Einführung in den Einsatz von generativen KI-Systemen / LLMs
Das Lernmodul bietet einen ersten Einblick in das Thema KI und LLMs. Es wird den Fragen "Was ist Künstliche Intelligenz?" und "Was ist Prompting?" nachgegangen und die Themen "Datenschutz und Urheberrecht" sowie "Verantwortungsvolle Nutzung" werden betrachtet.
3. Datenschutz und Urheberrecht
3.1. Datenschutz & personenbezogene Daten
Dieses Kapitel bietet grundlegende Informationen zum Datenschutz und zeigt auf, wie KI und LLM verantwortungsvoll eingesetzt werden können. Insbesondere im Hinblick auf den Schutz personenbezogener Daten und die Einhaltung gesetzlicher Vorschriften.
KI-Kompetenz bedeutet auch Datenschutzkompetenz
Im Rahmen unserer Schulung zur Nutzung von KI-Werkzeugen an der Universität ist ein klares Verständnis für das Konzept der personenbezogenen Daten unerlässlich.
Was sind personenbezogene Daten?
Personenbezogene Daten sind nach der Datenschutzgrundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen zum Beispiel:
-
Identifikationsdaten: Name, Adresse, Geburtsdatum, E-Mail-Adresse
-
Kontaktdaten: Telefonnummer, Kommunikationsverläufe
-
Studien- und Leistungsdaten: Matrikelnummer, Noten, Studienverlauf
- Sensible Daten: Gesundheitsdaten, ethnische Herkunft, politische Meinungen
Auch indirekte Informationen, die in Kombination mit anderen Daten zur Identifizierung einer Person führen können, fallen darunter. Dazu kommt es auch darauf an, welches Zusatzwissen bei dem*der jeweiligen Empfänger*in oder der datenverarbeitenden Organisation vorhanden ist oder beschafft werden kann. Die Definition ist also sehr weit gefasst.
Relevanz für die Nutzung von KI-Systemen und LLMs
Bei der Nutzung von KI-Systemen werden in der Regel Daten übermittelt, etwa bei der Registrierung oder durch die Verarbeitung von Eingaben. Dabei ist oft unklar, ob und wie sich der Anbieter an die Datenschutzgrundverordnung (DSGVO) hält. In diesem Zusammenhang ergeben sich folgende Datenschutzrisiken:
- Datenverarbeitung in Drittländern:
Teilweise verarbeiten KI-Anbieter Daten außerhalb der EU oder des EWR, in Ländern, die keinen vergleichbaren Datenschutzstandard wie die DSGVO bieten. Das hat insbesondere zur Folge, dass Dritte wie Regierungsorganisationen oder Geheimdienste auf die Daten zugreifen können und Betroffene die Rechte, die ihnen nach den europäischen Datenschutzgesetzen in diesem Zusammenhang zustehen, nicht oder nur unzureichend geltend machen können.
- Profiling:
Für die Nutzung von KI-Systemen ist oft eine Registrierung erforderlich, bei der Anmeldedaten und möglicherweise Zahlungsinformationen angegeben werden müssen. Diese Daten könnten mit den Eingabedaten kombiniert und zur Erstellung von persönlichen Profilen über die User genutzt werden. Diese Profile können zum Beispiel an Werbenetzwerke weitergegeben werden.
- Weitere Nutzung für eigene Zwecke:
Es besteht die Gefahr, dass eingegebene Daten von den Anbietenden eingesehen und für eigene Zwecke, beispielsweise zum Training der Modelle, genutzt werden. Die Folge davon kann sein, dass eingegebene private Daten bei Anfragen anderer Nutzender vom Modell ausgegeben werden.
- Eingeschränkte Geltendmachung von Betroffenenrechten:
Die Rechte von Nutzenden oder Personen, deren Daten in das System eingeben werden, wie das Recht auf Auskunft, Berichtigung oder Löschung personenbezogener Daten, sind insbesondere bei Anbietenden aus Drittländern oft schwer durchzusetzen. Das liegt zum einen an der Rechtslage, aber auch an Aufbau und Funktionsweise der Modelle selbst.
- Mangelnde Informations- und Transparenzpflichten:
Viele Anbietende von KI-Systemen informieren nicht ausreichend darüber, wie Daten verarbeitet werden, welche Zwecke die Verarbeitung verfolgt und welche Rechte den Nutzenden zustehen. Dies erschwert es, informierte Entscheidungen zu treffen und kann zu einem Risiko für die Datenschutzrechte der Betroffenen werden. Auch mangelnde Anonymisierung durch Nutzende und unbeabsichtigte Ausgaben personenbezogener Daten durch das Modell stellen Risiken dar. Der Einsatz von innovativen Technologien wie KI-Anwendungen setzt einen kritisch-reflexiven und verantwortungsbewussten Umgang der Nutzenden voraus.
