Künstliche Intelligenz (KI), personenbezogene Daten und Einwilligung

Künstliche Intelligenz (KI) ist derzeit in aller Munde und die finanziellen Investitionen scheinen genauso groß zu sein wie die mediale Aufmerksamkeit. Ist es nur ein Tech-Trend oder ändert KI — jetzt und in Zukunft — von Grund auf die Art, wie wir etwas entwickeln oder wie wir arbeiten? Wer ist für die Eingabedaten und Ergebnisse verantwortlich?

Die Entwicklung von KI soll sich auf die Säulen von Algorithmen, Hardware und Daten stützen. Dabei sind die Herausforderungen in Bezug auf „Daten“ die größten, und die Nutzereinwilligung ist hier ein wichtiger Teil davon.

Die raschen Entwicklungen hinsichtlich des Trainings und der Nutzung von KI hat Bedenken aufkommen lassen, in Bezug auf die Einwilligung der Nutzer und die ethische Nutzung personenbezogener Daten. Wenn Nutzerdaten für das Trainieren von KI verwendet werden, haben Nutzer dann Rechte am Ergebnis? Müssen Unternehmen, die Daten zum Trainieren von KI benötigen, die Einwilligung für bereits online veröffentlichte Daten einholen? Für wie viele granulare Zwecke sollten KI-Tools oder -Services die explizite Einwilligung der Nutzer einholen?

KI bezieht sich auf die Entwicklung von Maschinen, die Aufgaben ausführen können, für die normalerweise menschliche Intelligenz erforderlich ist. Dazu gehören Bereiche wie Text- oder Spracherkennung, Problemlösung und Entscheidungsfindung. Die Entwicklung von KI erfordert oftmals die Eingabe großer Datenmengen, damit die Systeme besser „lernen“ können.

Maschinelles Lernen ist ein Teilbereich der KI und konzentriert sich auf die Entwicklung von Algorithmen und Modellen, die es Computern ermöglichen, aus Daten zu lernen und Prognosen oder Entscheidungen zu treffen, ohne explizit dafür programmiert werden zu müssen. So können Computer aus Beispielen „lernen“ und ihre Leistung im Laufe der Zeit verbessern.

Large Language Models (große Sprachmodelle) sind ein brandneuer Durchbruch in der KI-Forschung. Sie sind darauf ausgelegt, menschliche Sprache zu verstehen und zu generieren. ChatGPT von OpenAI und Bard von Google sind Beispiele für öffentlich zugängliche LLMs. Einige Tools, die mit ihnen entwickelt wurden, können für SEO, Marketing und andere geschäftliche Zwecke verwendet werden.

Der Zweck des Trainings eines LLM besteht darin, es ihm zu ermöglichen, die Struktur, Bedeutung und den Kontext der menschlichen Sprache zu verstehen. So kann bei einem einmaligen Gebrauch eine genauere Antwort gegeben werden, wenn Personen eine Anfrage haben.

LLMs werden anhand großer Textmengen aus Büchern, Artikeln, Websites und anderen Quellen trainiert. Bisher gab es Datenschutzprobleme bei Inhalten, die ohne die Einwilligung der Ersteller oder Eigentümer genutzt und analysiert wurden. Möglicherweise wurde auf vertrauliche Daten zugegriffen oder sie wurden ohne Einwilligung verwendet.

KI-Training bzw. Machine Learning Training ist ein Prozess, bei dem ein KI-System anhand der bereitgestellten Daten lernt, Muster zu erkennen und Prognosen zu erstellen oder Entscheidungen zu treffen. Das Trainieren ist entscheidend für die Entwicklung von KI-Systemen, die bestimmte Aufgaben ausführen, Muster erkennen, genaue Informationen liefern oder fundierte Beurteilungen vornehmen können.

Der Trainingsprozess besteht aus einer Reihe von Schritten. Zu Anfang steht die Beschaffung relevanter Daten und deren Bereitstellung. Danach wird ausgewählt, was das Modell mit den KI-Trainingsdatensätzen tun soll, dann folgen Dateneingabe und Analyse. Schließlich wird daran gearbeitet, die Ergebnisse oder Prognosen mit den tatsächlichen Ergebnissen zu vergleichen oder die Genauigkeit zu verbessern. Und es wird sichergestellt, dass das KI-Modell gut mit allen Datensätzen funktioniert, darunter auch mit den realen Daten, und nicht nur mit den KI-Trainingsdaten. KI-Modelle müssen alle Schritte durchlaufen, bevor sie für eine breitere Verwendung eingesetzt werden können.

