#009 KI und Datenschutz - So geht DSGVO-sicherer Betrieb
Künstliche Intelligenz (KI) wird in immer mehr Bereichen eingesetzt und birgt dabei auch Risiken für den Datenschutz. Bei der Verarbeitung von personenbezogenen Daten durch KI-Systeme müssen daher besondere Maßnahmen ergriffen werden, um die Privatsphäre der Betroffenen zu schützen
Hinweis, es handelt sich hierbei um keine rechtliche Beratung
Künstliche Intelligenz (KI) wird in immer mehr Bereichen eingesetzt und birgt dabei auch Risiken für den Datenschutz. Bei der Verarbeitung von personenbezogenen Daten durch KI-Systeme müssen daher besondere Maßnahmen ergriffen werden, um die Privatsphäre der Betroffenen zu schützen.
Folgende Maßnahmen sind möglich, unterschieden nach nicht-technischen und technischen Maßnamen.
Nicht-technische Maßnahmen
Anonymisierung und Pseudonymisierung
Eine wichtige Maßnahme ist die Anonymisierung der Daten. Hierbei werden personenbezogene Daten so verändert, dass sie nicht mehr einer bestimmten Person zugeordnet werden können. Dadurch wird das Risiko einer Verletzung des Datenschutzes deutlich reduziert.
Eine weitere Möglichkeit ist die Pseudonymisierung. Hierbei werden personenbezogene Daten so verändert, dass sie nicht mehr direkt einer bestimmten Person zugeordnet werden können. Allerdings ist eine Rückführung der Daten auf eine bestimmte Person noch möglich.
Organisatorische Maßnahmen
Zu den nicht-technischen Maßnahmen gehören auch organisatorische Maßnahmen wichtig. So müssen beispielsweise klare Regelungen zur Datensicherheit und zur Datenverarbeitung getroffen werden. Auch müssen Betroffene über die Verarbeitung ihrer Daten informiert werden und ihnen Rechte auf Auskunft, Berichtigung und Löschung gewährt werden.
Technische Maßnahmen
Auswahl des Betreibers
Technisch gesehen ist die einfachste Variante die Auswahl eines Providers, der die Datenschutzanforderungen erfüllt. Hier sind die derzeit besten beiden Anbieter:
Hugging Face
Hugging Face ist eine Firma aus Frankreich und daher sehr gut geeignet, um datenschutzrelevante Aspekte nach EU-Normen abzubilden. Siehe auch Hugging Face https://huggingface.co/docs/hub/security.
Das Unternehmen ist für den Betrieb von KI-Modellen daher sehr gut geeignet.
Links auf Beispiele für das Deployment finden sich am Ende des Artikels
Microsoft Azure OpenAI Service
Azure OpenAI Service bietet REST-API-Zugang zu den leistungsstarken Sprachmodellen von OpenAI, darunter die Modellreihen GPT-3, Codex und Embeddings. Darüber hinaus sind die neuen Modellreihen GPT-4 und ChatGPT (gpt-35-turbo) allgemein verfügbar.
Obwohl Microsoft eine US-Firma ist, betreibt sie auch Rechenzentren in Europa und bietet die notwendigen Datenschutzmechanismen an. Der besondere Vorteil von Microsoft ist die weite Verbreitung und die in vielen Unternehmen bereits vorhandenen Datenschutzrechtlichen Beurteilungen.
Der wesentliche Vorteil von Microsoft ist aber, dass man das OpenAI ChatGPT Modell auch in der Azure-Cloud in Europa verwenden kann. https://learn.microsoft.com/en-us/legal/cognitive-services/openai/data-privacy.
Für die Open AI Services von Microsoft kann man des Weiteren auch die “Human Review Processes for Abuse” und “Azure OpenAI Service content filtering system” abschalten und damit den Zugriff von Microsoft sehr weitgehend einschränken.
Hier sind beiden wichtigsten Einträge aus dem FAQ:
Is customer data processed by Azure OpenAI sent to OpenAI?
No. Microsoft hosts the OpenAI models within our Azure infrastructure, and all customer data sent to Azure OpenAI remains within the Azure OpenAI service.
Is customer data used to train the OpenAI models?
No. We do not use customer data to train, retrain or improve the models in the Azure OpenAI Service.
Eigenbetrieb
Verschiedene Modelle können auch auf Systemen in eigenen Rechenzentren betrieben werden. Obwohl einige Modelle dafür geeignet sind, sind die großen Modelle (LLMs) in der Regel zu umfangreich, um im eigenen Rechenzentrum betrieben zu werden. Aus Sicht des Datenschutzes ist der Eigenbetrieb die beste Variante.
Zusammenfassung
Insgesamt gibt es also verschiedene Maßnahmen, die ergriffen werden können, um den Datenschutz bei KI-Systemen zu gewährleisten. Dabei sind sowohl technische als auch organisatorische Maßnahmen von großer Bedeutung, um die Privatsphäre der Betroffenen zu schützen.
Links
