Zwischen DSVGO und „AI Act“

Rechtliche Risiken im Blick behalten

23. Mai 2023, 7:00 Uhr | Anna Molder

Fünf Jahre ist die DSGVO nun in Kraft und die Europäische Kommission will die Regelung noch im ersten Halbjahr verbessern. Konkret will man verbindliche Fristen für die Weiterleitung von Beschwerden und eine generelle Bearbeitungsfrist kompletter Beschwerdeverfahren einführen. Das Thema KI wird die EU separat im „AI Act“ regeln, wobei DSGVO und KI eng verflochten sind, wie der Bann von ChatGPT in Italien zeigt. Es gibt Wege, wie Unternehmen das Potenzial von KI unter kontrolliertem rechtlichen Risiko für sich nutzen können.

ChatGPT hat KI für jeden frei zugänglich gemacht und in den Alltag gebracht. Diesen Januar sollen mehr als 100 Millionen aktive User die KI genutzt haben - zwei Monate nach ihrem Start. Damit ist ChatGPT nach Reuters die am schnellsten gewachsene Consumer-Anwendung der Geschichte. Mit jeder neuen Version wird diese KI größer und besser. Und mit jeder neuen Version wirft sie mehr Fragen auf - rechtlich, technisch und ethisch. Denn es mangelt an Transparenz, niemand von außen kann in diese Black Box schauen.

Die italienische Regierung hat sich entschieden, ChatGPT zu verbieten. Die KI verstoße gegen Prinzipien der DSGVO, heißt es von der italienischen Staatsanwaltschaft. Die Europäischen Staaten und ihre Datenschutzbehörden sehen sich in der Pflicht, die KI in den Blick zu nehmen. Es passt ins Bild, dass gegen die Firma für Gesichtserkennung, Clearview AI, im vergangenen Jahr gleich dreimal Strafen von bis zu 20 Millionen Euro ausgesprochen waren. Die Datenschützer in Großbritannien, Italien und Griechenland waren der Meinung, diese Firma und ihre KI verletze die Rechte der Bürger und Bürgerinnen.

Das Gesamtbild ist unscharf, es sind aber klare Tendenzen erkennbar, dass der Einsatz von KI mit bestimmten Daten rechtliche Risiken schafft, wenn man mit DSGVO-relevanten Daten hantiert. Und die Statistiken zeigen, dass die Behörden in Europa weiter hohe Strafen verhängen - insbesondere gegen Big Data. Von Mai 2022 bis Mai dieses Jahres hat mab Bußgelder in Höhe von 1,1 Milliarden Euro erhoben - neun der zehn höchsten Strafen gegen Tech-Giganten aus den USA.

Die EU will die Rechtslage im AI Act klarer regeln. Es wird bis 2024 dauern, bis das europaweite KI-Gesetz tatsächlich in Kraft tritt. Und erst viel später verdeutlicht sich in den ersten Fällen, wie es in der Praxis tatsächlich wirkt. Sicher ist, dass auf Firmen und ihre Mitarbeiter aus Compliance-Sicht neue Aufgaben und Pflichten zukommen.

Dabei sein - mit kontrolliertem Risiko

Niemand in der freien Wirtschaft kann es sich leisten, bis dahin zu warten. Firmen und Privatpersonen brauchen jetzt klare Orientierung. Denn sie wollen das große Potenzial dieser Technik nutzen, erste Firmen tun es bereits. Es gibt vier klare Empfehlungen, wie Firmen dies angehen können, ohne rechtliche Risiken zu verursachen und trotzdem den Usern nicht im Weg zu stehen. Und zugleich so aufgestellt zu sein, dass man den AI Act voll umsetzen kann, ohne die IT auf den Kopf zu stellen:

Compliance immer mitdenken: Ob der Einsatz von KI Compliance betrifft, hängt schlicht vom Anwendungsszenario und den genutzten Daten ab. Wer KI DSGVO-konform einsetzen will, sollte vor Einführung den Rat eines Datenschutzexperten einholen.
Daten kennen: Unternehmen und ihre Mitarbeiter müssen genau wissen, mit welchen Daten sie die KI füttern und welchen Wert diese Daten für die Firma besitzen. Einige KI-Anbieter übertragen diese Entscheidung bewusst an die Daten-Owner, weil sie die Daten am besten kennen.
Inhalte der Daten verstehen: Damit die Daten-Owner richtig entscheiden können, muss der Wert und Inhalt der Daten klar sein. Im Alltag ist diese Aufgabe gigantisch und die meisten Firmen haben Berge von Informationen angehäuft, von denen sie überhaupt nichts wissen. Auf diesem Gebiet kann KI und Machine Learning massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen automatisiert klassifiziert. Vordefinierte Filter fischen Compliance-relevante Daten wie Kreditkarten oder andere personenbezogene Details sofort aus dem Datenteich und markieren sie. Diese KI entwickelt einmal auf die Daten losgelassen eine firmenbezogene Sprache, einen Firmendialekt. Und je länger sie arbeitet und je mehr Firmendaten sie untersucht, desto genauer sind ihre Ergebnisse. Der Charme dieser KI-getriebenen Klassifizierung zeigt sich vor allem, wenn neue Vorgaben einzuhalten sind. Was auch immer der AI Act bringt, die ML und KI getriebene Klassifizierung wird diese zusätzlichen Attribute suchen können und der Firma ein Stück Zukunftssicherheit verschaffen.
Datenflüsse steuern: Sind die Daten mit den richtigen Merkmalen eingestuft und klassifiziert, lassen sich von der darunter liegenden Daten-Management-Plattform automatisch Regeln durchsetzen, ohne dass der Daten-Owner eingreifen muss. Dadurch sinken die Chancen für menschliche Fehler und die Risiken. Moderne Daten-Management-Plattformen steuern den Zugriff auf kritische Daten, indem sie diese automatisch verschlüsseln und sich Anwender per Access Controls und Multifaktor-Authentifizierung autorisieren müssen.

Fazit

KI wird die Wirtschaft so umwälzen, wie es das Internet tat. Firmen wollen, dass ihre Belegschaft KI innovativ nutzt. KI selbst hat die Kraft, KI zu zähmen, indem sie die Daten und ihren Inhalt durchleuchten kann. Dies eröffnet Firmen viele gute Wege, wie sie den Einsatz von KI steuern können, ohne hohe Risiken und Strafen fürchten zu müssen.

Mark Molyneux ist EMEA CTO bei Cohesity.