Unternehmen könnten Fragen dazu stellen, was die Definition von „Verwendung“ personenbezogener Daten ist. Ab wann handelt es sich nicht mehr um personenbezogene Daten? Um die Daten beispielsweise in ein Format zu bringen, das das Trainingsmodell verwenden kann, muss möglicherweise das ursprüngliche Format geändert werden. Sollte ein Unternehmen außerdem die Einwilligung zur Verwendung von Daten einholen, um KI-Modelle zu trainieren, auch wenn diese nur für Forschungszwecke und nicht für kommerzielle Zwecke bestimmt sind? Womöglich würde außer den Forschern niemand jemals Zugriff darauf haben.

KI kann mit vielen Arten von Daten trainiert werden. Was die Trainer benötigen, hängt davon ab, was das System tun soll – ob es beispielsweise Fragen beantworten, Entscheidungen treffen, Grafiken oder Texte erstellen soll usw.

Zu den häufigsten Arten von Trainingsdaten für KI gehören:

• Text – z. B. aus Büchern, Artikeln, Websites oder sozialen Medien; wird für Übersetzung, Stimmungsanalyse, Chatbot-Entwicklung usw. verwendet.
• Bilder – aus einer großen Anzahl von beschrifteten Bildern; wird für Bilderkennung, Objekterkennung und Bilderstellung verwendet.
• Audio – z. B. aus gesprochenen Worten, Tönen oder akustischen Mustern; wird für Spracherkennung, Sprachassistenten und Audioanalyse-Modelle verwendet.
• Video-Daten – von Videosequenzen; werden für Videoanalyse, Überwachung, Videoerstellung und zum Erlernen zeitlicher Muster verwendet.
• Gaming-Daten – von Daten und Interaktionen aus dem Gaming; werden zur Entwicklung von Spielen und Strategien verwendet.
• Strukturierte Daten – z. B. aus Datenbanken oder Tabellenkalkulationen; werden für Prognose-Analysen, Empfehlungssysteme oder Betrugserkennung verwendet.
• Sensor-Daten – von Kameras, Lidar, Radar usw.; werden für autonome Fahrzeugsysteme, industrielle Automatisierung usw. verwendet.
• Gesundheitsdaten – aus medizinischer Bildgebung wie Röntgen und MRT, Patientenakten und klinischen Daten; werden zur Unterstützung von Diagnosen, Behandlungen und Forschung verwendet.
• Finanzdaten – aus vorhandenen Finanzdaten aus Märkten und Transaktionen; werden für die Prognose von Aktienkursen, das Kreditscoring und die Betrugserkennung verwendet.
• Genomische Daten – aus DNA-Abschnitten, Markergenen und anderen verwandten biologischen Daten; werden für die personalisierte Medizin und zur Verbesserung des Verständnisses der Genetik verwendet.
• Simulationsdaten – aus von Simulationen generierten Daten; werden verwendet, um zu lernen, wie sich Systeme unter verschiedenen Bedingungen verhalten.

Auf viele dieser Arten von KI-Trainingsdaten wird in den Datenschutzverordnungen ausdrücklich Bezug genommen. Bei vielen handelt es sich um persönliche Informationen, bei einigen um personenbezogene Daten. Einige dieser Datentypen werden gemäß den Datenschutzgesetzen als sensibel eingestuft, was bedeutet, dass größerer Schaden entstehen könnte, wenn sie ohne Genehmigung abgerufen oder verwendet werden.

Besonders wichtige Beispiele für sensible personenbezogene Daten sind Gesundheitsinformationen, genomische Daten und Finanzdaten. Sensible Daten erfordern gemäß geltenden Datenschutzgesetzen in der Regel eine Einwilligung des Nutzers, um sie verwenden oder verarbeiten zu können. Dagegen erfordern personenbezogene, aber nicht sensible Daten häufig nur dann eine Einwilligung, wenn sie verkauft oder für gezielte Werbung, Profiling usw. verwendet werden.

Es ist auch wichtig zu beachten, dass nicht alle Batches der Trainingsdaten gleich sind. Qualität, Quantität, Vielfalt und Nutzungsberechtigung können sehr unterschiedlich sein. Dies kann erhebliche Auswirkungen auf das „Lernen“ und die Leistung der Systeme haben. Es könnte auch bedeuten, dass eine Einwilligung für die Verwendung bestimmter Datenarten im Trainingsdaten-Batch erforderlich ist, für andere jedoch nicht. Schlecht ausgewogene oder zu wenig vielfältige Daten können auch verzerrte Ergebnisse liefern, manchmal mit anstößigen oder rechtlich prekären Ergebnissen, wenn Systeme etwa diskriminierende Empfehlungen oder eine ungenaue Identifizierung abgeben.

