KI-Tools wie ChatGPT halten Einzug in den Arbeitsalltag – doch wie lässt sich ihre Nutzung im Unternehmen sinnvoll und sicher gestalten? Dazu nahm Referent Sven Venzke-Caprarese, Jurist und Geschäftsführer der datenschutz nord GmbH, am 21. Januar im Tagungszentrum des Roten Kreuz Krankenhauses Stellung. Denn kaum ein Unternehmen kann es sich noch leisten, sich nicht mit dem Thema Künstliche Intelligenz (KI) zu befassen. Es besteht aber die Herausforderung, sich über die eigene KI-Strategie klar zu werden, entsprechende Regelungen daraus abzuleiten und notwendige Prozesse zu etablieren. Ziel ist der sinnhafte und rechtssichere Einsatz von KI, ohne dabei am Datenschutz, der Informationssicherheit, den Vorgaben der KI-VO und den sonstigen Compliance-Anforderungen zu scheitern. Die DECOIT® nahm traditionell als aktives IFIT-Mitglied an der Veranstaltung und der sich anschließenden regen Diskussion teil.

Referent Sven Venzke-Caprarese, der auch als Blogger und Autor in Erscheinung tritt (u.a. wird von ihm die Datenschutzkolumne im Weser-Kurier verfasst), betonte, dass die KI-Nutzung eine gewisse Autonomie beinhaltet, da sie für den Nutzer eine Black-Box darstellt. Die Nutzung qualitativ hochwertiger Trainingsdaten ist für die Ergebnisse aber entscheidend. Wenn man eine KI-Anwendung nur nutzt und kein eigenes Training durchführt, ist eine Regelung im Grunde nicht notwendig. Ein Training ist aber notwendig, um möglichst korrekte Ergebnisse zu erhalten, weil sonst die KI welche erfindet. Der Fokus der Unternehmen sollte daher darauf liegen zu wissen, welche KI-Systeme im Unternehmen im Einsatz sind, wofür sie genutzt und welche Daten dabei verarbeitet werden. Der Schutz personenbezogener Daten steht dabei im Vordergrund. Transparenz wird zur Pflicht: es muss gegenüber Kunden und anderen Betroffenen erklärbar sein, wie KI zu Ergebnissen kommt und auf welcher Datenbasis sie arbeitet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits einen Gefährdungskatalog für LLM-Sprachmodelle herausgebracht. Ein Large Language Model (LLM) ist die software-technische Realisierung eines mathematischen Sprachmodells, das sich durch seine Fähigkeit zur Textgenerierung auszeichnet.

Allerdings stehen die Gesetzesgeber auch noch am Anfang der KI-Regularien. Es gibt daher aktuell noch kaum Gerichtsurteile und nicht jede KI-Verordnung ist überall gleichermaßen gültig. Ausnahmen existieren beispielsweise im Militär- und Forschungsumfeld oder zu Test- und Entwicklungszwecken. Es wird zudem klar zwischen KI-Betreiber und -Anbieter unterschieden. Unternehmen sollten sich einen 3-Punkte-Plan machen: KI-Regelung für das eigene Unternehmen festlegen, Schulung/Einweisung der Mitarbeiter durchführen sowie die Regelungen dokumentieren und immer wieder überprüfen, ob sie auch eingehalten werden.

Das Thema KI wird aktuell sehr juristisch betrachtet. Die technische Umsetzung zu überprüfen ist dabei nicht vorgesehen. Beispielsweise reicht es gesetzlich aus, wenn Microsoft zusichert, das Copilot-Daten datenschutzkonform verarbeitet werden. Ob sie das wirklich werden, steht auf einem anderen Blatt. Daher wird es seitens der DECOIT® kritisch gesehen, wenn man sich ausschließlich auf die Aussagen von KI-Anbietern verlässt. Einige KI-Anbieter bieten sogar datenschutzkonforme AV-Verträge für externe Lieferanten an. Das wäre aus Datenschutzsicht immerhin schon mal eine gute Basis.