20.09.2023 | IT-Recht und Datenschutz
1. Nutzerdaten als KI-Trainingsdaten
Im März 2023 wurde in die Nutzungsbedingungen (AGB) des Meeting-Tools Zoom ein Passus aufgenommen, der es Zoom erlaubte, Kundeninhalte „zum Zweck des maschinellen Lernens“ und „der künstlichen Intelligenz“ zu verarbeiten. Auf öffentlichen Druck hin wurde diese Regelung Anfang August 2023 zunächst in eine Opt-Out-Lösung abgewandelt und schließlich vollkommen entfernt.
Zoom sah sich sogar zu folgender Klarstellung in den AGB gezwungen:
„Zoom verwendet keine Audio-, Video-, Chatinhalte, per Bildschirmfreigabe weitergegebenen Dateien, Anhänge oder sonstige kommunikationsähnliche Kundeninhalte (z. B. Ergebnisse von Umfragen, Whiteboards und Reaktionen), um Modelle künstlicher Intelligenz zu trainieren.“
Nunmehr kündigte Zoom neue KI-gestützte Features an, mit denen Meetings transkribiert und automatisch zusammengefasst werden („Zoom AI Companion“). Zoom bleibt dabei der neuen (strengen) Linie treu: Nutzerdaten sollen nicht als Trainingsdaten für die eingesetzte KI verwendet werden. Dennoch sollten Unternehmen solche Funktionen nicht bedenkenlos nutzen, ohne geprüft zu haben, ob dem das Datenschutzrecht oder womöglich ein Mitbestimmungsrecht des Betriebsrats entgegenstehen.
2. Risiken bei der unbewussten und bewussten Nutzung von KI in Unternehmen
Das Beispiel Zoom zeigt, dass Anbieter von Software-Lösungen ihre AGB durch Anpassungsklauseln weitgehend unbemerkt ändern können. „Wenn Sie mit der Nutzung der Dienste nach dem Datum des Inkrafttretens der Änderungen fortfahren, stimmen Sie den geänderten Bedingungen zu.“ Immerhin blieben die Zoom-AGB in ihrer KI-freundlichen Fassung über vier Monate in Kraft.
Laut einer Umfrage des Branchenverbands BITKOM sind sich 9 Prozent der Vorgesetzten nicht sicher, gehen aber davon aus, dass einzelne Beschäftigte generative KI beruflich einsetzen; immerhin 7 Prozent wissen von Einzelfällen. Wenn entsprechende Tools für den dienstlichen Gebrauch verwendet werden, birgt die Auswertung der Nutzerdaten zu KI-Trainingszwecken auf verschiedenen Ebenen ein enormes Risiko:
- Möglicherweise kommt es zum Datentransfer in Drittländer, der auf seine datenschutzrechtliche Zulässigkeit geprüft werden muss.
- Mit der Umsetzung datenschutzrechtlicher Betroffenenrechte sind große Herausforderungen verbunden, wenn nicht klar ist, wessen personenbezogene Daten zu Trainingszwecken verwendet wurden. Die datenschutzrechtliche Verantwortlichkeit verschwimmt.
- In der Regel bedarf es einer Datenschutzfolgenabschätzung.
- Außerdem besteht die Gefahr, dass in den Trainingsdaten enthaltene Geschäftsgeheimnisse an anderer Stelle reproduziert werden. Es ist gegenwärtig nahezu unmöglich, KI-Anwendungen nachträglich von einzelnen Trainingsdaten zu bereinigen.
Entsprechendes gilt für die gezielte Nutzung von KI im Unternehmen, sei es in Gestalt von DeepL, ChatGPT, Google Bard und Co. Die von Beschäftigten eingegebenen Daten werden – ja nach Version und Kostenmodell – im Einzelfall von dem entsprechenden Anbieter zu Zwecken des Trainings und der Analyse weiterverwendet.
3. Was können Unternehmen tun?
Nur jedes hundertste Unternehmen, so BITKOM, hat Regeln für den Einsatz von generativer KI durch einzelne Beschäftigte festgelegt, 16 Prozent planen dies für die Zukunft. Unternehmen können nicht länger ignorieren, dass Beschäftigte KI-Tools – bewusst oder unbewusst – in ihrer täglichen Arbeit nutzen. Es lohnt sich,
- die Nutzungsbedingungen jedes einzusetzenden und eingesetzten Dienstes auf entsprechende Klauseln zu überprüfen; dabei Aktualisierungen im Blick zu behalten,
- „datensparsame“ Einstellungen zu wählen, die eine Nutzung der eingegebenen Daten für Trainingszwecke beschränken,
- den Markt ständig nach Alternativanbietern zu sondieren,
- Beschäftigte und sonstige Nutzer von KI-Tools zu sensibilisieren und
- Richtlinien oder Leitfäden für den Einsatz solcher Tools herauszugeben.