KI, personenbezogene Daten und Einwilligung – Usercentrics
Home Ressourcen Blog Künstliche Intelligenz (KI), personenbezogene Daten und Einwilligung

Künstliche Intelligenz (KI), personenbezogene Daten und Einwilligung

Um KI-Systeme zu trainieren, nutzen Unternehmen häufig persönliche Daten, die sie online erfassen. Doch die Informationen darüber, wie die Daten verwendet werden, welche Einwilligung erforderlich ist oder wie die Nutzung geregelt ist, sind nicht immer eindeutig. Es gab bereits Datenschutzbedenken.
von Usercentrics
15. Nov 2023
KI, personenbezogene Daten und Einwilligung – Usercentrics
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Künstliche Intelligenz (KI) ist derzeit in aller Munde und die finanziellen Investitionen scheinen genauso groß zu sein wie die mediale Aufmerksamkeit. Ist es nur ein Tech-Trend oder ändert KI — jetzt und in Zukunft — von Grund auf die Art, wie wir etwas entwickeln oder wie wir arbeiten? Wer ist für die Eingabedaten und Ergebnisse verantwortlich?

 

Die Entwicklung von KI soll sich auf die Säulen von Algorithmen, Hardware und Daten stützen. Dabei sind die Herausforderungen in Bezug auf „Daten“ die größten, und die Nutzereinwilligung ist hier ein wichtiger Teil davon.

 

Die raschen Entwicklungen hinsichtlich des Trainings und der Nutzung von KI hat Bedenken aufkommen lassen, in Bezug auf die Einwilligung der Nutzer und die ethische Nutzung personenbezogener Daten. Wenn Nutzerdaten für das Trainieren von KI verwendet werden, haben Nutzer dann Rechte am Ergebnis? Müssen Unternehmen, die Daten zum Trainieren von KI benötigen, die Einwilligung für bereits online veröffentlichte Daten einholen? Für wie viele granulare Zwecke sollten KI-Tools oder -Services die explizite Einwilligung der Nutzer einholen?

Was ist künstliche Intelligenz (KI)?

KI bezieht sich auf die Entwicklung von Maschinen, die Aufgaben ausführen können, für die normalerweise menschliche Intelligenz erforderlich ist. Dazu gehören Bereiche wie Text- oder Spracherkennung, Problemlösung und Entscheidungsfindung. Die Entwicklung von KI erfordert oftmals die Eingabe großer Datenmengen, damit die Systeme besser „lernen“ können.

Was ist maschinelles Lernen bzw. Machine Learning (ML)?

 

Maschinelles Lernen ist ein Teilbereich der KI und konzentriert sich auf die Entwicklung von Algorithmen und Modellen, die es Computern ermöglichen, aus Daten zu lernen und Prognosen oder Entscheidungen zu treffen, ohne explizit dafür programmiert werden zu müssen. So können Computer aus Beispielen „lernen“ und ihre Leistung im Laufe der Zeit verbessern.

Was sind Large Language Models (LLM)?

 

Large Language Models (große Sprachmodelle) sind ein brandneuer Durchbruch in der KI-Forschung. Sie sind darauf ausgelegt, menschliche Sprache zu verstehen und zu generieren. ChatGPT von OpenAI und Bard von Google sind Beispiele für öffentlich zugängliche LLMs. Einige Tools, die mit ihnen entwickelt wurden, können für SEO, Marketing und andere geschäftliche Zwecke verwendet werden.

 

Der Zweck des Trainings eines LLM besteht darin, es ihm zu ermöglichen, die Struktur, Bedeutung und den Kontext der menschlichen Sprache zu verstehen. So kann bei einem einmaligen Gebrauch eine genauere Antwort gegeben werden, wenn Personen eine Anfrage haben.

 

LLMs werden anhand großer Textmengen aus Büchern, Artikeln, Websites und anderen Quellen trainiert. Bisher gab es Datenschutzprobleme bei Inhalten, die ohne die Einwilligung der Ersteller oder Eigentümer genutzt und analysiert wurden. Möglicherweise wurde auf vertrauliche Daten zugegriffen oder sie wurden ohne Einwilligung verwendet.

Was ist KI-Training?

KI-Training bzw. Machine Learning Training ist ein Prozess, bei dem ein KI-System anhand der bereitgestellten Daten lernt, Muster zu erkennen und Prognosen zu erstellen oder Entscheidungen zu treffen. Das Trainieren ist entscheidend für die Entwicklung von KI-Systemen, die bestimmte Aufgaben ausführen, Muster erkennen, genaue Informationen liefern oder fundierte Beurteilungen vornehmen können.

 

Der Trainingsprozess besteht aus einer Reihe von Schritten. Zu Anfang steht die Beschaffung relevanter Daten und deren Bereitstellung. Danach wird ausgewählt, was das Modell mit den KI-Trainingsdatensätzen tun soll, dann folgen Dateneingabe und Analyse. Schließlich wird daran gearbeitet, die Ergebnisse oder Prognosen mit den tatsächlichen Ergebnissen zu vergleichen oder die Genauigkeit zu verbessern. Und es wird sichergestellt, dass das KI-Modell gut mit allen Datensätzen funktioniert, darunter auch mit den realen Daten, und nicht nur mit den KI-Trainingsdaten. KI-Modelle müssen alle Schritte durchlaufen, bevor sie für eine breitere Verwendung eingesetzt werden können.

Mehrdeutigkeiten bei der Verwendung von KI-Trainingsdatensätzen

 

Unternehmen könnten Fragen dazu stellen, was die Definition von „Verwendung“ personenbezogener Daten ist. Ab wann handelt es sich nicht mehr um personenbezogene Daten? Um die Daten beispielsweise in ein Format zu bringen, das das Trainingsmodell verwenden kann, muss möglicherweise das ursprüngliche Format geändert werden. Sollte ein Unternehmen außerdem die Einwilligung zur Verwendung von Daten einholen, um KI-Modelle zu trainieren, auch wenn diese nur für Forschungszwecke und nicht für kommerzielle Zwecke bestimmt sind? Womöglich würde außer den Forschern niemand jemals Zugriff darauf haben.

Mit welchen Daten wird KI trainiert?

KI kann mit vielen Arten von Daten trainiert werden. Was die Trainer benötigen, hängt davon ab, was das System tun soll – ob es beispielsweise Fragen beantworten, Entscheidungen treffen, Grafiken oder Texte erstellen soll usw.

