Künstliche Intelligenz (KI) ist aus den Unternehmen nicht mehr wegzudenken, die Chancen sind gewaltig. Die neuerliche rasante Verbreitung von KI-Technologien unter End-Usern führt dazu, dass vermutlich auch in Ihrem Unternehmen KI – wissentlich oder unwissentlich – verwendet wird.
Dabei sind natürlich dieselben Regeln, wie auch sonst beim Einsatz von externen Dienstleistern, aus datenschutzrechtlicher Sicht einzuhalten. Zum Beispiel kann es sein, dass der Abschluss eines Auftragsverarbeitungsvertrages erforderlich ist. Bei Verträgen mit Dienstleistern in Drittländern ist zusätzlich an eine Risikoanalyse und die ausreichenden Garantien für ein angemessenes Datenschutzniveau zu denken, notwendige Einwilligungen sind einzuholen und das Verzeichnis der Verarbeitungstätigkeiten sollte ergänzt werden.
Diese Pflichten treffen Sie immer dann, wenn personenbezogene Daten an die KI übermittelt werden. Das kann bereits beim Anlegen eines Accounts eines Mitarbeiters mit seiner E-Mail-Adresse der Fall sein. Spätestens aber, wenn im Prompt selbst personenbezogene Daten oder Abbildungen von Personen eingegeben werden.
Gleichzeitig besteht das Risiko, dass Geschäftsgeheimnisse ungewollt abwandern oder sogar gegen abgeschlossene Geheimhaltungsvereinbarungen verstoßen wird.
Die italienische Aufsichtsbehörde hat Ende März erst den Betrieb von ChatGPT wegen unerlaubter Sammlung personenbezogener Daten sowie fehlender Altersverifikationssysteme für Minderjährige untersagt.
Hintergrund: Bei ChatGPT, der derzeit bekanntesten Software für künstliche Intelligenz, die in der Lage ist, menschliche Unterhaltungen zu simulieren und zu verarbeiten, war es am 20. März zu einem Datenverlust (Datenschutzverletzung) gekommen, der die Unterhaltungen der User und Informationen über die Bezahlung der Abos des kostenpflichtigen Dienstes betraf. Die Aufsichtsbehörde stellte fest, dass die Betroffenen, deren Daten von OpenAI gesammelt werden, nicht informiert wurden, vor allem aber, dass es keine Rechtsgrundlage gäbe, die die massive Sammlung und Speicherung personenbezogener Daten zum Zwecke des “Trainings” der Algorithmen, die dem Betrieb der Plattform zugrunde liegen, rechtfertigt.
Auch der europäische Gesetzgeber ist diesbezüglich nicht untätig. Die Europäische Kommission hat mit ihrem Verordnungsentwurf vom 21. April 2021 den ersten umfassenden Rechtsrahmen im Bereich der Künstlichen Intelligenz (KI) angestoßen.
Wir sind große Fans neuer technischer Entwicklungen und begleiten Sie gern in allen Digitalisierungsprozessen. Gern stehen wir Ihnen bei Fragen zur Verfügung.
Weiterführende Informationen:
