#29 Künstliche Intelligenz und Datenschutzfolgenabschätzung
Shownotes
Der Podcast rund um das Thema Datenschutz und IT. Mit Dr. Klaus Meffert und Stephan Plesnik.
29 Künstliche Intelligenz und Datenschutzfolgenabschätzung
Ist Künstliche Intelligenz gefährlich? Was ist eine Risikobewertung?
Mit einfachen Mitteln schnell das Risiko einer Datenverarbeitung ermitteln. Das besprechen wir in dieser Folge.Drei Faktoren sind entscheidend. Mit einer simplen Multiplikation dreier Zahlen von 1 bis 10 kann das Risiko von maschinellem Lernen abgewogen werden. Für den Einsatz von ChatGPT im Unternehmen sprechen die Zahlen für sich, nämlich für eine große Unsicherheit.
Dies und einiges mehr in der aktuellen Episode von Datenschutz Deluxe sowie im Beitrag zum Podcast: https://dr-dsgvo.de/datenschutzfolgenabschaetzung-fuer-kuenstliche-intelligenz-und-andere-digitale-dienste/
Feedback geben? Fragen stellen? Gerne hier:
https://dr-dsgvo.de
Videokanal von Stephan: https://www.youtube.com/datenschutzistpflicht
Impressum:
https://dr-dsgvo.de/impressum
Transkript anzeigen
00:00:00: Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.
00:00:14: Herzlich willkommen, liebe Zuhörer zum Datenschutz Deluxe Podcast. Ich bin Stephan Plesnik und wie immer ist bei mir Klaus Meffert. Lieber Klaus, ich grüße dich. Wie geht es dir heute?
00:00:24: Ja, Stephan, mir geht es gut. Vielen Dank, dass wir heute wieder sprechen können und ich hoffe, dir geht es auch gut und wir haben wieder ein spannendes Thema.
00:00:31: Auf jeden Fall. Heute ist bei mir auf jeden Fall alles paletti. Ich würde sagen, wir starten auch direkt mal ins Thema, weil ich es unglaublich spannend finde und hoffe, dass ich hier sehr, sehr viel lernen kann über zwei Themen, die sich doch an einer bestimmten Stelle sehr stark überschneiden.
00:00:45: Und zwar dreht sich heute alles um ein relativ komplexes Thema und zwar Datenschutzfolgeabschätzung in Bezug auf künstliche Intelligenzsysteme.
00:00:57: Vielleicht dazu kurz eine kleine Einleitung. Eine Datenschutzfolgeabschätzung, die wahrscheinlich vielen Leuten, die uns hier regelmäßig zuhören, so noch gar nicht wirklich so präsent ist oder bekannt ist, ist ein Rechtskonstrukt, das man in Artikel 35 der DSGVO findet.
00:01:16: Und da geht es eben darum, dass man bestimmte Risiken, bestimmte Einschätzungen vornehmen muss, wenn man neue Produkte einsetzt, neue Produkte entwickelt, um eben im Vorhinein das Risiko für sozusagen den Missbrauch oder den unsäglichen Gebrauch von personenbezogenen Daten einzuschränken und das eben vorher mal zu betrachten.
00:01:38: Das ist in Bezug auf KI natürlich sehr spannend, ganz besonders, weil es da ja auch schon in den letzten Monaten immer wieder Angriffe, hauptsächlich gegen Open AI als, sage ich mal, prominentesten Medienvertreter, was KI-Entwicklung angeht, gegeben hat.
00:01:55: Und deswegen würde ich sagen, starten wir doch direkt mal direkt mit der Frage, was genau ist eigentlich die Anforderung an eine Datenschutzfolgeabschätzung, bevor wir das dann in den Bogen zu der KI spannen?
00:02:09: Ja, also vielleicht die Datenschutzfolgenabschätzung oder DSFA, wird sie auch abgekürzt, die ist dafür da, um rauszufinden, wie risikoreich ein bestimmter Prozess ist, der Daten, also personenbezogene Daten verarbeitet.
00:02:24: Und dann, wenn man feststellt, das Risiko ist höher als akzeptabel, also höher als, sagen wir mal, normal hoch oder noch nicht kritisch hoch, dann überlegt man auch, welche Notfallpläne man schon mal sich ausdenkt, Ansprechpartner definiert oder ob es vielleicht irgendwelche Maßnahmen gibt, die man jetzt schon ergreifen kann, um das Risiko zu drücken.
00:02:45: Ich gebe mal ein Beispiel, wenn man jetzt E-Mails verschickt, dann besteht ja das Risiko, dass eine Person eine E-Mail erhält, die, also der falsche Empfänger sozusagen eingetragen wird.
00:02:57: Das kann natürlich blöd sein, wenn da an der E-Mail Anhänge sind, die geheim sind oder vielleicht Daten von Kunden enthalten, die gar nicht der Empfänger dieser Mail sind und der Empfänger soll diese Kundendaten gar nicht erhalten.
00:03:08: Da kann man jetzt überlegen, wie kann ich das denn ausschließen? Zum Beispiel, vor allem ja bei, wenn ich einen ganzen Empfängerkreis angebe oder so, ja, da könnte man zum Beispiel sagen, ich konstruiere jetzt mal was.
00:03:19: Jedes Unternehmen kann da seine eigenen Methoden überlegen, also Mitarbeiterschulung, dass der Mitarbeiter eben genau darauf achtet, bevor er eine Mail abschickt, an wen die geht, auch vor allem, wenn er neue E-Mail-Adressen einträgt oder aus dem Adressbuch einfach schnell auswählt.
00:03:32: Und nicht einfach nur antwortet auf eine Mail und wenn man an einen Verteiler schickt, dass man nur Blindkopien zum Beispiel nutzt, also die anderen Empfänger nicht sehen, wer die anderen sind.
00:03:42: Es gibt ja auch viele Empfänger, die sich gar nicht kennen und so kann man dann für alle Arten von Datenverarbeitung auch auf der Cloud oder so im Speicher das Risiko minimieren.
00:03:52: Beim Cloud-Speicher wäre es so, du legst ein Dokument ab, das enthält sensible Information, da kann man sagen, okay, dann arbeiten wir mit Verschlüsselung und dann reduziert sich natürlich das Risiko, wenn ein Hackerangriff kommt und diese Daten abgezogen werden, dass mit den Daten was Schlimmes passiert, als Beispiel so.
00:04:07: Und um rauszufinden, wie hoch das Risiko ist, gibt es eine Risikobewertung. Da können wir gleich noch ein bisschen näher drüber sprechen, denn die gehört eigentlich schon zur Datenschutzfolgenabschätzung und ohne Risikoabwägung weiß man aber gar nicht, ob man die Datenschutzfolgenabschätzung machen muss in Wirklichkeit.
