Locations
Zwar existiert derzeit noch kein umfassendes KI-Gesetz (dazu weiter unten im Text), allerdings sind auch bei der Entwicklung und dem Einsatz generativer KI nicht nur technische Aspekte zu betrachten. Es stellen sich auch rechtliche, insbesondere datenschutzrechtliche Fragen, die – so viel sei vorweggenommen – noch nicht alle abschließend geklärt sind.
Eine dieser Fragen ist, wie Personen transparent zu informieren sind, wenn ihre Daten im Kontext solcher KI-Tools verwendet werden. Hier sind neben dem konkreten Inhalt der Information sowohl das "Ob", als auch das "Wie" und "Wo" ausschlaggebend.
Informationspflichten nach der DSGVO
Transparenz ist ein entscheidendes Kriterium nicht nur zur Vermeidung potentieller Sanktionen durch Aufsichtsbehörden, sondern insbesondere auch für die Akzeptanz neuer Technologien in der breiten Masse. In datenschutzrechtlicher Sicht soll diese Transparenz vor allem durch die Informationspflichten der Art. 12 ff. DSGVO gewährleistet werden. Diese sollen sicherstellen, dass Betroffene die ihnen durch die DSGVO gewährten Rechte, bspw. auf Auskunft oder Löschung, effektiv ausüben können. Die Informationspflicht gilt dabei sowohl für die direkte Datenerhebung beim Betroffenen (Art. 13 DSGVO) als auch für den Fall, dass der Verantwortliche personenbezogene Daten aus anderer Quelle erhält (Art. 14 DSGVO).Verantwortliche sind also verpflichtet, betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten und dabei insbesondere über Verarbeitungszwecke, verarbeitete Datenkategorien, die Speicherdauer, etwaige Datenempfänger oder die ihre Datenschutzrechte zu informieren. Die Information muss dabei stets " in präziser, transparenter, verständlicher und leicht zugänglicher Form [und] in einer klaren und einfachen Sprache" vermittelt werden.
Praktische Herausforderungen bei der Nutzung generativer KI
Für die Nutzer von KI-Tools lassen sich die vorstehenden Punkte und insbesondere das "Wie" der Information noch relativ einfach beantworten. Denkbar ist etwa eine ausführliche Darstellung in Form einer Datenschutzerklärung auf der Webseite. Sofern personenbezogene Daten jedoch für das "Antrainieren" der KI verarbeitet werden, wird es schnell kompliziert. Denn Transparenz ist KI-Systemen zumindest nicht immanent. Diese sind ihrer Art nach gerade darauf ausgelegt, selbstständig und von außen oft schwer nachvollziehbar Daten zu verarbeiten ("Blackbox"). Das aber macht es insbesondere schwierig, die Komplexität der eingesetzten analytischen Verfahren so transparent darzustellen, dass deren Tragweite für den jeweils Betroffenen abschätzbar wird.Besonders komplex kann es auch werden, wenn die generative KI Daten von Betroffenen zur automatisierten Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO nutzen soll. Dann nämlich ist der Tool-Betreiber explizit verpflichtet, "aussagekräftige Informationen über die involvierte Logik [der generativen KI] sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person" bereitzustellen. Dieser Thematik widmen wir uns vertieft in einem späteren Blogbeitrag.
Regulierung von generativer KI
Auf EU-Ebene wird derzeit eine KI-Verordnung verhandelt, die noch dieses Jahr verabschiedet werden könnte. Die Verordnung soll eine einheitliche Regulierung künstlicher Intelligenz in Europa sicherstellen und unterteilt KI-Systeme prinzipiell nach ihrer jeweiligen Risikoklasse. Je nach Risiko treffen den Verantwortlichen entsprechend strenge oder weniger strenge Vorgaben. Dabei ist noch nicht abschließend geklärt, in welche Kategorie generative KI wie bspw. ChatGPT einzuordnen ist. Hier ist die Entwicklung weiter zu verfolgen. Jedenfalls bilden auch hier umfassende Transparenzpflichten einen zentralen Bestandteil des aktuellen Entwurfs.Auch eine Vielzahl europäischer Aufsichtsbehörden widmet sich zunehmend vertieft dem Thema generativer KI. So hat die Datenschutzkonferenz (DSK; bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder) bereits 2019 ein Positionspapier zu empfohlenen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen veröffentlicht. Zudem haben sowohl die DSK als auch der Europäische Datenschutzausschuss (EDSA) jeweils eine „Task Force KI“ bzw. "Task Force ChatGPT" ins Leben gerufen.
Besondere Aufmerksamkeit hatte zuletzt auch die Verfügung der italienischen Datenschutzbehörde (Garante) gegen OpenAI, den Anbieter von ChatGPT, hervorgerufen. Nach einem kurzzeitigen Verbot der KI wurde dieses nach Implementierung einiger, von der Garante zusätzlich angeordneten Maßnahmen durch OpenAI, wie etwa einer überarbeiteten Datenschutzerklärung, wieder aufgehoben.
Fazit
Mit Blick auf die Informationspflichten sollten Unternehmen beim Einsatz generativer KI insbesondere die folgenden Punkte bedenken:
- Umfassende Dokumentation: Verantwortliche sollten insbesondere Zwecke und Funktionsweise ihrer generativen KI-Systeme sowie die Herkunft der Roh- bzw. Trainingsdaten detailliert dokumentieren. Eine umfassende Dokumentation über die eingesetzten Algorithmen und Datenquellen ist entscheidend zur Erfüllung der datenschutzrechtlichen Vorgaben.
- Klare und frühzeitige Kommunikation: Betroffene Personen sollten bereits bei Erhebung ihrer Daten klar und verständlich über deren Nutzung im Rahmen generativer KI und die damit verbundenen Datenschutzaspekte informiert werden. Komplexe technische Details sollten in eine leicht verständliche Sprache übersetzt werden.
- Datenschutz durch Design: Bereits bei der Entwicklung von generativer KI und darauf aufbauender Systeme sollten Datenschutzaspekte berücksichtigt werden. Datenschutz sollte dabei als integraler Bestandteil des Designs und der Implementierung von KI-Systemen betrachtet werden. Das setzt auch die Vorgaben des Art. 25 der DSGVO um und erleichtert die anschließende Compliance.