Praktische Hinweise zur Risikominimierung:
-
Lesen Sie bei intern angebotenen Systemen die Nutzungsbedingungen oder einschlägigen Richtlinien sorgfältig durch und halten Sie die Vorgaben ein.
-
Geben Sie nur unbedingt erforderliche Informationen ein und verzichten Sie auf die Weitergabe sensibler Informationen wie Betriebs- und Geschäftsgeheimnisse. Das gilt für Ihre eigenen Daten und die Daten der Universität sowie für Daten Dritter oder anderer Organisationen.
- Daten, wie Forschungsdaten ohne Personenbezug, dürfen nur genutzt werden, wenn entsprechende Nutzungsrechte vorliegen, das Urheberrecht beachtet wird und keine Geheimhaltungsvereinbarungen oder ähnliches im Wege stehen.
Bei externen Anbietenden gilt außerdem:
-
Lesen Sie die Nutzungsbestimmungen bzw. Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärungen sorgfältig und prüfen Sie, ob der Dienst den DSGVO-Vorgaben entspricht, bevor Sie ihn nutzen.
-
Schließen Sie, wenn möglich, die weitere Verarbeitung durch Anbietende zu eignen Zwecken aus (Training und Profiling).
- Verwenden Sie bei der Registrierung eine anonymisierte E-Mail-Adresse und geben Sie möglichst wenige Daten von sich an.
Umgang mit Ausgaben von KI-Systemen
- Auch KI-Systeme können personenbezogene Daten generieren. In der Regel fehlt jedoch die rechtliche Grundlage, diese Daten weiterzuverarbeiten, etwa zu speichern oder zu veröffentlichen. Dies gilt vor allem im dienstlichen Kontext. Bei Daten von Personen des öffentlichen Lebens (z.B. Prominenten) kann im Einzelfall ein überwiegendes berechtigtes Interesse an der Verarbeitung bestehen. Dies setzt nach der derzeit geltenden Rechtsprechung jedoch voraus, dass die Daten aus öffentlich zugänglichen Quellen stammen und ein öffentliches Interesse an ihrer Kenntnis besteht. Da die Herkunft von KI-generierten Daten in der Regel unklar ist, sollten diese besonders vorsichtig behandelt werden. Die DSGVO sieht derzeit keine spezifischen Ausnahmen für solche Daten vor, unabhängig davon, ob sie theoretisch aus öffentlichen Quellen stammen könnten. Wie sich die Rechtslage hier entwickelt, bleibt abzuwarten. Daher gilt: Grundsätzlich keine personenbezogenen Daten aus den Ausgaben übernehmen!
Weitere praktische Hinweise zum Umgang mit Ausgaben:
-
Prompts sollten so formuliert werden, dass keine personenbezogenen Daten explizit angefragt oder verarbeitet werden. Tipps zum „Datenschutzfreundlichen Prompten“ erhalten Sie auf der nächsten Seite.
-
Überprüfen Sie die generierten Inhalte sorgfältig, um sicherzustellen, dass keine personenbezogenen oder sonstigen sensiblen Informationen enthalten sind.
- Nutzen Sie nur Inhalte, die keine personenbezogenen Daten enthalten. Löschen Sie Chats, wenn personenbezogene Daten generiert wurden, am Ende der Sitzung.
Bewusstsein für KI-Limitationen
Generative KI-Anwendungen, die auf LLMs beruhen, sind nicht darauf ausgelegt, die „richtige“ Antwort zu geben. Sie wurden entwickelt, um auf sprachlicher Ebene mit uns Menschen zu interagieren. Die Antworten basieren auf Wahrscheinlichkeits-Modellen, die sie aus großen Mengen von Trainingsdaten gelernt haben und werden durch die Berechnung der wahrscheinlichsten nächsten Wörter generiert. Beachten Sie in diesem Zusammenhang, dass generative KI-Systeme Inhalte erstellen, die fehlerhaft oder ungenau sein können. Prüfen Sie alle generierten Informationen und passen Sie diese gegebenenfalls an, bevor sie diese übernehmen.
Besonders wichtig:
Beim Einsatz von KI in Verwaltung, Forschung Lehre und Studium ist der Schutz personenbezogener Daten entscheidend, um die eigene sowie die Privatsphäre der Betroffenen zu wahren.