00:04:25: Reden wir gleich noch drüber und ich mache die immer so, das ist auch relativ weit verbreitet. Es gibt drei Charakteristiken oder drei Parameter, anhand deren sich das Risiko einer Datenverarbeitung bestimmen lässt und zwar ist es zum einen die Eintrittswahrscheinlichkeit und zwar Wert von 1 bis 10.
00:04:44: 10 heißt schlechteste Eintrittswahrscheinlichkeit, also kann sehr oft vorkommen. 1 heißt, es kommt sehr selten vor, dieses Ereignis. Zum Beispiel auch, wie oft bricht jemand ein in einem Büro und klaut Aktenordner aus dem Schrank. Das sind ja auch personenbezogene Daten oft.
00:05:00: Da würde ich sagen, ist die Eintrittswahrscheinlichkeit 2 von mir aus oder 1, je nachdem wie stark man sein Gebäude sichert. Dann gibt es als zweiten Parameter die Entdeckungswahrscheinlichkeit, auch Wert 1 bis 10. 10 ist wieder die schlechteste Entdeckungswahrscheinlichkeit, also man entdeckt es gar nicht, man bekommt es nicht mit und 1 heißt, man bekommt es immer mit, wenn so ein Eintritt stattfindet.
00:05:24: Beim Diebstahl im Büro würde ich sagen, ist die Eintrittswahrscheinlichkeit auch 2 beispielsweise, weil wenn jemand bei dir einbricht, dann kriegst du das normalerweise mit, weil die Tür aufgebrochen wurde oder sowas. Jetzt mal vereinfacht gesagt. Es gibt natürlich auch Mitarbeiter, die klauen Dokumente, es kommt aber sehr selten vor und wenn da keine Einbruchsspuren sind, dann wären da wahrscheinlich mindestens Fingerabdrücke oder ähnliches zu finden.
00:05:46: Entschuldige, wenn ich dazwischen hake. Bedeutet das bei dieser Entdeckungswahrscheinlichkeit, dass da 1 dann Aussage darüber ist, dass es sehr wenig wahrscheinlich ist, dass ich das entdecke oder dass ich das auf jeden Fall entdecke?
00:06:01: Genau, also 1 ist immer der beste Wert sozusagen, weil wir multiplizieren gleich, umso niedriger der Wert, umso besser ist es für den Verantwortlichen, also umso niedriger ist das Risiko insgesamt, weil wir multiplizieren gleich diese drei Werte und umso niedriger der Gesamtwert ist, also das Produkt der drei Werte, umso besser ist es. Und der dritte Parameter ist die Schwere des Ereignisses.
00:06:23: Da ist auch 1 das Beste, also die niedrigste Schwere, also harmlos und 10 ist extrem schlimm. Also 10 wäre jetzt zum Beispiel Gesundheitsdaten, Kreditkartendaten und sonstige Daten zu bestimmten Vorlieben von Personen werden auf einmal abgegriffen, sage ich jetzt mal.
00:06:40: Wenn es jetzt in einer Firma nur in Aktenordnern, ich sage mal, Rechnungen gibt von Kunden, einfach nur die Rechnungsadresse und das war's, ja, dann würde ich sagen, ist die Schwere des Ereignisses je nach Anzahl der Daten vielleicht 1, 2 oder 3 als Beispiel. Nehmen wir mal 2 jetzt auch wieder.
00:06:58: Das heißt, wenn ich jetzt keine Arztpraxis bin, sondern einfach nur ein IT-Unternehmen, was Kunden hat und ich schreibe denen einfach nur Rechnungen und deswegen habe ich deren Adressen, dann sind das glaube ich keine besonders sensiblen Daten. Eine Arztpraxis hat da schon ganz andere Daten. Da wären wir schon mindestens im Bereich 7 oder 8 von der Schwere des Ereignisses.
00:07:17: Weil wenn diese Daten in fremde Hände gelangen, kann diese Person ja alles mögliche damit machen. Wenn einer jetzt Adressen in der Welt rumschleudert, sage ich jetzt mal, ist nicht schön, aber da muss sich glaube ich keiner wirklich Gedanken machen, dass die Welt untergeht. Wenn aber jetzt jemand weiß, dass prominente Personen bestimmte Krankheiten haben, wäre das vielleicht auch schon etwas anderes.
00:07:34: Jetzt haben wir in unserem Beispiel Eintrittswahrscheinlichkeit für den Diebstahl von Aktenordnern im Büro mal 2 definiert, die Entdeckungswahrscheinlichkeit auch 2 und nehmen wir mal Schwere des Ereignisses 3. Da haben wir jetzt 2 mal 2 mal 3 ist 12 von maximal 1000 Punkten.
00:07:56: Weil 10 mal 10 mal 10 ist ja 1000, das wäre der Maximalwert. Und der niedrigste Wert ist 1 mal 1 mal 1 und 12 ist jetzt sehr weit weg von 1000, also ist das Risiko sehr gering. Da muss ich mir jetzt keine Sorgen machen, dass ich da eine Datenschutzfolgenabschätzung erstellen muss, sofern meine Betrachtung stimmt natürlich.
00:08:12: Wenn ich jetzt auf einen Wert von mindestens 200 käme oder 250, das muss jedes Unternehmen selbst definieren, wo die Grenze ist, dann würde ich sagen, hätte man ein Problem. Dann sollte ich vielleicht über zusätzliche Schlösser nachdenken in dem Fall.
00:08:25: Und wenn ich dann also diese Schwelle erreiche, 150, 200 oder 250 als Wert beispielsweise von 1000, dann sollte ich unbedingt die weiteren Schritte der Datenschutzfolgenabschätzung gehen und dazu gehören eben auch Notfallpläne, mildernde Maßnahmen, sich ausdenken, Schulung von Mitarbeitern und so weiter.
00:08:44: Sehr spannend. Gibt es dazu dann Vorlagen oder gewisse Maßgaben, einen Katalog, den man irgendwie so Checklist-mäßig abhaken kann, wenn man dann jetzt, sag ich mal, diese Risikobewertung vorgenommen hat und dabei rauskommt, ich muss eine Datenschutzfolgenabschätzung machen, also etwas, woran man sich als Leitfaden orientieren kann oder muss sich das jeder irgendwie inhaltlich nach den individuellen Prozessen selbst zusammenschustern?
