Datenschutz in Zeiten der KI: Was Unternehmen jetzt wissen müssen

Es gibt keine Zweifel, dass der KI-Boom anhält. ChatGPT allein hatinzwischen jede Woche 400 Millionen Nutzer weltweit. Unternehmen wiederum haben im vergangenen Jahr 13,8 Milliarden US-Dollar für solche Tools ausgegeben, wie der Wagniskapitalgeber Menlo Ventures herausfand. 2023 waren es noch 2,3 Milliarden. Das entspricht einem Wachstum von 500%.

Und auch wenn die Produktivitätsgewinne bislang nicht das erhoffte Level erreichen, scheinen Unternehmen mit ihren KI-Initiativen zufrieden: Laut des Consulting-Unternehmens Deloitte sehen 74% der befragten Organisationen ihre Ziele damit erreicht oder übertroffen. 78% wollen ihre Ausgaben in diesem Jahr erhöhen.

Das starke Interesse hat einen einfachen Grund: KI-Werkzeuge können viele tägliche Aufgaben beschleunigen. Auch in grossen Datenmengen finden sie beispielsweise die gewünschten Zahlen und Faktenin Sekundenschnelle. Sie können Informationen vergleichen und zusammenfassen. Und nicht zuletzt erstellen sie Inhalte aller Art, ob nun einen Entwurf für eine E-Mail oder eine Illustration für eine Präsentation.

Bei aller Begeisterung für die digitalen Helfer steht allerdings gleichzeitig eine wichtige Frage im Raum: Wie steht es um das Thema Datenschutz in der schönen, neuen KI-Welt?

Auf den Punkt gebracht, lautet die Antwort: Nicht gut. Gerade Unternehmen in besonders strengregulierten Branchen wie dem Finanzbereich müssen sich mehrerer Problempunkte bewusst sein.

‍

Hintergrund: der regulatorische Rahmen

Bei der KI-Nutzungbewegen sich Unternehmen dabei in einem komplexen regulatorischen Umfeld. Zwei Regelwerke sind hierzulande besonders relevant: der noch relativ neue EU AI Actsowie die bereits bekannte Datenschutz-Grundverordnung (DSGVO) und ihr schweizerisches Pendant, das Datenschutzgesetz (DSG).

Ziel des EU AI Acts istes, die Sicherheit, Transparenz und Vertrauenswürdigkeit von KI-Systemen zu gewährleisten. Das richtet sich vor allem an die Anbieter dieser Dienste, aber nicht nur: Auch die KI-Nutzer haben Pflichten. Das gilt ganz besonders dann, wenn es sich um sogenannte Hochrisiko-KI handelt, etwa für Aufgaben in der Personalabteilung oder bei der Kreditvergabe. Welche Anwendungen genau in diese Kategorie fallen, ist in Annex III des EU AI Acts aufgeführt.

Laut Artikel 26 müssen die Unternehmen und Institute dann unter anderem:

• sicherstellen, dass die Systeme korrekt verwendet werden,
• Eingabedaten auf Qualität und Relevanz prüfen,
• und gegenüber Betroffenen transparent machen, dass KI im Spiel ist.

DSGVO und DSG wiederum drehen sich im Kern um den Umgang mit personenbezogenen Daten, und auch das ist bei KI-Nutzung höchst relevant.

Einige wesentlichePunkte:

• Zweckbindung: Daten dürfen nur für den vorgesehenen Zweck verarbeitetwerden.
• Datenminimierung: Nur das Nötigste darf verarbeitet werden.
• Rechtsgrundlage: Jede Datenverarbeitung braucht eine rechtliche Basis wieetwa eine Einwilligung oder ein berechtigtes Interesse.

Siehe für mehr Details den Artikel 5 und Artikel 6 der DSGVO sowie Artikel 6 des DSG.

Bei alledem müssen Unternehmen und Organisationen nicht nur sicherstellen, dass sie selbst diesen Vorschriften folgen, sondern ebenso die von ihnen beauftragten Dienstleister. Ein Problem stellen hier daher regelmässig US-Anbieter dar, da der Datenschutz in Amerika anders gehandhabt wird als in Europa. Vereinbarungen zwischen der EU und den USA, die dieses Problem beheben sollten, sind inzwischen mehrfach vor Gericht gescheitert. Die aktuellste Versions namens Data Privacy Framework wird ähnlich kritisch eingeschätzt.