Gemäß vieler Datenschutzgesetze haben betroffene Personen das Recht, ihre Daten von der Organisation korrigieren zu lassen, die sie erfasst hat, wenn sie unvollständig oder unrichtig sind. Doch wie sieht es aus, wenn die Daten korrekt sind, aber dazu verwendet werden, unrichtige Ergebnisse zu liefern? Welche Rechte haben diese Personen dann? Der Einsatz dieser Technologien stellt viele komplexe Fragen an die Gesetzgebung, zu denen auch die Ethik der Automatisierung gehört.

Das Forschungsunternehmen Gartner hat vorausgesagt, dass bis Ende 2023 die personenbezogenen Daten von 65 % der Weltbevölkerung durch Datenschutzgesetze geschützt sein werden. Gartner prognostiziert, dass diese Zahl bis 2024 auf 75 % ansteigen wird. Doch die Technologie selbst und die Nachfrage nach den Daten entwickeln sich noch rascher als die Datenschutzgesetze. So können wissenschaftliche Durchbrüche, Marketingkampagnen usw. vorangetrieben werden.

Viele der vorhandenen Daten, auf die Unternehmen zugreifen möchten, werden von Menschen generiert. Deshalb haben sie Rechte in Bezug auf den Datenschutz und den Zugriff auf ihre Daten. Verbraucher haben heutzutage ein zunehmend stärkeres Bewusstsein für den Datenschutz und ihre Rechte im Hinblick auf ihre personenbezogenen Daten. Auch wenn sie nicht unbedingt verstehen, wie KI-Systeme und andere Funktionen im Detail arbeiten.

Da weltweit immer mehr Datenschutzgesetze verabschiedet werden, müssen Unternehmen bei der Erfüllung ihrer Datenschutzverpflichtungen immer vorsichtiger vorgehen. Potenziell hohe Geldstrafen, wie beispielsweise einige der Strafen, die gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union erhoben werden, zeigen auch, wie wichtig es ist, Datenschutzvorschriften und Verbraucherrechte ernst zu nehmen.

Es gibt immer mehr potenzielle Quellen für Nutzerdaten, insbesondere online, z. B. über soziale Plattformen und Apps. Es kann für Unternehmen auch schwierig sein, ihre Verantwortlichkeiten für den Datenschutz festzulegen, wenn das Unternehmen seinen Hauptsitz zwar an einem bestimmten Ort, aber möglicherweise auf der ganzen Welt Nutzer hat. Dies kann dazu führen, dass ein Unternehmen für die Einhaltung verschiedener Datenschutzgesetze verantwortlich ist. Viele dieser Gesetze sind also extraterritorialer Natur. In diesem Fall ist es in Bezug auf die Rechte von Nutzern und den Schutz ihrer Daten nur wichtig, wo sich die Nutzer befinden, nicht die Unternehmen.

Viele Verbraucher konzentrieren sich nicht allzu sehr darauf, wie viele Daten sie täglich erstellen, wer Zugriff darauf hat und wie sie verwendet werden können. Kinder achten möglicherweise überhaupt nicht darauf oder verstehen die Erstellung oder Verarbeitung von Nutzerdaten nicht, obwohl die meisten Datenschutzgesetze einen zusätzlichen Schutz und eine zusätzliche Einwilligung für den Zugriff auf ihre Daten erfordern. Diese Einwilligung muss in der Regel von einem Elternteil oder Erziehungsberechtigten eingeholt werden, wenn das Kind unter einer bestimmten, gesetzlich festgelegten Altersgrenze liegt.

Einige Datenschutzgesetze beziehen sich nicht auf personenbezogene Daten, die Personen öffentlich verfügbar machen, darunter auch Daten, die auf sozialen Plattformen generiert werden. Möglicherweise stellen Beiträge, Kommentare und Fotos für manche keine große Sorge um den Datenschutz dar. Aber wie sieht es mit privaten Nachrichten oder Chats aus? Diese könnten weit sensiblere Daten enthalten.