00:09:10: Ja, also es gibt natürlich für, also erstmal gibt es ein Verzeichnis von der DSK, Datenschutzkonferenz der Bund und Länder, für welche Verarbeitungstätigkeiten Sie eine DSFA als unbedingt erforderlich ansehen, wobei ehrlich gesagt, hängt ja vom Risiko ab. Also jedes Unternehmen hat ja andere Prozesse und andere risikolindernde Maßnahmen oder auch nicht lindernde Maßnahmen.
00:09:31: Und zum Zweiten steht im Artikel 35 eigentlich alles drin, was ich machen muss. Ich muss die Bewertung vornehmen. Das ist auch teilweise individuell. Ich muss dann eben Notfallpläne erstellen und so weiter. Und klar, kann ich jetzt Vorlagen nehmen für Standardprozesse oder Standardtools? Da muss man einfach suchen.
00:09:51: Wenn ich jetzt Google Analytics einsetze, dann sage ich meistens an sich, finde ich schon eine schlechte Idee, wenn ich dann unbedingt eine DSFA aufstellen muss. Ich weiß nicht, ob das wirklich was bringt. Bei E-Mail-Kommunikation ist es eben auch sehr unterschiedlich. Der eine verwendet nur verschlüsselte Kommunikation. Der andere hat vielleicht sogar ein S-MIME-Zertifikat oder ein Pretty Good Privacy-Zertifikat, was er immer verwendet. Der andere hat es nicht. Also so pauschal kann man das eigentlich nicht beantworten.
00:10:13: Da muss man schon gucken. Auch bei dem Büro. Wie sichere ich meine Büroräume ab? Der eine hat eine abgeschlossene Eingangstür. Da kommt niemand rein. Der andere hat eine offene Tür. Da ist ein Empfang. Da kann man aber auch vorbeigehen, wenn man geschickt ist. Da muss man natürlich andere Risikobewertungen machen. Beim Unternehmen vor allem, was 10.000 Besucher am Tag hat, als eins, was alle drei Wochen mal Besucher hat.
00:10:33: Insofern würde ich sagen, es ist relativ schnell gemacht, auch ohne Vorlage. Im Artikel 35 steht eigentlich schon alles drin, was man machen muss. Beziehungsweise diese Risikoabschätzung, die ich genannt habe mit den drei Werten, die muss man einfach mal machen.
00:10:46: Die kostet auch für viele Prozesse 30 Sekunden Zeit, wenn man das dreimal oder viermal gemacht hat und Übungen hat. Und wenn das Risiko gering ist, dann muss ich mir erst mal keine Gedanken machen. Es geht ja auch darum, meiner Meinung nach, wenn man von null anfängt für eine Datenschutzfolgenabschätzung, erstmal alle Prozesse sich überlegen, wo personenbezogene Daten im Spiel sind.
00:11:03: Es geht übrigens ja auch um Geschäftsgeheimnisse, wenn man das möchte, nur dann nicht im Rahmen der DSGVO. Die gilt ja nur für personenbezogene Daten. Aber Geschäftsgeheimnisse sind ja für viele wichtiger noch, muss man sagen. Oder vertrauliche Daten, für die man eine Vereinbarung abgeschlossen hat, Geheimnisse und so weiter.
00:11:18: Wenn ich die Prozesse erstmal gefunden habe in meinem Unternehmen, Backup-Prozess, E-Mail-Prozess, Webseite, Serverlogs, Aktenordner, wie gesagt und so weiter, und dann die Risikobewertung gemacht habe, dann merke ich vielleicht nach einer Woche, ich habe noch einen Prozess vergessen, den füge ich dann noch hinzu.
00:11:35: Dann sage ich, ach, jetzt habe ich ja erstmal alle Risiken aufgezählt. Die meisten Prozesse sind nicht riskant. Da muss ich eigentlich gar keine weiteren Überlegungen machen. Der eine Prozess ist mittel riskant. Okay, muss ich jetzt erstmal nicht machen. Ich mache das erstmal weiter mit dieser DSFA, das Dokument. Und dann, wenn ich alles so, die grundlegenden Sachen aufgeschrieben habe, kann ich mir Gedanken machen, ob ich tiefer in die Prozesse reingehen will. Das ist ja auch ein kontinuierlicher Prozess.
00:11:57: Man macht es ja nicht unbedingt für andere Leute, muss ich auch sagen. Es wäre ja schon für einen selbst gut, wenn man weiß, wo die risikoreichen Prozesse sind, die man ablindern möchte oder muss. Oder Datenpannen passieren. Wen spreche ich denn dann an? Da wäre es schon mal nicht schlecht, wenn ich mir einfach mal die Telefonnummer vom Landesdatenschutzbeauftragten oder die E-Mail-Adresse oder irgendwas oder von einem Mitarbeiter, der im größeren Unternehmen dafür zuständig ist, vielleicht aufschreibe oder zumindest in meine Datenschutzfolgenabschätzung reinschreibe.
00:12:24: Dann muss ich da nicht in der Hektik suchen. Ich gebe mal ein Beispiel. Angenommen, es brennt im Unternehmen. Wenn ich jetzt nicht weiß, wo der Notausgang ist oder auch nicht mal weiß, wo der Feuerlöscher ist oder nicht mal wüsste, was die Telefonnummer von der Feuerwehr ist, dann wäre das blöd. Also diese zwei Minuten Ersparnis oder zehn, die sind manchmal wichtig. Und wenn ich nicht denke, dass ich das schnell ermitteln kann, vielleicht sogar auch beim Stromausfall, kann ja auch mal passieren. Das kann ja auch ein Risiko sein. Dann sollte ich es einfach aufschreiben.
00:12:52: Okay, also zusammenfassend würde ich jetzt mal sagen, wir haben auf der einen Seite eine bestimmte Form von Parametern zur Risikobewertung, die wir uns bewusst sein sollten, die wir uns irgendwo präsent haben sollten, sodass wir sie nutzen können, um eben im Vorhinein erstmal das Risiko abzuschätzen, wenn wir irgendeine Datenverarbeitung angehen.
00:13:15: Dann im Anschluss daran ermittelt sich sozusagen aus dem Schwellwert, entweder wir sind bei 150 bis 200, wenn wir da drüber sind, sollten wir eine Datenschutzfolgeabschätzung machen.
00:13:27: Und um diese durchzuführen, finden wir in Artikel 35 der DSGVO unter Abschnitt drei, wann sie erforderlich ist, da sind A, B und C beschrieben und unter Abschnitt sieben finden wir dann eine, die Datenschutzfolgeabschätzung enthält zumindest folgendes und da haben wir dann vier Punkte, wo genau geklärt ist, was drin sein muss.
00:13:49: Wenn wir das jetzt mal, wir haben ja jetzt gerade darüber gesprochen, dass irgendwo eingebrochen wird als Beispiel, machen wir doch mal ein Beispiel, was den Bogen spannt zu der Datenverarbeitung in künstlicher Intelligenz.
