Sonntag, 7. Juli 2024 von Oliver Schwartz KI als multipler Stresstest für Compliance und Datenschutz
Dramatischer Albtraum oder lediglich Neuland?
Technologische Innovationen treffen oft auf Rechtsnormen, die aus einer Zeit stammen, als diese Lösungen bestenfalls „Science Fiction“ waren. Aus europäischer Perspektive haben wir mit der Datenschutzgrundverordnung aus dem Jahr 2018 und dem brandneuen AI Act dagegen zwei rechtliche Leitplanken, die mit modernen Datenwelten und auch der Künstlichen Intelligenz im Blick verhandelt und formuliert worden sind. Natürlich sind Datenschutz und Compliance-Regeln keine reinen Digitalthemen, aber die rasant fortschreitende Digitalisierung so gut wie aller Geschäftsprozesse bewirkt, dass es im Business immer weniger rein analoge Fälle gibt. Bei der Bewertung der Konformität der KI-Nutzung, aber auch der Entwicklung und dem Training von KI-Sprachmodellen und dem Betrieb von Angeboten der Künstlichen Intelligenz, können wir also durchaus auf Erfahrungen vom Siegeszug des Internets und des Onlinehandels zurückgreifen und davon profitieren. Um nur zwei Beispiele zu nennen.
Die Einrede, dass wir bei dem hochdynamischen Entwicklungstempo immer leistungsfähigerer KI-Angebote, lediglich eine „wilde“ Frühphase erleben, in der Regulatorik zudem äußerst innovationshemmend sei, greift nicht wirklich. Erst einmal gibt es -zu Recht- kein „Neuland 2.0“ mit Welpenschutz und tolerierbarer Narrenfreit in Sachen Compliance und Datenschutz und außerdem hat sich in kürzester Zeit ein Milliarden-Business entwickelt – mit den allseits gut bekannten US-Tech-Giganten in der Pole-Position. Umgekehrt wird ein Schuh daraus: Dem Legalitätsprinzip folgend, bedeutet jedes Quantum Rechtssicherheit eine wertvolle Hilfe für deutsche und europäische Unternehmen bei der Entwicklung einer KI-Strategie und der rechtlich und ethisch konformen Nutzung der Künstlichen Intelligenz.
Datenschützer genießen viel zu oft den Ruf einer Spaßbremse und Compliance-Beauftragte in den Unternehmen fürchten gar als „Nein-Sager“ und anstrengende Weltmeister der betrieblichen Verfahrensanweisungen verordnet zu werden. Zum Darling wird man damit nicht so leicht. Und doch hat sich in den letzten Jahren viel bewegt! Die Sensibilität der Menschen beim Schutz ihrer Daten ist dramatisch gestiegen und das Selbstverständnis, dass ein Compliance-Regelwerk und ein betrieblicher Verhaltens-Kodex neben rechtlichen Vorgaben auch ethische Selbstverpflichtungen beinhalten und in der Unternehmenskultur verankern sollte. Und jetzt kommen mit der Künstlichen Intelligenz nicht nur die technologische Faszination und Begeisterung ob der generativen Leistungsfähigkeit von ChatGPT & Co, sondern auch warnende Stimmen vielfältigster Art und die Verunsicherung über Compliance-Themen, das Urheberrecht und den Datenschutz! Kurzum, es kommt viel Arbeit zu auf die Gilde der Datenschutzbeauftragten und Compliance Officer.
