KI und Datenschutz: So beeinflusst die moderne Technologie deine Daten
KI ist auf dem Vormarsch: Immer mehr Menschen und Unternehmen nutzen KI-Tools und geben damit auch Daten preis. Erfahre, welche Risiken bei KI-Systemen hinsichtlich Datenschutzes bestehen und mit welchem Best Practices du sie umgehst.
Künstliche Intelligenz (KI) ist aus unserem (Arbeits-)Alltag kaum mehr wegzudenken. Inzwischen nutzt die Mehrheit der Schweizerinnen und Schweizer die Technologie, wie die aktuelle IGEM-Digimonitor-Studie zeigt: Demnach verwenden 60 Prozent der Schweizer Bevölkerung KI-Anwendungen wie ChatGPT und Co im Alltag – das sind 20 Prozentpunkte mehr als im Jahr zuvor! Jüngere Menschen (zwischen 15 und 34 Jahre) nutzen KI-Tools mehrheitlich auch im beruflichen Kontext (69 Prozent).
Diese Entwicklung war abzusehen, denn KI bietet viele Vorteile: Sie ermöglicht es, grosse Datenmengen zu verarbeiten, zu analysieren und darauf basierend Entscheidungen zu treffen. Sie ist deshalb eine wertvolle Unterstützung und hilft, die Produktivität zu steigern. Doch hierzu greift KI auch auf persönliche und sensible Daten zu. Deshalb stellen sich bei der Nutzung von KI eine Reihe von Datenschutzfragen.
KI als «Black Box»: Die grosse Herausforderung bezüglich Datenschutz
Die wohl grösste Schwierigkeit in Sachen KI und Datenschutz besteht darin, dass bei vielen KI-Systemen gar nicht so klar ist, welche Daten sie nutzen. Dabei fusst ihre Funktionsweise auf Daten:
- KI wird mit riesigen Datenmengen trainiert
- Weitere Daten werden der KI zur Kontextualisierung bereitgestellt
- Nutzende geben Input-Daten ein
- Das System gibt Output-Daten aus
Bezüglich der verwendeten Daten sind KI-Tools oft intransparent und werden deshalb auch als «Black Boxes» bezeichnet. Bei komplexen Systemen wie den Machine-Learning-Modellen kommt erschwerend hinzu, dass auch kaum nachvollziehbar ist, wie sie ihre Entscheidungen treffen – sprich: Warum sie aus den Input-Daten genau diesen Output generiert haben.
Zwischen KI und Datenschutz besteht daher ein Spannungsverhältnis: Die Technologie braucht Daten, um Ergebnisse zu liefern, aber die Daten müssen vor der Technologie geschützt werden. Das verlangt Unternehmen einiges ab, vor allem hinsichtlich Ethik und Urheberrecht.
KI und Datenschutz: Diese Regeln gibt es bereits
Politik und Gesetzgebung hinken technologischen Entwicklungen hinterher, weshalb spezifische Regelungen zu KI oft noch fehlen. Jedoch unterliegt die Technologie Rechtsnormen wie der Datenschutz-Grundverordnung (DSGVO) der EU und dem Datenschutzgesetz des Bundes (DSG).
Seit August 2024 gilt zudem der «KI-Act» der EU, der auch Auswirkungen auf die Schweiz hat. Die Schweiz hat die Konvention des Europarat über KI zudem im März 2025 unterzeichnet.
Der KI-Act tritt gestaffelt in Kraft:
- Februar 2025: Bestimmte KI-Systeme sind verboten (z. B. manipulative oder täuschende Techniken), Mitarbeitende müssen geschult werden.
- August 2025: Vorschriften für neue KI-Modelle mit allgemeinem Verwendungszweck (GPAI), nationale Behörde muss benannt und zentrale Anlaufstelle eingerichtet werden
- August 2026: Regeln für Hochrisiko-KI-Systeme (z. B. kritische Infrastruktur, Strafverfolgung) und Transparenzpflichten für Anbietende, KI-Reallabor auf nationaler Ebene, Sanktionsregeln
- August 2027: Regeln für GPAI-Systeme, die vor 2025 eingeführt wurden
6 Risiken, die KI im Kontext Datenschutz birgt
1. Mangelnde Transparenz
Ein KI-Modell kann aus Millionen oder sogar Milliarden von Parametern bestehen. Jeder Parameter beeinflusst das Ergebnis auf eine Weise, die schwer isoliert betrachtet werden kann.