 

Zu den häufigsten Arten von Trainingsdaten für KI gehören:

  • Text – z. B. aus Büchern, Artikeln, Websites oder sozialen Medien; wird für Übersetzung, Stimmungsanalyse, Chatbot-Entwicklung usw. verwendet.
  • Bilder – aus einer großen Anzahl von beschrifteten Bildern; wird für Bilderkennung, Objekterkennung und Bilderstellung verwendet.
  • Audio – z. B. aus gesprochenen Worten, Tönen oder akustischen Mustern; wird für Spracherkennung, Sprachassistenten und Audioanalyse-Modelle verwendet.
  • Video-Daten – von Videosequenzen; werden für Videoanalyse, Überwachung, Videoerstellung und zum Erlernen zeitlicher Muster verwendet.
  • Gaming-Daten – von Daten und Interaktionen aus dem Gaming; werden zur Entwicklung von Spielen und Strategien verwendet.
  • Strukturierte Daten – z. B. aus Datenbanken oder Tabellenkalkulationen; werden für Prognose-Analysen, Empfehlungssysteme oder Betrugserkennung verwendet.
  • Sensor-Daten – von Kameras, Lidar, Radar usw.; werden für autonome Fahrzeugsysteme, industrielle Automatisierung usw. verwendet.
  • Gesundheitsdaten – aus medizinischer Bildgebung wie Röntgen und MRT, Patientenakten und klinischen Daten; werden zur Unterstützung von Diagnosen, Behandlungen und Forschung verwendet.
  • Finanzdaten – aus vorhandenen Finanzdaten aus Märkten und Transaktionen; werden für die Prognose von Aktienkursen, das Kreditscoring und die Betrugserkennung verwendet.
  • Genomische Daten – aus DNA-Abschnitten, Markergenen und anderen verwandten biologischen Daten; werden für die personalisierte Medizin und zur Verbesserung des Verständnisses der Genetik verwendet.
  • Simulationsdaten – aus von Simulationen generierten Daten; werden verwendet, um zu lernen, wie sich Systeme unter verschiedenen Bedingungen verhalten.

Bedenken bezüglich der Einwilligung für verschiedene Arten von KI-Trainingsdaten

 

Auf viele dieser Arten von KI-Trainingsdaten wird in den Datenschutzverordnungen ausdrücklich Bezug genommen. Bei vielen handelt es sich um persönliche Informationen, bei einigen um personenbezogene Daten. Einige dieser Datentypen werden gemäß den Datenschutzgesetzen als sensibel eingestuft, was bedeutet, dass größerer Schaden entstehen könnte, wenn sie ohne Genehmigung abgerufen oder verwendet werden.

 

Besonders wichtige Beispiele für sensible personenbezogene Daten sind Gesundheitsinformationen, genomische Daten und Finanzdaten. Sensible Daten erfordern gemäß geltenden Datenschutzgesetzen in der Regel eine Einwilligung des Nutzers, um sie verwenden oder verarbeiten zu können. Dagegen erfordern personenbezogene, aber nicht sensible Daten häufig nur dann eine Einwilligung, wenn sie verkauft oder für gezielte Werbung, Profiling usw. verwendet werden.

 

Es ist auch wichtig zu beachten, dass nicht alle Batches der Trainingsdaten gleich sind. Qualität, Quantität, Vielfalt und Nutzungsberechtigung können sehr unterschiedlich sein. Dies kann erhebliche Auswirkungen auf das „Lernen“ und die Leistung der Systeme haben. Es könnte auch bedeuten, dass eine Einwilligung für die Verwendung bestimmter Datenarten im Trainingsdaten-Batch erforderlich ist, für andere jedoch nicht. Schlecht ausgewogene oder zu wenig vielfältige Daten können auch verzerrte Ergebnisse liefern, manchmal mit anstößigen oder rechtlich prekären Ergebnissen, wenn Systeme etwa diskriminierende Empfehlungen oder eine ungenaue Identifizierung abgeben.

 

Gemäß vieler Datenschutzgesetze haben betroffene Personen das Recht, ihre Daten von der Organisation korrigieren zu lassen, die sie erfasst hat, wenn sie unvollständig oder unrichtig sind. Doch wie sieht es aus, wenn die Daten korrekt sind, aber dazu verwendet werden, unrichtige Ergebnisse zu liefern? Welche Rechte haben diese Personen dann? Der Einsatz dieser Technologien stellt viele komplexe Fragen an die Gesetzgebung, zu denen auch die Ethik der Automatisierung gehört.

Einwilligung, KI und personenbezogene Daten

Das Forschungsunternehmen Gartner hat vorausgesagt, dass bis Ende 2023 die personenbezogenen Daten von 65 % der Weltbevölkerung durch Datenschutzgesetze geschützt sein werden. Gartner prognostiziert, dass diese Zahl bis 2024 auf 75 % ansteigen wird. Doch die Technologie selbst und die Nachfrage nach den Daten entwickeln sich noch rascher als die Datenschutzgesetze. So können wissenschaftliche Durchbrüche, Marketingkampagnen usw. vorangetrieben werden.

 

Viele der vorhandenen Daten, auf die Unternehmen zugreifen möchten, werden von Menschen generiert. Deshalb haben sie Rechte in Bezug auf den Datenschutz und den Zugriff auf ihre Daten. Verbraucher haben heutzutage ein zunehmend stärkeres Bewusstsein für den Datenschutz und ihre Rechte im Hinblick auf ihre personenbezogenen Daten. Auch wenn sie nicht unbedingt verstehen, wie KI-Systeme und andere Funktionen im Detail arbeiten.

 

Da weltweit immer mehr Datenschutzgesetze verabschiedet werden, müssen Unternehmen bei der Erfüllung ihrer Datenschutzverpflichtungen immer vorsichtiger vorgehen. Potenziell hohe Geldstrafen, wie beispielsweise einige der Strafen, die gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union erhoben werden, zeigen auch, wie wichtig es ist, Datenschutzvorschriften und Verbraucherrechte ernst zu nehmen.

Spielt es eine Rolle, woher KI-Trainingsdaten stammen?

 

Es gibt immer mehr potenzielle Quellen für Nutzerdaten, insbesondere online, z. B. über soziale Plattformen und Apps. Es kann für Unternehmen auch schwierig sein, ihre Verantwortlichkeiten für den Datenschutz festzulegen, wenn das Unternehmen seinen Hauptsitz zwar an einem bestimmten Ort, aber möglicherweise auf der ganzen Welt Nutzer hat. Dies kann dazu führen, dass ein Unternehmen für die Einhaltung verschiedener Datenschutzgesetze verantwortlich ist. Viele dieser Gesetze sind also extraterritorialer Natur. In diesem Fall ist es in Bezug auf die Rechte von Nutzern und den Schutz ihrer Daten nur wichtig, wo sich die Nutzer befinden, nicht die Unternehmen.

 

Viele Verbraucher konzentrieren sich nicht allzu sehr darauf, wie viele Daten sie täglich erstellen, wer Zugriff darauf hat und wie sie verwendet werden können. Kinder achten möglicherweise überhaupt nicht darauf oder verstehen die Erstellung oder Verarbeitung von Nutzerdaten nicht, obwohl die meisten Datenschutzgesetze einen zusätzlichen Schutz und eine zusätzliche Einwilligung für den Zugriff auf ihre Daten erfordern. Diese Einwilligung muss in der Regel von einem Elternteil oder Erziehungsberechtigten eingeholt werden, wenn das Kind unter einer bestimmten, gesetzlich festgelegten Altersgrenze liegt.