Anbieter aus Europa sindunter diesem Gesichtspunkt die bessere Wahl. Im KI-Bereich wäre das beispielsweise das französische Unternehmen Mistral. Aber auch dann muss die Datenübertragung natürlich den oben genannten Richtlinien entsprechen.

‍

Praktische Risiken und Lösungen

Mit Blick auf diesen regulatorischen Rahmen ist es beispielsweise höchst problematisch, personenbezogene Datenunbehandelt zu einem Dienst wie ChatGPT hochzuladen. Aber auch an anderer Stelle müssen Organisationen aufpassen.

Im Folgenden nehmen wir zwei wesentliche Risiken und mögliche Lösungen dazu genauer unter die Lupe:

‍

Versehentliche Verstösse durch Mitarbeitende

In vielen Unternehmen nutzen Mitarbeitende KI-basierte Tools, um effizienter zu arbeiten. Dabei ist es wichtig, das Bewusstsein für das Thema Datenschutz zu schärfen. Es ist schnell passiert, dass andernfalls interne Informationen, vertrauliche Kundendaten oder sogar Geschäftsgeheimnisse in ein KI-System eingespeist werden.

Zwar versprechen Anbieter wie OpenAI ihren zahlenden Kunden, dass ihre Chats nicht fürs Training zukünftiger Modelle genutzt werden. Die so hochgeladenen Informationen sollten also nicht plötzlich zum Teil des «Weltwissens» einer KI wie ChatGPT werden. Aber selbst wenn das so stimmt, ist es aus Sicht des Datenschutzrechts unerheblich: Allein diese Informationen in dieser Form zu übertragen, kann bereits ungesetzlich sein.

Deshalb braucht es in Organisationen klare KI-Richtlinien, die den Umgang mit diesen Werkzeugen eindeutig regeln. Darüber hinaus sind entsprechende Schulungen essenziell.

‍

Der Datenhunger der KI-Tools

Ein weiteres Risiko liegt darin, dass sensible Unternehmensdaten unbeabsichtigt auffindbar sein können. Auslöser sind hier etwa falsch konfigurierte Dokumentenfreigaben oder ungesicherte Dateispeicherorte.

Im Alltag fällt das nicht sofort auf. Suchmaschinen wie Google halten sich beispielsweise freiwillig an Vorgaben von Websitebetreibern, was sie erfassen dürfen und was nicht. Das wird unter anderem über eine Datei namens robots.txt geregelt.

Anders ist die Lage aber bei KI-Anbietern. Ihr Datenhunger ist unermesslich, denn das ist das Fundament ihres Geschäfts. Nur durch enorme Datenmengen lernen deren Werkzeuge ihre Fähigkeiten und ihr Wissen. Ein Beispiel ist das «Common Crawl»-Projekt, das Milliarden von Webseiten regelmässig durchforstet.

Und wie sich zeigt: Im Wettrennen um die Vorherrschaft im heissen KI-Markt werden Beschränkungen in einerrobots.txt durchaus ignoriert.

Deshalb ist es wichtiger denn je, sehr genau darauf zu achten, wie Dokumente gespeichert und bereitgestellt werden. Hier können Lösungen wie die von DSwiss helfen: Durch konsequente Verschlüsselung und Zugriffssteuerung bleiben sensible Dokumente selbst dann geschützt, wenn ein Speicherort technisch erreichbar wäre. Anders als öffentlich zugängliche Cloud-Ordnerl assen sich solche Systeme also nur über autorisierte Freigaben öffnen. Sie sind für Webcrawler schlicht unsichtbar. So wird verhindert, dass vertrauliche Informationen unbeabsichtigt in große Trainingsdatensätze geraten.

‍

Key Takeaways

Letztlich bleibt festzuhalten: Proaktiver Datenschutz ist sowieso bereits ein Muss, er wird in der KI-Ära aber noch einmal dringlicher. Ein Grund: KI-Systeme vergessen nichts. Was einmal in sie hineingeraten ist, lässt sich kaum zurückholen. Umso wichtiger ist es, jetzt zu handeln, bevor aus kleinen Nachlässigkeiten am Ende grosse Probleme entstehen.