Locations
Die seit Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) legt strenge Regeln für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten fest, um die Datenschutzrechte der Bürgerinnen und Bürger in der Europäischen Union (EU) zu schützen. Sie gilt für jede Organisation, die personenbezogene Daten von in der EU ansässigen Personen verarbeitet, unabhängig vom Standort der Organisation. Generative KI-Algorithmen stützen sich naturgemäß auf große Datensätze, um Muster zu lernen und Inhalte zu generieren. Folglich können diese Datensätze personenbezogene Daten enthalten, wodurch auch die Vorgaben der DSGVO beachtet werden müssen.
Einer der wichtigsten Grundsätze der DSGVO ist die Datenminimierung, die vorschreibt, dass Unternehmen nur die für bestimmte Zwecke erforderlichen personenbezogenen Daten erfassen und speichern. Für generative KI-Systeme, die zu Trainingszwecken große Datenmengen sammeln, kann es schwierig sein, diesen Grundsatz einzuhalten. Unternehmen müssen ein ausgewogenes Gleichgewicht zwischen dem effektiven Training ihrer KI-Modelle und der Minimierung der Erfassung und Speicherung personenbezogener Daten finden, um die Anforderungen der DSGVO einzuhalten.
Um datenschutzrechtliche Bedenken auszuräumen, können Unternehmen verschiedene Strategien anwenden. In erster Linie können sie Anonymisierungstechniken einsetzen, um personenbezogene Daten aus Trainingsdatensätzen zu entfernen oder irreversibel umzuwandeln. Durch die Anonymisierung von Daten können Unternehmen die Einhaltung der Anforderungen der DSGVO sicherstellen und gleichzeitig von der Vielfalt der Trainingsdaten profitieren. Darüber hinaus können Unternehmen Techniken wie das sog. "federated learning" nutzen, bei dem das Modell gleichzeitig auf mehreren Geräten trainiert wird, wodurch die Notwendigkeit einer zentralen Speicherung minimiert und potenzielle Risiken im Zusammenhang mit der Anhäufung personenbezogener Daten verringert werden.
Ein weiterer Aspekt, den Unternehmen berücksichtigen sollten, ist der Grundsatz der Zweckbindung, der die Verwendung personenbezogener Daten auf bestimmte, legitime Zwecke beschränkt, die den Betroffenen zum Zeitpunkt der Erhebung mitgeteilt werden. Beim Einsatz von generativer KI müssen Unternehmen sicherstellen, dass die generierten Inhalte nicht die Privatsphäre von Personen gefährden oder gegen die ursprünglichen Zwecke verstoßen, für die die Daten erhoben wurden. Dies erfordert die Implementierung solider Schutzmaßnahmen und regelmäßiger Audits, um die Auswirkungen generativer KI auf gespeicherte personenbezogene Daten zu bewerten und die Einhaltung der DSGVO zu gewährleisten.
Darüber hinaus müssen Unternehmen strenge Sicherheitsmaßnahmen ergreifen, um gespeicherte personenbezogene Daten vor unbefugtem Zugriff oder Verstößen zu schützen. Generative KI-Systeme stützen sich häufig auf eine leistungsstarke Computerinfrastruktur und umfangreiche Speicher, was sie zu potenziellen Zielen für Cyberangriffe macht. Der Einsatz modernster Verschlüsselung, Zugriffskontrollen und regelmäßiger Sicherheitsprüfungen kann dazu beitragen, die mit der Speicherung verbundenen Risiken zu mindern und den Datenschutz zu verbessern, um die Sicherheitsanforderungen der DSGVO zu erfüllen.
Während sich die generative KI-Technologie weiterentwickelt, achten die Regulierungsbehörden auch genau auf ihre Auswirkungen auf den Datenschutz und die Privatsphäre, wie beispielsweise das kurzzeitige Verbot von ChatGPT in Italien gezeigt hat. Unternehmen sollten sich über die regulatorischen Entwicklungen auf dem Laufenden halten und einen proaktiven Dialog mit den Regulierungsbehörden führen, um die Einhaltung der sich entwickelnden Vorschriften zu gewährleisten und gleichzeitig das transformative Potenzial der generativen KI zu nutzen.
Generative KI ist sehr vielversprechend, erfordert jedoch eine sorgfältige Beachtung der Speicherbeschränkungen gemäß DSGVO, um den Schutz personenbezogener Daten und der Privatsphäre zu gewährleisten.