Sobald die Daten erfasst worden sind, idealerweise mit Nutzereinwilligung, sollten die betroffenen Personen darüber Bescheid wissen, was mit ihnen geschieht. Es ist bei den meisten Datenschutzgesetzen eine Bedingung, dass der Datenverantwortliche – also, der für die Erfassung und Nutzung der Daten Verantwortliche – die Nutzer darüber informiert, welche Daten zu welchen Zwecken erfasst werden. Ändern sich diese Zwecke, muss der Datenverantwortliche bei vielen Datenschutzgesetzen die Nutzer benachrichtigen und eine neue Einwilligung einholen. Bei KI-Trainings können hierbei genaue Details erforderlich sein und häufige Änderungen vorkommen.

Da es sich bei KI-Systemen oft noch um Experimente handelt und die Ergebnisse unvorhersehbar sind, können einige Datenschutzanforderungen sich schwierig gestalten. Unternehmen können Nutzer darüber informieren, wofür sie Daten verwenden möchten. Doch unter Umständen unterscheidet sich dies dann davon, wofür die Daten tatsächlich verwendet werden oder wie sie geändert werden, oder wie die Ergebnisse, die sich aus der Verwendung ergeben, ausfallen.

Obwohl die Nutzer benachrichtigt werden müssen, bevor ein neuer Zweck eingeleitet wird, erfahren die Personen, die die Arbeit durchführen, möglicherweise erst dann von der Änderung, wenn sie umgesetzt ist. Wenn Daten in großen Mengen in Echtzeit analysiert werden, sind herkömmliche Mechanismen zur Einholung der Einwilligung von Nutzern, wie z. B. Cookie-Banner, möglicherweise nicht schnell oder detailliert genug oder anderweitig nicht ausreichend.

Benutzerorientierte KI-Systeme können potenziell manipulativ sein, was dazu führt, dass Nutzer Informationen zur Verfügung stellen, die sie nicht im Voraus bedacht haben. Systeme können auch komplizierte und undurchsichtige Verbindungen zwischen Datenpunkten aufweisen, was die Identifizierung und das Profiling auf einem Niveau ermöglicht, das es bisher noch nicht gegeben hat. So könnten fast alle Daten zu personenbezogenen oder sensiblen Daten werden. Dies wird von aktuellen Einwilligungsanforderungen möglicherweise nicht entsprechend behandelt.

Während manipulative Funktionen im Zusammenhang mit User Interfaces und Nutzererlebnissen – allgemein als Dark Patterns bekannt – zunehmend missbilligt werden und in einigen Fällen Gesetze dagegen geschaffen wurden, konzentrieren sich diese vornehmlich auf Taktiken, die bereits bekannt sind. Ein ansprechendes Design könnte die Entwicklung neuer und raffinierterer Methoden zur Nutzermanipulation ermöglichen.

Die beliebte Videokonferenz-Plattform Zoom hat im März 2023 die Nutzungsbedingungen aktualisiert, was für ein Unternehmen völlig normal ist. Zwei Abschnitte schienen jedoch weitreichende Auswirkungen auf die Berechtigungen von Zoom in Bezug auf Nutzerdaten zu haben, die als „von Diensten generierte Daten“ bezeichnet werden. Dazu gehören Telemetrie, Produktnutzung, Diagnose und ähnliche Daten oder Inhalte, die durch die Verwendung von Zoom generiert werden und die das Unternehmen im Laufe der Nutzung der Plattform erfasst.

Die aktualisierten Nutzungsbedingungen gewährten Zoom alle Rechte an von Diensten generierten Daten, einschließlich der Rechte zum Ändern, Teilen, Verarbeiten, Freigeben, Verwalten und Speichern von Daten, „für jeden Zweck, soweit und in der nach geltendem Recht zulässigen Weise“. Das Recht von Zoom, Nutzerdaten für maschinelles Lernen und künstliche Intelligenz zu verwenden, einschließlich Training, Tuning-Modellen und Algorithmen, wurde ausdrücklich erwähnt.

Zoom könnte also eine Vielzahl von Nutzerdaten aus der Nutzung seiner Plattform erfassen und auf verschiedene Arten verwenden, einschließlich KI-Training, ohne die ausdrückliche Einwilligung der Nutzer einholen oder ihnen die Möglichkeit geben zu müssen, diese zu widerrufen.

