Wie Sie KI-Tools datenschutzkonform einsetzen Datenschutzexperte David Rosenthal erklärt die wichtigsten Punkte
Dieser Trend lässt sich nicht mehr aufhalten: In Marketing und Werbung nimmt die KI-gestützte Datenbearbeitung rasch zu. Doch vielen Anwenderinnen und Anwendern fehlt das Know-how, wie sie KI-Tools datenschutzkonform einsetzen. David Rosenthal, Experte für Daten- und Technologierecht, weiss Rat.
Immer mehr Teams aus Marketing und Kommunikation setzen auf generative KI. Wie verträgt sich das mit dem Datenschutz? Wo lauern Gefahren?
David Rosenthal: Der Einsatz von KI verträgt sich mit dem Datenschutz gar nicht so schlecht, wie viele meinen. Problematisch wird es etwa dann, wenn die Nutzerinnen und Nutzer KI-Systeme verwenden, ohne zu wissen, was mit den eingegebenen Daten bei den Anbietern passiert. Sie sollten mehr Verantwortung für den Datenschutz übernehmen. Das heisst zum Beispiel: Die KI-Tools sorgfältig auswählen und sie nur dann mit Personendaten füttern, wenn die Betreiber einen datenschutzkonformen Vertrag anbieten. Wie es um den Datenschutz verschiedener KI-Tools steht, haben wir in einer Übersicht zusammengetragen. Neben diesem Datenschutzproblem gibt es einen weiteren Punkt, der kritisch betrachtet werden muss: KIs, die auf einem Large Language Model basieren, spucken naturgemäss auch Informationen aus, die falsch sind. Das liegt unter anderem daran, dass die Trainingsdaten nicht 100 Prozent fehlerfrei sind und die Systeme den Inhalt statistisch berechnen, aber nicht verstehen. Verwenden die Nutzerinnen und Nutzer diese Informationen nun, ohne sie zu hinterfragen, kann das in die Irre führen und auch peinlich werden. Dem wirken Arbeitgebende entgegen, indem sie die Medienkompetenz ihrer Mitarbeitenden fördern.
Ist auch die Informationspflicht ein Knackpunkt? Gerade wer personenbezogene Daten mit KI bearbeitet, sollte ja darüber informieren.
Das verlangt zumindest der EDÖB, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte. Ich sehe das etwas anders, sofern der KI-Service selbst datenschutzkonform ist. Unternehmen müssen auch sonst nicht über alle eingesetzten Tools informieren. Zum Beispiel muss ich eine Person nicht darüber in Kenntnis setzen, dass ich generative KI nutze, um den Brief an sie besser zu formulieren oder um einen Text zu übersetzen. Und ich muss der Person auch nicht mitteilen, dass ich eine KI verwende, um aufgrund ihrer Daten den besten Werbekanal für sie zu ermitteln.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat die Funktion einer «Datenschutzpolizei»: Als Aufsichtsbehörde nimmt er Anzeigen entgegen, eröffnet Untersuchungen und führt diese durch. Er kann während des Verfahrens und nach dem Urteil rechtsverbindliche Verfügungen erlassen. Zudem ist er befugt, mit ausländischen Behörden zusammenzuarbeiten.
Wenn ein Unternehmen eine generative KI mit eigenen Daten trainiert: Worauf muss es aus datenschutzrechtlicher Sicht achten?
Das schweizerische Recht ist diesbezüglich relativ grosszügig. Zwei Punkte sind jedoch zu beachten: Erstens darf ich ein KI-Modell vereinfacht gesagt nur dann mit Personendaten füttern, wenn die betroffene Person damit rechnen musste und ihr durch das Training der KI kein Nachteil entsteht – oder ich muss einen guten Grund haben, der das rechtfertigt. Ein Beispiel für einen solchen guten Grund: Ich setze die KI gar nicht in Bezug auf diese bestimmte Person ein, sondern will ihr beibringen, in einem bestimmten Sprachstil zu schreiben oder eine bestimmte Art von Bildern zu generieren. Zweitens muss ich sicherstellen, dass die Trainingsdaten nicht plötzlich im Output des KI-Tools auftauchen. Mit anderen Worten: Die KI darf die Personendaten unter keinen Umständen preisgeben. Das ist leider keine Selbstverständlichkeit. Wie sich dies erreichen lässt und umgekehrt, wie KI-Systeme gehackt werden können, um an Trainingsdaten zu gelangen, wird heute noch intensiv erforscht.
Was können Unternehmen tun, um sich gegen dieses Risiko abzusichern?
Sie können zum Beispiel «Differential Privacy» betreiben. Vereinfacht gesagt handelt es sich dabei um eine Technik, bei der personenbezogene Daten in den Trainingsdaten verändert werden, bevor die KI damit gefüttert wird. Der Inhalt wird dabei aber nicht verfälscht. Wenn das KI-System dann versehentlich zu viel preisgibt, bleibt die Privatsphäre der Betroffenen gewahrt. Dieses Verfahren ist allerdings mühsam und kostet Geld.
Unternehmen müssen sicherstellen, dass die Trainingsdaten nicht plötzlich im Output des KI-Tools auftauchen.
David Rosenthal
KIs werden nicht nur mit eigenen, sondern auch mit fremden Daten trainiert – darf man das?
Nur, wenn man die Erlaubnis dafür besitzt. Viele Unternehmen sind sich dieser Problematik allerdings nicht bewusst, weil sie einzig an den Datenschutz denken. Sie speisen fremde, urheberrechtlich oder anderweitig geschützte Inhalte in KI-Systeme ein, ohne über die Nutzungserlaubnis zu verfügen.