00:14:01: Ich selber habe da vor einiger Zeit sehr, sehr viele Informationen darüber gelesen, wo ich immer wieder gedacht habe, naja, okay, wenn jetzt OpenAI als prominentester Vertreter angegriffen wird wegen ihrem ChatGPT, dass die da datenschutztechnisch irgendwie nicht richtig arbeiten, habe ich gedacht, ist so das Erste, was passieren müsste.
00:14:22: Weil ist halt so offensichtlich leicht, irgendjemand macht was super Interessantes, Spannendes mit einer neuen Technologie, kein anderer kann denen erstmal irgendwie das Wasser reichen oder alle sind irgendwie so ein bisschen vor den Kopf gestoßen und denken, wow, wie haben die das hingekriegt, das ist mega krass.
00:14:38: Und dann kommen natürlich die ersten Meckerfritzen und Kritiker, die sagen, ja, da müssen wir jetzt genauer hinschauen und deswegen, ihr seid aber böse und datenschutzmäßig ist das nicht erlaubt.
00:14:47: Dann hatten wir da in Italien sogar Verbote kurzweilig, dass diese Software nicht benutzt werden konnte, nicht eingesetzt werden konnte, der Dienst nicht erreichbar war und dieses Verbot wurde dann auch wieder aufgehoben richtigerweise, weil es eben eher so eine Schnellschussgeschichte war, wo die Datenschutzbehörde dort in Italien halt gesagt haben, wir müssen das erstmal bewerten, bevor wir sagen, das ist okay und haben dann aber ja befunden, dass das okay ist.
00:15:14: Nehmen wir doch mal dieses prominente Beispiel.
00:15:16: Ich meine, OpenAI hat nachgebessert. Die haben eine neue Möglichkeit zum Abwählen der Datenspeicherung eingeführt. Ich bin mir nicht sicher, aber ich meine, das war so. Also auf Druck der italienischen Behörde haben die schon was geändert, weil vorher war es eben so, dass alle Benutzerdaten, zumindest war so der Anschein, einfach gespeichert werden. Also alles, was man in den Chatbot eingibt, wurde von OpenAI gespeichert.
00:15:39: Es wäre ja gar nicht nötig gewesen, das zu speichern. Wenn wir beide miteinander reden, muss ich mir auch nicht aufschreiben, was du alles sagst. Ich meine, das kann ich machen, nur wenn ich es mir aufschreibe im Falle von OpenAI, dann heißt es da, dass es auf einer Festplatte landet und weiter analysiert wird. Wenn wir beide Notizen machen, dann geben wir die typischerweise nicht in ein System rein, was eine Wortanalyse macht oder diese Daten für zehn Jahre aufhebt und andere weitergibt vielleicht sogar.
00:16:04: Okay, das heißt also, wenn wir bei diesem Beispiel bleiben, wo genau würdest du jetzt zum Beispiel bei dieser Form von KI, wir reden ja jetzt über sogenannte generative KI-Systeme, so werden sie zumindest immer genannt, also KI-Systeme, die die Fähigkeit haben, aus vorhandenen Informationen neue Informationen zu generieren oder sagen wir mal so, imitieren neue Informationen.
00:16:26: Ich bin da ein bisschen zwiegespalten, ob das wirklich eine neue Information ist oder mehr ein Zusammenwürfel vorhandener Informationen, die dann eine neue Wirkung erzeugen. Aber das ist ja auch eine persönliche Meinung zu einem gewissen Teil, das brauchen wir nicht zu diskutieren, sondern die Frage, nehmen wir jetzt so ein generatives KI-System wie ChatGPT, wo genau oder ab welchem Punkt, in welcher Form der Datenverarbeitung würdest du jetzt sagen, okay, die Risikobewertung schlägt da auf jeden Fall über die Stränge?
00:16:55: Und deswegen müssen wir eine Datenschutzfolgeabschätzung machen. Kannst du da ein Beispiel kreieren, das vielleicht so auch so ein bisschen aus der, vielleicht so ein bisschen aus der Perspektive der Nutzer oder vielleicht können wir beides beleuchten, einmal aus der Perspektive, Unternehmen verarbeitet diese Daten, wie ChatGPT, OpenAI macht das.
00:17:12: Was ist bei denen datenschutzfolgeabschätzungstechnisch wichtig zu beachten? Und dann die andere Perspektive, was ist für jemanden wichtig zu beachten, der dieses Tool nutzt, um damit Informationen zu generieren oder damit ja irgendwie Inhalte zu kreieren?
00:17:32: Ja, also vielleicht nochmal diese Datenschutzfolgeabschätzung in Absatz 1 von dem Artikel 35 DSGVO steht es nochmal in sehr kompakter Form. Du hast es glaube ich auch am Anfang schon mal erwähnt. Hier steht, ich lese nochmal kurz vor, hat eine Form der Verarbeitung insbesondere bei Verwendung neuer Technologien, und darüber reden wir jetzt bei ChatGPT zum Beispiel, oder generativen Intelligenzen, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Recht und Freiheit natürlich Person zufolge.
00:17:58: So führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch und so weiter. Das heißt, wir wissen ja noch gar nicht, ob es gefährlich ist, weil wir wollen mit der DSFA ja erst ermitteln. Also müssen wir eine Risikoabschätzung machen. Damit sind wir eigentlich schon immer in der DSFA drin. Also muss man eigentlich grundsätzlich für jeden Prozess immer eine DSFA machen, zumindest die Risikoabschätzung als Teil der DSFA.
00:18:21: Ich kenne die Diskussion, muss man denn auch für maschinelles Lernen eine DSFA machen? Da sage ich ja, weil die Risikoabwägung bereits Teil der DSFA ist. Man kann darüber reden, ob man dann weitergeht nach der Risikoabwägung, wenn das Risiko nicht hoch ist oder nicht. Aber das Risiko muss man bewerten. So jetzt gehen wir zum Beispiel in die Dokumentensuche rein. Das heißt, ich lade Firmendokumente hoch in ChatGPT, um sie mir zusammenfassen zu lassen oder eine Frage dazu zu stellen.
00:18:44: Ja, dafür wird das Tool ja auch genutzt und angeboten. Wenn ich jetzt eine reine Promptanfrage mache nach Allgemeinwissen, dann würde ich sagen, brauchen wir nicht darüber reden. Das ist so fast schon private Nutzung, auch wenn ich es von der Firma aus mache. Wie hoch ist der Mount Everest? Ich glaube, da kann man jetzt nicht unbedingt ein Datenschutzvorhaben konstruieren. Da weiß man höchstens, dass der Herr Meier aus der Firma oder von sonst wo diesen Chatbot benutzt hat für eine unverfängliche Frage. Ist ja auch seine Sache. Er wollte es ja unbedingt selbst wissen.
