KI-Leitfaden/KI-Leitlinien: Chancen und Risiken von KI im Tourismus
Reiter
Vertraulichkeit und Datenschutz
Beim Einsatz von KI liegt die Verantwortung für einen vertraulichen und sensiblen Umgang bei allen Nutzenden. Daher verpflichten wir uns, personenbezogene sowie sensible Daten von Personen (z.B. ethnische Zugehörigkeit, politische Zugehörigkeit, Religionszugehörigkeit, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Finanzdaten, sexuelle Orientierung) nicht in KI-Tools einzugeben bzw. KI-Tools damit nicht zu trainieren. Darüber hinaus unterliegen Unternehmensgeheimnisse und -internas der Geheimhaltungspflicht.
Details zu dieser Leitlinie
Künstliche Intelligenzen haben das Potenzial, repetitive Aufgaben in vielen Arbeitsbereichen zu vereinfachen. So könnte beispielsweise ein Chatbot wie ChatGPT wertvolle Hilfe bei der Auswertung großer Datenmengen leisten. Aber: Alle Informationen, die in solche Tools eingegeben werden, sind zuvor sensibel zu prüfen und zu bewerten.
Die Frage, die vor jeder Eingabe beantwortet werden muss, lautet: Sind diese Daten als unkritisch zu bewerten oder könnten sie in einem anderen Kontext gegen eine Person verwendet werden? Stehen die Informationen, mit denen die KI gefüttert werden soll, bereits öffentlich zur Verfügung oder handelt es sich um Unternehmensinterna, die nicht oder erst zu einem bestimmten späteren Zeitpunkt nach außen kommuniziert werden dürfen?
Denn: Nicht alle Anbieter von KI-Tools legen offen, in welcher Form eingegebene Daten verarbeitet oder gespeichert werden. Bekannt ist zumindest bei einigen Anbietern, dass eingegebene Daten zum Training und zur Verbesserung der Modelle verwendet werden. Generell sollte davon ausgegangen werden, dass die meisten großen KI-Unternehmen die durch ihre Nutzer eingegebenen Daten in irgendeiner Form für das Training ihrer Modelle verwenden, unabhängig davon, ob die Nutzer eine kostenlose oder eine kostenpflichtige Version nutzen. Zum jetzigen Zeitpunkt bieten nur wenige Dienste eine Opt-out-Möglichkeit an, und auch die Transparenz gegenüber ihren Nutzern in dieser Frage ist unterschiedlich.
Nicht gänzlich auszuschließen ist außerdem, dass die Daten noch anderweitig verwendet oder an Dritte weitergegeben werden. Relevant ist in diesem Zusammenhang, dass die großen KI-Anbieter ihren Sitz außerhalb der EU haben und dort in der Regel nicht dieselben, mitunter schwächere Datenschutzstandards herrschen. Auch deshalb legt die RPT auf die Punkte Vertraulichkeit und Datenschutz besonderen Wert.
Was bedeutet das konkret?
KI-Tools werden niemals mit personenbezogenen Daten (Name, Geschlecht, Alter, Adresse, Wohnort, …) oder sensiblen Daten (ethnische Herkunft, politische Zugehörigkeit, Religionszugehörigkeit, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Finanzdaten, Daten zur sexuellen Orientierung, …) „gefüttert“. Von dieser Regel ist nur dann abzuweichen, wenn eine ausdrückliche Zustimmung der betroffenen Person vorliegt. Dies gilt unabhängig davon, ob es sich bei den Personen, um Mitarbeiter, Endkunden, Partner, Stakeholder, Dienstleister oder sonstige Dritte handelt.
Um den Datenschutz zu gewährleisten, werden Inhalte mit personenbezogenen Daten anonymisiert, pseudonymisiert oder derart gekürzt bzw. zusammengefasst, dass eine eindeutige Identifizierbarkeit einzelner Personen ausgeschlossen werden kann.
Diese Leitlinie soll jedoch nicht nur den Einzelnen schützen, sondern auch das Unternehmen, das sie herausgegeben hat. Daher dürfen auch unternehmensinterne Informationen sowie Unternehmensgeheimnisse nicht in KI-Tools eingegeben werden. Dazu zählen Dokumente, die der Öffentlichkeit nicht zugänglich sind, wie z.B. firmeninterne Betriebsdaten und Richtlinien, firmeninterne Wikis, Akten, Protokolle, Informationen von betriebswirtschaftlichem Wert und zu unternehmerischen Vorgaben, Arbeitsprozesse, Personalangelegenheiten, Mitarbeiterzeitungen und Informationen aus Mails oder anderen internen Kanälen (analog und digital) der Mitarbeiterkommunikation, Verträge und Auftragsdaten, Strategiepapiere. Erlaubt sind solche Informationen, die auf öffentlich zugänglichen Webseiten des Unternehmens selbst zur Verfügung stehen (z.B. Name, Kontaktdaten und Zuständigkeiten von Personen im Unternehmen, Aufgabenbereiche, veröffentlichte oder zum Download bereitgestellte Daten) und deshalb ohnehin durch eine KI erfasst werden können.
Zuletzt geändert: 10. Sep 2024, 13:42, [Malte.Dick]