Niemand, schon gar nicht aus der Politik, sollte hier den Eindruck erwecken, dass Innovation die „Beinfreiheit“ zur Nonkonformität verlangt oder Regulatorik und die Anwendung relevanter Gesetzesnormen weitere Bürokratiehürden schafft, wie eine Handbremse wirkt und den Standort gefährdet. Es ist auch unrichtig, wenn der Eindruck erweckt wird, dass der europäische Datenschutz und das hiesige Compliance-Verständnis uns in der globalisierten Digitalwelt isolieren. Die EU-DSGVO und auch der EU AI Act, mit ihrem Grundrechts- und Risikoklassen-Ansatz, verfolgen zwar in vielen Aspekten andere Ansätze als zum Beispiel der sehr heterogene Mix an relevanten, wirtschaftsorientierten, US-amerikanischen Verordnungen – dennoch herrscht keinesfalls Narrenfreiheit. Auch im Rest der Welt agieren Entwickler und Anbieter sowie Nutzer von KI-Lösungen nicht im überwiegend rechtsfreien Raum. In manchen Aspekten lehnen sich die internationalen Verordnungen auch an unsere Gesetzgebung an. Die DSGVO und auch der EU AI Act können sich so sogar zu einer Art Exportschlager entwickeln. Eine globale Harmonisierung der Rechtsrahmen und Regeln sind dennoch weder in Sicht noch realistisch zu erwarten. Gerade dieses unterschiedliche Datenschutzniveau macht die Compliance-Bewertung vieler datenrelevanter Prozesse in unseren Unternehmen so wichtig – denn der mangelnde Schutz personenbezogener Daten im Rahmen des internationalen Datenverkehrs führt -ohne geeignete Maßnahmen- schnell zu einer roten Karte.
Wildwest-Methode: „Erst einmal machen…“
Der Bedarf an erfahrenen Datenschutzbeauftragten und Compliance Officern besteht nicht nur auf Seiten der Unternehmen, die Künstliche Intelligenz einführen und nutzen wollen, sondern vor allem auch auf Seiten der Entwickler und Anbieter. Ein besonders plakatives Beispiel sind die großen Sprachmodelle, die nicht nur initial große Datenmengen als Trainingsdaten benötigen, sondern auch regelmäßig -mit weiteren Daten- hinzulernen. Dem Prinzip der Datensparsamkeit aus dem Datenschutz laufen diese Interessen schon einmal prinzipiell zuwider. Der Datenhunger der lern- und wissbegierigen KI-Modelle hat zudem -wenig überraschend- auch zu einem sehr forschen Umgang mit urheberrechtlichen Aspekten geführt. Wir haben über diese Problematik und erste Klagen schon mehrfach berichtet. Man muss auch kein Prophet sein, um zu prognostizieren, dass sich Clone-Strategien der Generativen KI nicht einfach mit einem Disclaimer oder einem Einwilligungs-Häkchen rechtskonform ausgestalten lassen: Mit wenigen Sekunden Audio-Samples eine Stimme perfekt nachahmen zu können oder anhand von Referenz-Bildern und Videos neue täuschend ähnliche Bilderwelten zu schaffen, öffnet Tür und Tor für die missbräuchliche Nutzung und einen Compliance-Albtraum.
Anbieter wie OpenAI sind sich dessen durchaus bewusst und es gibt genug Beispiele in der Technologiegeschichte, dass die Wildwest-Methode „Erst einmal machen…“ -trotz anschließender strenger Regulatorik- vermeintlich erfolgreicher war als der feingeistige und strikt rechtskonforme Ansatz ehrbarer Unternehmer. Die Künstliche Intelligenz sprengt aber alle bisher bekannten Maßstäbe. Die Entwicklungsdynamik hat ein ungeahntes Tempo und die Komplexität der notwendigen Bewertungen ist hoch, da wir über globale Aktivitäten mit riesigen Datensammlungen sprechen, die jeweils selbst wieder global aggregiert worden sind. Hinzu kommen die vielen Datenbewegungen in der Cloud und zahlreiche externe Dienstleister im Trainingsprozess der Sprachmodelle. Gerne in Niedriglohnländern mit zweifelhaftem Bekenntnis zum Datenschutz und unklarem Rechtsrahmen. Der europäische Gesetzgeber war daher gut beraten, den EU AI Act nicht auf die Regelung einzelner bekannter Sachverhalte und Tatbestände zu reduzieren und damit das Wettrennen gegen die ungeahnte Innovationsfrequenz der KI-Hersteller mit Ansage zu verlieren. Stattdessen lag der Fokus auf abgestuften Risiken besonders schützenswerter Bürgerrechte. Auch das europäische KI-Gesetz wird notwendigerweise künftig Anpassungen in den Risikoklassen erfahren, aber die zugrundeliegenden Werte, die Ziele der Verordnung und formulierte Rechtsfolgen sind erst einmal entkoppelt von der täglichen Weiterentwicklung der KI-Lösungen. Auch der Marktansatz und erweiterte ex-territoriale Anwendungsprinzipien sorgen für ein Regulierungsniveau, das nicht einfach umgangen oder ignoriert werden kann.