00:19:14: Da sehe ich jetzt kein Problem. Aber wenn ich jetzt Dokumente hochlade und da Fragen zu stelle, die ChatGPT beantworten soll, dann ist es eben schon ein Problem möglicherweise. Weil in der Firma, das würdest du mir wahrscheinlich sofort zugestehen, gibt es halt auch Dokumente. Da stehen Mitarbeiterinformationen drin, vielleicht sogar Gesundheitsdaten, vielleicht auch Arbeitszeiten, aus denen man ja auch Gesundheitsdaten ableiten kann, wenn einer dauernd fehlt oder so was.
00:19:40: Oder einer, der nicht leistungsfähig ist. Oder irgendwelche vertraglichen Sachen, Geheimhaltungsbedürftige.
00:19:48: In der Rechnung steht ja immer drin, an wen die geschickt wurde. Und wenn ich jetzt ein Endkundengeschäft als Onlineshop zum Beispiel betreibe, habe ich da ja Vor- und Nachname plus Adresse einer Person. Und damit habe ich ja ganz klar personenbezogene Daten, die ich verarbeite, die über den Standort, unter Umständen eben auch die Wohngegend und so weiter, Informationen ausgeben können.
00:20:11: Darüber kann ich auch Analysen laufen.
00:20:13: Ja, kann genau irgendwelche Firmendokumente, auf die Mitarbeiter Zugriff haben. Und wenn ich jetzt ChatGPT im Firmennetzwerk zulasse, sowohl formell als auch technisch, manchmal sagt man formell ist es verboten, wenn es ein Mitarbeiter dann trotzdem macht, dann kann er ja theoretisch Probleme kriegen.
00:20:28: Also gehen wir mal davon aus, es ist möglich und erlaubt. Dann würde ich sagen, ist die Eintrittswahrscheinlichkeit, dass etwas Schlimmes passiert oder zumindest Riskantes. Wie du sagst, Adressdaten kann man darüber streiten, aber wenn es viele auch sind und so oder es regelmäßig passiert, würde ich schon 8 von 10 mindestens sagen.
00:20:43: Bei der Eintrittswahrscheinlichkeit in der Bewertung.
00:20:46: Bei der Eintrittswahrscheinlichkeit, genau. Im Prinzip, sobald die Mitarbeiter auf die Idee kommen, Dokumente hochzuladen, ist die Wahrscheinlichkeit groß, dass da auch sensible Informationen drinstehen, weil es müssen ja nicht immer nur Entwicklerdokumente sein und selbst wenn, es können ja auch Geschäftsgeheimnisse sein. Wir müssen jetzt nicht nur über Datenschutz nachdenken.
00:21:02: Die Schwere des Ereignisses hängt von der Art der Daten ab. Da könnte man jetzt auch mal 8 nehmen, weil wir gehen mal davon aus, dass jeden Tag Dokumente hochgeladen werden. Irgendeins wird dann schon mal dabei sein, was Daten enthält, wo die Firma nicht möchte, dass die Dritte bekommen.
00:21:21: Unter der Annahme, da muss man vielleicht gleich noch in die KI einsteigen und die Entdeckungswahrscheinlichkeit, die ist leider auch ziemlich schlecht, würde ich sagen, also auch hoch, weil ich ja nicht weiß, was mit den Daten beim Dritten, in dem Fall bei OpenAI, passiert. Es gab Hinweise, durch einen Datenleck wohl, dass OpenAI Daten eben doch aus nicht legitimierten Quellen gezogen hat, teilweise auch aus Nutzeingaben und so weiter.
00:21:48: Und jetzt gibt es neue Modelle, Enterprise, wo OpenAI den Datenschutz bestmöglich garantiert. Heißt aber auch, dass beim Nicht-Enterprise-Modell nicht der Datenschutz bestmöglich garantiert ist. Das ist übrigens bei Microsoft Windows genauso. Ich frage mich allerdings, warum.
00:22:03: Wenn ich Windows benutze, möchte ich, dass meine Daten, außer den notwendigen Daten, nicht an Microsoft weitergegeben werden. Und ich kann aber in der Standard-Windows-Version das eigentlich nicht verhindern. Ich kann die Telemetriedaten nur mit allergrößtem Aufwand abschalten und wenn da ein Update von Windows kommt, muss ich den ganzen Scheiß neu machen.
00:22:20: Und du hast keine Sicherheit, dass das stimmt, was du da angibst. Das ist ja auch nochmal der Punkt, wenn ich einen Haken setze, der mir suggeriert, ich habe diese Funktion ausgeschaltet, wie garantiere ich als Laie, dass da nicht doch Daten abfließen?
00:22:37: Also ich meine, im Hintergrund passieren in den Betriebssystemen oder in solchen Systemen halt so viele Analysen, dass das ja auch sein kann, dass sie den Hebel nur eingebaut haben, damit Leute aufhören, sich zu beschweren. Das ist halt vielleicht so ein bisschen die Verschwörungstheorie-Geschichte, weiß ich auch. Aber es ist möglich.
00:22:55: Es ist möglich. Man muss davon ausgehen, also ich gehe persönlich bei OpenAI und Microsoft ist ja beteiligt auch, aber als eigenes Unternehmen gehe ich grundsätzlich davon aus oder bei Google auch, bei Meta, Facebook, dass die Daten, die die erhalten, in einer Weise verarbeitet werden, die üblicherweise nicht in Ordnung ist. Das muss man einfach mal annehmen.
00:23:15: Wir haben den Vorfall mit Microsoft Teams jetzt gehabt. Da hat Microsoft die Sicherheitslücke erst verschwiegen, dann runtergespielt, obwohl sie schon längst bewiesen war, das läuft jetzt noch und nicht unbedingt so viel dagegen getan, dass diese Probleme da existieren und die Daten von Nutzern einfach abgeflossen sind zu Unberechtigten, Dritten, zu Kriminellen.
00:23:35: Und jetzt hat Microsoft auf Druck auch nur, nur weil Strafen angedroht wurden, eigentlich sollten Unternehmen von selbst auf die Idee kommen, Teams rausgelöst aus Office oder Willis machen, so habe ich es gelesen, um überhaupt Strafen, weitere Strafen der Europäischen Kommission zu verhindern.
