KI-Tools werden sich mit grosser Wahrscheinlichkeit durchsetzen. Aus diesem Grund ist es notwendig, sich Gedanken darüber zu machen, wie KI-Tools – insbesondere Large Language Models (“LLMs”) wie ChatGPT – in einer Weise eingesetzt werden können, die mit Datenschutzgesetzen wie der EU-Datenschutz-Grundverordnung (“DSGVO”) und dem Schweizer Bundesgesetz über den Datenschutz (“DSG”) vereinbar ist. Ziel dieses Blogbeitrags ist es, praktische Einblicke in die Nutzung von KI zu geben und gleichzeitig die Privatsphäre der Nutzer und Ihres Unternehmens zu schützen – sowohl bei der internen Nutzung von KI-Tools als auch bei deren Integration in die Website oder App.
Interne Nutzung von KI-Tools
Erstens sollten vertrauliche und sensible Informationen mit Vorsicht behandelt werden, wenn Sie KI-Tools innerhalb Ihrer internen Abläufe einsetzen. Datenschutzgrundsätze wie Rechtmässigkeit, Fairness und Transparenz, Zweckbindung und Vertraulichkeit gelten auch für personenbezogene Daten, die Sie mit (externen) KI-Tools verarbeiten. Daher ist es für Unternehmen ratsam, Folgendes zu beachten:
- Treffen Sie geeignete Sicherheitsvorkehrungen treffen, um personenbezogene Daten vor unbefugtem Zugriff oder unbefugter Offenlegung zu schützen. Dazu gehören beispielsweise interne Zugriffsbeschränkungen nach dem Need-to-know-Prinzip sowie technische Sicherheitsmassnahmen. Prüfen Sie, ob es Verträge (z. B. Datenverarbeitungsverträge) mit dem Anbieter des KI-Tools gibt, die eine gesetzeskonforme Verarbeitung sicherstellen.
- Insbesondere sensible Daten wie Finanzdaten, Geschäftsgeheimnisse und medizinische Daten sollten sorgfältig bewertet und anonymisiert werden, bevor sie mit KI-Tools geteilt werden.
Ebenso sollten Unternehmen sorgfältig abwägen, welche Auswirkungen es hat, wenn sie KI-Dienstleistern wie OpenAI für ChatGPT erlauben, ihre Inhalte für das Modelltraining zu verwenden. Abhängig von der Art der Inhalte und möglichen Datenschutzbedenken können Sie sich gegen die Nutzung entscheiden, um sensible Informationen zu schützen und die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Es ist wichtig, die Bedingungen für die Nutzung von Inhalten, die von KI-Dienstleistern bereitgestellt werden, zu prüfen und zu verstehen. Dadurch wird sichergestellt, dass die Bedingungen für die Nutzung den Datenschutzbestimmungen und den Datenschutzrichtlinien des eigenen Unternehmens entsprechen.
Zweitens ist zu bedenken, dass die Ergebnisse von LLM nicht immer zutreffen und fehleranfällig sein können. Aus diesem Grund sollten Unternehmen, bevor sie sich auf die gelieferten Ergebnisse verlassen, Validierungsmechanismen einführen, um sicherzustellen, dass die Ergebnisse korrekt sind und – falls dies nicht der Fall ist – die Ergebnisse entsprechend korrigieren. Dies kann Folgendes umfassen:
- Querverweise von KI-generierten Informationen mit vertrauenswürdigen Quellen; und
- Überprüfung des Outputs durch einen Menschen, um seine Genauigkeit zu verifizieren.
Die Überprüfung des Wahrheitsgehalts der KI-Ergebnisse fördert eine zuverlässige Entscheidungsfindung und verhindert mögliche Fehler oder Fehlinformationen. Darüber hinaus ist es für die Einhaltung der Datenschutzverpflichtungen erforderlich, personenbezogene Daten aktuell und korrekt zu halten. Betroffene Personen haben das Recht, unrichtige personenbezogene Daten, die sie betreffen, berichtigen zu lassen. Schliesslich ist eine angemessene Schulung von Nutzern und Mitarbeitern unerlässlich, um eine verantwortungsvolle und effektive Nutzung zu fördern. Unternehmen sollten:
- Schulungsprogramme bereitstellen, die über die Möglichkeiten und Grenzen der eingesetzten KI-Tools aufklären;
- Eine Kultur des verantwortungsvollen Umgangs mit KI fördern, sodass die Risiken des Missbrauchs oder der Fehlinterpretation von KI-generierten Informationen verringert werden.
Die Aufklärung der Nutzer über den angemessenen Einsatz von KI-Tools verbessert ihr Verständnis und fördert verantwortungsbewusste Entscheidungen.
Externe Nutzung von AI-Tools
Die Integration von KI-Tools wie ChatGPT oder Chatbots in Websites und mobile Apps kann das Nutzererlebnis verbessern und nützliche Funktionen bieten.
Wenn Sie solche KI-Tools in Ihre Dienste integrieren, müssen Sie sich der möglichen Datenverarbeitung durch Dritte bewusst sein und eine klare Verteilung der Rollen und Verantwortlichkeiten festlegen.
