KI & Datenschutz

Der Begriff der 'Künstlichen Intelligenz' hat mit Aufkommen des Großen Sprachmodells 'ChatGPT' Ende 2022 eine zunehmend weite Verbreitung gefunden – auch wenn die Disziplin an sich, und damit viele Datenschutzfragen, schon deutlich länger existieren. Da der Zugang zu sehr leistungsfähigen KI-Modellen und damit der Nutzung von bislang eher wissenszentrierten Technologiefirmen mittels Web- oder Softwareschnittstelle nun für faktisch jedermann möglich ist, möchte das Bayerische Landesamt für Datenschutzaufsicht mit seinem Informationsangebot zu Datenschutz und Künstliche Intelligenz seinem Sensibilisierungsauftrag in diesem Bereich nachkommen.

In einem ersten Schritt haben wir einen Flyer 'Next-Level-Bausteine für KI' herausgeben (siehe unten), mit dem wir auf acht zentrale Punkte im Bereich Datenschutz und KI hinweisen wollen. Des Weiteren ist auf dieser Webseite auch der Entwurfsstand unserer Checkliste 'Datenschutz und KI' veröffentlicht, die in nächster Zeit zum einen fortgeschrieben wird als auch in spezifischen Prüfszenarien einer Praxistauglichkeit unterzogen wird – sollte es Anmerkungen oder Verbesserungsvorschläge zu diesem 'Konsultationsstand' geben, dann bitten wir um eine E-Mail an ki@lda.bayern.de. Die Checkliste, die einem Good-Practice-Ansatz verfolgt, werden wir auch regelmäßig an Entwicklungen auf deutscher und europäischer Ebene mit dem Ziel der Harmonisierung der Datenschutzvorschriften anpassen.

Dokumente zum Download

Flyer

Der Flyer enthält Informationen zu Maßnahmen zum datenschutzkonformen Einsatz von KI.

Download

Checkliste

Die Checkliste stellt Anforderungen an die Entwicklung und den Einsatz von Anwendungen der Kategorie KI dar.

Download

Weiterführende Links

Weitergehende Informationen zu den Inhalten des Flyers

Derzeit befindet sich dieser Bereich noch im Aufbau. Weitere Inhalte werden demnächst an dieser Stelle veröffentlicht.

#1 KI rechtskonform einsetzen: Grundlagen kennen & meistern

KI für Menschen bedeutet meist zwangsläufig auch die Verarbeitung personenbezogener Daten. Werden solche Daten beim Einsatz von KI verarbeitet, so ist frühzeitig an die datenschutzrechtlichen Aspekte zu denken. Die Prüfung, welche Rechtsgrundlage dafür verwendet werden kann, gehört zum Einmaleins des Umgangs mit personenbezogenen Daten – sei es beim Training eines KI-Systems oder bei Nutzung einer KI-Anwendung mittels Weboberfläche. Mit einem Eintrag in das ohnehin schon vorhandene Verarbeitungsverzeichnis ist der Grundstein für einen datenschutzkonformen KI-Einsatz schnell und unbürokratisch gelegt.

#2 Datenschutzfolgenabschätzung: Hochrisiko-KI in Schach halten

KI-Systeme liefern in der Anwendung mitunter fantastische Ergebnisse. In manchen Szenarien, wie bspw. bei einer Verarbeitung von Gesundheitsdaten oder beim Umgang mit Personaldaten, können sich durch den KI-Einsatz allerdings hohe Risiken für die betroffenen Personen ergeben. Mit dem richtigen Datenschutzwerkzeug kann daher rechtzeitig gegengesteuert werden: Die Datenschutzfolgenabschätzung ist nicht nur das (verpflichtende) Mittel der Wahl, hohen Risiken strukturiert und nachweislich in den Griff zu bekommen – sie dient auch dazu, mehr Vertrauen in den eigenen KI-Einsatz aufzubauen.

#3 KI-as-a-Service: Datenschutz nicht automatisch inbegriffen

Wer auf einen „KI-as-a-Service“-Dienstleister zurückgreift, etwa um sich ein kostenintensives Trainieren von KI-Modellen zu sparen, muss die Besonderheiten der Auftragsverarbeitung und ggf. eines Drittlandstransfers berücksichtigen. Bei Nutzung von US-Dienstleistern besteht mit dem EU-US-Datenschutzframework mittlerweile ein einfach zu nutzendendes Rechtsinstrument. Problematisch kann es allerdings werden, wenn der Dienstleister Eingabedaten ungeregelt für eigene Zwecke verwendet (z. B. zur Produktverbesserung). Vertrauen samt Kontrolle sind daher nicht nur bei der Auswahl der KI erforderlich, sondern auch bei der des Dienstleisters.

