K├╝nstliche Intelligenz trifft auf Datenschutz

K├╝nstliche Intelligenz (KI oft auch engl. AI = Artificial Intelligence) wird ├╝berall thematisiert. Dabei handelt es sich hier um kein neues Ph├Ąnomen. Bereits in der Vergangenheit haben uns beispielsweise KI-Gadgets wie Amazon Alexa, Google Glasses oder die Oral B iO Zahnb├╝rste im Alltag begleitet. Nun sorgen auch die  j├╝ngsten Ver├Âffentlichungen von Programmen wie Chat GPT und Vall-E f├╝r mediale Furore. ÔÇťBotsÔÇŁ l├Âsen wiederkehrende Aufgaben, welche bisher der Mensch erledigte. Die Programme schreiben Texte, zeichnen Bilder, beantworten Fragen, komponieren Musik, uvm. T├Ąglich erscheinen neue Entwicklungen am Markt und die Nutzerzahlen steigen.

Dabei liegt eines klar auf der Hand ÔÇô die K├╝nstliche Intelligenz ist auf Daten angewiesen. Die Algorithmen m├╝ssen mit gro├čen Datenmengen gef├╝ttert werden, um zu funktionieren. Das hei├čt: die KI kombiniert und aggregiert ├Âffentlich zug├Ąngliche Daten, um daraus Schlussfolgerungen zu ziehen. Doch wie erh├Ąlt die KI den Zugriff zu den Daten und ist die Vorgangsweise mit den strengen Anforderungen der DSGVO zu vereinbaren?

L├äSST SICH K├ťNSTLICHE INTELLIGENZ AUCH IM EINKLANG MIT DEM EU-DATENSCHUTZ VERWENDEN?

Wann trifft K├╝nstliche Intelligenz auf den Datenschutz?

Die DSGVO muss ber├╝cksichtigt werden, sobald personenbezogene Daten im Spiel sind. Ein Beispiel ist die Webanalyse mittels KI-Technologie:

Wenn die KI das Surfverhalten von Nutzer:innen im Internet analysiert, um R├╝ckschl├╝sse auf die Inhalte der Website zu erm├Âglichen und Verbesserungsvorschl├Ąge basierend auf dem Verhalten der Nutzer:innen zu liefern, dann werden hierf├╝r oftmals personenbezogene Daten verarbeitet.  Ein kritischer Punkt ist die Verarbeitung der IP-Adresse (die ÔÇťPostadresseÔÇŁ eines Ger├Ąts im Internet). Laut Urteil des Europ├Ąischen Gerichtshofs (EuGH) handelt es sich bei IP-Adressen um personenbezogene Daten und diese d├╝rfen nicht ohne weiteres verarbeitet werdenDie Realit├Ąt ist: Google hat mit GA4 datenschutzrechtliche Verbesserungen eingef├╝hrt, kann aber die Anforderungen der DSGVO nicht zur G├Ąnze erf├╝llen.

Fazit: Bevor eine Webanalyse starten kann, muss die IP-Adresse anonymisiert werden und f├╝r die Verarbeitung weiterer personenbezogene Daten muss eine Einwilligung der Nutzer:in vorliegen. Das bringt wiederum das Consent Management ins Spiel, um die DSGVO Anforderungen auch erf├╝llen zu k├Ânnen.

Die DSGVO gilt auch f├╝r KI-Algorithmen

In der DSGVO ist festgelegt, dass Nutzer:innen das Recht haben zu erfahren, wie ihre personenbezogenen Daten verwendet werden. Das bedeutet: die rechtm├Ą├čige, faire und transparente Verarbeitung von personenbezogenen Daten gilt auch f├╝r KI-Algorithmen.

Einfach gesagt: Wenn ein Unternehmen eine KI-Technologie einsetzt, muss erkl├Ąrbar sein, wie KI-Entscheidungen getroffen werden und welche Daten zum Trainieren der KI herangezogen werden. Dabei ist auch darauf zu achten, dass die KI nicht voreingenommen trainiert wird, um Verzerrungen im Ergebnis zu vermeiden.

Bevor KI-Dienste direkt oder ├╝ber Schnittstellen eingesetzt werden, sind einige ├ťberlegungen zu machen, um auf datenschutzrechtliche Herausforderungen vorbereitet zu sein.

Privacy by Design

Art 25 DSGVO regelt Grunds├Ątze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, besser bekannt als ÔÇťPrivacy by DesignÔÇŁ.

Bereits in der Konzeptionsphase einer Software muss bedacht werden, wie der Datenschutz bei Datenverarbeitungsvorg├Ąngen eingehalten und technisch integriert wird.