Bei der Nutzung von KI-Tools eines Anbieters wie OpenAI ist es beispielsweise wichtig, die vom Anbieter durchgeführten Datenverarbeitungsaktivitäten zu überprüfen und zu verstehen sowie eine klare Beziehung zwischen Kontrolleur und Kontrolleur bzw. Kontrolleur und Verarbeiter herstellen[AH1] . Unternehmen sollten daher:
- Die Datenverarbeitungspraktiken der Anbieten von KI-Tools überprüfen und die datenschutzfreundlichste KI-Tools auswählen;
- Datenschutzvereinbarungen mit Anbieten von KI-Tools abschliessen und die Einhaltung einschlägiger Datenschutzbestimmungen sicherstellen;
- Bei Datenübermittlungen in Drittländer – namentlich in die USA – sicherstellen, dass angemessene Garantien vorhanden sind. Wenn die EU-Kommission oder der Schweizer Bundesrat keine Angemessenheitsbeschlüsse für diese Länder erlassen haben, sollten Sie Standardvertragsklauseln in Ihre Datenverarbeitungsvereinbarung aufnehmen und andere Massnahmen ergreifen, die Sie für angemessen halten;
- Eine klare Rollenverteilung zwischen dem Unternehmen und dem KI-Dienstleister festlegen. Aus dieser soll hervorgehen, wer für die Datenverarbeitung verantwortlich ist und der der Datenverarbeiter ist;
- Zusätzliche technische und organisatorische Massnahmen wie z.B Pseudonymisierung oder Anonymisierung und interne Richtlinien anwenden/anordnen.
In diesem Zusammenhang sollten Unternehmen auch angemessene Datenaufbewahrungsrichtlinien für KI-gestützte Chatbot-Interaktionen festlegen. Die Aufbewahrungsfristen sollten sich an den Zwecken der Datenverarbeitung orientieren und sicherstellen, dass die Daten sicher gelöscht oder anonymisiert werden, sobald sie nicht mehr benötigt werden.
Anderseits ist für den externen Einsatz von KI-Tools auch Transparenz von Relevanz. Aus diesem Grund müssen Sie beim Einsatz derartiger Tools Folgendes beachten:
- Informieren Sie Nutzer und Interessensgruppen in klarer Weise über die Verwendung von KI-Tools und deren Zweck, einschliesslich die Auswirkungen auf die Datenverarbeitung und den Schutz ihrer Privatsphäre, insbesondere mit Blick auf die Einbeziehung von Dritten, die Übermittlung in Drittländer und die Datensicherheit;
- Stellen Sie sicher, dass die Datenschutzrichtlinien leicht zugänglich und in einfacher Sprache verfasst sind und den Nutzern klare Anweisungen zur Ausübung ihrer Rechte geben;
- Informieren und gewähren Sie zusätzliche Rechte, wenn Sie KI-Tools verwenden, welche eine automatisierte Entscheidungen treffen, die erhebliche Auswirkungen auf die betroffene Person haben, z.B. in Ihrem Bewerbungsverfahren oder wenn Sie den Zugang zu Ihren Diensten ausschliesslich auf der Grundlage einer KI-Entscheidung gewähren.
Fazit
Zusammenfassend lässt sich sagen, dass Sie die Leistungsfähigkeit von KI-Tools und LLMs wie ChatGPT nutzen und gleichzeitig Datenschutzgesetze wie die DSGVO und das DSG einhalten können.
Durch die Einhaltung der Leitlinien für bewährte Datenschutzpraktiken kann ein Gleichgewicht zwischen KI-Innovation und dem Schutz der Privatsphäre hergestellt werden. In diesem Sinne sollten Unternehmen, die KI-Tools in ihre Produkte und Prozesse integrieren möchten, die folgenden Praktiken beachten:
- Überprüfen und aktualisieren Sie die internen Richtlinien und Verfahren: Stellen Sie sicher, dass sie den Datenschutzbestimmungen entsprechen und die besonderen Aspekte der Nutzung von KI-Tools wie ChatGPT berücksichtigen. Erstellen Sie Richtlinien für den Umgang mit vertraulichen/sensiblen Informationen, für die Überprüfung der Richtigkeit der Ergebnisse und für die Schulung der Mitarbeiter im richtigen Umgang mit KI-Tools.
- Implementieren Sie wirksame Datenschutzmassnahmen: Verwenden Sie Techniken zur Datenminimierung, wie z.B nur die Erfassung der notwendigen Daten, deren Pseudonymisierung und Anonymisierung um die Risken für den Datenschutz zu verringern. Legen Sie klare Richtlinien für die Datenaufbewahrung fest und löschen oder anonymisieren Sie Daten, wenn sie nicht mehr benötigt werden.
- Transparente Kommunikation mit Nutzern und Beteiligten: Aktualisieren Sie die Datenschutzrichtlinien, um die Verwendung von KI-Tools und die Einbeziehung Dritter klar zu regeln. Stellen Sie sicher, dass die Datenschutzrichtlinien leicht zugänglich und in einfacher Sprache verfasst sind und den Nutzern Anweisungen zur Ausübung ihrer Rechte geben.
- Halten Sie sich über die Entwicklung von Vorschriften und guten Praktiken auf dem Laufenden: Überwachen Sie die Aktualisierungen der Datenschutzgesetze und anderer relevanter Vorschriften, Richtlinien und bewährter Branchenpraktiken im Zusammenhang mit dem Einsatz von KI-Tools kontinuierlich.
Wenn ihr Fragen habt, zögert nicht, mit unseren Datenschutzexperten zu sprechen!