:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DSGVO und künstliche Intelligenz Verhindert der Datenschutz eine erfolgreiche KI?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Datenschutzaufsichtsbehörden befassen sich ausführlich mit ChatGPT. Was kann man allgemein daraus lernen für eine datenschutzfreundliche KI? Und sind die Forderungen des Datenschutzes überhaupt erfüllbar, wenn man KI erfolgreich machen will? Wir geben einen Überblick, worauf es dem Datenschutz bei KI ankommt und wie KI mit Blick auf die DSGVO in Zukunft aussehen sollte.
Die Schlagzeilen zu den Möglichkeiten, aber auch Risiken durch ChatGPT überschlugen sich, als plötzlich die Meldung kam, die Datenschutzaufsichtsbehörde in Italien habe als erste Aufsichtsbehörde in Europa der Firma OpenAI untersagt, personenbezogene Daten von italienischen Bürgerinnen und Bürgern im Rahmen der Anwendung ChatGPT zu verarbeiten.
Zahlreiche andere Datenschutzaufsichtsbehörden wandten sich danach ebenfalls an OpenAI und verlangten Auskunft. Hinter der Vielzahl an Anfragen steckte nicht etwa der Wunsch anderer Aufsichtsbehörden, nun ebenfalls in Erscheinung zu treten.
Vielmehr obliegt es in Deutschland den Landesdatenschutzaufsichtsbehörden, sich mit den datenschutzrechtlichen Fragestellungen der Verarbeitung von personenbezogenen Daten durch ChatGPT und ähnlichen KI-Anwendungen zu befassen, und zwar jeder der Landesdatenschutzaufsichtsbehörden, da OpenAI keine Niederlassung in der EU unterhält. Dann sind alle europäischen Datenschutzaufsichtsbehörden dafür zuständig, in ihrem jeweiligen Zuständigkeitsbereich die Einhaltung der Datenschutz-Grundverordnung (DSGVO) durch das Unternehmen zu überwachen.
Schon wurde befürchtet, ChatGPT würde nun bald überall in der EU mit einer Untersagung belegt, personenbezogene Daten von Bürgerinnen und Bürgern der EU zu verarbeiten. Einige Kommentare sahen (wieder einmal) den Datenschutz als Verhinderer, diesmal für Künstliche Intelligenz (KI).
Was Datenschutzaufsichtsbehörden wissen wollen
Datenschützer haben schon mehrfach bekräftigt, dass es nicht darum gehe, Entwicklungen wie KI zu blockieren, sondern eben darum, KI und Datenschutz in Einklang zu bringen. Natürlich kann es bei Missachtung des Datenschutzes für den KI-Anbieter schwierig werden, dafür sorgen die Vorgaben der DSGVO. So erklärte zum Beispiel Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, anlässlich des Vorgehens der Aufsicht in Italien: „OpenAI hat nun in Italien eine Frist, Gegenmaßnahmen zu präsentieren. Danach droht eine Strafe von bis zu 20 Millionen Euro oder über vier Prozent des weltweiten Umsatzes des Unternehmens.“
Es gibt also gute Gründe, sich vor dem Einsatz einer KI-Lösung mit den Forderungen des Datenschutzes zu befassen. Was aber wollen die Aufsichtsbehörden wissen? Um was geht es dem Datenschutz?
Hier kann der Datenschutzfall ChatGPT ein gutes Beispiel sein, aus dem auch andere Anbieter von KI-basierten Lösungen Lehren ziehen können und sollten. „Je nach Fragen- oder Aufgabenstellung an ChatGPT gibt die nutzende Person unterschiedlich viele, teils sensitive Informationen von sich preis – etwa zu Interessen an politischen, religiösen, weltanschaulichen oder wissenschaftlichen Fragen oder zu ihrer familiären oder sexuellen Lebenssituation“, erklärte der Hessische Datenschutzbeauftragte Prof. Alexander Roßnagel. „Auch können Fragen über andere Personen gestellt werden. Unklar ist, zu welchen Zwecken eingegebene Daten verarbeitet werden und aus welchem Datenpool die hinter dem Dienst liegende, künstliche Intelligenz ihr Wissen speist. Erst wenn diese Fragen beantwortet wurden, kann ich prüfen, ob sich OpenAI mit ChatGPT an die europäischen Datenschutzvorgaben hält“, so Roßnagel weiter.
