Fünf Jahre DSGVO

Ethische und datenschutzrechtliche Aspekte der KI-Nutzung im Fokus

Asher PalmerDüsseldorf, Juni 2023 - Am 25. Mai waren es fünf Jahre, seit die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft trat. Dabei standen vor allem die Verbesserungen bei der Governance, Überwachung, Sensibilisierung und strategischen Entscheidungsfindung in Bezug auf die Nutzung von Verbraucherdaten im Fokus. Innerhalb der letzten zwölf Monate ist ein weiteres Thema ins Blickfeld der DSGVO-Compliance gerückt: die Entwicklung und der Einsatz von Lösungen auf Basis Künstlicher Intelligenz (KI). Asha Palmer, SVP Compliance Solutions bei Skillsoft, hat Erfahrungen von Rechtsexperten, Beispiele von DSGVO-Verstößen im Zusammenhang mit der Nutzung von KI, und die Auswirkungen der DSGVO auf Compliance-Verantwortliche zusammengestellt. Eine Checkliste zeigt außerdem auf, welche drei Schritte besonders wichtig für Unternehmen sind, um eine Compliance-Strategie, inklusive Berücksichtigung von KI, aufzubauen.

Wir haben in fünf Jahren viel erreicht – aber wir sind noch nicht am Ziel

Hat die durch die DSGVO herbeigeführte Sensibilisierung ausgereicht, um nachhaltige Veränderungen im Datenschutz herbeizuführen? Skillsoft sprach mit Jonathan Armstrong, Partner in der Kanzlei Cordery Legal Compliance, die darauf spezialisiert ist, Unternehmen in Compliance-Fragen zu unterstützen. Armstrong hat Hunderte von DSGVO-Angelegenheiten in der EU bearbeitet.
Er zieht eine gemischte Bilanz hinsichtlich der Veränderungen, die die DSGVO bewirkt hat: Einerseits wurden viele der versprochenen Maßnahmen nicht umgesetzt, einschließlich der Rationalisierung und Vereinheitlichung der Art und Weise, wie Unternehmen mit Daten umgehen. Andererseits hat die DSGVO einige bemerkenswerte Dinge erreicht, die über ihren zunächst vorgesehenen Geltungsbereich hinausgehen. Wichtig ist etwa, dass dank ihr Unternehmen eine Zeit massiver Umbrüche überstanden haben. Nach Meinung von Armstrong waren sie mithilfe der DSGVO in der Lage, den schnellen technologischen Wandel zu bewältigen, einschließlich der zunehmenden Verbreitung von Lösungen auf Basis Künstlicher Intelligenz

Auf Basis der DSGVO haben Regulierungsbehörden allein im Zusammenhang mit KI mehr als 80 Millionen Euro an Bußgeldern kassiert. Viele Unternehmen denken auch aus diesem Grund mittlerweile über Best Practices nach, um den Einsatz von KI im Unternehmen DSGVO-konform zu machen. Italien beispielsweise hat kürzlich als erstes westliches Land den Chatbot ChatGPT blockiert, während die Aufsichtsbehörden prüfen, ob er DSGVO-konform ist. Obwohl die Blockade nach Gesprächen mit den Eigentümern von ChatGPT nun aufgehoben wurde, werden die Ermittlungen fortgesetzt.

Konzentration auf ethische KI

Wenn man sich die Bußgelder betrachtet, die in den letzten fünf Jahren aufgrund der DSGVO verhängt wurden, können Unternehmen viel darüber lernen, worauf sie ihre Bemühungen konzentrieren müssen, um eine maximale Wirkung zu erzielen. Die Sicherheit der Daten ist ein wesentliches Ziel der DSGVO, aber die letzten fünf Jahre haben gezeigt, dass ein grundlegender Teil der Compliance darin besteht, das Richtige zu tun.
Bevor die DSGVO in Kraft trat, gingen viele Unternehmen davon aus, dass es sich bei den meisten Verstößen um Sicherheitsverletzungen handeln würde. Laut Armstrong war es jedoch interessant festzustellen, dass es bei den meisten höheren Bußgeldern um Fragen der Transparenz ging – also einfach darum, den Nutzern gegenüber ehrlich zu sein, wie man ihre Daten nutzt.
Auch die Künstliche Intelligenz (KI) war laut Armstrong ein beliebtes Diskussionsthema. Immer mehr Unternehmen entwickeln und nutzen KI-gestützte Tools und Dienste. Ist diese frühe Phase also quasi eine gesetzesfreie Zone da es noch keine Regulierungen rund um KI gibt?

