Einleitung:

„KI“ ist das Zauberwort der heutigen Zeit. „Künstliche Intelligenz“ (KI) soll offenbar alle Probleme in Bildung, Gesellschaft und Wirtschaft lösen. Das Ziel der KI-Strategie der Bundesregierung:

„Deutschland soll zum attraktiven Standort für die klügsten KI-Köpfe der Welt werden.“ Home – KI Strategie;

Die Bundesregierung wollte 2024 einen Betrag von 500 Millionen Euro und bis Herbst 2025  1,6

Milliarden Euro in die Erforschung, Entwicklung und Anwendung von Künstlicher Intelligenz investieren 1,6 Milliarden Euro für KI | Bundesregierung;

Die EU hat am 01. August 2024 die KI-Verordnung in Kraft gesetzt. KI–Verordnung tritt in Kraft – Europäische Kommission. Danach mussten ab 2.2.2025 Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO Maßnahmen ergreifen, die sicherstellen, dass „ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“. Darüber hinaus wurden verschiedene Anwendungsbereiche von KI klassifiziert und geregelt.

1. Inakzeptables Risiko:

Art. 5 KI–Gesetz gänzlich verboten (z.B. Manipulation von Personen, biometrische Kategorisierung, Social Scoring oder Crime Prediction).

2. Hohes Risiko:

Art. 6 ff. KI–Gesetz Regulierung von Hochrisiko-Systemen. Hierunter fallen insbesondere Systeme, die in den sensiblen Bereichen eingesetzt werden wie z.B. kritische Infrastruktur, Medizin, Bildung, Beschäftigungsverhältnisse.

3. Anforderungen unabhängig vom Risiko:

Art. 50 KI–Gesetz Transparenzpflichten für KI-Systeme, die bestimmte Voraussetzungen erfüllen. So muss bei Chat-Bots oder der Bilderstellung mit KI-Unterstützung auf den Einsatz von KI hingewiesen werden. Verbleibende KI-Systeme erfahren keinerlei Einschränkungen durch die KI-Verordnung (z.B. Spam-Filter, Videospiele, Controlling- oder Marketingtools).

4. KI-Modelle mit „allgemeinem Verwendungszweck“ (GPAIs) – („General Purpose AI“) zielen auf Produkte wie GPT-4 ab, die aufgrund ihrer hohen Verbreitung zu einem „systemischen Risiko“ führen.

Kann man KI ohne personenbezogene Daten nutzen?

Von den Nutzerdaten (möglicher Personenbezug über die IP-Adresse) abgesehen ist es möglich, KI ohne die Verwendung personenbezogener Daten zumindest zu trainieren.

1. Anonymisierte Daten: KI kann mit anonymisierten oder aggregierten Daten trainiert werden, die keine Rückschlüsse auf individuelle Personen zulassen. Dies schützt die Privatsphäre und erfüllt Datenschutzanforderungen.

2. Simulierte Daten: In einigen Fällen können synthetische Daten generiert werden, die realen Daten ähneln, aber keine echten personenbezogenen Informationen enthalten. Diese Daten können verwendet werden, um KI-Modelle zu trainieren und zu testen.
3. Öffentliche Datensätze: Es gibt viele öffentliche Datensätze, die keine personenbezogenen

Daten enthalten und für das Training von KI-Modellen verwendet werden können. Diese Datensätze sind oft in Bereichen wie Bildverarbeitung, Naturwissenschaften oder Wirtschaft verfügbar.

4. Regelbasierte Systeme: In einigen Anwendungen kann KI durch regelbasierte Systeme ersetzt werden, die auf vordefinierten Regeln und Logik basieren, ohne dass personenbezogene Daten erforderlich sind.

5. Anwendungen in der Industrie: In vielen industriellen Anwendungen, wie der

Qualitätskontrolle oder der Prozessoptimierung, können KI-Modelle ohne personenbezogene Daten trainiert werden, indem sie sich auf Maschinen- und Sensordaten stützen.

Die Nutzung eine KI ohne einen Personenbezug hängt davon ab, welche Daten die Nutzer eingeben. Wenn diese konsequent auf personenbeziehbare Daten verzichten, dann kann auch die KI datenschutzkonform und ohne Einsatz personenbezogener Daten genutzt werden, was deren Akzeptanz erhöht.