Seine Fragen an OpenAI sind mit den anderen deutschen Aufsichtsbehörden in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt, sie gelten also nicht etwa nur für Hessen. Innerhalb der EU findet eine Koordination in einer Taskforce des Europäischen Datenschutzausschusses statt, also handelt hier auch Deutschland nicht alleine.
„Sobald uns die Antwort von OpenAI vorliegt, werde ich mich mit den anderen Aufsichtsbehörden in Deutschland und Europa in der Bewertung der Antworten abstimmen. Als Reaktion auf die Bewertung kann ich nach der DSGVO vielfältige und wirksame Instrumente nutzen. Dabei geht es mir nicht darum, der gesellschaftlichen Bewertung von KI-Systemen vorzugreifen. Vielmehr fordere ich von amerikanischen KI-Anbietern den gleichen Datenschutz wie von europäischen Anbietern“, so Roßnagel.
Was zum Datenschutz bei KI gehört
Für den Datenschutz bei KI ist es insbesondere wichtig zu prüfen, ob die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien (Artikel 5 DSGVO) gerecht wird, ob sie auf einer gültigen Rechtsgrundlage beruht und ob sie für die Betroffenen ausreichend transparent ist. Zum Schutz von Kindern und Jugendlichen wird zudem gefragt, welche Altersgrenze für die Nutzung von ChatGPT bestimmt ist, wie die Einhaltung der Altersgrenze überprüft wird und ob für alle Nutzenden unter 16 Jahren die Einwilligung der Erziehungsberechtigten eingeholt wird.
Außerdem erfragen die Aufsichtsbehörden, ob die Nutzungsdaten als Trainingsdaten im Rahmen des maschinellen Lernens verwendet werden, welche Quellen für die Auskünfte über Personen genutzt werden und für welche Zwecke (wie etwa Profilbildung und Werbung) die Nutzungsdaten gespeichert werden.
Wer sich diese Fragen genau ansieht, wird feststellen, dass der Datenschutz nichts Ungewöhnliches von KI verlangt, sondern letztlich das, was bei einer Verarbeitung personenbezogener Daten immer gegeben sein muss. KI ist insofern ein besonderer Fall, als dass es hier schwieriger erscheint, die notwendige Transparenz zur Datenverarbeitung zu erlangen. Es muss möglich sein zu erfahren, was zum Beispiel zur Umsetzung von Betroffenenrechten machbar ist (wie Auskunft und Löschung), die Rechtsklarheit ist notwendig (wie Einwilligung), und geeignete Regelungen zu technischen und organisatorischen Maßnahmen müssen vorhanden sein, um die Daten vor Missbrauch zu schützen (wie Anonymisierung, Verschlüsselung, Berechtigungssysteme).
Das Beispiel ChatGPT zeigt auch, dass Forderungen der Datenschützer weder jenseits der Umsetzbarkeit liegen noch die Verwendung von KI verhindern. So hat OpenAI bereits mit ersten Schritten reagiert: ChatGPT-Benutzer können jetzt den Chat-Verlauf deaktivieren, so dass sie auswählen können, welche Konversationen zum Trainieren der Modelle verwendet werden können.
Welche weiteren Maßnahmen noch für den Fall ChatGPT notwendig ist, wird die Bewertung der Datenschutzaufsichtsbehörden zeigen. Das Ziel ist und bleibt dabei, die Grundrechte zu schützen und gleichzeitig die damit vereinbare Datennutzung zu fördern. Das steht konkret in der DSGVO: Es sollen die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt und der freie Verkehr personenbezogener Daten in der Union erleichtert werden. Der Datenschutz verhindert also keine KI, sondern schützt die Grundrechte bei KI-Verwendung.
(ID:49451356)
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")