Safe AI – Rechtslagen und Herausforderungen (Teil 4): Deep Fakes und Persönlichkeitsrechte

Zuletzt haben wir uns die Urheberrechte angeschaut. Doch Rechte, die bei der Nutzung von KI-Tools häufig vergessen werden sind die Persönlichkeitsrechte. Zu schnell tippt man in einen generatives Tool Namen oder personenbezogene Daten von Dritten, ohne darüber nachzudenken. Dabei sind diese geschützt. Wie man damit umgeht, und welche Gefahren noch mit KI Tools lauern, beleuchten wir im 4. Teil unserer Blogpostreihe „Safe AI – Rechtslagen und Herausforderungen“.

Diese Rechte werden bei der Nutzung von ChatGPT und Co häufig vergessen: Persönlichkeitsrechte

Auch, wenn wir bis gerade nur über die Verwendung von Kunst oder anderweitig urheberrechtlich geschützen Inhalten gesprochen habe, betrifft dieses Thema eben nicht nur Werke und Schöpfungen, sondern kann uns auch alle als Individuum betreffen.

Wir gehen an dieser Stelle dazu nahtlos über ins Persönlichkeitsrecht. Daneben existieren einige besonders geregelte Persönlichkeitsrechte. Zu den wichtigsten zählen hier das Recht am eigenen Bild, sowie das Namensrecht.

Was hier bei KI eine krasse Herausforderung auf dieser Basis Darstellt? Ganz klar: Deep Fakes!

Deep Fakes – Gefahren von KI-Erzeugnissen

Noch mal als kurzer Reminder, was Deep Fakes sind:Deep Fakes sind manipulierte Videos oder Bilder, bei denen mithilfe von künstlicher Intelligenz und tiefen neuronalen Netzwerken  Gesichter oder Stimmen von Personen in Aufnahmen eingefügt werden, um den Eindruck zu erwecken, dass sie etwas gesagt oder getan haben, was sie tatsächlich nicht getan haben. Sie können für betrügerische oder irreführende Zwecke verwendet werden.

Wie das ganze aussehen kann, zeige ich euch anhand einer aktuellen Werbung der Deutschen Telekom:  Vielleicht hat ja ein Teil von euch diese Werbung schon mal gesehen, aber finde sie macht eindrucksvoll auf diese Thema aufmerksam.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Quelle: https://www.youtube.com/watch?v=bu-fR8nrwjs (Deutsche Telekom)

Auch, wenn in der Werbung hauptsächliche Kinder und ihre im Internet verbreiteten Daten im Fokus stehen, gibt es leider bei unterschiedlichen Altersklassen Gefahren die damit einhergehen. So gibt es bspw. pornografische Inhalte, die mit Fotos ohne jederlei Konsens der gezeigten Personen erstellt und ggf. verbreitet werden.

Was kann man gegen die Verbreitung von Deep Fakes ohne Einwilligung tun?

Wir möchten hier natürlich keine Angst schüren, vielmehr möchten wir das Bewusstsein für solche Gefahren schärfen.

Um darüberhinaus etwas gegen solche generierten Inhalte zu unternehmen und Betroffene zu unterstützen, stelle ich Dir in diesem Zuge noch eine wertvolle Website und Anlaufstelle vor:

Die internationale Wohltätigkeitsorganisation hinter der Website „StopNCII.org“ – was für „Stop Non-Consensual Intimate Image Abuse“ steht – bietet Hilfe bei der Entfernung solcher unangemessenen Deep Fakes.

Solltest Du also mal solche Deepfakes von Dir oder Bekannten entdecken, findest Du dort die richtige Anlaufstelle.

Mit einer Entfernungsrate von über 90% hat die hinter der Website stehende Wohltätigkeitsoriganisation bereits über 200.000 nicht einvernehmlich geteilte intime Bilder erfolgreich aus dem Internet entfernt.

Personenbezogene Daten bei der KI-Erstellung einer E-Mail

Aber nicht nur Fotos von uns können als Basis für neue generative Inhalte verwendet werden. Auch personenbezogene Daten können gerade in KI-Anwendungen mit textbasierten Nachrichten sehr schnell und unüberlegt eingegeben werden, um ein kurzfristiges Ziel zu erreichen.

Nehmen wir an, wir möchten gemeinsam mit ChatGPT eine E-Mail zu verfassen, um einen Bewerber oder eine Bewerberin zu einem Vorstellungsgespräch einzuladen. Lass und doch mal unseren freundlichen Assistenten Fragen, welche Informationen er dazu benötigt:

Namen, Firmeninfos, Zeit- und Ortsabsprachen.

 

Aber Moment mal? Kann ich das denn alles einfach so eingeben? Gibt es da nicht diese DSGVO?! Aber was ist das überhaupt?

DSGVO – Schutz personenbezogener Daten

Durch die Datenschutz-Grundverordnung genießen personenbezogene Daten einen besonderen Schutz. Sie garantiert allen EU-Bürger:innen das Recht auf informationelle Selbstbestimmung: Jede:r einzelne darf selbst entscheiden, welche Daten er oder sie wem preisgeben möchte und zu welchem Zweck.