00:23:50: Bei Facebook war es ja übrigens auch so, die personalisierte Werbung, die wurde einfach jedem aufs Auge gedrückt. Da wurde dann festgestellt, dass es weder eine Einwilligung gab, noch eine Vertragsgrundlage bzw. der Vertrag nicht verwendet werden darf, um die Werbeeinwilligung einzuholen. Und erst dann geht Meta hin.
00:24:05: Also ich meine, wenn einer 1, 2, 3, 4, 5, 6, 7 mal was macht, was man nicht gut findet, dann gibt es Leute, die sagen, ja, jetzt machen sie es aber richtig. Das sind Menschen, die wollen einfach, dass sie dieses Produkt weiter nutzen, was ja auch in Ordnung ist und finden deswegen alles gut, was da neuerdings passiert und alles, was früher war, ist egal.
00:24:22: Also wenn mir jemand dreimal beim Termin unzuverlässig ist, dann mache ich mit demjenigen keinen Termin mehr aus, dann treffe ich mich mit dem am besten gar nicht mehr. Im privaten Bereich jetzt, geschäftlich ist es manchmal notwendig. Und genauso halte ich es auch bei den Anbietern. Wenn einer mal das Vertrauen verspielt hat, warum soll ich dem dann glauben?
00:24:39: Also ich meine, ich würde am liebsten auch was anderes als Windows nutzen, wenn es für mich eine Alternative gäbe. Also es gibt noch Apple, das war es dann. Linux finde ich extrem unbefriedigend für den alltäglichen Gebrauch. Andere sehen es anders, aber ich benutze es nur für technische Sachen. Also es gibt nicht wirklich eine Alternative zu Windows, sonst wäre ich froh, dass man was anderes hätte.
00:24:59: Und bei der künstlichen Intelligenz, um zu deiner Ursprungsfrage zurückzukommen, ist es halt einfach so, wenn man jetzt die Eintrittswahrscheinlichkeit, Entdeckungswahrscheinlichkeit und Schwere des Ereignisses für dieses Dokumentenbefragen bei Chats GPT multipliziert, dann kommt man eben auf einen relativ hohen Wert über 200, deren Risiko, deren hohes Risiko schon mal in Aussicht stellt.
00:25:19: Da muss man eben überlegen, schule ich die Mitarbeiter, dass sie gar keine Dokumente hochladen? Dürfen die vielleicht bestimmte Dokumente hochladen und so weiter? Oder müssen sie bestimmte Einstellungen im Chatbot vornehmen? Schließe ich mit OpenAI vielleicht einen Vertrag ab, wenn es das überhaupt gibt? Oder nehme ich ein anderes Tool?
00:25:35: Ich meine ganz ehrlich, der Nutzen ist oft sehr fragwürdig bei den Chatbot-Geschichten, für den privaten Bereich sogar schon. Da macht es halt Spaß und manche Dinge sind vielleicht auch ganz nett. Auch wenn ich für meinen Blog so kreative Ideen suche, aber kreative Ideen für seine Firma suchen, da geht es schon langsam in die Unternehmensdaten rein, die dann doch geheim sind.
00:25:53: Und was kann passieren? Ein Chatbot kann die Nutzeingaben speichern, ohne dass es darf. Ein Chatbot kann KI-Modelle damit trainieren, ohne dass es darf oder soll. Die Ausgaben des KI-Modells können dann Inhalte enthalten, die aus dem Unternehmensdatenbestand kommen. Und gegen all das kann man erstmal nichts tun, außer Vertrauen, dass der Anbieter sich an alle Gesetze hält.
00:26:16: Und bei OpenAI kann man da nicht wirklich drauf vertrauen, muss man leider so sagen. Die haben ihr Vertrauen schon verspielt durch dieses Daten-Lag, indem sie den Datenschutz jetzt nur als Opt-out gestalten statt als Einwilligung, indem sie im Enterprise-Modell, genau wie Microsoft, höchsten Datenschutz garantieren oder zusagen. Wobei die Frage ist, ob es da stattfindet. Aber im normalen Modell nicht, wo man auch schon Geld bezahlen muss teilweise.
00:26:40: Also ich würde sagen, jedes Unternehmen sollte sich überlegen, wofür es denn KI braucht. Ich halte das für eine sehr gute neue Möglichkeit. Aber man kann einfach nicht einfach sagen, das habe ich schon oft erlebt, wir wollen jetzt mal KI nutzen. Ja, wofür denn? Ja, für alles. Das ist ungefähr so, ich möchte jetzt einen neuen Mitarbeiter einstellen, für alles. Ich weiß nicht wofür, aber ich möchte ihn einstellen. Also da muss man sich schon mal ein bisschen genauer überlegen.
00:27:05: Auf jeden Fall, das wirkt so ein bisschen so nach dem Motto, wie so Besetzung in Hollywood-Rollen für Filme. Ich will, dass der Schauspieler die Rolle erfüllt, weil der ist toll. Ja, aber der ist überhaupt nicht geeignet für die Rolle. Ja, aber ich möchte den. Das macht auch Filme kaputt und sorgt dafür, dass das nicht funktioniert.
00:27:22: Ich fasse nochmal kurz zusammen, was wir jetzt hier gerade besprochen haben und was ich gelernt habe. Also wir haben gerade gesagt, eine Risikobewertung beim Einsatz von künstlicher Intelligenz im eigenen Unternehmen. Ich glaube, das ist für die Zuhörer so das Wichtigste.
00:27:37: Wir brauchen eine Risikobewertung, wenn wir generative KI-Systeme einsetzen, weil dabei immer die Möglichkeit des maschinellen Lernens im Hintergrund steht. Das bedeutet, ob wir sie entwickeln oder ob wir sie einsetzen von anderen impliziert immer, maschinelles Lernen ist Teil dieses Prozesses. Damit werden also die Eingaben gespeichert und sie werden ausgewertet. Und das bedeutet, ich bin bereits in der Datenschutzfolgeabschätzung, nämlich in dem Bereich der Risikobewertung.
00:28:07: Die haben wir diskutiert und haben gesagt, da hast du drei Parameter vorgestellt, nach denen man eine solche Risikobewertung, ich sag mal, relativ schnell und leicht durchführen kann. Wobei auch alle deine Bewertungen eher aus einem Bauchgefühl heraus waren. Da kann man bestimmt als Unternehmer selbst in einem Realfall sehr viel, sage ich mal, stichhaltigere Informationen nutzen, um dann auch eine fundierte Bemessungsgrundlage zu haben.
