Entweder nutzen Unternehmen KI ohne Umwege und gefährden so die Datensicherheit oder sie räumen dem Datenschutz höchste Priorität ein und können KI-Lösungen kaum nutzen. Die Schlüsselkompetenz besteht darin, beides zu vereinbaren. Ist das überhaupt möglich?
Künstliche Intelligenz (KI) stellt in verschiedenen Formen und Situationen eine Bedrohung für den Datenschutz und die Sicherheit von Unternehmen dar.
Beispielsweise können Kriminelle KI für gefälschte E-Mails und manipulierte Telefonanrufe nutzen. In diesem Fall spricht man von Phishing- und Social-Engineering-Angriffen. Bei einem Informationsabfluss füttern Mitarbeitende KI mit sensiblen Daten und veröffentlichen damit unbewusst vertrauliche Informationen. Auch Infektionen mit Schadsoftware sind gefährlich: Kriminelle können kostenlose gefälschte KI-Anwendungen verbreiten, bei deren Installation sensible Daten gestohlen werden.
So funktioniert Datenschutz
Wie können Mitarbeitende die Daten ihres Unternehmens und sich selbst im Umgang mit KI schützen? Sie sollten ChatGPT und Co. nicht mit vertraulichen Informationen füttern, keine personenbezogenen Daten wie Namen und Gesundheitsdaten eingeben oder Bilder hochladen – weder von sich selbst noch von anderen Personen. Sie sollten keine Prozessabläufe, Netzpläne (Methoden zur Ablaufplanung von Projekten) oder Codeschnipsel von Software in ein KI-System laden.
Bei Large Language Models (LLM) wie ChatGPT dürfen die Mitarbeitenden den Antworten der KI nicht blind vertrauen. Erstens basieren die Antworten nicht auf Logik, sondern sind wahrscheinlichkeitsbasierte Vervollständigungen. Zweitens können sie veraltet sein. ChatGPT ist beispielsweise «nur» auf Daten bis im April 2023 trainiert. Drittens können die Antworten voreingenommen sein, weil die Input-Daten gleichermassen mit Vorurteilen versehen sind. Fazit: ChatGPT ist nicht vertrauenswürdig und muss kritisch hinterfragt werden.
Die Geschäftsleitung oder die Sicherheitsabteilung muss Richtlinien zur Nutzung und zum Einsatz von KI-Systemen erstellen. Die Mitarbeitenden müssen wissen, was sie dürfen und was nicht.
Es ist sinnvoll, Cybersecurity-Trainings wahrzunehmen und die Mitarbeitenden entsprechend regelmässig zu schulen.
Neues DSG: Wer ist verantwortlich?
Das revidierte Datenschutzgesetz (revDSG) verpflichtet Unternehmen, über die Erhebung, Speicherung, Verarbeitung und Nutzung gewisser Daten zu informieren. Das Gesetz stellt eine Leitplanke für den Schutz sensibler Informationen dar, die den aktuellen Sicherheitsrisiken begegnet. Unternehmen müssen natürliche Personen bei Bedarf darüber informieren, welche Daten sie über sie besitzen, wie sie diese verwenden, an wen sie diese weitergegeben und wie sie erhoben werden.
Verantwortlich für die Umsetzung des neuen DSG ist das Unternehmen selbst – ergo die Geschäftsführung. Sie kann Aufgaben an geeignete Mitarbeitende oder an Externe delegieren. Diese internen oder externen Datenschutzbeauftragten überwachen die Einhaltung von Datenschutzverordnungen und stellen sicher, dass die Organisation die gesetzlichen Anforderungen erfüllt. Sie beraten und schulen die Mitarbeitenden in Datenschutzfragen. Einerseits müssen sie relevante Gesetze und Richtlinien erklären und andererseits einen sicheren Datenumgang aufzeigen.
Falls Fragen bezüglich des Datenschutzes auftauchen, fungieren sie als Anlaufstelle für Mitarbeitende und Kund:innen. Sie nehmen auch Beschwerden entgegen und bearbeiten diese. Zur selben Zeit sind sie auch Ansprechpersonen für Aufsichtsbehörden, die Audits durchführen oder Nachfragen stellen. Datenschutzbeauftragte sind vor allem bei Unternehmen, die sensible personenbezogene Daten verarbeiten, unverzichtbar. Ihre Arbeit trägt dazu bei, das Vertrauen der Kundschaft und die rechtliche Konformität zu sichern.
Verantwortungsvoller Einsatz
Geschäftsprozesse optimieren und Effizienz steigern: Künstliche Intelligenz ist eine hervorragende Technologie, wenn sie von Unternehmen sicher eingesetzt und angewendet wird. Unternehmen müssen die Privatsphäre und die Daten ihrer Nutzer:innen schützen – ohne ethische oder rechtliche Kompromisse einzugehen. Dies erfordert eine strikte Einhaltung von Datenschutzgesetzen und die Implementierung umfassender Sicherheitsmassnahmen. Geschäftsleitungen, Mitarbeitende und Datenschutzbeauftragte, die einen verantwortungsvollen Umgang mit KI fördern, sichern den Unternehmenserfolg und sichern die Wettbewerbsfähigkeit im schnelllebigen Technologiezeitalter.
Was sagt ChatGPT dazu?
Auf die Frage, ob ChatGPT gefährlich ist für den Datenschutz von Unternehmen, antwortet die künstliche Intelligenz: «Als KI-Modell habe ich keinen direkten Zugang zu externen Systemen oder Datenbanken von Unternehmen, daher stelle ich an sich keine direkte Bedrohung für den Datenschutz dar. Meine Interaktionen sind auf Informationen beschränkt, die während einer Sitzung bereitgestellt werden, und ich speichere keine persönlichen Daten über Sitzungen hinweg.
Es ist jedoch wichtig, dass Unternehmen, die KI-Modelle wie mich nutzen, sorgfältig überlegen, welche Daten sie in die Interaktionen einbringen. Zum Beispiel sollten sensible Informationen oder persönlich identifizierbare Daten vermieden werden, besonders in öffentlich zugänglichen oder weniger sicheren Umgebungen. Die sicherheitsbewusste Verwendung von KI beinhaltet den Schutz von Daten durch Verschlüsselung und die Einhaltung von Datenschutzbestimmungen.
Im Endeffekt hängt die Sicherheit beim Einsatz von KI-Technologie stark von der konkreten Anwendungsweise und den Sicherheitsmassnahmen des nutzenden Unternehmens ab.»
Schreibe einen Kommentar