 

Einige Datenschutzgesetze beziehen sich nicht auf personenbezogene Daten, die Personen öffentlich verfügbar machen, darunter auch Daten, die auf sozialen Plattformen generiert werden. Möglicherweise stellen Beiträge, Kommentare und Fotos für manche keine große Sorge um den Datenschutz dar. Aber wie sieht es mit privaten Nachrichten oder Chats aus? Diese könnten weit sensiblere Daten enthalten.

 

Sobald die Daten erfasst worden sind, idealerweise mit Nutzereinwilligung, sollten die betroffenen Personen darüber Bescheid wissen, was mit ihnen geschieht. Es ist bei den meisten Datenschutzgesetzen eine Bedingung, dass der Datenverantwortliche – also, der für die Erfassung und Nutzung der Daten Verantwortliche – die Nutzer darüber informiert, welche Daten zu welchen Zwecken erfasst werden. Ändern sich diese Zwecke, muss der Datenverantwortliche bei vielen Datenschutzgesetzen die Nutzer benachrichtigen und eine neue Einwilligung einholen. Bei KI-Trainings können hierbei genaue Details erforderlich sein und häufige Änderungen vorkommen.

Herausforderungen bei der Einholung von KI-Einwilligungen

Da es sich bei KI-Systemen oft noch um Experimente handelt und die Ergebnisse unvorhersehbar sind, können einige Datenschutzanforderungen sich schwierig gestalten. Unternehmen können Nutzer darüber informieren, wofür sie Daten verwenden möchten. Doch unter Umständen unterscheidet sich dies dann davon, wofür die Daten tatsächlich verwendet werden oder wie sie geändert werden, oder wie die Ergebnisse, die sich aus der Verwendung ergeben, ausfallen.

 

Obwohl die Nutzer benachrichtigt werden müssen, bevor ein neuer Zweck eingeleitet wird, erfahren die Personen, die die Arbeit durchführen, möglicherweise erst dann von der Änderung, wenn sie umgesetzt ist. Wenn Daten in großen Mengen in Echtzeit analysiert werden, sind herkömmliche Mechanismen zur Einholung der Einwilligung von Nutzern, wie z. B. Cookie-Banner, möglicherweise nicht schnell oder detailliert genug oder anderweitig nicht ausreichend.

 

Benutzerorientierte KI-Systeme können potenziell manipulativ sein, was dazu führt, dass Nutzer Informationen zur Verfügung stellen, die sie nicht im Voraus bedacht haben. Systeme können auch komplizierte und undurchsichtige Verbindungen zwischen Datenpunkten aufweisen, was die Identifizierung und das Profiling auf einem Niveau ermöglicht, das es bisher noch nicht gegeben hat. So könnten fast alle Daten zu personenbezogenen oder sensiblen Daten werden. Dies wird von aktuellen Einwilligungsanforderungen möglicherweise nicht entsprechend behandelt.

 

Während manipulative Funktionen im Zusammenhang mit User Interfaces und Nutzererlebnissen – allgemein als Dark Patterns bekannt – zunehmend missbilligt werden und in einigen Fällen Gesetze dagegen geschaffen wurden, konzentrieren sich diese vornehmlich auf Taktiken, die bereits bekannt sind. Ein ansprechendes Design könnte die Entwicklung neuer und raffinierterer Methoden zur Nutzermanipulation ermöglichen.

Zoom-Kontroverse und Nutzereinwilligungen

Die beliebte Videokonferenz-Plattform Zoom hat im März 2023 die Nutzungsbedingungen aktualisiert, was für ein Unternehmen völlig normal ist. Zwei Abschnitte schienen jedoch weitreichende Auswirkungen auf die Berechtigungen von Zoom in Bezug auf Nutzerdaten zu haben, die als „von Diensten generierte Daten“ bezeichnet werden. Dazu gehören Telemetrie, Produktnutzung, Diagnose und ähnliche Daten oder Inhalte, die durch die Verwendung von Zoom generiert werden und die das Unternehmen im Laufe der Nutzung der Plattform erfasst.

 

Die aktualisierten Nutzungsbedingungen gewährten Zoom alle Rechte an von Diensten generierten Daten, einschließlich der Rechte zum Ändern, Teilen, Verarbeiten, Freigeben, Verwalten und Speichern von Daten, „für jeden Zweck, soweit und in der nach geltendem Recht zulässigen Weise“. Das Recht von Zoom, Nutzerdaten für maschinelles Lernen und künstliche Intelligenz zu verwenden, einschließlich Training, Tuning-Modellen und Algorithmen, wurde ausdrücklich erwähnt.

 

Zoom könnte also eine Vielzahl von Nutzerdaten aus der Nutzung seiner Plattform erfassen und auf verschiedene Arten verwenden, einschließlich KI-Training, ohne die ausdrückliche Einwilligung der Nutzer einholen oder ihnen die Möglichkeit geben zu müssen, diese zu widerrufen.

 

Dies kann nach den aktuellen Datenschutzgesetzen in den USA, wo Zoom seinen Hauptsitz hat, gesetzlich zulässig sein – das Land verfügt nicht über ein einheitliches Bundesrecht, sondern nur über eine Reihe von Gesetzen auf Bundesstaatsebene. Dies ist jedoch unter anderem gemäß der DSGVO der EU, die ein „Informieren“ erfordert, nicht gesetzmäßig (Erwägungsgrund 32 DSGVO).

 

Gemäß der DSGVO muss die Einwilligung zur Gültigkeit auch vor Beginn der Datenerfassung eingeholt werden und erfordert eine klare und verständliche Benachrichtigung der Nutzer. Die Nutzungsbedingungen von Zoom sind etwas kryptisch, ebenso wie die von vielen anderen Unternehmen.

Reaktion von Zoom auf die Kontroverse der Bedingungsänderungen

 

Die Reaktion auf die Aufdeckung und die öffentliche Berichterstattung dieser Änderung der Nutzungsbedingungen war beträchtlich. Die Unternehmen waren besorgt, dass firmeneigene Informationen aus vertraulichen Sitzungen ohne Einwilligung verwendet werden könnten. Oder dass Zoom ihre kreativen Inhalte besitzt, wie z. B. Interviews für Videos oder Podcasts.

 

Einige US-Unternehmen, die Zoom für gesundheitsbezogene Zwecke verwenden, waren aufgrund von Bedenken hinsichtlich Datenschutzverletzungen des Health Insurance Portability and Accountability Act (HIPAA) in Panik geraten. Es gab Befürchtungen, dass das Unternehmen beispielsweise die Inhalte der Therapiesitzungen der Menschen besitzen und nutzen könnte. Diese Art von Verwendung der Daten war nicht unbedingt die Absicht des Unternehmens, aber die öffentliche Wahrnehmung ist kraftvoll.

 

Zoom reagierte auf die Reaktion mit einer weiteren Aktualisierung der Nutzungsbedingungen, um die Datennutzung zu verdeutlichen, und gab an, dass es seine KI-Modelle nicht mit Audio-, Video- oder Chat-Inhalten des Kunden trainieren würde, ohne zuvor die Einwilligung einzuholen.