00:28:32: Aber wir haben eben eine schöne Skala von 1 bis 10 auf drei Parametern Eintrittswahrscheinlichkeit, Entdeckungswahrscheinlichkeit und der Schwere des Ereignisses. Wenn wir diese dann multiplizieren, kriegen wir einen bestimmten Wert raus. Und wenn der, wie du sagst, über 150 bis 200, 250 liegt, also so gut bei einem Drittel bis einem Viertel Richtung schlecht, bedeutet das, dass wir eine Datenschutzfolgeabschätzung im Detail machen sollten.
00:28:58: Und da haben wir dann eben immer die Schwierigkeit, auch zu gucken, wie regeln wir das, dass diese Voraussetzungen, die da drin stehen, in unserem Unternehmen eingehalten werden.
00:29:11: Du sprachst darüber, dass Mitarbeiter diese Tools zum Beispiel verwenden, um irgendwelche Abfragen, Analysen und so weiter zu generieren. Und da ist dann eben immer die Frage, wie gut sind die Mitarbeiter an der Stelle auch geschult darin, was sie dort tun, worauf sie achten müssen, was vielleicht bei den Dokumenten vorher geschwärzt wird, bevor sie hochgeladen werden und so weiter, um da bestimmte Informationen rauszukriegen oder bestimmte Analysen durchzuführen.
00:29:38: Ich würde sagen, abschließend kann man eigentlich sagen, Risikobewertung ist eigentlich in jedem Fall von jeder Datenverarbeitung notwendig. Deswegen gibt es wahrscheinlich auch bestimmte Grundlagen in der Datenschutzgrundverordnung, die sagen, wie ein Datenschutzmanagementsystem auszusehen hat, beziehungsweise wie inhaltlich Verarbeitungsverzeichnisse zu führen sind und so weiter.
00:30:02: Da sind ja sehr viele Teile von Risikobewertungen schon im Vorhinein durchgeführt worden, warum man gesagt hat, es gibt diese Richtlinien. Also da ein vernünftiges Datenschutzmanagementsystem aufzubauen, wo die Verfahren beschrieben sind, ist ganz wichtig.
00:30:16: Und dann eben im Einzelnen bei dem Einsatz von KI vor allen Dingen sich vorher auch mal die Frage zu stellen, wann ist das überhaupt notwendig? Wofür möchte ich das einsetzen? Kann ich überhaupt einen klaren Zweck bestimmen? Denn Datenschutz bedeutet ja immer, ich mache das für einen bestimmten Zweck und den muss ich eben auch bestimmen können.
00:30:36: Wenn ich einfach nur, wie du sagtest, sage, ja, ich stelle mal den Mitarbeiter KI ein und mal gucken, was der dann für mich tun kann, dann ist das mehr so ins Blaue hineingeplant. So würde man, wie du schon sagst, ich finde die Parallele zum Mitarbeiter super, so würde man niemals einen Mitarbeiter einstellen.
00:30:51: Also man hat eine Absicht, warum bestimmte Aufgaben zu erledigen sind und wofür man die benötigt und KI einfach nur einzusetzen, weil es gerade ein Trend oder ein Hype ist, halte ich für sehr, sehr fahrlässig und an der Stelle würde ich sagen, als Bewertungskriterium sehr amerikanisch, so wie über KI dort gesprochen wird und damit umgegangen wird.
00:31:11: Du hast angesprochen, Microsoft hat Geld in OpenAI reingebuttert und das nicht zu knapp. Die müssen also auch irgendwo dafür sorgen, dass das erfolgreich wird, weil sonst müssen sie sich vor Investoren rechtfertigen, die sagen, nein, das fanden wir nicht gut. Das heißt, irgendwas werden die uns schon darüber erzählen wollen, dass das sinnvoll war.
00:31:30: Und all diese Aspekte sind dann eben auch immer so für mich im Hinterstübchen, so dieser Mitklang. Wie vertrauenswürdig ist die Technologie bzw. wie vertrauenswürdig ist denn der Anbieter hinter der Technologie?
00:31:45: Denn du sprachst Microsoft an, du sprachst Google an und Facebook. OpenAI haben wir darüber gesprochen und in allen Fällen sehen wir, es geht gar nicht so sehr darüber, was ist der Dienst, der angeboten wird und welchen Nutzen ziehe ich daraus, sondern was sind die Absichten im Hintergrund und wie transparent geht das Unternehmen damit um?
00:32:02: Genau dafür haben wir die Datenschutzgrundverordnung, dass sowas offengelegt werden muss und an der Stelle kann ich persönlich nur jedem Unternehmen raten, macht das für euer Unternehmen richtig. Also nehmt das ernst, dass ihr transparent seid, denn das wird ab jetzt und ist in der Vergangenheit und wird in Zukunft nur noch viel, viel wichtiger, um ein positives Image gegenüber Endkunden zu haben oder anderen Partnern. Das ist ja auch eine Sache, die immer wieder vergessen wird bei dieser Sache.
00:32:31: Vielleicht von mir noch eine Empfehlung, also wenn ein Unternehmen tatsächlich über KI nachdenkt und weiß, wofür es eingesetzt werden soll, dann kann man auch über lokale eigene Systeme nachdenken, unternehmenseigene KI-Systeme, die überhaupt gar keine Probleme verursachen. Da ist die Datenschutzfolgenabschätzung durch die Risikowertung innerhalb einer halben Minute wirklich erledigt, weil keine Daten zu dritten gehen, da muss man auch keine Gedanken machen.
00:32:54: Oder wenn ich das nicht möchte, sondern ChatGPT nutzen, dann ist es vielleicht immer noch besser, ein eigenes Frontend zu nutzen ausschließlich, wo man auch festhalten kann, welche Dokumente da hochgeladen werden sollen zu ChatGPT oder das vielleicht dann auch zu verhindern, indem das eigene Frontend dann feststellt, nee, das geht nicht.
00:33:13: Also man kann die Schnittstelle von ChatGPT im Hintergrund nutzen und der Mitarbeiter kann nur über die unternehmenseigene Chat-Maske reingehen und dann kann man kontrollieren, was da passiert. Also man muss und sollte auf gar keinen Fall als Unternehmen ChatGPT direkt nutzen. Am besten gar nicht, sondern ein eigenes System, wenn man es überhaupt wirklich braucht. Und wenn man ChatGPT unbedingt nutzen will, dann indirekt würde ich empfehlen. Das ist kein großer Aufwand, erhöht aber die Sicherheit ganz erheblich.
00:33:40: Und wir haben eine viel höhere Transparenz, weil wir halt genau wissen und beschreiben können, was passiert da und wie läuft das ab, bevor irgendwelche Daten, die kritische Sicherheitsmerkmale enthalten könnten, eben an ein fremdes Unternehmen wandern und wir nicht mehr kontrollieren können, was damit passiert.