Können Sie das anhand eines Beispiels erklären?
Wenn ich zum Beispiel für eine Publikation ein Bild einkaufe, darf ich es zwar verwenden und oft sogar mit KI bearbeiten. Aber ich muss auch dafür sorgen, dass ein von mir dafür gewählter KI-Anbieter es nicht auch für seine eigenen Zwecke nutzt, etwa für das Training seines Modells. Sonst riskiere ich eine Vertrags- oder Urheberrechtsverletzung. Ein weiterer Fallstrick: Eine KI liefert ein vermeintlich rein computergeneriertes Bild, das nicht geschützt ist. Stellt sich aber heraus, dass das Bild in wesentlichen Teilen ein bereits bestehendes Werk wiedergibt, dann wäre auch dies eine Urheberrechtsverletzung.
Beim Einsatz generativer KI kommt es schnell vor, dass personenbezogene Daten Teil der Prompts werden. Welche Risiken sind damit aus Sicht des Datenschutzes verbunden – und wie lassen sie sich vermeiden?
Bei einer x-beliebigen KI einen Prompt mit personenbezogenen oder anderen vertraulichen Daten einzugeben, ist problematisch, weil nicht klar ist, was damit geschieht. Dieses Problem lässt sich in der Praxis auf zwei Arten lösen: Entweder verwendet das Unternehmen rein interne KI-Tools oder solche, bei denen der Anbieter gewährleistet, dass die Daten geschützt sind und nicht für andere Zwecke genutzt werden. Darüber hinaus muss ich als Anwender sicherstellen, dass ich die Ergebnisse der KI nicht missbrauche und den Output immer überprüfe. Ich darf beispielsweise ein KI-System dafür einsetzen, Bewerbungen zu analysieren und Rückschlüsse auf die Eignung der Bewerberinnen und Bewerber zu ziehen. Allerdings muss ich die Resultate kritisch prüfen. Solange in diesem Beispiel ein Mensch und nicht die KI die Entscheidung trifft, muss auch nicht speziell über den Einsatz Künstlicher Intelligenz informiert werden.
Bei einer x-beliebigen KI einen Prompt mit personenbezogenen oder anderen vertraulichen Daten einzugeben, ist problematisch, weil nicht klar ist, was damit geschieht.
David Rosenthal
Auf den Punkt gebracht: Welche Leitlinien sollten Unternehmen einführen, damit die Mitarbeitenden generative KI datenschutzrechtlich korrekt verwenden?
Es gibt drei wichtige Regeln: Erstens müssen Unternehmen über den Einsatz von KI informieren, wenn dieser für die Betroffenen – zum Beispiel die Kundschaft – unerwartet, aber relevant ist. Zweitens dürfen eigene oder fremde vertrauliche und personenbezogene Daten nur in KI-Tools verwendet werden, die die Datenschutzkonformität gewährleisten. Und drittens müssen die Nutzerinnen und Nutzer den Output immer manuell auf Korrektheit überprüfen, bevor sie ihn für eigene Zwecke verwenden.
In der datenbasierten Werbung wird KI zunehmend eingesetzt, um automatisierte Entscheidungen zu treffen. Was ist dabei zu beachten? Und wer ist im Fall einer Datenschutzverletzung verantwortlich?
Verantwortlich ist zunächst grundsätzlich jene Person, die die KI einsetzt, indem sie beispielsweise ihren Output verwendet – in Zukunft mit der sich abzeichnenden Regulierung wohl auch der Anbieter. Belangt werden kann in der Schweiz aber eigentlich jede Person, die an einer Datenschutzverletzung mitwirkt. Automatisierte Entscheidungen sind datenschutzrechtlich dann speziell geregelt, wenn sie für andere Personen erhebliche Konsequenzen haben können. Im Bereich von Marketing und Werbung sehen wir kaum solche Fälle. Denn es geht in erster Linie darum, die Zielgruppe noch besser anzusprechen und das Targeting zu verfeinern. Hier begegnet uns allerdings ein anderes Phänomen: Gerade im Onlinebereich werden neben KI-Tools zahlreiche Systeme zur Werbesteuerung, Erfolgsmessung und zum Tracking eingesetzt. Dabei werden grosse Mengen an Daten über das Publikum ausgetauscht – etwa zwischen Werbetreibenden, Publishern und Ad-Tech-Unternehmen. So gelangen auch Personendaten an Dritte, die diese für Werbung, das Training einer KI oder andere Zwecke verwenden. Um sicherzustellen, dass die Betroffenen mit der Weitergabe ihrer Daten einverstanden sind, werden heute in der Regel Einwilligungserklärungen eingeholt.
Kann KI auch für den Datenschutz eingesetzt werden?
Ja, das ist möglich. Ein Beispiel: Weil viele nicht wissen, was beim Datenschutz alles schiefgehen kann, haben wir im Verein Unternehmens-Datenschutz (VUD) ein KI-basiertes Tool für Datenschutz-Folgeabschätzungen entwickelt und als Open Source publiziert. Die KI hilft dabei, sich alle möglichen Risiken auszudenken. Wenn sie dabei «halluziniert», ist das für einmal überhaupt kein Problem, weil die Nutzerinnen und Nutzer dadurch erkennen, wo die Risiken liegen.
David Rosenthal ist Partner bei der Anwaltskanzlei VISCHER und einer der führenden Schweizer Experten für Daten- und Technologierecht.