KI wird durch die DSGVO reguliert

Die DSGVO verlangt von Organisationen, dass sie Einzelpersonen darüber informieren, welche Informationen über sie gespeichert werden und wie diese verwendet werden. Das bedeutet, dass Organisationen bei jeder Art automatisierter Entscheidungsfindung verpflichtet sind, den betroffenen Personen Informationen über die damit verbundene Logik dieser Entscheidungen zur Verfügung zu stellen. Sie müssen sie also darauf aufmerksam machen, dass eine automatisierte Entscheidung getroffen wird und sie über die Bedeutung der automatisierten Entscheidung sowie die spezifische Logik des Algorithmus aufklären, der die automatisierten Entscheidungen trifft.
Da generative KI immer fortschrittlicher und weiter verbreiteter wird, müssen Unternehmen also eine Governance für ihren Einsatz am Arbeitsplatz entwickeln und dabei Aspekte der Sicherheit, des Datenschutzes, der Vertraulichkeit sowie die ethischen Auswirkungen berücksichtigen. Denn eine komplette Sperre gegen die Nutzung von KI ist in den meisten Fällen keine Option. Solange Organisationen, die auf KI setzen, nachweisen können, dass sie die genannten Anforderungen einhalten, sind sie auf dem richtigen Weg. Sie müssen sich aber auch mit anderen Aspekten befassen, darunter Fairness, Transparenz und Maßnahmen zur Bearbeitung individueller Anfragen.

Transparenz als Schlüsselfaktor bei der Einhaltung der DSGVO

Beispiele der Fälle, die im Zusammenhang mit KI und DSGVO vor Gericht landeten, zeigen deutlich, wie wichtig eine transparente Datennutzung ist – ganz besonders auch beim Einsatz von KI:

Lieferservice-Apps müssen Strafzahlungen für den Einsatz von KI-Algorithmen leisten  

Die italienische Datenschutzbehörde Garante verhängte ein Bußgeld gegen zwei der größten Online-Lebensmittelliefer-Apps des Landes, weil sie mithilfe von Algorithmen Lieferfahrer begünstigten, die zu Zeiten hoher Nachfrage arbeiten konnten – insbesondere freitags, samstags und sonntags. Arbeitnehmer, die an diesen Tagen beispielsweise aufgrund religiöser Gründe nicht arbeiten konnten, wurden von den Algorithmen benachteiligt. Die DSGVO verbietet eine automatisierte Entscheidungsfindung, einschließlich Profiling.

Behörden untersagen die Nutzung bestimmter ChatBots

Replika ist ein KI-gestützter Chatbot, der virtuelle Freundschaften mit Benutzern per Text und Video simuliert. Der Chatbot hatte keine Altersverifizierung und die italienische Datenschutzbehörde Garante war besorgt über die Möglichkeit, sexuell unangemessene Inhalte mit Minderjährigen zu teilen. Die Aufsichtsbehörde kam zu dem Schluss, dass Replika Daten rechtswidrig verarbeitet habe, da Kinder keinen gültigen Nutzungsvertrag abschließen könnten.

Dieser Fall fällt unter die Anforderungen der DSGVO an Datentransparenz. Laut der Einschätzung von Jonathan Armstrong werden Unternehmen weiterhin auf Konflikte rund um KI und DSGVO stoßen, wenn sie nicht im Voraus damit beginnen, über diese Art von Problemen nachzudenken und stattdessen "Abkürzungen nehmen", um den Lieferzyklus für neue Apps oder Funktionen zu verkürzen.

Nutzung von KI bei der Personal-Rekrutierung

Viele Unternehmen setzen KI-Chatbots auch im Rahmen der Mitarbeiter-Rekrutierung ein. Da diese Praxis weiter zunimmt, befürchten die Aufsichtsbehörden, dass dadurch die Privatsphäre von Arbeitssuchenden beeinträchtigt oder bestehende Vorurteile in Bezug auf Rasse und Geschlecht begünstigt werden könnten. Aus diesem Grund erwägt der US-Kongress die Einführung des sogenannten Algorithmic Accountability Acts. Dieser würde Arbeitgeber dazu verpflichten eine Folgenabschätzung für jedes automatisierte Entscheidungssystem durchführen, das den Zugang, die Bedingungen oder die Verfügbarkeit einer Beschäftigung für eine Person erheblich beeinträchtigt.