An einer konsequenten Transparenz führt kein Weg vorbei!
Das größte Potenzial liegt in der Transparenz und damit ist nicht nur eine Kennzeichnungspflicht durch die KI generierter Bilder und Videos. In den KI-Policies der um Compliance bemühten Unternehmen, wird eine solche Transparenzpflicht und Dokumentierung des KI-Einsatzes zur zentralen Wertesäule werden. Bei den Entwicklern und Lösungsanbietern ist die Lage noch komplexer. Wir beobachten beim Füttern und Trainieren der Sprachmodelle und der dafür benötigten Aggregierung von Trainingsdaten eine regelrechte Lieferkette. Lizensiert ein Hersteller Trainingsdaten bei einem Aggregator, der wiederum zum Beispiel Millionen Fotos bei einem Bildgroßhändler wie Shutterstock lizensiert hat und anschließend mit weiteren Datenquellen zusammenführt, dann haben wir bereits eine nicht zu unterschätzende Komplexität in der Analyse und Bewertung von Einwilligungen, Berechtigungen und Konformität. Die ersten zarten Versuche einer Angabe von Ergebnisquellen bei Antworten der Chatbots dürften regelmäßig nicht wirklich ausreichend sein. Dies hat aber auch wieder Einfluss auf die Risiken für die Nutzerseite. An einer konsequenten Transparenz führt kein Weg vorbei. Denn etwas verkürzt kann man formulieren: Ohne transparente und angemessene Information ist eine wirksame Einwilligung nicht möglich. Daran mangelt es im erwähnten Beispiel vermutlich schon latent beim Upload der Fotos durch die einzelnen Fotografen. Trotz erfolgter Anpassungen in den allgemeinen Geschäftsbedingungen oder weiteren Disclaimern. Die Vertragsgrundlage und der ursprüngliche Zweck der Zusammenarbeit dürfte hinreichend weit von einer solchen Zweitverwertung entfernt sein, dass der einzelne Kreative bei Anpassungen „im Kleingedruckten“ -ohne eine detaillierte Aufklärung und explizite Einwilligung- nicht davon ausgehen muss, dass seine Fotos oder Videos als Trainingsdaten für KI-Sprachmodelle verwendet werden. Von einer angemessenen Vergütung einmal ganz abgesehen.
Zusammenfassend kann man sagen: Compliance bezieht sich auf die Einhaltung von Gesetzen, Vorschriften und internen Richtlinien. Im Kontext von KI bedeutet dies, dass Unternehmen sicherstellen müssen, dass ihre KI-Systeme und deren Nutzung den geltenden rechtlichen und regulatorischen Anforderungen entsprechen. Dies umfasst eine Vielzahl von Bereichen, darunter Datenschutz, Wettbewerbsrecht, Fairness und ethische Nutzung. Die Europäische Datenschutz-Grundverordnung ist ein prominentes Beispiel für eine solche rechtliche Vorgabe und bei der Verarbeitung von personenbezogenen Daten gibt es strenge Regeln. Insbesondere KI-Systeme, die typischerweise große Datenmengen verarbeiten, müssen daher so gestaltet sein, dass sie diese Anforderungen erfüllen. Egal, ob die KI in einer Cloud genutzt wird oder der Betreiber seinen Sitz außerhalb Europas hat.