Jedoch haben diverse Anbieter auch ohne Personenbezug Interesse an der Nutzung von KI-Tools.

Beispielsweise schreibt ChatGPT, dass es um die Einwilligung bittet Ihre Daten zu verwenden

• Personalisierte Werbung und Inhalte, Messung von Werbeleistung und der Performance von Inhalten, Zielgruppenforschung sowie Entwicklung und Verbesserung von Angeboten
• Speichern von oder Zugriff auf Informationen auf einem Endgerät. 133 TCF-konforme Anzeigentechnologie-Anbieter und 64 Werbepartner werden Ihre personenbezogenen Daten verarbeiten und dürfen Informationen von Ihrem Gerät (Cookies, eindeutige IDs und andere Gerätedaten) speichern und darauf zugreifen. Die Informationen von Ihrem Gerät können mit den Anbietern und Werbepartnern geteilt oder speziell von dieser Website oder App verwendet werden.

Einige Anbieter nutzen Ihre personenbezogenen Daten möglicherweise auf Grundlage ihres berechtigten Interesses. Dagegen können Sie unten über die Schaltfläche zum Verwalten Ihrer Optionen Einspruch erheben. Unten auf dieser Seite finden Sie einen Link, über den Sie die Einwilligung in die Datenschutz- und Cookie-Einstellungen verwalten oder widerrufen können.“

Ohne Personenbezug geht es auch bei der Nutzung offenbar nicht so einfach…

Kostenpflichtige KI-Angebote (wie ChatGPT Enterprise, ChatGPT Edu und ChatGPT Team) ermöglichen mehr Kontrolle über die Daten und eine Verwaltung der Nutzer (Datenschutzrichtlinien für Unternehmen).

Wie kann man die KI-Kompetenz nach KI-Gesetz (AI-Act) im Unternehmen vermitteln?

Die Schulung der Mitarbeiterkompetenz im Unternehmen im Kontext des KI-Gesetzes sollte strategisch und umfassend angegangen werden.

1. Bedarfsanalyse: Zunächst sollte eine Analyse der bestehenden Kompetenzen und des Schulungsbedarfs durchgeführt werden. Welche Fähigkeiten und Kenntnisse sind im Bereich KI für die verschiedenen Abteilungen erforderlich?
2. Schulungsprogramme entwickeln: Maßgeschneiderte Schulungsprogramme können z.B. Workshops, Online-Kurse, Seminare oder praktische Trainings umfassen.
3. Grundlagen der KI: Mitarbeitern die Grundlagen der Künstlichen Intelligenz näherbringen. Dazu gehören Konzepte wie maschinelles Lernen, Datenanalyse und die Funktionsweise von KI-Systemen.
4. Anwendungsspezifische Schulungen: Schulungen, die auf die jeweiligen Anwendungsbereiche der KI im Unternehmen zugeschnitten sind könnten beispielsweise die Nutzung von KI-Tools in der Datenanalyse, im Kundenservice oder in der Produktion umfassen. Möglichkeiten praktische Erfahrungen zu sammeln sind z.B. auch Projekte, in denen Mitarbeiter verschiedene KI-Tools anwenden können.
5. Ethik und Datenschutz: Einbindung von ethischen Aspekten und Datenschutzbestimmungen zur verantwortungsvollen Nutzung von KI
6. Interdisziplinäre Zusammenarbeit: Zusammenarbeit zwischen verschiedenen Abteilungen, um den Wissensaustausch zu fördern.
7. Fortlaufende Weiterbildung: KI ist ein sich schnell entwickelndes Feld. Regelmäßige Fortbildungsangebote halten die Mitarbeiter über die neuesten Entwicklungen und Technologien auf dem Laufenden.
8. Feedback und Evaluation: In einem System zur Evaluation der Schulungsmaßnahmen kann das Feedback von den Mitarbeitern helfen, die Programme kontinuierlich zu verbessern und an die Bedürfnisse des Unternehmens anzupassen.

Durch eine gezielte Schulung der Mitarbeiterkompetenz im Bereich KI kann das Unternehmen nicht nur die Akzeptanz und das Verständnis für KI-Technologien erhöhen, sondern auch sicherstellen, dass die Mitarbeiter in der Lage sind, diese Technologien effektiv und verantwortungsvoll zu nutzen.