Dies kann nach den aktuellen Datenschutzgesetzen in den USA, wo Zoom seinen Hauptsitz hat, gesetzlich zulässig sein – das Land verfügt nicht über ein einheitliches Bundesrecht, sondern nur über eine Reihe von Gesetzen auf Bundesstaatsebene. Dies ist jedoch unter anderem gemäß der DSGVO der EU, die ein „Informieren“ erfordert, nicht gesetzmäßig (Erwägungsgrund 32 DSGVO).

Gemäß der DSGVO muss die Einwilligung zur Gültigkeit auch vor Beginn der Datenerfassung eingeholt werden und erfordert eine klare und verständliche Benachrichtigung der Nutzer. Die Nutzungsbedingungen von Zoom sind etwas kryptisch, ebenso wie die von vielen anderen Unternehmen.

Die Reaktion auf die Aufdeckung und die öffentliche Berichterstattung dieser Änderung der Nutzungsbedingungen war beträchtlich. Die Unternehmen waren besorgt, dass firmeneigene Informationen aus vertraulichen Sitzungen ohne Einwilligung verwendet werden könnten. Oder dass Zoom ihre kreativen Inhalte besitzt, wie z. B. Interviews für Videos oder Podcasts.

Einige US-Unternehmen, die Zoom für gesundheitsbezogene Zwecke verwenden, waren aufgrund von Bedenken hinsichtlich Datenschutzverletzungen des Health Insurance Portability and Accountability Act (HIPAA) in Panik geraten. Es gab Befürchtungen, dass das Unternehmen beispielsweise die Inhalte der Therapiesitzungen der Menschen besitzen und nutzen könnte. Diese Art von Verwendung der Daten war nicht unbedingt die Absicht des Unternehmens, aber die öffentliche Wahrnehmung ist kraftvoll.

Zoom reagierte auf die Reaktion mit einer weiteren Aktualisierung der Nutzungsbedingungen, um die Datennutzung zu verdeutlichen, und gab an, dass es seine KI-Modelle nicht mit Audio-, Video- oder Chat-Inhalten des Kunden trainieren würde, ohne zuvor die Einwilligung einzuholen.

Außerdem wurde in Absatz 10.2 eine Zeile mit folgendem Inhalt hinzugefügt: „Zoom verwendet keine Ihrer Audio-, Video-, Chat-, Bildschirmfreigabe-, Anhänge oder anderen kommunikationsähnlichen Kundeninhalte (wie Umfrageergebnisse, Whiteboard und Reaktionen), um KI-Modelle von Zoom oder Drittanbietern zu trainieren.“

Einige Nutzer äußerten sich jedoch weiterhin über die anscheinend weitreichenden Berechtigungen, die Zoom durch eine Einwilligung gewährt wurden, und viele sind immer noch nicht genau darüber informiert, was „von Diensten generierte Inhalte“ beinhaltet.

Nun sollte man jedoch Zoom nicht als einziges Unternehmen herausstellen. Auch andere Unternehmen verwenden KI für Funktionen auf ihren Plattformen. Google verwendet KI, um Transkripte von Google Meet-Anrufen zu erstellen (mit Ergebnissen unterschiedlicher Qualität). Bei der Facebook-Muttergesellschaft Meta stellte sich heraus, dass die Einwilligung für die Nutzung von Nutzerdaten für personalisierte Werbung in ihren Nutzungsbedingungen von 2022 „versteckt“ wurde. Im Januar 2023 wurde es dem Unternehmen untersagt, personenbezogene Daten mit dieser Art von „Einwilligung“ für Werbung zu verwenden, was den meisten Nutzern völlig unbekannt war. Meta hat seither erklärt, dass sie ihr Modell ändern und die Einwilligung zur Werbung in der EU anfragen würden.

Andere Unternehmen haben ähnliche undurchsichtige Taktiken versucht. Bei einigen Unternehmen kam ans Licht, dass sie die „Einwilligung“ oder fragwürdige Berechtigungen in ihren Nutzungsbedingungen versteckten, wohlwissend, dass nur wenige Nutzer diese im Detail lesen. Dies ist bestenfalls eine armselige Methode und im schlimmsten Fall gesetzeswidrig, da viele Gesetze eine Einwilligung erfordern.

Der Bedarf an mehr Klarheit in Bezug auf KI-Training, benutzergenerierte Inhalte auf Plattformen und Einwilligung ist an dieser Stelle offensichtlich und wird mit der Zeit zu einem immer dringlicheren Problem werden.

