Am 25. Mai sind es fünf Jahre, seit die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft trat. In den letzten Jahren standen vor allem die Verbesserungen bei der Governance, Überwachung, Sensibilisierung und strategischen Entscheidungsfindung in Bezug auf die Nutzung von Verbraucherdaten im Fokus. Innerhalb der letzten 12 Monate ist aber auch ein weiteres Thema ins Blickfeld der DSGVO-Compliance gerückt: die Entwicklung und der Einsatz von Lösungen auf Basis Künstlicher Intelligenz (KI).
Asha Palmer, SVP Compliance Solutions bei Skillsoft, hat Erfahrungen von Rechtsexperten, Beispiele von DSGVO-Verstößen im Zusammenhang mit der Nutzung von KI, und die Auswirkungen der DSGVO auf Compliance-Verantwortliche zusammengestellt. Eine Checkliste zeigt außerdem auf, welche drei Schritte besonders wichtig für Unternehmen sind, um eine Compliance-Strategie, inklusive Berücksichtigung von KI, aufzubauen.
Wir haben in fünf Jahren viel erreicht – aber wir sind noch nicht am Ziel
Hat die durch die DSGVO herbeigeführte Sensibilisierung ausgereicht, um nachhaltige Veränderungen im Datenschutz herbeizuführen? Skillsoft sprach mit Jonathan Armstrong, Partner in der Kanzlei Cordery Legal Compliance, die darauf spezialisiert ist, Unternehmen in Compliance-Fragen zu unterstützen. Armstrong hat Hunderte von DSGVO-Angelegenheiten in der EU bearbeitet. Er zieht eine gemischte Bilanz hinsichtlich der Veränderungen, die die DSGVO bewirkt hat: Einerseits wurden viele der versprochenen Maßnahmen nicht umgesetzt, einschließlich der Rationalisierung und Vereinheitlichung der Art und Weise, wie Unternehmen mit Daten umgehen. Andererseits hat die DSGVO einige bemerkenswerte Dinge erreicht, die über ihren zunächst vorgesehenen Geltungsbereich hinausgehen. Wichtig ist etwa, dass dank ihr Unternehmen eine Zeit massiver Umbrüche überstanden haben. Nach Meinung von Armstrong waren sie mithilfe der DSGVO in der Lage, den schnellen technologischen Wandel zu bewältigen, einschließlich der zunehmenden Verbreitung von Lösungen auf Basis Künstlicher Intelligenz
Auf Basis der DSGVO haben Regulierungsbehörden allein im Zusammenhang mit KI mehr als 80 Millionen Euro an Bußgeldern kassiert. Viele Unternehmen denken auch aus diesem Grund mittlerweile über Best Practices nach, um den Einsatz von KI im Unternehmen DSGVO-konform zu machen. Italien beispielsweise hat kürzlich als erstes westliches Land den Chatbot ChatGPT blockiert, während die Aufsichtsbehörden prüfen, ob er DSGVO-konform ist. Obwohl die Blockade nach Gesprächen mit den Eigentümern von ChatGPT nun aufgehoben wurde, werden die Ermittlungen fortgesetzt.
Konzentration auf ethische KI
Wenn man sich die Bußgelder betrachtet, die in den letzten fünf Jahren aufgrund der DSGVO verhängt wurden, können Unternehmen viel darüber lernen, worauf sie ihre Bemühungen konzentrieren müssen, um eine maximale Wirkung zu erzielen. Die Sicherheit der Daten ist ein wesentliches Ziel der DSGVO, aber die letzten fünf Jahre haben gezeigt, dass ein grundlegender Teil der Compliance darin besteht, das Richtige zu tun.
Bevor die DSGVO in Kraft trat, gingen viele Unternehmen davon aus, dass es sich bei den meisten Verstößen um Sicherheitsverletzungen handeln würde. Laut Armstrong war es jedoch interessant festzustellen, dass es bei den meisten höheren Bußgeldern um Fragen der Transparenz ging – also einfach darum, den Nutzern gegenüber ehrlich zu sein, wie man ihre Daten nutzt.
Auch die Künstliche Intelligenz (KI) war laut Armstrong ein beliebtes Diskussionsthema. Immer mehr Unternehmen entwickeln und nutzen KI-gestützte Tools und Dienste. Ist diese frühe Phase also quasi eine gesetzesfreie Zone da es noch keine Regulierungen rund um KI gibt?
KI wird durch die DSGVO reguliert
Die DSGVO verlangt von Organisationen, dass sie Einzelpersonen darüber informieren, welche Informationen über sie gespeichert werden und wie diese verwendet werden. Das bedeutet, dass Organisationen bei jeder Art automatisierter Entscheidungsfindung verpflichtet sind, den betroffenen Personen Informationen über die damit verbundene Logik dieser Entscheidungen zur Verfügung zu stellen. Sie müssen sie also darauf aufmerksam machen, dass eine automatisierte Entscheidung getroffen wird und sie über die Bedeutung der automatisierten Entscheidung sowie die spezifische Logik des Algorithmus aufklären, der die automatisierten Entscheidungen trifft.
