Anfang des Jahres hatte ich die Ehre auf der Universität Wien im Rahmen der größten Rechtsinformationskonferenz in Österreich über die Auswirkungen des AI Acts bzw der Verordnung zur Künstlichen Intelligenz vor einem Fachpublikum einen Vortrag zu halten.
Begonnen habe ich mit einem Ereignis, das mich schockiert hat. Ein start up wollte meine Beratungsleistungen für eine neue technische „Errungenschaft“, die es ermöglicht Fotos von angezogenen Personen nackt erscheinen zu lassen. In solchen Momenten bin ich sehr froh, alleine Entscheidungen zu treffen und nicht von einem Vorgesetzten oder einem einzelnen Kunden abhängig zu sein. Aus zahlreichen Gründen habe ich jedenfalls abgelehnt, nicht zuletzt aus moralischen Überlegungen, weniger aus Datenschutzbedenken.
Künstliche Intelligenz ist kein Nischenbereich mehr sondern mitten im täglichen Alltagsablauf
Innerhalb des letzten Jahres hat sich das Thema der künstlichen Intelligenz weg von einem Nischenbereich mitten hinein in unsere Gesellschaft katapultiert. Es erscheint unmöglich ohne GPAI, also General Purpose AI (KI mit allgemeinem Verwendungszweck) die täglichen Arbeitsabläufe durchzuführen. Während wir früher zunächst in vertrauenswürdigen (online-) Medien recherchiert haben und dann einen eigenen Aufsatz formuliert haben, übernimmt diese Aufgabe nun eine KI Anwendung, bei der wir oft nicht einmal wissen, welche Quellen dahinterstehen. Muss das sein? Ist es sinnvoll? Kann ich das Ganze noch kontrollieren?
Diese und weitere Fragen stellen sich mir, wenn ich beobachte, wie sehr das Eingang in unseren Alltag gefunden hat. Aber was hat es für Auswirkungen auf den Datenschutzbeauftragten gehabt?
Eigentlich wenige, denn wie auch schon bisher – sind einfach nur die datenschutzrechtlichen Schritte durchzuprüfen und zu entscheiden, ob eine Anwendung zulässig ist oder nicht. Zunächst stellt sich die Frage, ob überhaupt personenbezogene Daten verarbeitet werden. Wenn ja, dann wofür diese verwendet werden? Kann ich sicherstellen, dass der Anbieter weder die prompts (also meine Eingaben), noch die Ergebnisse für das eigene Training verwendet? Kann ich einen Auftragsverarbeitungsvertrag abschließen und mich darauf verlassen, dass die Daten nur innerhalb der EU verarbeitet werden? Wie kann ich ausschließen, dass die Ergebnisse inkonsistent oder schlicht unrichtig sind? Wann habe ich den Betroffenen über den KI Einsatz zu informieren? Wie kann ich dieser Informationspflicht transparent und verständlich nachkommen?
Wollen Sie Antworten auf diese Fragen? Dann kontaktieren Sie uns? Wir stehen Ihnen zu Verfügung ☺