Beispiel: Eine Bank setzt ein KI-System ein, um über die Kreditwürdigkeit ihrer Kundinnen und Kunden zu entscheiden. Die Entscheidungslogik ist aus aber derart komplex, dass die Bank nicht nachvollziehen kann, warum Kredite abgelehnt werden.
2. Verzerrte Trainingsdaten
Ist die Datenmenge zu klein oder ist sie nicht repräsentativ, richtet sich das KI-Modell zu stark an spezifischen Beispielen aus. Ist eine Gruppe unterrepräsentiert, werden Muster falsch interpretiert.
Beispiel: Mitarbeitende einer HR-Abteilung nutzen für die Rekrutierung ein KI-System, welches mit Daten trainiert wurde, die eine historische Benachteiligung von Frauen widerspiegeln. Dies führt zu einer unbewussten Bevorzugung von männlichen Bewerbern.
3. Urheberrechtsverletzungen
Eine der rechtlichen Herausforderungen im Zusammenhang mit künstlicher Intelligenz ist die Frage nach dem geistigen Eigentum. Erzeugt die KI-Anwendung Inhalte, die urheberrechtlich geschützten Inhalten stark ähneln, kann dies eine Urheberrechtsverletzung darstellen.
Beispiel: Französische Medienunternehmen klagten gegen Google, da deren KI-Anwendung «Gemini» ohne Vorabinformation mit Inhalten der Zeitung trainiert wurde. Google musste 250 Mio. Euro zahlen.
4. Automatisierte Entscheidungen
Dank KI können Daten schneller analysiert und ausgewertet und Entscheidungen automatisch getroffen werden. Doch was passiert, wenn diese Entscheidungen fehlerhaft sind?
Beispiel: Ein Versicherungsunternehmen verwendet künstliche Intelligenz, um Schadensfälle effizienter zu bearbeiten. In einigen Fällen werden legitime Ansprüche abgelehnt, weil der Algorithmus bestimmte Muster fehlinterpretiert.
5. Fehlende Kontrolle und Einwilligung
In vielen Fällen haben Individuen nur begrenzte Möglichkeiten, der Verarbeitung ihrer Daten durch KI-Systeme zu widersprechen oder ihre Präferenzen effektiv zu steuern.
Beispiel: Eine App für mobile Geräte verwendet KI, um personalisierte Werbung zu schalten. Die App sammelt und analysiert persönliche Daten ohne ausreichende Aufklärung und explizite Zustimmung der Nutzer und Nutzerinnen.
6. Datenschutzverletzungen
Wie alle IT-Systeme, sind KI-Systeme anfällig für Sicherheitslücken. Datenlecks oder Datendiebstähle können gravierende Auswirkungen haben.
Beispiel: Ein Krankenhaus nutzt künstliche Intelligenz, um die Daten von Patienten und Patientinnen zu analysieren. Ein Hackerangriff führt zum Diebstahl sensibler Gesundheitsdaten, die im System gespeichert sind.
KI und Datenschutz in der Praxis: 6 Best Practices
- Interne Richtlinien festlegen: Definiere, welche Daten als Trainings- und Input-Daten für die KI verwendet werden dürfen, und lege fest, wie lange Informationen gespeichert werden dürfen.
- Richtiges Werkzeug wählen: Tappe nicht in die Gratisfalle! Gerade für interne und vertrauliche Daten solltest du Business-Versionen nutzen, weil die Anbietenden hier vertraglich oft mehr zusichern. Es gilt natürlich, die Nutzungsbedingungen zu überprüfen!
- Hosting prüfen: Die verwendete KI sollte DSG-konform sein, im Idealfall wird sie in der Schweiz gehostet.
- Mitarbeitende schulen: Den Nutzenden muss klar sein, wie das KI-Modell funktioniert und wofür sie es nutzen können und dürfen. Sie müssen zudem den effizienten Umgang damit erlernen.
- Pilotprojekt starten: Es ist sinnvoll, nicht gleich das grosse Rad zu drehen, sondern zunächst im Kleinen zu starten. So kannst du aus Fehlern lernen und auf Erfolgen aufbauen.
- Erfolge kommunizieren: Die Vorteile, die sich aus der Nutzung von KI ergeben sollten ans Team kommuniziert werden. Das schafft Akzeptanz.