 

Außerdem wurde in Absatz 10.2 eine Zeile mit folgendem Inhalt hinzugefügt: „Zoom verwendet keine Ihrer Audio-, Video-, Chat-, Bildschirmfreigabe-, Anhänge oder anderen kommunikationsähnlichen Kundeninhalte (wie Umfrageergebnisse, Whiteboard und Reaktionen), um KI-Modelle von Zoom oder Drittanbietern zu trainieren.“

 

Einige Nutzer äußerten sich jedoch weiterhin über die anscheinend weitreichenden Berechtigungen, die Zoom durch eine Einwilligung gewährt wurden, und viele sind immer noch nicht genau darüber informiert, was „von Diensten generierte Inhalte“ beinhaltet.

Andere Herausforderungen mit Tech-Unternehmen, Bedingungen und Einwilligung

 

Nun sollte man jedoch Zoom nicht als einziges Unternehmen herausstellen. Auch andere Unternehmen verwenden KI für Funktionen auf ihren Plattformen. Google verwendet KI, um Transkripte von Google Meet-Anrufen zu erstellen (mit Ergebnissen unterschiedlicher Qualität). Bei der Facebook-Muttergesellschaft Meta stellte sich heraus, dass die Einwilligung für die Nutzung von Nutzerdaten für personalisierte Werbung in ihren Nutzungsbedingungen von 2022 „versteckt“ wurde. Im Januar 2023 wurde es dem Unternehmen untersagt, personenbezogene Daten mit dieser Art von „Einwilligung“ für Werbung zu verwenden, was den meisten Nutzern völlig unbekannt war. Meta hat seither erklärt, dass sie ihr Modell ändern und die Einwilligung zur Werbung in der EU anfragen würden.

 

Andere Unternehmen haben ähnliche undurchsichtige Taktiken versucht. Bei einigen Unternehmen kam ans Licht, dass sie die „Einwilligung“ oder fragwürdige Berechtigungen in ihren Nutzungsbedingungen versteckten, wohlwissend, dass nur wenige Nutzer diese im Detail lesen. Dies ist bestenfalls eine armselige Methode und im schlimmsten Fall gesetzeswidrig, da viele Gesetze eine Einwilligung erfordern.

 

Der Bedarf an mehr Klarheit in Bezug auf KI-Training, benutzergenerierte Inhalte auf Plattformen und Einwilligung ist an dieser Stelle offensichtlich und wird mit der Zeit zu einem immer dringlicheren Problem werden.

Wie können Unternehmen Daten mit gültiger Nutzereinwilligung ethisch verwenden?

Unternehmen, die Daten für KI-Training oder andere Verwendungszwecke erwerben, können und sollten sicherstellen, dass die Einwilligung von den Quellen oder Nutzern eingeholt wurde. In einigen Fällen kann es erforderlich sein, Geschäfte mit Partnern oder Lieferanten zu tätigen.

 

Die Einwilligung wird auch für die Monetarisierungsstrategie immer wichtiger. Zum Beispiel bestehen Premium-Advertiser zunehmend darauf, dass die Einwilligung zur Erfassung von Nutzerdaten nachgewiesen wird, bevor sie mit App-Entwicklern zusammenarbeiten.

 

Unternehmen, die Nutzerdaten von ihren eigenen Plattformen und Nutzern für KI-Training oder andere Anwendungen erfassen, sind direkt dafür verantwortlich, eine gültige Einwilligung einzuholen und die Datenschutzgesetze einzuhalten. Es gibt eine Reihe von Möglichkeiten, wie Unternehmen Datenschutzkonformität und eine gültige Einwilligung erreichen können.

 

Transparenz – Datenschutzgesetze verlangen klare, zugängliche Benachrichtigungen, und Unternehmen müssen Nutzern verständliche Informationen darüber zur Verfügung stellen, wie die Nutzerdaten verwendet und verarbeitet werden, einschließlich KI-Training. Wenn sich die Nutzung personenbezogener Daten ändert, müssen Unternehmen ihre Datenschutzhinweise aktualisieren, die Nutzer informieren und unter vielen Datenschutzgesetzen eine neue Einwilligung für die neue Nutzung personenbezogener Daten einholen.

 

Granulare Einwilligung – Nutzer müssen die Möglichkeit haben, die Erfassung und Verarbeitung ihrer personenbezogenen Daten zu akzeptieren oder abzulehnen. Dies sollten sie jedoch auf detaillierter Ebene tun können: etwa bestimmte Arten von Verarbeitung wie gezielte Werbung oder KI-Training akzeptieren, aber andere, wie den Verkauf von Daten, ablehnen. Dies trägt auch dazu bei, dass Personen informiert werden, was bei den meisten Datenschutzgesetzen eine Voraussetzung dafür ist, dass die Einwilligung gültig ist.

 

Benutzerfreundliche Mechanismen – Ebenso wie Benachrichtigungen klar und zugänglich sein müssen, muss die Art und Weise, wie Nutzer ihre Einwilligung erteilen oder widerrufen, leicht verständlich und zugänglich sein. Es müssen Informationen verfügbar sein, um die Nutzer über die Datenverarbeitung zu informieren, ebenso wie die Möglichkeit der Einwilligung oder Ablehnung auf detaillierter Ebene. Die Einwilligung abzulehnen, muss genau so einfach sein, wie sie zu akzeptieren ist, und bei vielen Datenschutzgesetzen müssen Nutzer auch die Möglichkeit erhalten, ihre Präferenzen für die Einwilligung einfach zu ändern.

 

Vertrautheit mit gesetzlichen Vorschriften – In verschiedenen Rechtsordnungen gibt es unterschiedliche Datenschutzgesetze mit unterschiedlichen Anforderungen und Einwilligungsmodellen. Es ist wichtig, dass Unternehmen wissen, welche Gesetze sie einhalten müssen und wie sie dies tun. Es kann wichtig sein, sich mit einem qualifizierten Rechtsberater oder einem Datenschutzexperten, z. B. einem Datenschutzbeauftragten (DSB), zu beraten oder diesen zu beauftragen, was auch von einigen Datenschutzgesetzen vorgeschrieben ist. Eine solche Rolle hilft beim Festlegen von Richtlinien und Prozessen, beim Aktualisieren von Vorgängen und beim Verwalten der Sicherheit für Daten und deren Verarbeitung.

Welche Rechte haben Nutzer von Online-Plattformen in Bezug auf ihre Daten?

Die Rechte der Verbraucher in Bezug auf ihre personenbezogenen Daten hängen von einer Reihe von Faktoren ab. Dazu gehört, wo der Nutzer lebt und welche Datenschutzgesetze gelten, wofür die Plattform dient und welche Daten der Nutzer darauf bereitstellt oder generiert und welchen Nutzungsbedingungen die Plattform unterliegt.