KI-Algorithmen sind komplex und schwer zu durchschauen
KI-Algorithmen, insbesondere solche, die auf maschinellem Lernen basieren, sind oft komplex und schwer zu durchschauen. Dies kann zu einem sogenannten „Black-Box“-Problem führen, bei dem es schwierig ist, die Entscheidungsprozesse der KI nachzuvollziehen. Mitarbeiter, Kunden und Geschäftspartner möchten aber zu Recht wissen, wie Entscheidungen getroffen werden - insbesondere, wenn diese Entscheidungen erhebliche Auswirkungen auf sie haben. Die Entscheidungswege eines KI-Systems transparent zu machen ist daher nicht nur eine regulatorische Anforderung, sondern auch eine Frage des Vertrauens. KI-Systeme dürfen keine Diskriminierung aufgrund von Geschlecht, ethnischer Zugehörigkeit, Alter oder anderen persönlichen Merkmalen verursachen. Dies erfordert sorgfältige Planung und Tests, um sicherzustellen, dass die Algorithmen fair und unvoreingenommen sind. Denn in vielen Ländern gibt es, völlig unabhängig von der Technologie, strenge Gesetze, die Diskriminierung verbieten und die Chancengleichheit fördern.
Datenschutz und Datensicherheit haben spätestens seit dem 25. Mai 2018 Unternehmen aller Größenordnungen auf dem Radar. Die Aufgabe der Datenschutzbeauftragten und Compliance Officer wird jedoch sein, die Geschäftsführung und andere Stakeholder zu sensibilisieren, dass die Nutzung der Künstlichen Intelligenz völlig neue Herausforderungen und Compliance-Risiken mit sich bringt. Es wird regelmäßig nicht genügen, die Datenschutzerklärung oder Einwilligungstexte anzupassen. Die Implementierung von KI-Systemen erfordert klare Verantwortlichkeiten und eine gute Governance-Struktur. Die gesamte Organisation und die Unternehmenskultur müssen „KI-ready“ werden. Damit verbunden sind Informationen, Aufklärungen und Schulungen. Kommunikation ist sehr, sehr relevant. Technische oder organisatorische Maßnahmen, die eine wichtige Säule in den Managementsystemen für Datenschutz und Compliance spielen, sind dagegen nicht ausreichend, wenn potenziell jede Mitarbeiterin und jeder Mitarbeiter im Homeoffice den äußerst niedrigschwelligen Zugang zu ChatGPT & Co nutzen können und dabei latent in der Gefahr stehen, neben Betriebsgeheimnissen auch schützenswerte, personenbezogene Daten in die weite Welt der Sprachmodelle zu entlassen.
Die geschäftliche Nutzung von Künstlicher Intelligenz bietet viele Vorteile, bringt jedoch auch erhebliche Compliance-Herausforderungen mit sich. Unternehmen wollen und sollen die Vorteile der KI voll ausschöpfen, müssen dabei aber trotzdem Risiken minimieren und Rechtskonformität sicherstellen. Dies erfordert eine sorgfältige Planung und ausreichende Maßnahmen. Das achten auf Labels wie „GDPR compliant“ kann nicht schaden, ist aber bei weitem nicht ausreichend. Ein Umdenken ist notwendig, denn eine vollständige Konformität zum geltenden Datenschutzrecht und den weiteren Compliance-Regeln lässt sich nicht erkaufen. Natürlich kann man die KI-Nutzung im Unternehmen von Anfang an sicherer gestalten, in dem man zum Beispiel die KI in die eigene Private Cloud holt und damit Integrität und Vertraulichkeit stärkt. Damit einher geht die Anpassung eines Sprachmodells und der Bedienoberflächen an die betrieblichen Notwendigkeiten. Die beste Idee ist aber, dauerhaft in Datenschutz und Compliance zu investieren und diese Disziplinen nicht nur als notwendiges Übel oder als Feuerwehr zu verstehen. Interne Beauftragte oder externe Berater können zu einem nicht zu vernachlässigenden Erfolgsfaktor bei der Entwicklung der eigenen KI-Strategie werden. Dann kann man auch weiteren Regulierungs-Verschärfungen oder gar einem hypothetischen „AI Data Security Privacy Prevention Act“ entspannt entgegensehen.
#ki #compliance #datenschutz #euaiact #datenschutzgrundverordnung #gdpr #ethik #regulierung #datensicherheit #transparenz #datensparsamkeit #risikomanagement #datenschutzbeauftragte #complianceofficer #europa #technologie #digitalisierung #ai #daten #cloud #eu #unternehmen #recht #regulatorik #ethikkommission #datenethik #dsgvo
