phonlamaiphoto - stock.adobe.com
Was sagt der Datenschutz zu KI-Agenten?
Künstliche Intelligenz (KI) bringt besondere Herausforderungen für den Datenschutz mit sich. Das gilt nicht nur bei KI-Assistenten, sondern besonders bei KI-Agenten.
Ein KI-Agent ist ein KI-System, das spezifische Ziele mit minimaler Aufsicht erreichen kann, erklärt der Digitalverband Bitkom (PDF). Im Gegensatz zu herkömmlichen KI-Systemen, die innerhalb vordefinierter Grenzen operieren und menschliche Intervention erfordern, zeigen KI-Agenten Autonomie, zielgerichtetes Verhalten und Anpassungsfähigkeit. Sie können also unabhängig handeln, verfolgen Ziele und reagieren selbstständig auf Veränderungen.
Einerseits klingt dies genau nach der Unterstützung durch KI, die sich Unternehmen wünschen, um den vorherrschenden Personalmangel begegnen zu können. Allein eine Entscheidungsunterstützung, wie sie KI-Assistenten bieten, erscheint mitunter zu wenig, Aufgaben wollen erledigt werden. Doch KI-Agenten sind vielen Unternehmen noch suspekt.
So ist das Vertrauen in vollständig autonome KI-Agenten im vergangenen Jahr 2025 von 43 Prozent auf 27 Prozent gesunken. Grund dafür sind Datenschutz- und Ethikbedenken, wie eine Studie von Capgemini Research Institute (PDF) zeigt. Fast zwei von fünf Führungskräften denken demnach, dass die Risiken der Implementierung den Nutzen übersteigen. Nur 40 Prozent der Unternehmen trauen KI-Agenten zu, Aufgaben und Prozesse eigenständig zu steuern, die Mehrheit bleibt hingegen skeptisch.
Wie aber sieht es mit dem Datenschutz aus, bei dem viele Unternehmen Bedenken haben, wenn KI-Agenten zum Einsatz kommen sollen?
Robuster Datenschutz bei KI-Agenten
Der Digitalverband Bitkom fordert im Fall von KI-Agenten: Zum Schutz der Privatsphäre sind robuste Datenschutz- und Sicherheitsmaßnahmen zu implementieren, da KI-Agenten häufig große Mengen an Daten, einschließlich sensibler Daten, verarbeiten. Zudem warnt Bitkom vor Rollenkonflikten, bei denen ein KI-Agent in einen Widerspruch geraten kann, etwa zwischen Effizienzsteigerung und Datenschutz.
Ganz alleine darf man KI-Agenten nicht lassen, denn je nach Anwendungsbereich fordern rechtlichen Vorgaben wie die KI-Verordnung (KI-VO, AI Act) und die Datenschutz-Grundverordnung eine menschliche Aufsicht, und zwar generell bei KI-Systemen. Doch ohne Zweifel ist eine menschliche Aufsicht besonders bei KI-Agenten notwendig, da KI-Agenten eine gewisse Autonomie haben sollen.
Auch KI-Provider wie Microsoft zum Beispiel machen deutlich: „Führen Sie menschliche Aufsicht bei kritischen Maßnahmen um: Für Aufgaben mit hohem Einsatz halten Sie einen Menschen auf dem Laufenden. Konfigurieren Sie den Agenten so, dass er vor sensiblen Aktionen eine Genehmigung oder Bestätigung von einer Person anfordert. Dieser Ansatz stellt sicher, dass die endgültige Kontrolle bei menschlichen Experten bleibt, wenn es wirklich darauf ankommt.“
Europäischer Datenschutzbeauftragten thematisiert KI-Agenten
Eine Bewertung von KI-Agenten aus Sicht des Datenschutzes sollte immer damit beginnen, dass KI-Agenten alle Datenschutz-Prinzipien einhalten müssen, also Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht bei der Verarbeitung personenbezogener Daten.
Der Europäische Datenschutzbeauftragte (EDPS) hat sich des Themas KI-Agenten angenommen und erklärte dazu insbesondere: Die komplexen Entscheidungsprozesse von agentenbasierter KI könnten es Nutzern erschweren, zu verstehen, wie personenbezogene Daten verwendet werden, welche Schlussfolgerungen daraus gezogen werden und warum bestimmte Maßnahmen in ihrem Namen ergriffen werden (mangelnde Transparenz).
Diese Systeme könnten zudem durch ihre autonomen Prozesse zur Erfassung personenbezogener Daten verzerrte Muster entwickeln, indem sie aus fehlerhaften Datensätzen oder Nutzerverhalten lernen, und diese verzerrten Modelle anwenden, um Entscheidungen zu treffen, die das Leben der Nutzer beeinflussen.
Darüber hinaus könnten agentenbasierte KI-Systeme auf der Grundlage unvollständiger oder falsch dargestellter personenbezogener Daten selbstbewusste Vorhersagen treffen und Maßnahmen ergreifen. Aufgrund ihrer autonomen Natur könnten sich diese Fehler durch mehrere Entscheidungen fortsetzen, bevor sie erkannt werden.
Ebenso macht der EDPS klar: Wenn ein agentenbasiertes KI-System Schaden verursacht, gegen Datenschutzbestimmungen verstößt oder Einzelpersonen unfair behandelt, kann die Verantwortungsbestimmung schwierig sein – sei es bei den KI-Entwicklern, der einsetzenden Organisation als Datenverantwortlicher oder den Nutzern, die möglicherweise falsche Anweisungen gegeben haben. Dies kann zu einer potenziellen Verantwortlichkeitslücke führen.
Offensichtlich führen KI-Agenten damit zu einer Reihe besonderer Datenschutzrisiken, auf die oftmals noch eine Antwort gefunden werden muss. Insofern ist es nicht verwunderlich, wenn Unternehmen noch beim Einsatz von KI-Agenten zögern, gerade weil sie Bedenken wegen Datenschutz und Ethik haben.