Worin kann und muss die Unterstützung des Datenschutzbeauftragten bestehen?

1. Ist es ein KI-Modell, das exclusiv und intern genutzt wird oder ist es eine öffentliche KI?
2. Führt der Einsatz von KI zur Verarbeitung personenbezogener Daten?
   1. Jede Datenverarbeitung führt zur Verarbeitung personenbezogener Daten, das allein die IP-Adresse Hinweise auf das Problem des Fragestellers lenkt.
   2. Kann bei der Nutzung der KI unabhängig von den Nutzerdaten auf weiteren Personenbezug (oder Geschäftsgeheimnisse) verzichtet werden?

3. Wer ist der Anbieter der KI und wo verarbeitet er die Daten?
   1. Unterliegt die Verarbeitung dem Geltungsbereich der DSGVO oder eines Drittlandes?
   2. Ist ein AV-Vertrag (Art. 28 DSGVO) notwendig und möglich?
4. Welche Quellen werden genutzt?
   1. Werden die Quellen eindeutig angegeben?
5. Werden die eigenen Daten zu Trainingszwecken verwendet?
   1. Ist das vertraglich mit dem Anbieter der KI geregelt?
6. Welches Risiko für die Betroffenen wird angenommen?
   1. Da es sich um eine „neue Technologie“ handelt ist eine Datenschutzfolgenabschätzung (DSFA nach Art. 35 DSGVO) zwingend notwendig.
   2. Risiken sind insbesondere unzulässige Veröffentlichung von personenbezogenen Daten, Datenmissbrauch, unzureichende Anonymisierung und algorithmische Diskriminierung.
7. Wie werden die Betroffenen informiert (Art. 13 DSGVO)?
   1. Die Transparenzpflicht verlangt eine umfassende Information der Betroffenen. Das betrifft insbesondere zu Möglichkeiten der Nutzung der eingegebenen Daten und Fragen (Promts) durch die KI
8. Gibt es eine betriebliche Richtlinie für die Nutzer zum Einsatz der KI?
9. Gibt es ein Schulungsprogramm der Nutzer von KI-Tools zur Förderung der KI-Kompetenz?
10. Gibt es eine Dokumentation in der Verarbeitungsübersicht (Art. 30 DSGVO)?
11. Wie wird der Einsatz im Unternehmen verantwortungsvoll umgesetzt?
    1. Datenminimierung, Transparenz
    2. regelmäßige Audits und Auswertung der Ergebnisse mit den Nutzern

Interessantes Beispiel:

Beispiel von KI im Alltag: „Muss ich nie wieder Fremdsprachen lernen?“ Grenzen und Chancen: KIÜbersetzungen im Test

→ Daraus ergibt sich eine interessante Frage: Wie kann man feststellen, was eine bestimmte Person in Wirklichkeit gesagt hat?

Quellen:

• Zukunftsstrategie – BMBF
• Homepage – Stark–Watzinger: Wir geben mit unserem KI–Aktionsplan neue Impulse – BMBF
• Text der KI–Verordnung als übersichtliche Website
• ChatGPT Deutsch ohne Anmeldung
• Datenschutzerklärung | OpenAI
• Datenschutzrichtlinien für Unternehmen
• Häufig gestellte Fragen zur Datenkontrolle | OpenAI–Hilfecenter
• Wie Ihre Daten zur Verbesserung der Leistung unserer Modelle verwendet werden | OpenAI Help Center
• Enterprise privacy at OpenAI | OpenAI

Fazit zu KI und Datenschutz:

Die Nutzung von KI kann interessante neue Prozesse ermöglichen und die Routinearbeit stark reduzieren. Unbedingt zu beachten ist, dass jede KI aus eingegebenen Daten lernt, die genannten Quellen durch den Nutzer kontrolliert werden müssen und eine Nutzung von personenbezogenen Daten bei öffentlich zugänglichen KI-Modellen unbedingt vermieden werden muss.

Unbedingt zu bevorzugen sind vertraglich geregelte private KI gegenüber öffentlichen KI-Modellen.

gez. Holger Koch

www.datenkoch.de