15.05.2023
Auch beim Einsatz von Künstlicher Intelligenz müssen die Datenschutzrichtlinien eingehalten werden & EU-Regelungen werden diskutiert. Neues zum AI Act & mehr.
Künstliche Intelligenz (KI oft auch engl. AI = Artificial Intelligence) wird überall thematisiert. Dabei handelt es sich hier um kein neues Phänomen. Bereits in der Vergangenheit haben uns beispielsweise KI-Gadgets wie Amazon Alexa, Google Glasses oder die Oral B iO Zahnbürste im Alltag begleitet. Nun sorgen auch die[nbsp] jüngsten Veröffentlichungen von Programmen wie Chat GPT und Vall-E für mediale Furore. “Bots” lösen wiederkehrende Aufgaben, welche bisher der Mensch erledigte. Die Programme schreiben Texte, zeichnen Bilder, beantworten Fragen, komponieren Musik, uvm. Täglich erscheinen neue Entwicklungen am Markt und die Nutzerzahlen steigen.
Dabei liegt eines klar auf der Hand – die Künstliche Intelligenz ist auf Daten angewiesen. Die Algorithmen müssen mit großen Datenmengen gefüttert werden, um zu funktionieren. Das heißt: die KI kombiniert und aggregiert öffentlich zugängliche Daten, um daraus Schlussfolgerungen zu ziehen. Doch wie erhält die KI den Zugriff zu den Daten und ist die Vorgangsweise mit den strengen Anforderungen der DSGVO zu vereinbaren?
Lässt sich Künstliche Intelligenz auch im Einklang mit dem EU-Datenschutz verwenden?
Wann trifft Künstliche Intelligenz auf den Datenschutz?
Die DSGVO muss berücksichtigt werden, sobald personenbezogene Daten im Spiel sind. Ein Beispiel ist die Webanalyse mittels KI-Technologie:
Wenn die KI das Surfverhalten von Nutzer:innen im Internet analysiert, um Rückschlüsse auf die Inhalte der Website zu ermöglichen und Verbesserungsvorschläge basierend auf dem Verhalten der Nutzer:innen zu liefern, dann werden hierfür oftmals personenbezogene Daten verarbeitet. Ein kritischer Punkt ist die Verarbeitung der IP-Adresse (die “Postadresse” eines Geräts im Internet). Laut Urteil des Europäischen Gerichtshofs (EuGH) handelt es sich bei IP-Adressen um personenbezogene Daten und diese dürfen nicht ohne weiteres verarbeitet werdenDie Realität ist: Google hat mit GA4 datenschutzrechtliche Verbesserungen eingeführt, kann aber die Anforderungen der DSGVO nicht zur Gänze erfüllen.
Fazit: Bevor eine Webanalyse starten kann, muss die IP-Adresse anonymisiert werden und für die Verarbeitung weiterer personenbezogene Daten muss eine Einwilligung der Nutzer:in vorliegen. Das bringt wiederum das Consent Management ins Spiel, um die DSGVO Anforderungen auch erfüllen zu können.
Die DSGVO gilt auch für KI-Algorithmen
In der DSGVO ist festgelegt, dass Nutzer:innen das Recht haben zu erfahren, wie ihre personenbezogenen Daten verwendet werden. Das bedeutet: die rechtmäßige, faire und transparente Verarbeitung von personenbezogenen Daten gilt auch für KI-Algorithmen.
Einfach gesagt: Wenn ein Unternehmen eine KI-Technologie einsetzt, muss erklärbar sein, wie KI-Entscheidungen getroffen werden und welche Daten zum Trainieren der KI herangezogen werden. Dabei ist auch darauf zu achten, dass die KI nicht voreingenommen trainiert wird, um Verzerrungen im Ergebnis zu vermeiden.
Bevor KI-Dienste direkt oder über Schnittstellen eingesetzt werden, sind einige Überlegungen zu machen, um auf datenschutzrechtliche Herausforderungen vorbereitet zu sein.
Privacy by Design
Art 25 DSGVO regelt Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, besser bekannt als “Privacy by Design”.
Bereits in der Konzeptionsphase einer Software muss bedacht werden, wie der Datenschutz bei Datenverarbeitungsvorgängen eingehalten und technisch integriert wird.
