen mehrfach vorgekommen, dass die Mitarbeiter teils geheimen Code an die KI übermittelt haben. Derzeit scheint noch unbekannt zu sein, welche Auswirkungen dies nun für Samsung hat, es kann zumindest davon ausgegangen werden, dass diese Informationen als Lerninhalt innerhalb der eigenen Verbesserung der KI genutzt werden. Als Gegenmaßnahme verhindert Samsung nun, dass die Fragen und Datensätze der Mitarbeiter mehr als 1.024 Zeichen umfassen, damit keine umfangreichen Informationen mehr an die KI übermittelt werden können.

Nach neueren Informationen soll Samsung den Mitarbeitern mittlerweile sogar die Nutzung von ChatGPT wieder untersagt haben. In dem verlinkten Bericht heißt es weiter: „The online retail giant [Anmerkung: Amazon] informed its workers not to share any code or confidential information about the company with ChatGPT, after the company reportedly discovered examples of ChatGPT responses that resembled internal Amazon data.“

Übersetzt: „Der Online-Einzelhandelsriese [Anmerkung: Amazon] informierte seine Mitarbeiter, keinen Code oder vertrauliche Informationen über das Unternehmen an ChatGPT weiterzugeben, nachdem das Unternehmen Berichten zufolge Beispiele für ChatGPT-Antworten entdeckt hatte, die internen Amazon-Daten ähnelten.“

Aber auch Großbanken (darunter Bank of America, Citigroup, Deutsche Bank, Wells Fargo und Goldman Sachs), JPMorgan Chase, und Apple haben die Nutzung von ChatGPT im Unternehmen stark reglementiert oder sogar verboten.

Selbst Google warnt die eigenen Mitarbeiter davor vertrauliche Daten in den eigenen Chatbot [„Bard“] einzugeben. Laut dem Artikel sieht Google folgende Risiken bei der Nutzung des eigenen Chatbot: „Zum einen könnten menschliche Prüfer die Eingaben in Chatbots wie ChatGPT und Bard lesen, andererseits hätten Forscher herausgefunden, dass die KI während des Trainings aufgenommene Daten reproduzieren könne, was ein Sicherheitsrisiko für die von Google-Ingenieuren eingegebenen Codezeilen bedeuten könne.“

Bei Mercedes-Benz, Volkswagen, Zalando und Klarna wird der mögliche Einsatz der KI wohl derzeit geprüft.

Klartext

Im Ergebnis: Wir wissen noch nicht, was die KI kann und was mit (vertraulichen) Informationen passiert, die man preisgibt. Bei den Statements von Amazon und Google kann man erahnen, dass es nicht unwahrscheinlich ist, dass diese Informationen in neue Antworten einfließen.


Unsere Meinung: Sollte man die KI also meiden?

Nein! Wir möchten jedoch darauf hinweisen, dass der Einsatz einer KI gut bedacht sein muss. Neben den rechtlichen Fallstricken in Bezug auf den Datenschutz wollen wir Ihren Blick auch dafür schärfen, dass die Daten (personenbezogene und schutzwürdige Geschäftsgeheimnisse) durch die KI gespeichert und genutzt werden können. Eine gesunde Skepsis und Vorsicht dürften angebracht sein. Neue Techniken und Änderungen der Arbeitswelt sollte man immer berücksichtigen, denn der technologische Fortschritt ist nicht aufzuhalten. Daher sollte man neuen Lösungen gegenüber offen sein, jedoch – und hier schließt sich der Kreis wieder zum Datenschutz und zur Informationssicherheit – es müssen die Risiken ermittelt und entsprechende Abhilfemaßnahmen getroffen werden.


Unsere Handlungsempfehlung (für Mandanten)!

Für unsere Mandanten haben wir als Ergänzung für das Datenschutzhandbuch eine Richtlinie zur Nutzung von KI-Systemen vorbereitet. Diese Richtlinie ist sehr restriktiv. Sie dient für Sie als Möglichkeit die Nutzung der KI im Unternehmen vorerst zu unterbinden, bis Sie sich über die Risiken und Möglichkeiten bewusst geworden sind und den Einsatz der KI geplant haben.

Wenn Sie die KI für Ihre Mitarbeiter freigeben und damit im Unternehmen nutzen wollen, stellen Sie durch angemessene Regelungen sicher, dass die Mitarbeiter keine vertraulichen Informationen weitergeben. Möglicherweise kann man mittels geeigneter technischer Maßnahmen auch eine Übermittlung von vertraulichen Informationen verhindern.

Wie genau sich dieser Weg gestaltet kann nur im Dialog definiert werden. Bitte kommen Sie mit Ihren Fragen und Zielen auf uns zu, damit wir gemeinsam den Einsatz der KI in Ihrem Unternehmen gestalten können.

Wir sind wie immer gesprächsbereit und erläutern das Thema KI gerne gemeinsam mit Ihnen. Möglicherweise finden sich im Dialog technische und organisatorische Maßnahmen, die einen Einsatz der KI ermöglichen!

Die Richtlinie finden unsere Mandanten in der Dateiablage unter „BK2 – Datenschutzhandbuch“.


Fazit

Aktuell weiß noch niemand so richtig, wie die KI mit unseren Daten umgeht. Wir verstehen den Daten- und Geheimnisschutz und auch uns nicht als Verhinderer. Wir möchten Schaden abwenden und das hat schon immer am besten mit einem konkreten Plan funktioniert.  

Wenn man von möglichen Nutzungsprofilen absieht, spricht wahrscheinlich auch nichts dagegen, wenn Sie sich bei Marketing-Texten den einen oder anderen Impuls bei der KI holen. Allerdings wird es dann hier wieder schwierig mit dem Urheberrecht – aber dies ist wieder eine andere Geschichte!

Auf jeden Fall werden wir die Entwicklung weiter beobachten, darüber berichten und freuen uns über einen konstruktiven Austausch!

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

pexels-karolina-grabowska-4386426Antwort von Microsoft auf eine Anfrage bezüglich des Vorfalles!