Selbstverständlich bleibt die Arbeit von Datenschutzbeauftragten, Datenschutz-Koordinatoren und -Beratern nicht unberührt von der aktuell alle Bereiche erfassenden „Effizienzsteigerung“ durch den Einsatz von Künstlicher Intelligenz (KI).
Das Versprechen ist ja vor allem, dass Routine-Arbeiten viel schneller und effizienter erledigt werden können als im „pre-KI“ Zeitalter.
Ob das tatsächlich so ist und welche anderen Aspekte im Datenschutz noch wichtig sind, möchte ich hier mal durchspielen. Hintergrund sind einige Tests, die ich in der letzten Zeit durchgeführt habe.
Als DSB, DSKO, Trainer und Datenschutz-Berater für Organisationen unterschiedlichster Branchen und Größen habe ich es mit einer Vielzahl von unterschiedlichen Arten zu tun, wie Datenschutz umgesetzt und gelebt wird.
Und man kann sagen, die grundsätzlichen Anforderungen unterscheiden sich nicht großartig.
Ob „grüne Wiese“ ohne vorhandene Datenschutz-Strukturen (z.B. bei Startups) oder etablierte Flächenorganisation mit seit Jahren etablierten Datenschutz-Prozessen. Den Unterschied machen vor allem (neben der Einstellung zum Datenschutz auf Führungsebene)
- der Umsetzungsstand und
- die genutzten Systeme.
Eines bleibt immer gleich: Der Versuch, die Umsetzung „auf 100 %“ zu bringen und zu halten sowie alle relevanten Prozesse Datenschutz-konform zu gestalten.
Dazu gehört immer auch nicht gerade wenig Dokumentation. So ist es eben im Datenschutz wegen der Nachweispflicht aus Art. 5 Abs. 2 DSGVO.
Wo „verbrät“ man im Datenschutz die meiste Zeit?
Schauen wir uns also mal die beiden Bereiche an, in denen in der täglichen Arbeit die meiste Zeit draufgeht, wenn man Datenschutz umsetzen muss (möchte):
- Prüfen und/oder Anpassen von Dokumenten wie Richtlinien, Auftragsverarbeitungsverträgen, Verarbeitungsverzeichnis(se), Datenschutzhinweise für die unterschiedlichen Bereiche, Erstellung von Berichten, Maßnahmenpläne, etc.
- Kommunikation mit Fachabteilungen, Betroffenen, Aufsichtsbehörden, Strategie-Ebene, Betriebsrat, Beschäftigten bei Einschätzung von Anfragen, bei der Zusammenstellung von Unterlagen, bei der Einführung neuer Verarbeitungen, bei Berichten zum Datenschutz, etc.
Beim ersten Punkt kann KI eine echte Hilfe sein – vorausgesetzt, die Datenbasis stimmt und das System ist nicht eine kostenfreie GPAI-Version von ChatGPT und Co.
Ideal ist also ein weitestgehend geschlossenes System, das anhand genauer Vorgaben exakt die Erkenntnisse verwendet, die man ihm „anlernt“ und diese auch in der immer gleichen Struktur ausgibt.
Dieses Anlernen durch z.B. genaue und umfangreiche Instruktionen in der KI und das zur Verfügung stellen Organisations- und Themen-spezifischer Dokumente kann durchaus einige Stunden kosten. Wenn man das aber einmal sauber eingerichtet hat, dann bekommt man einen Output in einem Bruchteil der Zeit, die man normalerweise aufwenden müsste.
Ein Schelm wer dabei denkt „das kann meine DSMS-Software auch“.
Ja, das ist richtig. Auch in einem guten DSMS kann man „auf Knopfdruck“ z.B. Datenschutzhinweise für bestimmte Bereiche erstellen, einen automatisch generierten Datenschutzbericht als Rahmenwerk nutzen oder eine Systemlandschaft abbilden.
Nur setzen vor allem kleine und mittlere Organisationen leider eher selten eine solche Software ein. Da wird munter in Word und Excel dokumentiert und das „DSMS“ ist vielleicht noch ein halbwegs strukturiertes Verzeichnis auf SharePoint/einem Datei-Serverlaufwerk oder sogar Google Workspace.
Und seien wir mal ehrlich – wenn in einer DSMS-Software nicht sauber und im Detail gearbeitet wird, dann ist das „Knopfdruck“-Ergebnis eher nicht so wirklich brauchbar. Da unterscheidet sich ein DSMS nicht wesentlich von einem CRM, anderen Datenbanken oder eben einer KI: „shit in, shit out“.
Aber es gibt Bereiche, da ist die KI einfach flexibler
Eine Grob-Struktur für eine Richtlinie erstellen – da hat sie schon genügend Vorlagen zusammengeklaut… äh … antrainiert, um das gut hinzubekommen. Ein DSMS hat so etwas erst ab einer bestimmten Preisklasse inklusive, wenn überhaupt.
Ein TOM-Dokument aus IT-Dokumentation erstellen – das ist richtig viel Arbeit, die man unter Umständen mit KI-Hilfe erheblich verkürzen kann.