Da generative KI immer fortschrittlicher und weiter verbreiteter wird, müssen Unternehmen also eine Governance für ihren Einsatz am Arbeitsplatz entwickeln und dabei Aspekte der Sicherheit, des Datenschutzes, der Vertraulichkeit sowie die ethischen Auswirkungen berücksichtigen. Denn eine komplette Sperre gegen die Nutzung von KI ist in den meisten Fällen keine Option. Solange Organisationen, die auf KI setzen, nachweisen können, dass sie die genannten Anforderungen einhalten, sind sie auf dem richtigen Weg. Sie müssen sich aber auch mit anderen Aspekten befassen, darunter Fairness, Transparenz und Maßnahmen zur Bearbeitung individueller Anfragen.
Transparenz als Schlüsselfaktor bei der Einhaltung der DSGVO
Beispiele der Fälle, die im Zusammenhang mit KI und DSGVO vor Gericht landeten, zeigen deutlich, wie wichtig eine transparente Datennutzung ist – ganz besonders auch beim Einsatz von KI:
Lieferservice-Apps müssen Strafzahlungen für den Einsatz von KI-Algorithmen leisten
Die italienische Datenschutzbehörde Garante verhängte ein Bußgeld gegen zwei der größten Online-Lebensmittelliefer-Apps des Landes, weil sie mithilfe von Algorithmen Lieferfahrer begünstigten, die zu Zeiten hoher Nachfrage arbeiten konnten – insbesondere freitags, samstags und sonntags. Arbeitnehmer, die an diesen Tagen beispielsweise aufgrund religiöser Gründe nicht arbeiten konnten, wurden von den Algorithmen benachteiligt. Die DSGVO verbietet eine automatisierte Entscheidungsfindung, einschließlich Profiling.
Behörden untersagen die Nutzung bestimmter ChatBots
Replika ist ein KI-gestützter Chatbot, der virtuelle Freundschaften mit Benutzern per Text und Video simuliert. Der Chatbot hatte keine Altersverifizierung und die italienische Datenschutzbehörde Garante war besorgt über die Möglichkeit, sexuell unangemessene Inhalte mit Minderjährigen zu teilen. Die Aufsichtsbehörde kam zu dem Schluss, dass Replika Daten rechtswidrig verarbeitet habe, da Kinder keinen gültigen Nutzungsvertrag abschließen könnten.
Dieser Fall fällt unter die Anforderungen der DSGVO an Datentransparenz. Laut der Einschätzung von Jonathan Armstrong werden Unternehmen weiterhin auf Konflikte rund um KI und DSGVO stoßen, wenn sie nicht im Voraus damit beginnen, über diese Art von Problemen nachzudenken und stattdessen „Abkürzungen nehmen“, um den Lieferzyklus für neue Apps oder Funktionen zu verkürzen.
Nutzung von KI bei der Personal-Rekrutierung
Viele Unternehmen setzen KI-Chatbots auch im Rahmen der Mitarbeiter-Rekrutierung ein. Da diese Praxis weiter zunimmt, befürchten die Aufsichtsbehörden, dass dadurch die Privatsphäre von Arbeitssuchenden beeinträchtigt oder bestehende Vorurteile in Bezug auf Rasse und Geschlecht begünstigt werden könnten. Aus diesem Grund erwägt der US-Kongress die Einführung des sogenannten Algorithmic Accountability Acts. Dieser würde Arbeitgeber dazu verpflichten eine Folgenabschätzung für jedes automatisierte Entscheidungssystem durchführen, das den Zugang, die Bedingungen oder die Verfügbarkeit einer Beschäftigung für eine Person erheblich beeinträchtigt.
Auswirkungen der DSGVO auf Compliance-Verantwortliche
Compliance-Experten spielen eine Schlüsselrolle bei der Einhaltung der DSGVO – auch im Hinblick auf Aspekte der KI. Sie müssen sich für Transparenz einsetzen und die Schnittstelle zwischen den im eigenen Unternehmen entwickelten oder genutzten Technologie und deren Auswirkungen auf seine Nutzer bilden. Dabei sollten folgende Fragen berücksichtigt werden:
- Welche Arten von Technologie werden im gesamten Unternehmen verwendet?
- Wer stellt diese Technologie bereit, und ist diese Organisation seriös und erfüllt alle relevanten Compliance Vorgaben?
- Wie genau funktioniert die Technologie?
- Ist die Technologie fair und unparteiisch?
Nur auf Basis dieser Informationen können Organisationen ihre Mitarbeitenden und Anwender schützen – und zudem das Risiko von Bußgeldern im Zusammenhang mit der DSGVO verringern.