Unternehmen, die Daten für KI-Training oder andere Verwendungszwecke erwerben, können und sollten sicherstellen, dass die Einwilligung von den Quellen oder Nutzern eingeholt wurde. In einigen Fällen kann es erforderlich sein, Geschäfte mit Partnern oder Lieferanten zu tätigen.

Die Einwilligung wird auch für die Monetarisierungsstrategie immer wichtiger. Zum Beispiel bestehen Premium-Advertiser zunehmend darauf, dass die Einwilligung zur Erfassung von Nutzerdaten nachgewiesen wird, bevor sie mit App-Entwicklern zusammenarbeiten.

Unternehmen, die Nutzerdaten von ihren eigenen Plattformen und Nutzern für KI-Training oder andere Anwendungen erfassen, sind direkt dafür verantwortlich, eine gültige Einwilligung einzuholen und die Datenschutzgesetze einzuhalten. Es gibt eine Reihe von Möglichkeiten, wie Unternehmen Datenschutzkonformität und eine gültige Einwilligung erreichen können.

Transparenz – Datenschutzgesetze verlangen klare, zugängliche Benachrichtigungen, und Unternehmen müssen Nutzern verständliche Informationen darüber zur Verfügung stellen, wie die Nutzerdaten verwendet und verarbeitet werden, einschließlich KI-Training. Wenn sich die Nutzung personenbezogener Daten ändert, müssen Unternehmen ihre Datenschutzhinweise aktualisieren, die Nutzer informieren und unter vielen Datenschutzgesetzen eine neue Einwilligung für die neue Nutzung personenbezogener Daten einholen.

Granulare Einwilligung – Nutzer müssen die Möglichkeit haben, die Erfassung und Verarbeitung ihrer personenbezogenen Daten zu akzeptieren oder abzulehnen. Dies sollten sie jedoch auf detaillierter Ebene tun können: etwa bestimmte Arten von Verarbeitung wie gezielte Werbung oder KI-Training akzeptieren, aber andere, wie den Verkauf von Daten, ablehnen. Dies trägt auch dazu bei, dass Personen informiert werden, was bei den meisten Datenschutzgesetzen eine Voraussetzung dafür ist, dass die Einwilligung gültig ist.

Benutzerfreundliche Mechanismen – Ebenso wie Benachrichtigungen klar und zugänglich sein müssen, muss die Art und Weise, wie Nutzer ihre Einwilligung erteilen oder widerrufen, leicht verständlich und zugänglich sein. Es müssen Informationen verfügbar sein, um die Nutzer über die Datenverarbeitung zu informieren, ebenso wie die Möglichkeit der Einwilligung oder Ablehnung auf detaillierter Ebene. Die Einwilligung abzulehnen, muss genau so einfach sein, wie sie zu akzeptieren ist, und bei vielen Datenschutzgesetzen müssen Nutzer auch die Möglichkeit erhalten, ihre Präferenzen für die Einwilligung einfach zu ändern.

Vertrautheit mit gesetzlichen Vorschriften – In verschiedenen Rechtsordnungen gibt es unterschiedliche Datenschutzgesetze mit unterschiedlichen Anforderungen und Einwilligungsmodellen. Es ist wichtig, dass Unternehmen wissen, welche Gesetze sie einhalten müssen und wie sie dies tun. Es kann wichtig sein, sich mit einem qualifizierten Rechtsberater oder einem Datenschutzexperten, z. B. einem Datenschutzbeauftragten (DSB), zu beraten oder diesen zu beauftragen, was auch von einigen Datenschutzgesetzen vorgeschrieben ist. Eine solche Rolle hilft beim Festlegen von Richtlinien und Prozessen, beim Aktualisieren von Vorgängen und beim Verwalten der Sicherheit für Daten und deren Verarbeitung.

Die Rechte der Verbraucher in Bezug auf ihre personenbezogenen Daten hängen von einer Reihe von Faktoren ab. Dazu gehört, wo der Nutzer lebt und welche Datenschutzgesetze gelten, wofür die Plattform dient und welche Daten der Nutzer darauf bereitstellt oder generiert und welchen Nutzungsbedingungen die Plattform unterliegt.

In der Europäischen Union müssen Unternehmen, die personenbezogene Daten erheben und verarbeiten, zuvor die Einwilligung des Nutzers einholen. Dies gilt gleichermaßen für Social-Media-Plattformen, einen Blog, eine behördliche Website oder einen E-Commerce-Shop. Nutzerdaten können erfasst werden, um zu erfahren, wie Nutzer eine Website verwenden, sowie zum Verbessern der Funktionsweise. Oder damit die Dienste erfüllt werden können, wenn Nutzer etwas online kaufen, um Werbung anzuzeigen oder KI-Modelle zu trainieren.