Auch z.B. beim Prüfen von Auftragsverarbeitungsverträgen auf die Pflichtbestandteile hat die KI die Nase weit vorne.
Auf jeden Fall ist aber immer die Daten-Basis (oder nennen wir es bei KI mal das „Trainingsmaterial“) entscheidend und ob/wie man die KI darauf trainieren kann.
Der „menschliche Faktor“ im Datenschutz
Und da sind wir bei Punkt 2.) – der Kommunikation mit den „Stakeholdern“ und Betroffenen.
Zum einen ist diese zwingend nötig, um eben diese Datenbasis sauber und möglichst vollständig zusammen zu bekommen. Wer schon mal eine Bestandsaufnahme von Verarbeitungen in einer Organisation gemacht hat, weiß was ich damit meine.
Einfach eine Excel-Liste herumzureichen und darum zu bitten, dass diese vollständig ausgefüllt wird, führt zu etwas was man durchaus mit „kein Ergebnis“ oder mit „unbrauchbarer Lückentext“ bezeichnen kann.
Hier sind Meetings oder Web-Konferenzen mit den Nutzern in den Fachabteilungen durchzuführen. Es ist Erfahrung mit Organisationen und Prozessen notwendig. Und es ist ein gewisses Kommunikations-Talent erforderlich um einen möglichst großen Anteil an Verarbeitungen heraus zu arbeiten.
Zum anderen muss auf die Bedürfnisse von Menschen eingegangen werden. Hier kommt der soziale und psychologische Aspekt der Tätigkeiten im Datenschutz voll zum Tragen.
Ein Betroffener, der sich nicht ernst genommen fühlt, ist potentielle Quelle für großen Ärger. Eine Anfrage (z.B. zu einer Verarbeitungssituation), die nicht sauber analysiert und eingeordnet wird, führt zu falschen Informationen. Ein Kontakt mit einer Aufsichtsbehörde muss menschlich sein (denn dort arbeiten auch nur Menschen).
All das kann KI definitiv nicht. Auch nicht der netteste Chat-Bot.
Wie brauchbar ist nun der „Output“ der KI bei Routine-Arbeiten?
Natürlich habe ich keine statistisch belegten Werte. Deshalb meine persönliche Meinung dazu:
Die Antwort ist relativ einfach – der Output ist so zuverlässig wie die Daten-Basis und die Instruktionen und so richtig wie die finale Version, nachdem diese ein Experte geprüft, geändert und freigegeben hat.
Denn wie bei ausnahmslos allen KI-generierten Informationen ist immer die Überprüfung durch einen (fachkundigen!) Menschen erforderlich.
In einigen Situationen ist schon bei der Generierung der Ergebnisse selbst etwas nötig, was ich „betreutes Lernen“ nennen würde. Manchmal weicht die KI einfach von dem ab, was man ihr vorgibt. Dann muss man sie wieder über entsprechende Anweisungen (und ggf. auch über Spezifizierung der festgelegten Instruktionen) auf den richtigen Weg bringen.
Kennen Sie das, wenn man mit Engelsgeduld mit einer KI kommuniziert als wäre sie ein Kind, das die Aufmerksamkeitsspanne einer Fruchtfliege hat?
Ausschlaggebend für brauchbare Ergebnisse ist also meistens, dass man sehr genau darüber Bescheid weiß, was man braucht und wie der Output der KI dahingehend zu optimieren und zu bewerten ist.
Jemand ohne Erfahrung im Datenschutz wird von der KI im ersten Versuch durchaus Ergebnisse bekommen, die für ihn schlüssig, vernünftig und richtig klingen, in vielen Fällen jedoch unvollständig oder schlimmstenfalls totaler Humbug sind.
Fazit:
Im Rahmen von in sich geschlossenen Systemen mit spezialisierter Datenbasis kann KI einem Fachkundigen einige Aufgaben erheblich erleichtern und einen Teil des sonst nötigen Zeitaufwandes einsparen.
Ob dazu tatsächlich eine (dann womöglich relativ teure) KI erforderlich ist oder ob man vielleicht besonders als kleines/mittleres Unternehmen einfach auf eine gute DSMS-Software setzen sollte, die zum Teil für wenige Euro im Monat erhältlich ist, bleibt zu hinterfragen.
„Ersetzen“ kann nämlich KI die Datenschutz-Expert/innen, die das Ganze vorbereiten müssen aktuell nicht. Und wenn die Vorarbeit richtig gemacht wird, dann ist (derzeit noch) die einfachste und schnellste Effizienz-Steigerung der Einsatz einer guten DSMS-Software.
Die entscheidende Frage dabei ist, wie weit KI in Zukunft interne Datensammlung (z.B. über "Agenten") durchführen kann, automatisiert Löschungen vornehmen kann, Einschätzungen und Bewertungen übernehmen kann und dabei (wirklich) zuverlässige Ergebnisse liefert. Und wie weit das Unternehmen dabei die Kontrolle über seine Daten behält.
Meiner aktuellen Einschätzung nach aktuell in den meisten Fällen nur in begrenztem Umfang. Aber schauen wir mal, was sich da in den kommenden Jahren noch alles so tut.