Auswirkungen der DSGVO auf Compliance-Verantwortliche

Compliance-Experten spielen eine Schlüsselrolle bei der Einhaltung der DSGVO – auch im Hinblick auf Aspekte der KI. Sie müssen sich für Transparenz einsetzen und die Schnittstelle zwischen den im eigenen Unternehmen entwickelten oder genutzten Technologie und deren Auswirkungen auf seine Nutzer bilden. Dabei sollten folgende Fragen berücksichtigt werden:

  • Welche Arten von Technologie werden im gesamten Unternehmen verwendet?
  • Wer stellt diese Technologie bereit, und ist diese Organisation seriös und erfüllt alle relevanten Compliance Vorgaben?
  • Wie genau funktioniert die Technologie?
  • Ist die Technologie fair und unparteiisch?

Nur auf Basis dieser Informationen können Organisationen ihre Mitarbeitenden und Anwender schützen – und zudem das Risiko von Bußgeldern im Zusammenhang mit der DSGVO verringern.

Wichtige Schritte für eine Compliance-Strategie mit Berücksichtigung von KI

Compliance-Experten sollten folgende Schritte durchführen, um potenzielle Probleme anzugehen:

Schritt 1. Durchführung einer Datenschutz-Folgenabschätzung 

Zu überprüfen sind die Auswirkungen aktuell genutzter Technologien (Tech-Stacks) – einschließlich der Arten von Informationen, die sie sammeln, und wie sie diese verwenden. Es sollte ein Verfahren eingerichtet werden, um die Risiken künftig eingeführter Technologien sorgfältig abzuwägen. Eine formelle Datenschutz-Folgenabschätzung kann die Rechtsgrundlage für einige der vorgeschlagenen Anwendungen von Technologielösungen, einschließlich KI, bilden.
Selbst wenn Systeme extrem sicher und rechtskonform sind, ist dies bei den Outsourcing-Partnern möglicherweise nicht der Fall. Unternehmen lagern heute auch kritische Geschäftsprozesse aus – Gehaltsabrechnung, Reiseplanung, Zeitmanagement, Kundeninteraktionen und mehr. So betraf etwa eine kürzlich aufgedeckte Sicherheitsverletzung in einer Organisation 900 Unternehmen, die mit dieser Organisation zusammenarbeiteten. Daher müssen Unternehmen noch sorgfältiger darauf achten, Risiken zu reduzieren und vorauszuplanen.

Schritt 2. Verfahren zum Umgang mit DSGVO-Problemen und Verstößen

Egal wie gewissenhaft eine Organisation ist, Verstöße können immer passieren. Es sollten daher Verfahren geschaffen werden, die sofort für Abhilfe sorgen. Das ist besonders wichtig, da die meisten Organisationen nur 72 Stunden Zeit haben, um Aufsichtsbehörden einen Bericht vorzulegen, nachdem sie vor einem DSGVO-Problem gewarnt wurden. Die Richtlinien und Verfahren sollten einfach gehalten und auf den Punkt gebracht sein und eine klare Richtung vorgeben.

Schritt 3. Training anhand eines Reaktionsplans

Wenn die Richtlinien und Verfahren zum Schutz des Unternehmens festgelegt wurden, sollten die Abläufe trainiert werden. Die gesamte Organisation muss verstehen, wie sie in einer Krise reagieren sollte.
"Die Compliance-Anforderungen wachsen weiter. Dabei ist es für Unternehmen einerseits wichtig zu berücksichtigen, wie die gesamte Compliance-Strategie integriert wird und andererseits, wie die relevanten Inhalte möglichst effizient und nachhaltig an die Belegschaft vermittelt werden. Keine leichte Aufgabe – aber es steht fest, dass die Vermittlung der notwendigen Informationen an Compliance-Teams, sowie an alle Teile der Belegschaft ein Schlüsselelement zur erfolgreichen Umsetzung von Compliance-Maßnahmen ist", resümiert Andreas Rothkamp, VP für die Region DACH bei Skillsoft.