 

In der Europäischen Union müssen Unternehmen, die personenbezogene Daten erheben und verarbeiten, zuvor die Einwilligung des Nutzers einholen. Dies gilt gleichermaßen für Social-Media-Plattformen, einen Blog, eine behördliche Website oder einen E-Commerce-Shop. Nutzerdaten können erfasst werden, um zu erfahren, wie Nutzer eine Website verwenden, sowie zum Verbessern der Funktionsweise. Oder damit die Dienste erfüllt werden können, wenn Nutzer etwas online kaufen, um Werbung anzuzeigen oder KI-Modelle zu trainieren.

 

Weltweit haben Plattformen, die für finanzielle Aktivitäten oder das Gesundheitswesen verwendet werden, aufgrund der Art der von ihnen verarbeiteten Informationen, im Rahmen mehrerer Gesetze höhere Anforderungen an den Datenschutz und die Sicherheit.

 

In einigen Rechtsordnungen ist es immer noch zulässig, ein Cookie-Banner anzuzeigen, in dem darüber informiert wird, dass man in die Erfassung und Verwendung personenbezogener Daten einwilligt, wenn die Website oder der Dienst weiterhin genutzt werden. In der EU und anderen Ländern ist dies jedoch nicht akzeptabel und eine granulare Einwilligung ist erforderlich.

KI und Cookies

Die Verwendung von Cookies im Internet ist zurückgegangen, da es neuere und bessere Technologien gibt, um zu erreichen, was mit Cookies bezweckt wird. Heute und in Zukunft stellt sich die Frage, wie Cookies von der KI verwendet werden und wie KI den Austausch von Cookies beschleunigen kann.

 

Apple und Mozilla haben Third-Party-Cookies blockiert und Google beabsichtigt, diese vollständig abzulehnen. Neue Tools und Methoden ermöglichen zudem einen besseren Datenschutz und eine bessere Einwilligung und können in hochwertigeren Nutzerdaten resultieren.

 

Die aktuellen Modelle zur Cookie-Einwilligung reichen möglicherweise nicht aus, um die KI-Nutzung abzudecken, da KI-Systeme große Datenmengen in Echtzeit analysieren können, im Gegensatz zu Tools, die Daten aus aktiven Cookies analysieren. Damit die Einwilligung eingeholt werden kann, bevor Daten erfasst oder verwendet werden, muss der Nutzer schneller und häufiger mit Pop-ups für die Einwilligung überhäuft werden, als dies von Menschen getätigt werden könnte.

 

KI-Modelle können effektivere Anzeigen oder personalisierte Nutzererlebnisse ermöglichen, ohne sich auf die Erfassung personenbezogener Daten verlassen zu müssen, da sie große Datenmengen sehr schnell analysieren können, um Personen anhand von Verhaltensweisen in Gruppen einzuteilen. Wenn das System keine Nutzerdaten erfassen muss, ist – zumindest für die Datenerfassung – unter Umständen keine Einwilligung erforderlich.

 

Gesetze und Best Practices würden aber wahrscheinlich weiterhin erfordern, dass Nutzer darüber informiert werden, wie ihr Verhalten getrackt und analysiert werden kann – und mit welcher Art von Analysen –, ob etwa für personalisierte Anzeigen oder die Einkaufserfahrung. Personenbezogene Daten, die nie erfasst worden sind, können aber auch nicht verkauft werden.

Was ist das Gesetz über künstliche Intelligenz bzw. der Artificial Intelligence Act (AIA) der EU?

Das AIA-Gesetz der EU ist ein von der Europäischen Kommission vorgeschlagenes Gesetz über künstliche Intelligenz (KI). Es ist das weltweit erste umfassende Gesetz zur Regulierung von KI. Das Ziel ist es, die positive Nutzung der Technologie zu fördern, um gleichzeitig die negativen Effekte abzumildern und die Rechte festzuschreiben. Ein Ziel besteht auch darin, viele aktuelle und zukünftige Fragen zur KI-Entwicklung zu klären und dieses Gesetz zu einem globalen Standard zu machen, wie es auch bei der DSGVO der Fall ist.

 

Das Gesetz würde Anwendungen der KI-Technologie einer von mehreren Kategorien zuordnen:

 

Inakzeptables Risiko – KI mit inakzeptablen Risiken würde vollständig verboten werden, z. B. das Social-Scoring-Tool der chinesischen Regierung.

 

Hohes Risiko – KI mit potenziellen Risiken, zulässig vorbehaltlich der Einhaltung der KI-Anforderungen und prognostizierter Konformitätsbewertung, z. B. ein Tool, das Bewerber durch das Scannen von Lebensläufen einordnet.

 

Mittleres Risiko – KI mit spezifischen Transparenzverpflichtungen, zulässig je nach Anforderungen der Informationen, z. B. Bots, die zur Imitation einer Person verwendet werden können.

 

Minimales oder kein Risiko – KI ohne nennenswerte Risiken, zulässig ohne Einschränkungen.

Einwilligungsbestimmungen im AIA

 

Der AIA befindet sich derzeit im Entwurfsstadium und kann noch geändert werden, bevor er in Kraft tritt. Derzeit werden die Einwilligung des Nutzers sowie Datenschutz in den Statuten an verschiedenen Ebenen behandelt:

 

Hohes Risiko – Für die Verwendung von KI-Systemen mit hohem Risiko, z. B. kritische Infrastruktur, Beschäftigung, Gesundheitswesen und Strafverfolgungsbehörden, ist eine ausdrückliche Einwilligung erforderlich.

 

Transparenz – KI-Anbieter müssen klare Informationen über den beabsichtigten Zweck, die Fähigkeiten und die Einschränkungen der Systeme bereitstellen, um sicherzustellen, dass die Nutzer informiert sind, um Entscheidungen treffen und mögliche Auswirkungen auf ihre Rechte verstehen zu können.

 

Erklärungsrecht – Nutzer haben das Recht, sinnvolle Erklärungen der Entscheidungen von KI-Systemen zu erhalten.

 

Recht auf Nutzerkontrolle – Nutzer sollten die Möglichkeit haben, KI-Systeme abzulehnen, zu deaktivieren oder zu deinstallieren, insbesondere wenn grundlegende Rechte oder Interessen involviert sind (bei einigen Datenschutzgesetzen haben Nutzer das „Recht auf Ablehnung von automatisierten Entscheidungen“).

 

Datenschutz und Privatsphäre – Der AIA betont die Notwendigkeit der Datenminimierung, Zweckbindung und Sicherheitsvorkehrungen zum Schutz personenbezogener Daten bei der Verwendung von KI-Systemen und stimmt mit bestehenden Datenschutzgesetzen wie der DSGVO überein.

Fazit und die Zukunft von KI und Einwilligung

Die KI-Technologie ist die Zukunft und Gegenwart. Ihre Funktionen und potenziellen Anwendungsfälle werden sich weiterhin rasant weiterentwickeln. Dies stellt eine Herausforderung für die Regulierung dar, da die Erstellung und Aktualisierung von Gesetzen in der Regel viel langsamer vor sich geht als die Geschwindigkeit, mit der Technologien sich entwickeln.