Die Interessen der betroffenen Personen müssen, auch beim Einsatz von KI-Diensten, bestmöglich geschützt und respektiert werden.
Best Practice Beispiel: 506 Data & Performance GmbH
Wie der Einsatz von KI-Technologie auch im Online Marketing datenschutzkonform gelingt, zeigt unser Beispiel der Artificial Customer Intelligence von 506 Data [&] Performance GmbH:
Als Experten für künstliche Intelligenz und Online-Marketing revolutionieren sie die Art und Weise, wie Unternehmen ihre Daten nutzen, um mit ihren Kunden zu kommunizieren.
Mit einem professionellen Trackingkonzept, erfolgt die datenschutzkonforme Sammlung von First Party Daten, basierend auf der Zustimmung des Users in einem anonymisierten Userprofil.
Durch die KI-gestützte Analyse mit Large Language Models kann bereits für den unbekannten Nutzer erkannt werden, welche Inhalte für den jeweiligen Nutzer relevant sind. Sobald sich der User durch die Eingabe der E-Mail Adresse z.B. Newsletteranmeldung, Reservierungsanfrage identifiziert, kann anhand dieser Information das Verhalten auf der Website mit Informationen aus anderen Systemen (z.B. CRM, ERP, HR- oder Buchungssysteme) verbunden werden.
Mit der 506 Customer Intelligence Plattform kann somit erstmals eine nicht-regelbasierte, ganzheitliche Analyse der konsumierten Inhalte durchgeführt und neue Zielgruppen erstellt werden. Eine genaue, durch künstliche Intelligenz generierte Beschreibung der Zielgruppen kann anschließend dazu genutzt werden, Werbemittel zielgruppengerecht anzupassen. Diese Zielgruppen können anschließend auf Social Media oder auf der eigenen Website erreicht und individuell angesprochen werden.
Zusätzlich können die gewonnenen Informationen für die Optimierung der Contenterstellung oder Produktentwicklung eingesetzt werden. Durch die erstmalige Möglichkeit, die User Experience schon ab der ersten Interaktion mit dem noch unbekannten User zu verbessern, werden höhere Abschlussraten sowie eine Verbesserung der Kundenbindung erreicht.
506ai setzt dabei bewusst auf datenschutzkonforme Lösungen in Punkto Tracking (Piwik Pro) und Consent Management (DataReporter).
Ein Gesetz zur Regulierung der KI: EU Artificial Intelligence Act
Die EU plant ein Gesetz zur umfassenden Regulierung künstlicher Intelligenz. Mit dem AI Act sollen einerseits die Entwicklung neuer Systeme vorangetrieben und die Innovation gestärkt werden, um eine strategische Führungsrolle einzunehmen. Andererseits soll ein einheitlicher Rechtsrahmen geschaffen werden, um die Risiken für die Grundrechte von Menschen zu minimieren.
Das bedeutet: KI-Anwendungen werden nach Risiko klassifiziert und bedürfen einer detaillierten, technischen Dokumentation und Zertifizierung.
⚖️ Update: Seit Ende 2022 liegt der Entwurf des AI Acts dem EU Parlament zur Stellungnahme vor. Die Ausschusssitzung des EU-Parlaments wurde im April 2023 wegen strittiger Punkte verschoben. Somit verzögert sich auch der Start des Trilogverfahrens zwischen EU Parlament, Rat und Kommission zum AI Act. Es bleibt abzuwarten, wann die Verhandlungen starten.
KI-Einsatz nicht ohne Consent Management
Wenn über eine KI-Software personenbezogene Daten verarbeitet werden, gelten die Richtlinien der DSGVO und der Einsatz des richtigen Consent Management Systems ist essenziell. Über das Consent Management System wird eine Zustimmung der Einzelperson für Datenverarbeitung eingeholt.
Viele KI-Dienste sind auf eine hohe Einwilligungsrate angewiesen, um aussagekräftige Daten als Basis für Analysetätigkeiten und Handlungsvorschlägen zu haben. Demnach ist auch hierfür WebCare die ideale Softwarelösung, um diese Einwilligungen datenschutzkonform zu erzielen.
Bildquelle:
Pexels.com, cottonbro studio
Pexels.com, cottonbro studio
Pexels.com, cottonbro studio
Du hast Fragen? Dann schreibe uns bitte - wir sind immer für dich da.