Künstliche Intelligenz (KI) ist nicht nur in aller Munde – sie ist bereits in vielen Unternehmen im Einsatz und verarbeitet auch personenbezogene Daten. Aufsichtsbehörden haben bereits mögliche Datenschutzverletzungen aufgedeckt. Diese Datenpannen zeigen, worauf Sie bei KI besonders achten sollten.

KI zwischen Chancen und Risiken

„KI-Modelle revolutionieren zahlreiche Branchen und stellen uns zugleich vor große Herausforderungen in Sachen Transparenz, Sicherheit und Datenschutz“, sagte Prof. Dr. Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Wie Umfragen des Digitalverbands Bitkom zeigen, sehen das viele Unternehmen genauso.
8 von 10 Unternehmen halten KI für die wichtigste Zukunftstechnologie, so Bitkom. Doch 48 Prozent beklagen die hohen Anforderungen an den Datenschutz, 39 Prozent haben Angst, dass Daten in falsche Hände geraten. Die Be-denken sind leider nicht unbegründet, denn es kommt bereits zu Datenschutz-Pannen bei der Nutzung von KI.

Aufsichtsbehörden berichten von Datenschutzproblemen bei KI

Wie bei jeder Verarbeitung personenbezogener Daten muss es auch bei Nutzung von KI eine rechtliche Grundlage geben, damit die Daten genutzt werden dürfen. Unternehmen können also nicht einfach ihren Datenbestand mithilfe einer KI-Lösung auswerten, um daraus neue Erkenntnisse zu gewinnen – auch wenn dies aus Unternehmenssicht verlockend erscheinen mag. Zudem muss der Einsatz von KI den betroffenen Personen mitgeteilt werden, die Nutzung muss also transparent sein.
Ein Beispiel aus der Praxis: Bei einer Immobilienvermittlungsplattform stellte eine Datenschutzaufsicht im Rahmen einer Beschwerde fest, dass der Betreiber die Kommunikation mit Kundinnen und Kunden für das Training eines KI-Systems zur effizienteren Bearbeitung von Kundenanfragen nutzte – ohne die Betroffenen darüber zu informieren. Es fehlten also die Information, die Aufklärung und die Transparenz.
In einem weiteren Fall prüfte die Datenschutzaufsicht eine kommerzielle Fotoplattform, die bereits ins Internet hoch-geladene Fotos – zumindest teilweise personenbezogen – Unternehmen gegen Bezahlung unter anderem für das Training von KI-Modellen anbot. Dieses Vorgehen war nur teilweise in der Datenschutzerklärung der Plattform abgebildet. Es mangelte also erneut an Transparenz und an einer rechtlichen Grundlage, denn die Bilder waren ursprünglich nicht zur Weitergabe und zum KI-Training bei Drittunternehmen bestimmt.

Vorsicht bei KI als Entscheidungsunterstützung

Der Datenschutz verlangt zudem, dass Personen nicht durch automatisierte Entscheidungen erheblich beeinträchtigt und benachteiligt werden. Ein Beispiel ist die automatische Prüfung durch eine KI, ob eine Person einen Kredit erhält oder nicht. Auch hier kommt es in der Praxis zu Datenschutzverletzungen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.000 Euro wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Einzelentscheidungen.
Trotz guter Bonität wurden die Kreditkartenanträge mehrerer Kunden durch automatisierte Entscheidungen abgelehnt. Diese Entscheidungen wurden auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen. Als die betroffenen Kunden eine Begründung verlangten, erfüllte das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend.

KI-Nutzung ohne Personenbezug?

Ein Weg, Datenschutzprobleme beim KI-Einsatz zu vermeiden, ist der Verzicht auf personenbezogene Daten – etwa durch Anonymisierung. Doch diese muss auch technisch wirksam sein, sonst bleibt der Personenbezug bestehen. Auch hier gab es bereits Pannen.
Bei einem Unternehmen, das ein KI-basiertes Forderungsmanagement anbietet, prüfte eine Datenschutzaufsicht, ob die geplante Anonymisierung der Schuldnerdaten für das Training der KI-Modelle tatsächlich zu anonymen Daten führt. Die KI-Systeme sollen eine personalisierte Ansprache zur erfolgreicheren Eintreibung von Forderungen ermöglichen. Aber nur, wenn sich die scheinbar anonymen Daten nicht mehr eindeutig einer Person zuordnen lassen, entfällt der Personenbezug – und damit auch die datenschutzrechtlichen Vorgaben.

Fazit: Datenschutz bleibt Pflicht – auch bei KI

Es zeigt sich: Für die Nutzung von KI müssen alle Datenschutzvorgaben beachtet werden, die auch sonst bei der Datenverarbeitung gelten. Leider wird die neue Technologie noch häufig eingesetzt, ohne den Datenschutz vollständig zu berücksichtigen. Es fehlen rechtliche Grundlagen, Informationen für die betroffenen Personen oder wirksame Ver-fahren zur Anonymisierung.
KI ist also auch im Datenschutz keine Zukunftsmusik mehr – es gibt bereits reale Pannen bei der Umsetzung. Helfen Sie mit, dies zu vermeiden!