 

Nutzer sollten jedoch nicht mit dem „Ausschluss der Gewährleistung“ konfrontiert werden (vor allem nicht online), wenn es um die neue Nutzung ihrer personenbezogenen Daten und die Herausforderungen in Bezug auf ihre Privatsphäre geht. Regulierungsbehörden müssen Gesetze entwickeln und aktualisieren, die klar und umfassend, aber flexibel genug sind, um heute und in Zukunft interpretierbar und durchsetzbar zu sein.

 

Unternehmen müssen sich darüber im Klaren sein, welche Datenschutzgesetze sie einhalten müssen, was diese vorschreiben und was das für ihre Geschäftstätigkeit bedeutet. Dies muss regelmäßig überprüft und klar kommuniziert werden, wenn sich die Betriebsabläufe ändern. Wenn versucht wird, Änderungen an den Nutzungsbedingungen vorzunehmen oder die erfassten Daten für neue Zwecke zu verwenden, ohne eine neue Einwilligung der Nutzer einzuholen, kann der Ruf der Marke schlagartig geschädigt werden. In vielen Ländern ist das gesetzeswidrig. Da Verbraucher immer besser über ihre Daten und ihre Privatsphäre Bescheid wissen, müssen Unternehmen auch immer deutlicher darüber informieren, wie sie Daten erfassen und verwenden.

 

Unternehmen sollten auch Best Practices wie Privacy by Design implementieren, um sicherzustellen, dass sie Menschen – die Quelle ihrer Daten – respektieren und die Gesetze einhalten. Dies trägt auch dazu bei, dass die Einwilligung eingeholt und die Erfassung und Nutzung von Daten auf gesetzliche Zulassungen für alle Vorgänge beschränkt wird, unabhängig davon, ob E-Commerce-Aufträge erfüllt oder neue KI-Modelle trainiert werden.

 

KI ist schlicht und einfach die jüngste Technologie, die Verbraucher, Unternehmen und Regulierungsbehörden vor neue Herausforderungen stellt. Sie ist nicht die erste und nicht die letzte ihrer Art. Doch die Best Practices für Datenschutzkonformität, für den Aufbau von Vertrauen bei den Nutzern und das erfolgreiche Wachstum von Unternehmen (oder den Erfolg von wissenschaftlicher Arbeit) sind nach wie vor die gleichen und leisten sowohl Unternehmen als auch Verbrauchern gute Dienste.

 

Mehr erfahren Sie noch heute bei unseren Experten.

FAQ – Häufig gestellte Fragen

Was ist künstliche Intelligenz (KI)?

Künstliche Intelligenz bezieht sich auf die Entwicklung von Maschinen, damit diese Aufgaben ausführen können, für die normalerweise menschliche Intelligenz erforderlich ist. Dazu gehören Bereiche wie Text- oder Spracherkennung, Problemlösung und Entscheidungsfindung. Die Entwicklung von KI erfordert oftmals die Eingabe großer Datenmengen, damit die Systeme besser „lernen“ können.

Was ist maschinelles Lernen bzw. Machine Learning (ML)?

Maschinelles Lernen ist ein Teilbereich der KI. Er konzentriert sich auf die Entwicklung von Algorithmen und Modellen, die es Computern ermöglichen, aus Daten zu lernen und Prognosen oder Entscheidungen zu treffen, ohne explizit dafür programmiert werden zu müssen. So können Computer aus Beispielen „lernen“ und ihre Leistung im Laufe der Zeit verbessern.

Was sind Large Language Models (LLM)?

Large Language Models (große Sprachmodelle) sind ein brandneuer Durchbruch in der KI-Forschung. Sie sind darauf ausgelegt, menschliche Sprache zu verstehen und zu generieren. ChatGPT von OpenAI und Bard von Google sind Beispiele für öffentlich zugängliche LLMs. Einige Tools, die mit ihnen entwickelt wurden, können für SEO, Marketing und andere geschäftliche Zwecke verwendet werden.

Wie werden KI-Systeme trainiert?

KI-Training bezieht sich auf den Lehrprozess eines KI-Systems, um anhand der bereitgestellten Daten Muster zu erlernen und Prognosen oder Entscheidungen zu treffen. Das Trainieren ist entscheidend für die Entwicklung von KI-Systemen, die bestimmte Aufgaben ausführen, Muster erkennen, genaue Informationen liefern oder fundierte Beurteilungen vornehmen können.

Hier ist eine Übersicht über den Prozess von KI-Trainings:

  1. Datenerfassung: Im ersten Schritt werden relevante und repräsentative Daten gesammelt. Diese Daten dienen als Input, um das KI-Modell zu trainieren. Die Qualität und Vielfalt der Daten haben einen direkten Einfluss auf die Leistung des Modells.
  2. Vorverarbeitung der Daten: Rohdaten erfordern oft eine Bereinigung, Transformation und Strukturierung, um für das Training geeignet zu sein. Dieser Schritt umfasst die Beseitigung von Rauschen, die Handhabung fehlender Werte und die Standardisierung der Daten.
  3. Feature Engineering: Beim Feature Engineering werden die relevanten Attribute (Features) in den Daten ausgewählt und transformiert, die das Modell für Prognosen verwenden wird. Ein effektives Feature Engineering kann die Leistung des Modells erheblich beeinflussen.
  4. Modellauswahl: Je nach Problem werden ein geeigneter Algorithmus oder ein geeignetes Modell für maschinelles Lernen ausgewählt. Verschiedene Modelle verfügen über unterschiedliche Funktionen und eignen sich besser für bestimmte Arten von Aufgaben, wie Regression, Klassifizierung oder Clustering.
  5. Training: Dies ist der Kern des Prozesses. Während des Trainings wird das Modell mit den Inputdaten und den entsprechenden gewünschten Outputs präsentiert. Das Modell passt seine internen Parameter iterativ an, um den Unterschied zwischen den Prognosen und den tatsächlichen Ergebnissen zu minimieren.
  6. Verlustfunktion: Eine Verlustfunktion wird verwendet, um zu quantifizieren, wie gut die Prognosen des Modells mit den tatsächlichen Ergebnissen übereinstimmen. Ziel des Trainings ist es, diese Verlustfunktion zu minimieren und dem Modell im Prinzip zu beizubringen, im Laufe der Zeit bessere Prognosen zu liefern.
  7. Optimierung: Optimierungstechniken, wie Gradient Descent (oder Gradientenverfahren), werden eingesetzt, um die Modellparameter so zu optimieren, dass die Verlustfunktion minimiert wird.
  8. Validierung: Um sicherzustellen, dass das trainierte Modell gut auf neue, nicht sichtbare Daten generalisiert wird, wird ein separater Validierungsdatensatz zur Leistungsbewertung verwendet. Mit diesem Schritt wird eine Überanpassung vermieden, bei der das Modell für die Trainingsdaten gut, aber für neue Daten schlecht funktioniert.
  9. Hyperparameter Tuning: Viele Modelle haben Hyperparameter, die den Lernprozess beeinflussen. Diese müssen angepasst werden, um die optimale Balance zwischen Unteranpassung und Überanpassung zu finden.
  10. Tests und Bereitstellung: Sobald das Modell sowohl bei den Trainings- als auch den Validierungsdaten eine gute Leistung erbringt, kann es in einem separaten Testdatensatz getestet werden, um seine reale Leistung zu beurteilen. Wenn die Ergebnisse zufriedenstellend sind, kann das Modell zur Verwendung bereitgestellt werden.