00:33:58: Hier ist ja auch nochmal das Stichwort, ich finde das ist sehr wichtig zu nennen, es geht nicht nur um personenbezogene Daten, weil viele haben ja auch diese Plattitüde-Einstellungen, dass sie dann sagen, ja, die paar Daten, was soll damit schon passieren, ich hab nix zu verbergen und all dieser Quatsch, den man da hört. Es geht hier an der Stelle beim Datenschutz um Persönlichkeitsrechte und die Verletzung von Persönlichkeitsrechten und persönlichen Freiheiten, aber es geht eben auch darum, dass diese Daten unglaublich kritische Informationen enthalten können,
00:34:27: die eben auch den Umsatz oder eigentlich den Erfolg oder die Existenzberechtigung eines Unternehmens maßgeblich beeinflussen können, denn am Ende des Tages haben solche Riesenkonzerne, die diese ganzen Daten viel schneller auswerten können und nutzbar machen können, einen viel höheren Pull, um neue Produkte auf den Markt zu bringen, die sie vielleicht von woanders geklaut haben, weil dort jemand einfach nur mal eben kurz mit der KI irgendwas gemacht hat.
00:34:51: Also auch da immer drüber nachdenken, die Daten, die ihr in solchen Systemen verarbeitet, können auf unterschiedlichen Ebenen kritische Risiken beinhalten und es geht nicht nur um Datenschutz, wenn wir über Datenschutz reden, sondern es geht auch um Datensicherheit und teilweise eben auch um Wirtschaftlichkeit des eigenen Unternehmens.
00:35:09: Und wenn man das mal so in so einem Dreieck zusammen im Kopf behält, glaube ich, kann der Datenschutz auch eine viel größere Berechtigung im alltäglichen Dialog in der Firma unter den Mitarbeitern bekommen und dadurch wird es dann ja auch richtig spannend, weil vielleicht wählen wir dann ja wirklich mal Systeme nach Kriterien, die besser sind als einfach nur, oh, da hat jemand laut geschrien, dass es da was Neues gibt, also gucken wir uns das mal an.
00:35:33: Das wäre zumindest meine Empfehlung an der Stelle.
00:35:37: Cool.
00:35:38: Ja, wir sind uns einig, Stephan.
00:35:40: Das sowieso, das sind wir uns eigentlich bei jedem dieser kritischen Themen.
00:35:45: Aber es liegt auch einfach daran, dass Datenschutz halt nicht nur ein Thema ist, sondern ein allumfassendes, was in so vielen Stellen in der Gesellschaft zurzeit eben auch Durchdringung findet.
00:35:54: Und ich finde das sehr schön, weil damit kriegt man ja auch wieder so ein bisschen das Gefühl, dass der Endkonsument, der kleine Bürger in der EU zumindest, eine Möglichkeit hat, sich gegen bestimmte Dinge zu wehren, wo ja sonst überhaupt keine Möglichkeit bestehen würde.
00:36:12: Das ist ja auch ein Aspekt, der häufig nicht gesehen wird, gerade wenn man mit Leuten aus Amerika diskutiert über diese Thematik.
00:36:20: Cool.
00:36:21: Ja, ich würde sagen, ich hoffe, dass wir hier über das Thema Datenschutzfolgeabschätzung, Risikobewertung und auch in Bezug auf die KI einiges besprochen haben, was vielen von den Zuhörern da draußen hilfreich sein kann.
00:36:34: Vielleicht bei der Auswahl oder auch bei der Bemessung der Notwendigkeit.
00:36:37: Spulst uns gerne nochmal zurück.
00:36:39: Ich habe ja versucht, so ein paar zusammenfassende Fazit zu geben.
00:36:42: Und ich denke mal, Klaus, wenn du deinen Bericht zu dieser Folge veröffentlichst, steht das da nochmal schwarz auf weiß drin.
00:36:47: Und dementsprechend könnte das dann ja vielleicht so ein kleiner Go-To-Guide werden, um so eine kleine Checkliste zu haben, die man auch im Alltag nutzen kann.
00:36:55: Und ihr habt hier ja live von einem Datenschutzexperten erfahren, wie er bei der Risikobewertung vorgeht.
00:37:01: Also da ist schon ordentlich Hirnschmalz reingeflossen, um da was Vernünftiges draus zu machen und zurückzubekommen.
00:37:08: In diesem Sinne würde ich sagen, Klaus, möchtest du noch ein paar verabschiedende Worte sagen, bevor wir das hier beenden?
00:37:14: Ja, nur kurz. Datenschutzfolgenabschätzung fürs Unternehmen, wenn es ein kleines ist, dauert ein, zwei Stunden am Anfang vielleicht höchstens.
00:37:22: In einer halben Stunde kriegt man es vielleicht auch grundlegend hin.
00:37:25: Und man kann es dann ergänzen, das Dokument, was man erstellt hat, in den nächsten Wochen.
00:37:29: Das ist nicht wirklich viel Aufwand. Es ist einfach, wenn man da einmal angefangen hat.
00:37:33: Also man muss es tun, man sollte es tun aus eigenem Interesse.
00:37:36: Da gibt es eigentlich nicht mehr viel zu sagen. Die Risikoabschätzung erledigt die meisten Probleme von selbst.
00:37:41: Ich denke, KI sollte man nur nutzen, wenn man weiß wofür im Unternehmen.
00:37:46: Wenn man es nicht weiß, dann braucht man es auch nicht.
00:37:48: Und wenn man es braucht, dann kann man es höchstwahrscheinlich mit einem eigenen System besser machen als mit einem generischen generativen System,
00:37:55: was übrigens Deutsch auch nur als Abfallprodukt gelernt hat.
00:37:59: Das ist eigentlich ein sehr schöner Schlusssatz.
00:38:01: Und da erinnere ich mich gerade an so unterschiedliche Zoten, die ich aus diesen Chatbots zurückbekommen habe.
00:38:07: Okay, ja wunderbar. Dann würde ich sagen, liebe Zuhörer, vielen Dank für eure Zeit.
00:38:12: Ich hoffe, es hat euch Spaß gemacht. Ich hoffe, ihr habt einiges gelernt.
00:38:15: Und dann hören wir uns in Kürze wieder mit einem neuen Thema hier beim Datenschutz Deluxe Podcast.
00:38:21: Klaus, ich danke dir vielmals für diese wertvollen Informationen und wünsche allen da draußen noch einen schönen Tag.
00:38:28: Tschüss!
00:38:30: Das war Datenschutz Deluxe.
00:38:32: Du willst mehr spannende Themen oder Kontakt zu uns?
00:38:35: Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.
00:38:44: Bis zum nächsten Mal!
Neuer Kommentar