Quelle: https://www.personio.de/hr-lexikon/personenbezogene-daten/
https://www.freepik.com/free-vector/people-avatar-collection_4501741.htm?epik=dj0yJnU9VVhneEhmTWVsUWF2R29uM01Tenk2bm1tZFFpYWNIMXUmcD0wJm49REFweEd2czE3cXM5d2xveWpJQkh0ZyZ0PUFBQUFBR1R1UG1n

Dieser besondere Schutz gilt grundsätzlich weltweit für alle EU-Bürger:innen, unabhängig von deren aktuellem Wohn- oder Aufenthaltsort.  – Außerhalb der EU ist dieser Schutz jedoch schwer durchsetzbar.

Welche Daten gelten als personenbezogene Daten und sollten nicht ohne Einverständnis genutzt werden?

Allgemein lässt sich sagen, dass jegliche Informationen, die sich direkt oder indirekt einem bestimmten lebenden Mensch zuordnen lassen, als personenbezogene Daten gelten.

Im Folgenden mal eine Liste mit den am häufigsten verwendeten Personendaten:

Allgemeine Daten zur Person

  • Namen
  • Kontaktdaten: Adresse, Telefonnummer, E-Mail-Adresse
  • Geburtsdatum, Alter, Geburtsort, Staatsangehörigkeit, Familienstand

Physische Merkmale der Person

  • Geschlecht
  • Haar-, Augen- und Hautfarbe
  • Größe, Gewicht, Körperbau
  • besondere Merkmale

Finanz- und Besitzdaten

  • Konto- und Kreditkartennummern
  • Kontostände und Transaktionen
  • Angaben zu Krediten/Schulden oder Anlagen/Vermögen
  • Angaben zum Einkommen
  • Angaben zu Immobilienbesitz
  • Kennnummern
  • Kunden-, Mitglieds-, Personal-, Ausweisnummern usw.
  • Autokennzeichen

Online-Daten

  • IP-Adresse
  • Standorte

Kundendaten

  • Bestellungen, Retouren
  • Zahlungen

Personaldaten, berufliche Daten

  • Angaben zu Ausbildung und beruflichem Werdegang
  • Zeugnisse und Zertifikate
  • Leistungsbewertungen
  • Urlaubs- und Krankheitszeiten
  • Höhe und Zusammensetzung von Lohn oder Gehalt
  • Datenschutz in der HR und am Arbeitsplatz

Besondere Kategorien

Unter „besondere Arten personenbezogener Daten“ nennt § 9 DSGVO sensible Daten, die besonders schützenswert sind. Dazu gehören:

  • Angaben zu rassischer und ethnischer Herkunft
  • Angaben zu politischen, religiösen oder weltanschaulichen Überzeugungen
  • Angaben zur Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten, wie Fingerabdrücke oder Netzhaut-Scans
  • Gesundheitsdaten
  • Angaben zum Sexualleben oder zur sexuellen Orientierung

All‘ diese Informationen sollten wir also vermeiden ohne jeglicher Einwilligung einer künstlichen Intelligenz zur Verfügung zu stellen.

Tipp: DSGVO rechtssicher umgehen

Vorab: Wenn du die Erlaubnis hast, die Daten zu dem Zwecke zu nutzen und entsprechend der KI bereitstellen darfst, dann kannst du das in einem gewissen Grad natürlich auch direkt tun. Hier solltest du dich aber darüber informieren, wie du bspw. eingegebene Daten bei den KI-Anwendungen, die du nutzt, bei Bedarf löschen kannst. Denn eine Einwilligung kann jederzeit widerrufen werden und wir müssen dafür sorgen können, dass nirgends ohne Einwilligung weiter Daten gespeichert werden, wenn es nicht technisch oder gesetzlich notwendig ist. Wenn ihr da intern Datenschutzbeauftragte habt, solltet ihr auch mit denen entsprechende Infos noch mal absprechen.

Um das aber komplett zu vermeiden an dieser Stelle ein kleiner aber effektiver Tipp am Rande:

  • Vermeide einfach komplett die Eingabe von solchen Daten und bitte dennoch um die Erstellung eines entsprechenden Inhalts. An dieser Stelle erstellt bspw. ChatGPT eigenständig Platzhalter für „Vorname, Nachname, E-Mail-Adresse“ und Co.
  • ODER: Du erstellst dir eine Liste an festen Worten, Buchstabenkombinationen oder Variablen, die du gezielt für diese Informationen einbettest. Beispielsweise nennst du alle Bewerberinnen „Vorna Nachna“ oder gar altbekannte Platzhalter wie „Max Mustermann“ kannst du hier gut einsetzen.
  • Als persönlichen „Zusatztipp“: Ich habe mir angewöhnt die Platzhalter in Caps, also Großbuchstaben, zu schreiben, da ich dann bei der Textausgabe noch mal aktiv daran erinnert werde, diese zu ersetzen. Generell sollte man natürlich jeden Inhalt, den eine KI erstellt hat überprüfen und nach den eigenen Bedürfnissen optimieren, jedoch ist es super, noch mal visuell erinnert zu werden, die Daten zu ersetzen. Wenn man mit festen Platzhaltern arbeitet, ist das am Ende ja auch recht leicht, da man sich den Text bspw. in Word, Pages oder ähnliches öffnen kann und dann gezielt einen Platzhalterbegriff sucht und eben an jeder Stelle durch den richtigen Begriff oder Namen ersetzten kann.

Ausblick

In unserem nächsten Teil der Reihe möchten wir eine abschließende Checkliste für einen (rechts-)sicheren Umgang mit dir teilen und dir wichtige Tipps mit auf den Weg geben.

Abonniere unseren Newsletter, um als Erstes zu erfahren, wenn der neue Beitrag online ist!