KI ist in aller Munde, immer neue technische Lösungen sollen auf KI umgestellt werden und immer mehr Staaten machen sich Gedanken dazu, wie man diese technologische Entwicklung gesetzlich regeln muss. Es geht darum, einerseits den Fortschritt zum Nutzen der Gesellschaft zu ermöglichen aber andererseits die Risiken zu erkennen und soweit möglich einzudämmen. Wir sprachen mit dem Datenschutzexperten Thomas Spaeing zu der aktuellen Entwicklung.
OWLM: Wie ist der aktuelle Stand beim Einsatz von KI in den Unternehmen?
Thomas Spaeing: Die Situation ist gelinde gesagt unübersichtlich. Die Entwicklung geht immer schneller voran und wird künftig auch durch neue Hardwaretechniken wie bspw. Quantencomputing gewaltige Sprünge machen. Gleichzeitig ist auf Anbieterseite schon jetzt erheblicher Wildwuchs zu erkennen. Schon seit Jahren behaupten manche Anbieter, Ihre Lösungen seien KI-basiert, obwohl es sich tatsächlich um eine Form von Big Data Anwendungen handelt. Hier geht es vor allem um das Marketing und den Verkauf von Anwendungen. Es kommen aber zunehmend in allen Bereichen Anwendungen auf den Markt, die sich der gegenwärtig verfügbaren KI-Modelle bedienen, um schnellere oder ggf. auch umfangreichere Lösungen zu ermöglichen. Gleichzeitig nehmen die Risiken für Unternehmen durch den Einsatz von KI erheblich zu. Ob die neuen Regulierungen wie der AI-Act hier Abhilfe schaffen können, bleibt abzuwarten.
OWLM: Welche Herausforderungen entstehen durch den Einsatz von KI – auch im Hinblick auf personenbezogene Daten?
Thomas Spaeing: Durch den Einsatz von KI ergeben sich eine Reihe von Herausforderungen, auf die sich Unternehmen vorbereiten müssen. Datenschutzrechtlich, aber auch hinsichtlich der Verletzung von Urheberrechten und Geschäftsgeheimnissen. Ein ebenso großes stark wachsendes Risiko-Feld ist das der Cybersecurity. In all diesen Bereichen kann der ungeregelte Einsatz von KI-Systemen zu erheblichen und auch existenziellen Risiken führen. Die kommenden Regulierungen werden hier nur teilweise helfen. Unternehmen müssen daher den Einsatz von KI planen und steuern. Dies ist keine Technologie, an die man mal den Azubi dransetzt, der da mal was ausprobiert. Der Einsatz ist eine strategische Entscheidung und sollte mit konkreten Zielen verbunden sein. Die Nutzung von bekannten Systemen renommierter Anbieter, die eben auch KI in ihre Tools integrieren, bspw. bei CRM oder ERP-Systemen ist im Moment der sicherste Weg, um KI im Unternehmen zu nutzen. Wenn für spezielle Anwendungsfälle eigene Lösungen entwickelt werden sollen, ist die Hinzuziehung eines renommierten Anbieters oder zumindest ausgewiesener Experten (die es momentan kaum gibt) unbedingt zu empfehlen. Für das eigenständige Ausprobieren ist die Technologie zu neu und zu mächtig. Falls die verschiedenen KI-Modelle der Anbieter getestet werden sollen, ist dazu unbedingt eine geschützte Umgebung einzurichten, damit nicht ungewollt Daten aus dem Unternehmen abfließen oder umgekehrt Cyberrisiken in das eigene Netz geholt werden.
OWLM: Wie können Unternehmen sicherstellen, dass der Einsatz von KI-Tools datenschutzkonform ist?
Thomas Spaeing: Zunächst ist zu prüfen, ob eine KI überhaupt personenbezogene Daten nutzen soll und muss. Wenn das ausgeschlossen werden kann, ist dies der sicherste Weg. Falls die Verarbeitung personenbezogener Daten aber erforderlich ist, so gelten die üblichen Prüfpflichten, wie beim Einsatz jeder anderen Verarbeitung auch. Hinzu kommt mit großer Wahrscheinlichkeit die Pflicht, eine Datenschutzfolgenabschätzung durchzuführen (DSFA). Dies ist immer dann erforderlich, wenn das Risiko durch die Verarbeitung für die betroffenen Personen dies verlangt. Die Datenschutzaufsichtsbehörden haben dazu umfassende Arbeitshilfen erstellt, die dazu herangezogen werden können. Die Durchführung einer DSFA für ein KI-System sollte aber unter Mitwirkung des Anbieters erfolgen, denn ohne diesen dürfte es kaum möglich sein, die Verarbeitung zu prüfen und zu dokumentieren. Diese Unterstützung des Anbieters sollte gesetzlich eigentlich zu einer Pflicht gemacht werden. Leider wurde dies bisher versäumt – zu Lasten der Unternehmen, die KI-Systeme anwenden wollen, nun aber ohne die entsprechenden Angaben und Garantien der KI-Hersteller allein auf der Haftung sitzen bleiben. Daher ist dies bei der Auswahl eines Anbieters und bei den vertraglichen Regelungen unbedingt schon mitzuberücksichtigen.
OWLM: Welche Entwicklungen sind in der nächsten Zeit von besonderer Bedeutung?
Thomas Spaeing: Der Einsatz von KI wird uns in den nächsten Jahren intensiv beschäftigen. Insbesondere wird die Umsetzung des AI-Acts der EU mit weltweitem Interesse betrachtet. Grundsätzlich hat man hier eine Einigung erzielt, die Details befinden sich aber noch in der Ausarbeitung. China hat bereits eine KI-Regulierung auf den Weg gebracht, die aber wieder nur die Wirtschaft in die Pflicht nimmt, wie schon bei anderen Gesetzen ist der Staat davon kaum betroffen. Ob die EU dies besser hinbekommt, wird mit Spannung erwartet. Wir beobachten die Entwicklungen für unsere Kunden und unterstützen diese dabei, datenschutzrechtlich richtig aufgestellt zu sein. Voraussetzung dafür ist, dass wir frühzeitig in die Projekte eingebunden sind. Daher mein dringender Rat: Wenn Sie eine KI einsetzen wollen, holen Sie Ihren Datenschutzbeauftragten von Anfang an mit ins Projekt. Wenn Sie später feststellen, dass sie am Anfang eine datenschutzrechtlich falsche Richtung eingeschlagen haben, kann das richtig aufwendig und auch teuer werden.
Diese Themen, insbesondere die KI-Regulierung aber auch die Entwicklung zur Cybersecurity wird man in der nächsten Zeit intensiv beobachten müssen.
OWLM: Herzlichen Dank für das Gespräch!
Teilen: