Datenschutz

Privacy Symposium Venedig 2023

24.04.2023

IITR Information[IITR – 24.04.23] Wie schon bei der IAPP-Konferenz in Washington war künstliche Intelligenz beim Privacy Symposium 2023 in Venedig das allbestimmende Thema. Ausgerechnet die malerische Lagunenstadt Venedig, weltbekannt für ihre Kanäle, prachtvolle Paläste und eine jahrhundertealte Geschichte, scheint auf den ersten Blick eher eine untypische Kulisse für die aufstrebende Technologie der Künstlichen Intelligenz. Durch die Entscheidung der italienischen Aufsichtsbehörde „Garante“ (per la protezione dei dati personali) zu ChatGPT schien jedoch kein Land passender, um dieses Thema weiterführend datenschutzrechtlich zu beleuchten.

Entscheidung hart, aber sinnvoll

Wie viele habe auch in Italien die Entscheidung des „Garante“ überrascht – zumindest vorerst. Mittlerweile verteidigt man die Einschränkung von ChatGPT, denn die darauffolgende datenschutzrechtliche Diskussion sei notwendig gewesen, umso früher umso besser.

Datenschutzrechtliche Risiken ergäben sich wohl aus den Grundprinzipien wie Transparenz, Fairness und Richtigkeit. Unternehmen, die KI einsetzen, riskieren den Verlust von Daten und Kontrolle, was möglicherweise zu Reputationsverlust führen kann.

ChatGPT, was bist Du eigentlich?

Der Begriff “Künstliche Intelligenz” (KI) ist in gewisser Weise irreführend, da es schwierig ist, den Begriff “Intelligenz” klar zu definieren. Stattdessen sollte man von “neuronalen Netzen” oder “(großen) Sprachmodellen” sprechen.

In naher Zukunft wird erwartet, dass fast jedes größere Unternehmen seine eigene KI besitzen wird. Um diese technologische Veränderung erfolgreich zu bewältigen, ist es wichtig, sich zu informieren und entsprechende Schritte einzuleiten. KI ist ein fester Bestandteil der Unternehmenswelt und wird nicht mehr verschwinden.

Privacy by Design und speziellere Verordnungen

Während OpenAI vor kurzem verkündete, man werde eine Art „Privatmodus“ implementieren, um dem Nutzer mehr Kontrolle darüber zu geben, was mit den eingegebenen Daten geschehe, ob diese beispielsweise zu Trainingszwecken verwendet würden, sieht der Europäische Gesetzgeber mehr Regulierung als unabdinglich.

Wie bereits in Washington angeklungen, sei der Artificial Intelligence Act – neben der Datenschutzgrundverordnung – ein passendes Instrumentum, um der dynamischen Entwicklung technischen Fortschritts gerecht zu werden. Man sehe aber bereits deutliche Problematiken bei der künftigen Verordnung. Beispielhaft sei genannt, dass viele neuere „KI-Anwendungen“ von der ursprünglichen Definition des Artificial Intelligence Acts nicht einmal umfasst wäre und somit aus dem Anwendungsbereich fielen. Der AI-Act sei – so ein Mitarbeiter der italienischen Aufsichtsbehörde – wie der Fall Benjamin Button, er würde bereits völlig veraltet auf die Welt kommen. Das sei allerdings ein allgemeines Problem der europäischen Gesetzgebung. Man sei viel zu langsam und ineffizient, so dass derartige Folgen unvermeidbar wären und außerdem würde man – in völliger Abkehr zum römischen Rechtsverständnis – vermehrt auf Einzelfallgesetze (z.B. Digital Services Act, Digital Markets Act für die Big Player Google, Amazon, Meta, etc.) setzen, anstatt allgemeingültigere Verordnungen zu erlassen. Man habe zunehmend das Gefühl, es würden Verwaltungsakte und keine „Gesetze“ erlassen. Das Beispiel AI-Act dränge eine Neugestaltung des Verordnungsverfahrens nahezu auf. Ein Ansatz sei, gewissen Mitgliedstaaten (oder mehreren) Themen nach Kompetenz zuzuordnen, so dass die Gesetzgebung präziser, schneller und besser würde. Dies sei jedoch politisch höchst schwierig darzulegen, weil es Brüssel und die EU-Institutionen in ihren Rechten beschränken würde.

Auf der anderen Seite erhofft man sich in Brüssel, dass die thematische Besprechung bereits Ende April abgeschlossen werden könne.

Ein Blick zurück auf die andere Seite des Atlantiks zeigt, dass die Vereinigten Staaten zwar noch keine derartigen Gesetzesänderungen anstrebten, sich jedoch bereits „Executive Acts“ (wie Nummer 13960 – „Promoting the Use of Trustworthy Artificial Intelligence in the Federal Government“) mit diesem Thema befassen und dabei ähnliche Grundprinzipien – allen voran mehr Verständnis und Transparenz – wie in Europa anwendeten.

Der AI-Act werde aus US-amerikanischer Sicht sicherlich einen starken Einfluss auf zukünftige KI-Gesetzgebungen haben – man sprach vom „GDPR-effect“ – und als Vorbild vorangehen. Es wurden aber auch Bedenken geäußert, inwieweit die neuen Regelungen letztlich konsistent seien und keine weiteren Probleme mit Blick auf den fundamentalen „free data flow with trust“ mit sich brächten.

Fazit: „Wir stehen erst am Anfang“

Wie sehr Technik und Fortschritt der Gesetzgebung und Regulierung mittlerweile enteilt sind, zeigt sich nicht erst im Umgang mit „ChatGPT“, der mittlerweile auch in Italien wieder verfügbar ist.

Dies lasse sich bewältigen, wenn man versuche Künstliche Intelligenz in dieser Form wie eine sehr ausgereifte Form von Software zu behandeln

Ganz anders stellt sich die Situation bei Entwicklungen wie dem „Metaverse“ dar. Der immersive Charakter des Metaverse macht eine Anpassung bestehenden Datenschutz-Verständnisses notwendig, um den besonderen Gegebenheiten überhaupt gerecht werden zu können. Die Komplexität und Vielschichtigkeit der Nutzungsmöglichkeiten erfordere praxisnahe und pragmatische Ansätze, um einen ethisch vertretbaren Datenschutzstandard zu erreichen. Darüber hinaus stelle sich die Frage nach der Zuständigkeit und Durchsetzung von Governance-Regelungen in dieser digitalen Welt. Es ist unklar, inwieweit europäische Institutionen Einfluss auf privat geführte Welten wie das Metaverse nehmen können, was die Regulierung dieser Technologien zusätzlich erschwere.

So beeindruckend die Technik auch derzeit schon sein mag und so sehr sie uns aus datenschutzrechtlicher Sicht bereits fordert, muss man sich also dessen bewusst werden, dass wir eigentlich noch völlig am Anfang stehen.

Michael Wehowsky

Über den Autor - Michael Wehowsky, CIPP/E, CIPT

Michael Wehowsky verfügt als Certified Information Privacy Professional (CIPP/E) und Certified Information Privacy Technologist (CIPT) sowie als zertifizierter Datenschutzbeauftragter (udis, FernUni Hagen) über eine Kombination aus juristischem und technischem Fachwissen.
Er berät Unternehmen verschiedener Ausrichtung und Größe in deutscher, englischer und italienischer Sprache, mit besonderem Schwerpunkt auf Software- und Internet-Datenschutz. Darüber hinaus teilt er seine Erfahrungen als Speaker auf nationalen und internationalen Konferenzen.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot