(K)ein Buch mit sieben Siegeln
Der Einsatz Künstlicher Intelligenz („KI“) hat bereits viele Firmen erreicht. Manche sehen sie als Fluch, manche als Segen. Wie einst in Machu Picchu der Inkas, hängt derzeit die rechtliche Nebelwolke über dem Einsatz der neuen Technologie. Erste Stellschrauben, was Firmenlenker beachten sollten, liefert aber eine Checkliste der Hamburger Aufsichtsbehörde. Die haben wir uns angesehen – und für nicht schlecht befunden.
Kein Gesetz und versauter Tag
„Nervige Aufgaben können einem schon mal den Tag versauen“ – so der Volksmund. Kein Wunder also, dass sich Mitarbeiter nach Tools umsehen, die mal schnell die Tasks erledigen. Sei es das Protokoll des letzten Meetings, sei es die Power-Point-Präsentation für die Chefin oder sei es die Übersetzung eines Angebots. Die zahlreich im Web kostenfrei zugänglichen KI-Anwendungen verarbeiten natürlich auch personenbezogene Daten. Folglich gilt es insbesondere die Datenschutzgrundverordnung (DSGVO) und die deutschen Datenschutzgesetze (vornehmlich das Bundesdatenschutzgesetz – BDSG) einzuhalten. Hier wird es für Unternehmen, aber auch für Verbraucher, schwierig. Schließlich gibt es noch kein eigenes Gesetz. Die derzeit laufenden Verhandlungen für eine KI-Verordnung auf Ebene der Europäischen Union und somit auch für Deutschland helfen da nicht weiter – sie sind eben noch nicht in Kraft.
Erster Anker – Checkliste der Aufsichtsbehörde Hamburg
Der heutige rechtliche Stand gleicht für Nichtjuristen einer „Black-Box“. Das sollte aber keine Firma davon abhalten, sich mit den Tools zu befassen und sie zu nutzen. Einen ersten Anker für den Umgang mit KI im Unternehmen hat nunmehr die Aufsichtsbehörde für den Datenschutz in Hamburg in Form einer Checkliste geworfen.
Ebenso wie jeder kompetenter Datenschutzberater immer wieder die Verabschiedung von Richtlinien empfiehlt, sieht auch die Aufsichtsbehörde als ersten Baustein die Festlegung von Standards für die Beschäftigten. Die Geschäftsführung sollte sich somit Gedanken machen, ob die Nutzung zulässig ist, welche Tools eingesetzt werden dürfen und was nicht in die Prompts (in die Befehle an die KI) eingegeben werden darf. Der Datenschutzbeauftragte, ob interner oder externer, ist dabei der wichtigste Ansprechpartner. Sind die Vorgaben formuliert, gilt folgendes: Kommunikation, Kommunikation, Kommunikation. Neben dem Intranet, Aushängen am „Schwarzen Brett“ und Schulungen zum Datenschutz haben sich dabei Team-Meetings in der Praxis als äußert zielführend erwiesen, in denen klar mitgeteilt wird, was geht und was nicht geht.
Zwei absolute „No-Go´s“ – Eingabe personenbezogener Daten und von Geschäftsgeheimnissen
Was ferner nicht in einer Richtlinie fehlen darf, ist die klare Ansage: Keine Eingabe personenbezogener Daten (So etwa: „Hallo, meine E-Mail-Adresse lautet: “meyer.müller.schulze @ unternehmenXYZ.de“). Essenziell in den Vorgaben ist des Weiteren die Wahrung von Geschäftsgeheimnissen. Dazu folgendes Beispiel: Herr Müller-Meier-Schulze vom Treasury Departement muss eine Präsentation zu den Quartalszahlen für den Vorstand erstellen. Er nutzt dafür beispielsweise ChatGPT und gibt bei den Prompts die tatsächlichen Finanzdaten ein. Das zweite „No-Go“ (auch wenn es nichts mit dem Schutz personenbezogener Daten zu tun hat).
Datenschutzbeauftragter ist gefordert; Geschäftsführung aber auch
Bei der Nutzung Künstlicher Intelligenz gibt es natürlich zahlreiche, weitere Aspekte des Datenschutzes zu beachten. Hier ist der Datenschutzbeauftragte am Zug. Er muss für sein Unternehmen die maßgeblichen Fakten analysieren, die Anforderungen für die Zulässigkeit formulieren und der Geschäftsführung mitteilen (das ist sein Job). Dann ist es an den Firmenlenkern zu handeln. Werden sie tätig, bestehen zwar immer noch Risiken beim Einsatz von KI. Die sind aber dann regelmäßig vertretbar. Und die Kunden werden es honorieren. Und die Mitarbeiter auch.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.vgehlen@acent.de
Roland von Gehlen | 15.08.2024