Weltweit haben Plattformen, die für finanzielle Aktivitäten oder das Gesundheitswesen verwendet werden, aufgrund der Art der von ihnen verarbeiteten Informationen, im Rahmen mehrerer Gesetze höhere Anforderungen an den Datenschutz und die Sicherheit.

In einigen Rechtsordnungen ist es immer noch zulässig, ein Cookie-Banner anzuzeigen, in dem darüber informiert wird, dass man in die Erfassung und Verwendung personenbezogener Daten einwilligt, wenn die Website oder der Dienst weiterhin genutzt werden. In der EU und anderen Ländern ist dies jedoch nicht akzeptabel und eine granulare Einwilligung ist erforderlich.

Die Verwendung von Cookies im Internet ist zurückgegangen, da es neuere und bessere Technologien gibt, um zu erreichen, was mit Cookies bezweckt wird. Heute und in Zukunft stellt sich die Frage, wie Cookies von der KI verwendet werden und wie KI den Austausch von Cookies beschleunigen kann.

Apple und Mozilla haben Third-Party-Cookies blockiert und Google beabsichtigt, diese vollständig abzulehnen. Neue Tools und Methoden ermöglichen zudem einen besseren Datenschutz und eine bessere Einwilligung und können in hochwertigeren Nutzerdaten resultieren.

Die aktuellen Modelle zur Cookie-Einwilligung reichen möglicherweise nicht aus, um die KI-Nutzung abzudecken, da KI-Systeme große Datenmengen in Echtzeit analysieren können, im Gegensatz zu Tools, die Daten aus aktiven Cookies analysieren. Damit die Einwilligung eingeholt werden kann, bevor Daten erfasst oder verwendet werden, muss der Nutzer schneller und häufiger mit Pop-ups für die Einwilligung überhäuft werden, als dies von Menschen getätigt werden könnte.

KI-Modelle können effektivere Anzeigen oder personalisierte Nutzererlebnisse ermöglichen, ohne sich auf die Erfassung personenbezogener Daten verlassen zu müssen, da sie große Datenmengen sehr schnell analysieren können, um Personen anhand von Verhaltensweisen in Gruppen einzuteilen. Wenn das System keine Nutzerdaten erfassen muss, ist – zumindest für die Datenerfassung – unter Umständen keine Einwilligung erforderlich.

Gesetze und Best Practices würden aber wahrscheinlich weiterhin erfordern, dass Nutzer darüber informiert werden, wie ihr Verhalten getrackt und analysiert werden kann – und mit welcher Art von Analysen –, ob etwa für personalisierte Anzeigen oder die Einkaufserfahrung. Personenbezogene Daten, die nie erfasst worden sind, können aber auch nicht verkauft werden.

Das AIA-Gesetz der EU ist ein von der Europäischen Kommission vorgeschlagenes Gesetz über künstliche Intelligenz (KI). Es ist das weltweit erste umfassende Gesetz zur Regulierung von KI. Das Ziel ist es, die positive Nutzung der Technologie zu fördern, um gleichzeitig die negativen Effekte abzumildern und die Rechte festzuschreiben. Ein Ziel besteht auch darin, viele aktuelle und zukünftige Fragen zur KI-Entwicklung zu klären und dieses Gesetz zu einem globalen Standard zu machen, wie es auch bei der DSGVO der Fall ist.

Das Gesetz würde Anwendungen der KI-Technologie einer von mehreren Kategorien zuordnen:

Inakzeptables Risiko – KI mit inakzeptablen Risiken würde vollständig verboten werden, z. B. das Social-Scoring-Tool der chinesischen Regierung.

Hohes Risiko – KI mit potenziellen Risiken, zulässig vorbehaltlich der Einhaltung der KI-Anforderungen und prognostizierter Konformitätsbewertung, z. B. ein Tool, das Bewerber durch das Scannen von Lebensläufen einordnet.

Mittleres Risiko – KI mit spezifischen Transparenzverpflichtungen, zulässig je nach Anforderungen der Informationen, z. B. Bots, die zur Imitation einer Person verwendet werden können.

Minimales oder kein Risiko – KI ohne nennenswerte Risiken, zulässig ohne Einschränkungen.