Der KI-Trainingsprozess umfasst eine Kombination aus Daten, Algorithmen und iterativer Optimierung, um ein Modell zu erstellen, das genaue Prognosen liefern oder Entscheidungen treffen kann. Wichtig zu beachten ist hierbei, dass das Training eines KI-Modells Fachwissen, eine sorgfältige Bewertung und ein Verständnis des für die jeweilige Domain spezifischen Problems erfordert, um effektive und zuverlässige Ergebnisse zu gewährleisten.

Mit welchen personenbezogenen Daten werden KI-Systeme trainiert?

KI kann für viele Datentypen trainiert werden, je nachdem, was das System tun soll – ob es beispielsweise Fragen beantworten, Entscheidungen treffen, Grafiken oder Texte erstellen soll usw.

Zu den häufigsten Arten von Trainingsdaten für KI gehören:

  • Text – z. B. aus Büchern, Artikeln, Websites oder sozialen Medien; wird für Übersetzung, Stimmungsanalyse, Chatbot-Entwicklung usw. verwendet.
  • Bilder – aus einer großen Anzahl von beschrifteten Bildern; wird für Bilderkennung, Objekterkennung und Bilderstellung verwendet.
  • Audio – z. B. aus gesprochenen Worten, Tönen oder akustischen Mustern; wird für Spracherkennung, Sprachassistenten und Audioanalysemodelle verwendet.
  • Video-Daten – von Videosequenzen; werden für Videoanalyse, Überwachung, Videoerstellung und zum Erlernen zeitlicher Muster verwendet.
  • Gaming-Daten – von Daten und Interaktionen aus dem Gaming; werden zur Entwicklung von Spielen und Strategien verwendet.
  • Strukturierte Daten – z. B. aus Datenbanken oder Tabellenkalkulationen; werden für Prognoseanalysen, Empfehlungssysteme oder Betrugserkennung verwendet.
  • Sensor-Daten – von Kameras, Lidar, Radar usw.; werden für autonome Fahrzeugsysteme, industrielle Automatisierung usw. verwendet.
  • Gesundheitsdaten – aus medizinischer Bildgebung wie Röntgen und MRT, Patientenakten und klinischen Daten; werden zur Unterstützung von Diagnosen, Behandlungen und Forschung verwendet.
  • Finanzdaten – aus vorhandenen Finanzdaten aus Märkten und Transaktionen; werden für die Prognose von Aktienkursen, das Kreditscoring und die Betrugserkennung verwendet.
  • Genomische Daten – aus DNA-Abschnitten, Markergenen und anderen verwandten biologischen Daten; werden für die personalisierte Medizin und zur Verbesserung des Verständnisses der Genetik verwendet.
  • Simulationsdaten – aus von Simulationen generierten Daten; werden verwendet, um zu lernen, wie sich Systeme unter verschiedenen Bedingungen verhalten.
Welche Probleme gibt es bei der Verwendung personenbezogener Daten für das KI-Training?

Das größte Problem bei der Verwendung personenbezogener Daten für das Training von KI besteht darin, ob von den Personen, zu denen die Daten gehören, eine Einwilligung eingeholt wurde oder nicht. Art und Sensibilität personenbezogener Daten sind unterschiedlich. Einige können zur Identifizierung verwendet werden, andere können sich bei Missbrauch schädigend auswirken.

Besonders wichtige Beispiele für sensible personenbezogene Daten sind Gesundheitsinformationen und Finanzdaten. Sensible Daten erfordern gemäß vieler Datenschutzgesetze in der Regel eine Einwilligung des Nutzers, um sie verwenden oder verarbeiten zu können. Dagegen erfordern personenbezogene, aber nicht sensible Daten häufig nur dann eine Einwilligung, wenn sie verkauft oder für gezielte Werbung, Profiling usw. verwendet werden.

Nicht alle Bündel an Trainingsdaten sind gleich. Qualität, Quantität, Vielfalt und Nutzungsberechtigung können sehr unterschiedlich sein. Dies kann erhebliche Auswirkungen auf das „Lernen“ und die Leistung der Systeme haben. Schlecht ausgewogene oder zu wenig vielfältige Daten können auch verzerrte Ergebnisse liefern, manchmal mit anstößigen oder rechtlich prekären Ergebnissen, wenn Systeme etwa diskriminierende Empfehlungen oder eine ungenaue Identifizierung abgeben.

Welche Nutzereinwilligung ist erforderlich, um personenbezogene Daten für KI-Training zu verwenden?

Es gibt eine Reihe von Faktoren, die bestimmen, ob die Einwilligung des Nutzers für die Verwendung personenbezogener Daten für das Training von KI erforderlich ist. Wie bei der Zoom-Kontroverse kann es auch davon abhängen, ob KI-Trainings in den Nutzungsbedingungen eines Unternehmens enthalten sind. In diesem Fall ist unter Umständen keine zusätzliche Einwilligung erforderlich. In einigen Ländern wäre dies jedoch nicht ausreichend, etwa in der EU unter der DSGVO. Hier müsste eine ausdrückliche Einwilligung zur Verwendung personenbezogener Daten für das Training von KI eingeholt werden, und die Nutzer müssen über diese Verwendung informiert werden, bevor die Daten dafür erfasst werden.

Unternehmen müssen sich darüber im Klaren sein, wo sich ihre Kunden und Nutzer befinden, sie müssen mit den relevanten Datenschutzgesetzen vertraut sein, die diese Personen schützen und ihre Datenschutzmaßnahmen entsprechend aktualisieren. Unternehmen holen möglicherweise bereits die Einwilligung zur Erfassung personenbezogener Daten ein. Doch bei vielen Datenschutzgesetzen können sie nicht einfach KI-Trainings als Zweck hinzufügen, um Daten zu erfassen und zu verwenden, sondern sie müssen davor ihre Datenschutzhinweise aktualisieren und bei vielen Datenschutzgesetzen auch die Einwilligung für diese neue Verwendung einholen. In vielen Ländern müssen Nutzer die Verwendung ihrer Daten auch auf detaillierter Ebene ablehnen können, was auch KI-Trainings umfassen kann.

Einige Datenschutzgesetze beziehen sich nicht auf personenbezogene Daten, die Personen öffentlich verfügbar machen, darunter auch Daten, die auf sozialen Plattformen generiert werden. Aber es ist noch nicht ganz klar, wie sich das auf die Nutzung personenbezogener Daten für KI-Trainings auswirken könnte. Beiträge, Kommentare, Fotos usw. würden mit höherer Wahrscheinlichkeit als öffentlich angesehen werden, als etwa private Nachrichten.

