Fünf Jahre ist die DSGVO nun in Kraft und die Europäische Kommission will die Regelung noch im ersten Halbjahr verbessern. Konkret sollen verbindliche Fristen für die Weiterleitung von Beschwerden und eine generelle Bearbeitungsfrist kompletter Beschwerdeverfahren eingeführt werden.
Das Thema KI wird die EU separat im “AI Act” regeln, wobei DSGVO und KI eng verflochten sind, wie der Bann von ChatGPT in Italien zeigt. Wie Firmen das Potenzial von KI für sich nutzen können, unter kontrolliertem rechtlichen Risiko, erläutert Mark Molyneux, EMEA CTO bei Cohesity und formuliert vier konkrete Empfehlungen:
Rechtliche, technische und ethische Fragen
„ChatGPT hat KI für jeden frei zugänglich gemacht und in den Alltag gebracht. Diesen Januar sollen mehr als 100 Millionen aktive User die KI genutzt haben – zwei Monate nach ihrem Start. Damit ist ChatGPT nach Reuters die am schnellsten gewachsene Consumer-Anwendung der Geschichte. Und mit jeder neuen Version wird diese KI größer und besser. Und mit jeder neuen Version wirft sie mehr Fragen auf – rechtlich, technisch und ethisch. Denn es mangelt an Transparenz, niemand von außen kann in diese Black Box schauen.
Die Italienische Regierung hat sich entschieden, ChatGPT zu bannen. Die KI verstöße gegen Prinzipien der DSGVO, heißt es von der italienischen Staatsanwaltschaft. Die Europäischen Staaten und ihre Datenschutzbehörden sehen sich in der Pflicht, die KI in den Blick zu nehmen. Es passt ins Bild, dass gegen die Firma für Gesichtserkennung, Clearview AI, im vergangenen Jahr gleich dreimal Strafen von bis zu 20 Millionen Euro ausgesprochen wurden. Die Datenschützer in Großbritannien , Italien und Griechenland waren der Meinung, diese Firma und ihre AI verletze die Rechte der Bürger.
Verstöße gegeb die DSGVO
Das Gesamtbild ist unscharf, es sind aber klare Tendenzen erkennbar, dass der Einsatz von KI mit bestimmten Daten rechtliche Risiken schafft, wenn mit DSGVO-relevanten Daten hantiert wird. Und die Statistiken zeigen, dass die Behörden in Europa weiter hohe Strafen verhängen – insbesondere gegen Big Data. Von Mai 2022 bis Mai dieses Jahres wurden Bußgelder in Höhe von 1,1 Milliarden Euro erhoben – neun der zehn höchsten Strafen wurden gegen Tech-Giganten aus den USA ausgesprochen.
Die EU will die Rechtslage im AI Act klarer regeln. Das europaweite KI-Gesetz hat am 11. Mai die erste Hürde genommen und soll Mitte Juni im Plenum verabschiedet werden. Es wird bis 2024 dauern, bis das Gesetz tatsächlich in Kraft tritt. Und erst viel später wird in den ersten Fällen klar, wie es in der Praxis tatsächlich wirkt. Sicher ist, dass auf Firmen und ihre Mitarbeiter aus Compliance-Sicht neue Aufgaben und Pflichten zukommen.
Kontrolliertes Risiko
Niemand in der freien Wirtschaft kann es sich leisten, bis dahin zu warten. Firmen und Privatpersonen brauchen jetzt klare Orientierung. Denn sie wollen das große Potenzial dieser Technik nutzen, erste Firmen tun es bereits. Es gibt vier klare Empfehlungen, wie Firmen dies angehen können, ohne rechtliche Risiken zu verursachen und trotzdem den Usern nicht im Weg zu stehen. Und zugleich so aufgestellt zu sein, dass man den AI Act voll umsetzen kann, ohne die IT auf den Kopf zu stellen:
- Compliance immer mitdenken: Ob der Einsatz von KI Compliance betrifft, hängt schlicht vom Anwendungsszenario und den genutzten Daten ab. Wer KI DSGVO-konform einsetzen will, sollte vor Einführung den Rat eines Datenschutzexperten einholen.
- Daten kennen: Unternehmen und ihre Mitarbeiter müssen genau wissen, mit welchen Daten sie die KI füttern und welchen Wert diese Daten für die Firma besitzen. Einige KI -Anbieter übertragen diese Entscheidung bewusst an die Daten-Owner, weil sie die Daten am besten kennen.
- Inhalte der Daten verstehen: Damit die Daten-Owner richtig entscheiden können, muss der Wert und Inhalt der Daten klar sein. Im Alltag ist diese Aufgabe gigantisch und die meisten Firmen haben Berge von Informationen angehäuft, von denen sie überhaupt nichts wissen. Auf diesem Gebiet kann KI und Machine Learning massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen automatisiert klassifiziert. Vordefinierte Filter fischen Compliance-relevante Daten wie Kreditkarten oder andere personenbezogene Details sofort aus dem Datenteich und markieren sie. Diese KI entwickelt einmal auf die Daten losgelassen eine firmenbezogene Sprache, einen Firmendialekt. Und je länger sie arbeitet und je mehr Firmendaten sie untersucht , desto genauer werden ihre Ergebnisse. Der Charme dieser KI-getriebenen Klassifizierung zeigt sich vor allem, wenn neue Vorgaben einzuhalten sind. Was auch immer der AI Act bringt, die ML und KI getriebene Klassifizierung wird diese zusätzlichen Attribute suchen können und der Firma ein Stück Zukunftssicherheit verschaffen.
- Datenflüsse steuern: Sind die Daten mit den richtigen Merkmalen eingestuft und klassifiziert, lassen sich von der darunter liegenden Datenmanagement-Plattform automatisch Regeln durchsetzen, ohne dass der Data Owner eingreifen muss. Dadurch sinken die Chancen für menschliche Fehler und die Risiken. So könnte eine Firma durchsetzen, dass bestimmte Daten wie Intellectual Property oder Finanzdaten niemals an andere Speicherorte oder externe KI-Module weitergegeben werden dürfen. Moderne Datenmanagement-Plattformen steuern den Zugriff auf diese Daten, indem sie diese automatisch verschlüsseln und sich Anwender per Access Controls und Multifaktor-Authentifizierung autorisieren müssen.
Haben Sie kurz Zeit?
Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen! Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender. Hier geht es direkt zur UmfrageFazit: KI wird die Wirtschaft so umwälzen, wie es das Internet tat. Firmen wollen, dass ihre Mitarbeiter KI innovativ nutzen. KI selbst hat die Kraft, KI zu zähmen, indem sie die Daten und ihren Inhalt durchleuchten kann. Dies eröffnet Firmen viele gute Wege, wie sie den Einsatz von KI steuern können, ohne hohe Risiken und Strafen fürchten zu müssen.“
Mehr bei Cohesity.com
Über Cohesity Cohesity vereinfacht das Datenmanagement extrem. Die Lösung erleichtert es, Daten zu sichern, zu verwalten und aus ihnen Wert zu schöpfen - über Rechenzentrum, Edge und Cloud hinweg. Wir bieten eine vollständige Suite von Services, die auf einer Multi-Cloud-Datenplattform konsolidiert sind: Datensicherung und Wiederherstellung, Notfallwiederherstellung, Datei- und Objektdienste, Entwicklung/Test sowie Daten-Compliance, Sicherheit und Analysen. Das reduziert die Komplexität und vermeidet die Fragmentierung der Massendaten. Cohesity kann als Service, als selbst verwaltete Lösung sowie über Cohesity-Partner bereitgestellt werden.