Der AIA befindet sich derzeit im Entwurfsstadium und kann noch geändert werden, bevor er in Kraft tritt. Derzeit werden die Einwilligung des Nutzers sowie Datenschutz in den Statuten an verschiedenen Ebenen behandelt:

Hohes Risiko – Für die Verwendung von KI-Systemen mit hohem Risiko, z. B. kritische Infrastruktur, Beschäftigung, Gesundheitswesen und Strafverfolgungsbehörden, ist eine ausdrückliche Einwilligung erforderlich.

Transparenz – KI-Anbieter müssen klare Informationen über den beabsichtigten Zweck, die Fähigkeiten und die Einschränkungen der Systeme bereitstellen, um sicherzustellen, dass die Nutzer informiert sind, um Entscheidungen treffen und mögliche Auswirkungen auf ihre Rechte verstehen zu können.

Erklärungsrecht – Nutzer haben das Recht, sinnvolle Erklärungen der Entscheidungen von KI-Systemen zu erhalten.

Recht auf Nutzerkontrolle – Nutzer sollten die Möglichkeit haben, KI-Systeme abzulehnen, zu deaktivieren oder zu deinstallieren, insbesondere wenn grundlegende Rechte oder Interessen involviert sind (bei einigen Datenschutzgesetzen haben Nutzer das „Recht auf Ablehnung von automatisierten Entscheidungen“).

Datenschutz und Privatsphäre – Der AIA betont die Notwendigkeit der Datenminimierung, Zweckbindung und Sicherheitsvorkehrungen zum Schutz personenbezogener Daten bei der Verwendung von KI-Systemen und stimmt mit bestehenden Datenschutzgesetzen wie der DSGVO überein.

Die KI-Technologie ist die Zukunft und Gegenwart. Ihre Funktionen und potenziellen Anwendungsfälle werden sich weiterhin rasant weiterentwickeln. Dies stellt eine Herausforderung für die Regulierung dar, da die Erstellung und Aktualisierung von Gesetzen in der Regel viel langsamer vor sich geht als die Geschwindigkeit, mit der Technologien sich entwickeln.

Nutzer sollten jedoch nicht mit dem „Ausschluss der Gewährleistung“ konfrontiert werden (vor allem nicht online), wenn es um die neue Nutzung ihrer personenbezogenen Daten und die Herausforderungen in Bezug auf ihre Privatsphäre geht. Regulierungsbehörden müssen Gesetze entwickeln und aktualisieren, die klar und umfassend, aber flexibel genug sind, um heute und in Zukunft interpretierbar und durchsetzbar zu sein.

Unternehmen müssen sich darüber im Klaren sein, welche Datenschutzgesetze sie einhalten müssen, was diese vorschreiben und was das für ihre Geschäftstätigkeit bedeutet. Dies muss regelmäßig überprüft und klar kommuniziert werden, wenn sich die Betriebsabläufe ändern. Wenn versucht wird, Änderungen an den Nutzungsbedingungen vorzunehmen oder die erfassten Daten für neue Zwecke zu verwenden, ohne eine neue Einwilligung der Nutzer einzuholen, kann der Ruf der Marke schlagartig geschädigt werden. In vielen Ländern ist das gesetzeswidrig. Da Verbraucher immer besser über ihre Daten und ihre Privatsphäre Bescheid wissen, müssen Unternehmen auch immer deutlicher darüber informieren, wie sie Daten erfassen und verwenden.

Unternehmen sollten auch Best Practices wie Privacy by Design implementieren, um sicherzustellen, dass sie Menschen – die Quelle ihrer Daten – respektieren und die Gesetze einhalten. Dies trägt auch dazu bei, dass die Einwilligung eingeholt und die Erfassung und Nutzung von Daten auf gesetzliche Zulassungen für alle Vorgänge beschränkt wird, unabhängig davon, ob E-Commerce-Aufträge erfüllt oder neue KI-Modelle trainiert werden.

KI ist schlicht und einfach die jüngste Technologie, die Verbraucher, Unternehmen und Regulierungsbehörden vor neue Herausforderungen stellt. Sie ist nicht die erste und nicht die letzte ihrer Art. Doch die Best Practices für Datenschutzkonformität, für den Aufbau von Vertrauen bei den Nutzern und das erfolgreiche Wachstum von Unternehmen (oder den Erfolg von wissenschaftlicher Arbeit) sind nach wie vor die gleichen und leisten sowohl Unternehmen als auch Verbrauchern gute Dienste.

Mehr erfahren Sie noch heute bei unseren Experten.

Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.