Kann eine Einwilligung für die Nutzung von KI eingeholt werden?

Bei KI-Systemen handelt es sich oft noch um ein Experiment und die Ergebnisse sind unvorhersehbar. Unternehmen können Nutzer darüber informieren, wofür sie Daten verwenden möchten, was normalerweise im Voraus geschehen muss. Doch unter Umständen unterscheidet sich dies dann davon, wofür die Daten tatsächlich verwendet werden oder wie sie geändert werden oder wie die Ergebnisse, die sich aus der Verwendung ergeben, ausfallen.

Wenn Daten in großen Mengen in Echtzeit analysiert werden, sind herkömmliche Mechanismen zur Einholung der Einwilligung von Nutzern, wie z. B. Cookie-Banner, möglicherweise nicht schnell oder detailliert genug oder anderweitig nicht ausreichend.

Können KI-Systeme Datenschutzprobleme verursachen?

Benutzerorientierte KI-Systeme können potenziell manipulativ sein, was dazu führt, dass Nutzer Informationen zur Verfügung stellen, die sie nicht im Voraus bedacht haben. Systeme können auch komplizierte und undurchsichtige Verbindungen zwischen Datenpunkten aufweisen, was die Identifizierung und das Profiling auf einem Niveau ermöglicht, das es bisher noch nicht gegeben hat. So könnten fast alle Daten zu personenbezogenen oder sensiblen Daten werden. Dies wird von aktuellen Einwilligungsanforderungen möglicherweise nicht entsprechend behandelt.

Während manipulative Funktionen im Zusammenhang mit User Interfaces und Nutzerlebnissen – allgemein als Dark Patterns bekannt – zunehmend missbilligt werden und in einigen Fällen Gesetze dagegen geschaffen wurden, konzentrieren sich diese vornehmlich auf Taktiken, die bereits bekannt sind. Ein ansprechendes Design könnte die Entwicklung neuer und raffinierterer Methoden zur Manipulation von Nutzern ermöglichen.

Wirkt sich KI-Training auf die Cookie-Einwilligung aus?

Die Nutzung von KI kann tatsächlich dazu beitragen, das Ende der Verwendung von Cookies zu beschleunigen, insbesondere Third-Party-Cookies. Dies deshalb, weil sie Funktionen bieten kann, die bessere Ergebnisse liefern und nicht unbedingt die Erfassung personenbezogener Daten verlangen.

Die aktuellen Modelle zur Cookie-Einwilligung reichen möglicherweise nicht aus, um die KI-Nutzung abzudecken, da KI-Systeme große Datenmengen in Echtzeit analysieren können, im Gegensatz zu Tools, die Daten aus aktiven Cookies analysieren. Damit die Einwilligung eingeholt werden kann, bevor Daten erfasst oder verwendet werden, muss der Nutzer schneller und häufiger mit Pop-ups für die Einwilligung überhäuft werden, als dies von Menschen getätigt werden könnte.

Wie sollten Unternehmen die Einwilligung für KI-Training einholen?

Unternehmen, die Nutzerdaten von ihren eigenen Plattformen und Nutzern für KI-Training oder andere Anwendungen erfassen, sind direkt dafür verantwortlich, eine gültige Einwilligung einzuholen und die Datenschutzgesetze einzuhalten. Die Best Practices, um die Einwilligung für KI-Training einzuholen, sind dieselben Best Practices wie bei der Einhaltung von Datenschutzgesetzen.

  • Den Nutzern im Voraus verständliche und zugängliche Informationen darüber bieten, wie Daten verwendet werden, und eine neue Einwilligung einholen, wenn sich die Zwecke ändern.
  • Sicherstellen, dass Nutzer ihre Einwilligung auf granularer Ebene erteilen oder widerrufen können, d. h. für alles oder einen Teil. Sicherstellen, dass das Widerrufen der Einwilligung ebenso einfach geht wie das Erteilen, und dass Nutzer ihre Einwilligungspräferenzen ändern oder ihre Einwilligung künftig ganz einfach widerrufen können.
  • Mit den relevanten Datenschutzgesetzen und den Verantwortlichkeiten der Unternehmen vertraut sein. Erfassung und Verarbeitung der Daten regelmäßig überprüfen, um sicherzustellen, dass Benachrichtigungen und Informationen zur Einwilligung aktuell sind.
Deckt die DSGVO künstliche Intelligenz und Einwilligung ab?

Die Datenschutz-Grundverordnung erwähnt nicht explizit künstliche Intelligenz, sondern bezieht sich wie eine Reihe anderer Datenschutzgesetze auch auf „automatisierte Entscheidungsfindung“, zu denen KI-Systeme gehören.

KI wird wie jede andere Verwendung personenbezogener Daten behandelt, d. h., die Nutzer müssen über die beantragte Nutzung informiert werden, bevor personenbezogene Daten dafür erhoben werden, und für diese Verwendung muss eine Einwilligung eingeholt werden, bevor Daten erfasst und verwendet werden.

Was ist das Gesetz über künstliche Intelligenz bzw. der Artificial Intelligence Act (AIA) der EU?

Der AIA ist ein von der Europäischen Kommission vorgeschlagenes Gesetz über Künstliche Intelligenz (KI). Die Ziele des Gesetzes sind:

  • Die Abwägung der positiven Nutzung der Technologie mit den Risiken
  • Die Minimierung aktueller und zukünftiger Risiken und negativer Nutzung der Technologie
  • Die Festschreibung der Verbraucherrechte
  • Die Klärung zu aktuellen und zukünftigen Fragen zur KI-Entwicklung
  • Das Gesetz zu einem globalen Standard zu machen (wie bei der DSGVO)

Das Gesetz würde Anwendungen der KI-Technologie einer von mehreren Kategorien zuordnen:

  • Inakzeptables Risiko – Nutzung vollständig verboten
  • Hohes Risiko – Verwendung vorbehaltlich zulässig, Bewertung und Datenschutzkonformität notwendig
  • Mittleres Risiko – Verwendung zulässig, sofern Transparenzverpflichtungen erfüllt werden
  • Minimales oder kein Risiko – ohne Einschränkungen zulässig, wenn keine nennenswerten Risiken identifiziert werden

Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.

Ähnliche Artikel

Südafrikas ‘Protection of Information Act’ (POPIA)

Südafrikas ‘Protection of Information Act’ (POPIA) – ein Überblick

POPIA ist das südafrikanische Datenschutzgesetz, das bereits fünf Jahre vor der DSGVO verfasst wurde. Wir untersuchen,...

Usercentrics Certified CMP partner

Googles Frist im März rückt näher: CMPs, Consent Mode (Einwilligungsmodus) und ununterbrochene Werbeanzeigen

Die Frist im März für die Anforderungen an Advertiser im EWR rückt gemäß dem neuesten Google-Artikel im Hilfe-Center...