Um die Begriffe KI, Large Language Models (LLM) und ChatGPT kommt kein Mensch mehr vorbei. Jeden Tag gibt es hierzu neue Meldungen. Auch wir hatten das Thema bereits in einem Blogbeitrag behandelt. Die Entwicklung ist rasant und kein Unternehmen möchte hier den Anschluss verpassen. Auf Grund dieser schnellen Entwicklung besteht aber auch die Gefahr, dass Tools unkontrolliert genutzt und damit hohe Schäden verursacht werden. Dies beginnt bereits bei Verletzung von Geschäfts- und Betriebsgeheimnissen, geht übers Urheberrecht bis hin zur Verletzung von datenschutzrechtlichen Vorschriften. So viel Automatisierung und Vereinfachung die KI auch bringen kann, so kann sie am Ende den entstandenen Schaden wahrscheinlich nicht kompensieren.
Damit ein entsprechender Schaden gar nicht erst entsteht und Sie bspw. ChatGPT datenschutzkonform einsetzen können, möchten wir Ihnen eine Checkliste, die vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit herausgegeben wurde, vorstellen. Folgende Maßnahmen empfiehlt der Hamburgische Beauftragte vor der Einführung in einem Unternehmen zu ergreifen:
1. Unternehmensregelungen
Bevor Sie oder gar Ihre Mitarbeiter ohne Ihre Kenntnis, mit generativer KI arbeiten, sollten Sie klare und dokumentierte Weisungen formulieren. In diesen sollte geregelt werden, ob und wenn ja welche Tools infrage kommen und auch unter welchen Voraussetzungen. Ansonsten laufen Sie Gefahr, dass Ihre Beschäftigte sich selbst Wege und Mittel für den Einsatz suchen, Sie aber als Unternehmen dennoch dafür haften.
2. Unternehmensaccount
Wenn Sie sich für den Einsatz von KI-Tools entscheiden, legen Sie auf jeden Fall einen Unternehmensaccount an und Ihren Mitarbeitern Zugang hierzu einräumen. Sollte bei der Registrierung die Angabe einer E-Mail-Adresse und/oder einer Mobilfunknummer notwendig sein, greifen Sie hier auf eine eigens dafür angelegte E-Mail-Adresse und ein dienstliches Telefon zurück.
3. Sichere Authentifizierung
Wie bei jedem anderen Tool auch, sollten Sie auf starke Passwörter und zusätzliche Authentifizierungsfaktoren achten. Dabei hängt das Gefährdungspotential für Ihr Unternehmen davon ab, wie und für was Sie die KI einsetzen und mit welchen Informationen und Daten Sie diese speisen. Dieses Potential kann beachtlich sein, sollte es Angreifen gelingen, unberechtigt Zugriff auf die Daten zu nehmen.
4. Personenbezogene und personenbeziehbare Daten
Sie sollten die KI niemals mit personenbezogenen Daten trainieren. Wenn Sie also Dokumente und Unterlagen zum Anlernen einspeisen, achten Sie darauf, dass zuvor jeglicher Personenbezug entfernt wurde. Dabei reicht es aber nicht aus, nur den Namen und die Anschrift zu entfernen, denn häufig lassen sich aus dem Zusammenhang der Unterlagen und Informationen Rückschlüsse auf Personen ziehen.
Darüber hinaus sollten Sie die KI auch nicht nach personenbezogenen Daten fragen. Denn auch wenn Sie selbst solche Daten nicht eingespeist haben, könnte ein Personenbezug durch vorherige Eingaben oder Informationen aus dem Internet von der KI hergestellt werden
5. Opt-out des Trainings einer KI
Grundsätzlich verwenden die Hersteller von KI-Modelle die Eingaben der Nutzer zu weiteren Trainingszwecken ihrer KI. Somit können auch andere Unternehmen und Personen Zugriff auf diese Daten erhalten bzw. diese Informationen erfragen. Prüfen Sie daher, ob es möglich ist, der Verwendung zur Trainingszwecken zu widersprechen. Möglicherweise ist hierfür auch ein anderes Lizenzmodell zu buchen.
6. KI in eigener Umgebung
Viele Anbieter wie bspw. ChatGPT bieten die Möglichkeit an, diese in einer eigenen geschützten Umgebung zu verwenden. Das heißt, dass Sie Ihre Daten zwar hinzufügen, diese die Umgebung aber nicht verlassen können Auf diese Weise kann man die KI auch tatsächlich für eigene Zwecke trainieren und schließt andere Unternehmen und Betroffene von diesen Daten aus.
7. Ergebnisse auf Richtigkeit und Diskriminierung prüfen
Die von der KI generierten Ergebnisse sollten am Ende immer sowohl auf Richtigkeit als auch Diskriminierung geprüft werden. Hier kommt es zum einen immer wieder vor, dass die Datenquellen falsch oder diskriminierend waren und zum anderen, dass die KI selbst kreativ wird. Wenn die KI bspw. kein oder kein für sie befriedigendes Ergebnis findet, erfindet die KI auch Tatsachen oder Inhalte. Darüber hinaus kreiert die KI aus gefundenen Inhalten auch neue Dinge, was grundsätzlich ja ein guter Ansatz ist, aber in manchen Fällen auch schnell zu „falschen“ Ergebnissen führen kann.
8. Keine automatisierte Entscheidungsfindung
Wichtig ist ebenfalls, die KI keine automatisierte Entscheidung treffen zu lassen. Hier ist immer noch eine händische Überprüfung sinnvoll. Dies ergibt sich aus Art. 22 Abs. 1 DSGVO, wonach betroffene Personen das Recht haben, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.
Fazit
Der Einsatz von generativer KI ist durchaus möglich und sinnvoll, sollte aber gut durchdacht und geplant sein. Die Regelungen für den Einsatz einer solchen KI in Ihrem Unternehmen sollten klar kommuniziert und auch überwacht werden. Darüber hinaus helfen wir als Datenschutzbeauftragte auch gerne bei der Erstellung der in jedem Fall notwendigen DSFA (Datenschutzfolgenabschätzung), der Erstellung von betrieblichen Anweisungen im Umgang mit der KI sowie der Sensibilisierung der Beschäftigten.
Wenn Sie noch Fragen hierzu haben oder etwas unklar sein sollte, dann melden Sie sich gerne bei uns! Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.