Die Interessen der betroffenen Personen m├╝ssen, auch beim Einsatz von KI-Diensten, bestm├Âglich gesch├╝tzt und respektiert werden

Best Practice Beispiel: 506 Data & Performance GmbH

 

Wie der Einsatz von KI-Technologie auch im Online Marketing datenschutzkonform gelingt, zeigt unser Beispiel der Artificial Customer Intelligence von 506 Data & Performance GmbH:

Als Experten f├╝r k├╝nstliche Intelligenz und Online-Marketing revolutionieren sie die Art und Weise, wie Unternehmen ihre Daten nutzen, um mit ihren Kunden zu kommunizieren.

Mit einem professionellen Trackingkonzept, erfolgt die datenschutzkonforme Sammlung von First Party Daten, basierend auf der Zustimmung des Users in einem anonymisierten Userprofil.

Durch die KI-gest├╝tzte Analyse mit Large Language Models kann bereits f├╝r den unbekannten Nutzer erkannt werden, welche Inhalte f├╝r den jeweiligen Nutzer relevant sind. Sobald sich der User durch die Eingabe der E-Mail Adresse z.B. Newsletteranmeldung, Reservierungsanfrage identifiziert, kann anhand dieser Information das Verhalten auf der Website mit Informationen aus anderen Systemen (z.B. CRM, ERP, HR- oder Buchungssysteme) verbunden werden.

Mit der 506 Customer Intelligence Plattform kann somit erstmals eine nicht-regelbasierte, ganzheitliche Analyse der konsumierten Inhalte durchgef├╝hrt und neue Zielgruppen erstellt werden. Eine genaue, durch k├╝nstliche Intelligenz generierte Beschreibung der Zielgruppen kann anschlie├čend dazu genutzt werden, Werbemittel zielgruppengerecht anzupassen. Diese Zielgruppen k├Ânnen anschlie├čend auf Social Media oder auf der eigenen Website erreicht und individuell angesprochen werden.

Zus├Ątzlich k├Ânnen die gewonnenen Informationen f├╝r die Optimierung der Contenterstellung oder Produktentwicklung eingesetzt werden. Durch die erstmalige M├Âglichkeit, die User Experience schon ab der ersten Interaktion mit dem noch unbekannten User zu verbessern, werden h├Âhere Abschlussraten sowie eine Verbesserung der Kundenbindung erreicht.

506ai setzt dabei bewusst auf datenschutzkonforme L├Âsungen in Punkto Tracking (Piwik Pro) und Consent Management (DataReporter).

Ein Gesetz zur Regulierung der KI: EU Artificial Intelligence Act

Die EU plant ein Gesetz zur umfassenden Regulierung k├╝nstlicher Intelligenz. Mit dem AI Act sollen einerseits die Entwicklung neuer Systeme vorangetrieben und die Innovation gest├Ąrkt werden, um eine strategische F├╝hrungsrolle einzunehmen. Andererseits soll ein einheitlicher Rechtsrahmen geschaffen werden, um die Risiken f├╝r die Grundrechte von Menschen zu minimieren.

Das bedeutet: KI-Anwendungen werden nach Risiko klassifiziert und bed├╝rfen einer detaillierten, technischen Dokumentation und Zertifizierung.

UPDATE: Seit Ende 2022 liegt der Entwurf des AI Acts dem EU Parlament zur Stellungnahme vor. Die Ausschusssitzung des EU-Parlaments wurde im April 2023 wegen strittiger Punkte verschoben. Somit verz├Âgert sich auch der Start des Trilogverfahrens zwischen EU Parlament, Rat und Kommission zum AI Act. Es bleibt abzuwarten, wann die Verhandlungen starten.

KI-Einsatz nicht ohne Consent Management

Wenn ├╝ber eine KI-Software personenbezogene Daten verarbeitet werden, gelten die Richtlinien der DSGVO und der Einsatz des richtigen Consent Management Systems ist essenziell. ├ťber das Consent Management System wird eine Zustimmung der Einzelperson f├╝r Datenverarbeitung eingeholt.

Viele KI-Dienste sind auf eine hohe Einwilligungsrate angewiesen, um aussagekr├Ąftige Daten als Basis f├╝r Analyset├Ątigkeiten und Handlungsvorschl├Ągen zu haben. Demnach ist auch hierf├╝r WebCare von DataReporter eine ideale Softwarel├Âsung, um diese Einwilligungen datenschutzkonform zu erzielen.

WebCare ist eine Komplettl├Âsung, mit der du vollautomatisch die datenschutzrechtliche Einwilligung deiner Websitenutzer:innen verwaltest, deine Datenschutzerkl├Ąrung stets up-to-date und das Impressum vollst├Ąndig h├Ąltst. WebCare bietet dir ein einzigartiges ÔÇťRundum-sorglos-PaketÔÇŁ Ôćĺ erfahre mehr, leg gleich los und vereinbare deine pers├Ânliche Online-Demo

Sonja Seirlehner, MBA MSc,
Head of Business Development DataReporter GmbH
Neugierig geworden?

Sie haben noch Fragen?

Gerne nehmen wir uns Zeit f├╝r Sie und beraten Sie unverbindlich.
Wir freuen uns auf Ihre Kontaktaufnahme!