#4 Besonderer Fokus Datenschutz: KI-Schutzziele kennen

Datenschutzrisiken für die Rechte und Freiheiten natürlicher Personen bei KI-Einsatz ergeben sich, wenn KI-spezifische Schutzziele nicht vollständig erfüllt werden. Beispiele derartiger Schutzziele: a) Transparenz (Information der Betroffenen über Verwendung ihrer Daten beim Training von KI-Modellen; Prüfbarkeit im Sinne der Rechenschaftspflicht), b) Verlässlichkeit (Schutz vor absichtlicher Manipulation; Umgang mit Halluzinationen bei Sprachmodellen) und c) Fairness (Verhinderung unbeabsichtigter Diskriminierung oder Ungleichbehandlung durch die KI). Vertrauenswürdige KI und Datenschutz gehören damit zusammen.

#5 Halluzinationen: Der künstliche Geist bricht manchmal aus

KI auf Basis von neuronalen Netzen kann komplexe Aufgaben lösen, bringt aber zwangsläufig eine gewisse Fehlerhaftigkeit mit sich. Da auch Menschen Fehler machen, kann dies tolerierbar sein, sofern mit möglichen KI-Falschausgaben umgegangen werden kann. Bei großen Sprachmodellen wie ChatGPT tritt diese Fehlereigenschaft allerdings mit einer sehr guten Ausdrucksweise auf. Die KI verfängt sich manchmal in einem „wilden Durcheinander“ aus Faktenwissen und Falschaussagen. Diese sporadischen „Halluzinationen“ gehören zu großen Sprachmodellen aufgrund ihres Designs dazu und müssen bei einem datenschutzkonformen Einsatz mit berücksichtigt werden.

#6 KI und Mensch: Mitarbeiter für den Einsatz von KI schulen

Da gerade bei erhöhten Risiken ein Mensch die endgültige Kontrolle behalten muss, ist ein vollautomatischer Einsatz von KI in vielen Szenarien nicht realisierbar. Die Mitarbeiter eines Unternehmens sind demnach in Bezug auf die eigene KI zu schulen. Dazu muss der Zweck der KI geregelt und über Fehlerpotentiale informiert werden sowie festgelegt werden, wie mit Ergebnissen der KI umzugehen ist. Insbesondere ist zu schulen, welche (personenbezogene) Daten überhaupt in eine KI eingegeben werden dürfen. Betriebliche Datenschutzbeauftragte können bei diesen Fragestellungen für die Mitarbeiterschulung kompetent mit Rat und Tat zur Seite stehen.

#7 Betroffenenrechte bei KI: Auskunft und Co. vorbereiten

Die Rechte der betroffenen Personen stellen eine bedeutende Säule des Datenschutzes dar. Daher ergeben sich auch bei KI-Systemen für Betroffene Fragen wie „Welche Daten werden von mir wozu verarbeitet?“, „Werde ich überhaupt darüber informiert, dass KI bei meinen Daten zur Verarbeitung verwendet wird?“ und „Können meine Daten aus einer KI auch wieder gelöscht werden?“ Für Unternehmen können derartige Anforderungen an die Datenschutzorganisation gerade bei Einsatz von innovativen Technologien mitunter noch zur Herausforderung werden – es sei denn, die zuständige Aufsichtsbehörde berät dazu.

#8 Zukunft der KI: Optimismus statt Sorge vor der Superintelligenz

KI hat das Potential, unsere Wirtschaft und Gesellschaft maßgeblich und nachhaltig zu beeinflussen. Leistungsstarke KI kann mehr Wertschöpfung und Wohlstand generieren, solange diese nicht zu unredlichen oder kriminellen Zwecken eingesetzt wird. Aus diesem Grund bedarf Innovation einer Regulierung, die offen für Neues, kompetent in der Sache und schlank bei der Bürokratie ist. Das Bayerische Landesamt für Datenschutzaufsicht ist bestrebt, weiterhin einen wesentlichen Beitrag bei der KI-Regulierung durch die Sicherstellung des Grundrechtsschutzes in Bayern zu leisten. Feedback zum bestehendem KI-Informationsangebot ist daher willkommen.