Auch wenn die KI-Verordnung der EU-Kommission, deren Entwurf am 21. April 2021 vorgestellt wurde, sich noch in der Planung befindet, müssen sich Unternehmen für die Entwicklung und den Einsatz von KI-Systemen mit einigen rechtlichen Fragen auseinandersetzen. Denn neben anderen Gesetzen, die auch für KI Vorgaben enthalten, stellt die DSGVO das maßgebliche Gesetz für KI-Systeme dar. Denn nur mit einer ausreichenden Menge an Trainingsdaten sind KI-Systeme funktionsfähig und zu Lernprozessen in der Lage. In den meisten Fällen weisen diese Daten einen Personenbezug auf, da oft bereits schon aufgrund der großen Datenmenge die Identifikation der jeweiligen Personen möglich ist. Dann müssen die Vorgaben der DSGVO und gegebenenfalls weiterer einschlägiger Vorschriften umgesetzt werden. Dazu gehören unter anderem Informationspflichten gegenüber den betroffenen Personen oder die Erstellung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten – und eine weitere Vorgabe ist im Rahmen von KI häufig die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Viele Unternehmen nehmen diese als reinen Zusatzaufwand wahr, den die DSGVO ihnen auferlegt. Die Praxis zeigt jedoch, dass eine DSFA als hilfreiches Instrument genutzt werden kann, um KI-Projekte erfolgreich durchzuführen. Denn es geht nicht um eine bloße Dokumentation, sondern um die Begleitung des Entwicklungsprozesses von Beginn an, um die Anwendungen datenschutzkonform und sicher zu gestalten. Somit lassen sich mit einer sorgfältig durchgeführten DSFA das Kund:innenvertrauen gewinnen und Wettbewerbsvorteile sichern.
Die DSFA zur Identifizierung von Risiken
Die Risiken, die sich aus dem Einsatz von KI-Systemen ergeben können, sind oft ganz unterschiedlicher Natur. Mit einer DSFA, die einen umfassenden Überblick über alle Datenverarbeitungstätigkeiten ermöglicht, können diese jedoch schnell erkannt und mitigiert werden. Ein für KI-Systeme typisches Risiko besteht in der Diskriminierung von Personen oder Personengruppen. Denn die Algorithmen verwenden das anfänglich bereitgestellte Datenmaterial für die Lernprozesse und nehmen es als Grundlage für Entscheidungen. Bereits dieses Datenmaterial kann, beabsichtigt oder unbeabsichtigt, menschliche Vorurteile (sog. bias) enthalten. Beispielsweise kann das mit einer KI passieren, die in einer ersten Durchsicht Bewerbungsunterlagen ablehnt oder weiterleitet. Handelt es sich etwa um einen technischen Beruf, für den sich in der Vergangenheit, aus der die Daten stammen, hauptsächlich Männer beworben und die ausgeschriebenen Stellen erhalten haben, kann ein Algorithmus einen Zusammenhang zwischen Berufsgruppe herstellen und Männer bevorzugen. Eine DSFA hilft dabei, diese und weitere Risiken festzustellen, indem alle mit der KI-Anwendung verbundenen Datenverarbeitungsvorgänge erfasst und auf den Prüfstand gestellt werden.
Wie eine DSFA durchgeführt wird
Das richtige Vorgehen bei der DSFA beginnt jeweils mit der Vorabprüfung, ob sie gesetzlich verpflichtend durchgeführt werden muss. Nach Art. 35 Abs. 1 DSGVO ist das immer der Fall, wenn Risiken für die Rechte und Freiheiten natürlicher Personen bestehen. Das kann zwar nur im Einzelfall beurteilt werden, wird bei KI-Anwendungen jedoch meist zutreffen. Die eigentliche DSFA beginnt mit einer systematischen Beschreibung aller Verarbeitungsvorgänge. Hier sollten Art, Umfang, Umstände und Zwecke der Verarbeitung zusammen mit technischen und organisatorischen Maßnahmen erfasst werden. So kann der gesamte Lebenszyklus der Daten von der Erhebung bis zur Löschung jederzeit nachverfolgt werden. Darüber hinaus wird festgestellt, welche unterschiedlichen Kategorien an Personen und an Daten betroffen sind. Dabei kann es sich etwa um Daten von Mitarbeitenden oder Kundschaft, Inhalts- und Metadaten, Anmeldedaten oder beispielsweise auch Gesundheitsdaten handeln. Nach einer rechtlichen Bewertung der Datenverarbeitungsvorgänge – hier geht es um die Rechtsgrundlagen sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen – wird eine Risikoanalyse durchgeführt, die den Hauptbestandteil der DSFA bildet. Sie setzt sich aus einer Risikobewertung, der Risikobehandlung und der Ermittlung des Restrisikos zusammen. Für die Identifizierung und Beurteilung von Risiken haben sich gerade für neue Technologien wie KI Threat Modeling Workshops bewährt, die alle Beteiligten miteinschließen und über den gesamten Entwicklungsprozess einer Anwendung hinweg durchgeführt werden, um Risiken zu erkennen und direkt anzugehen.
Mehr Informationen zum Thema:
- Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?
- Die Datenschutz-Folgenabschätzung am Beispiel von Microsoft 365 – ein Beitrag unseres Partner SRD Rechtsanwälte
- Kriterien & Anforderungen an die Datenschutz-Folgenabschätzung – ein Beitrag unseres Partner SRD Rechtsanwälte
Gewährleistungsziele und Schutzmaßnahmen festlegen
Auch wenn das hier beschriebene Vorgehen gesetzlich nicht zwingend vorgeschrieben ist, ist es sinnvoll, um der DSFA eine sinnvolle und umfassende Struktur zu verleihen. So ist es anzuraten, anhand der Gewährleistungsziele des Standard-Datenschutzmodells (SDM) die relevanten Datenschutzvorgaben zu bestimmen und auf ihrer Grundlage entsprechende technische und organisatorische Schutzmaßnahmen festzulegen. Zu den Gewährleistungszielen gehören unter anderem die Integrität, Vertraulichkeit und Transparenz der Daten. Wenn die Risiken, die mit der KI-Anwendung verbunden sind, erfasst und beschrieben worden sind, werden sie zunächst ohne Schutzmaßnahmen in Bezug auf Eintrittswahrscheinlichkeit eines Schadens und Schadenshöhe bewertet. Aufgrund dieser Risikobewertung werden dann die passenden Abhilfemaßnahmen erst geprüft und umgesetzt. Als Schutzmaßnahmen kommen zum Beispiel die Transport- und Inhaltsverschlüsselung der Daten sowie umfassende Zugriffs- und Berechtigungskonzepte in Betracht, Schulungen, Richtlinien und Datenschutzhinweise. Für KI-Anwendungen ist es besonders wichtig, die „Kontrolle“ der KI-Entscheidungen sicherzustellen. Denn je „intelligenter“ ein Algorithmus agiert, desto schwieriger ist es, die detaillierte Kenntnis über die Entscheidungsprozesse zu behalten. Es besteht die Gefahr, dass sie in der sogenannten Black Box erfolgen. Um dadurch entstehende Nachteile zu verhindern, kann eine Kontroll-KI als Mitigations-Maßnahme implementiert werden. Nach der Umsetzung der Abhilfemaßnahmen folgt eine weitere Risikobewertung, um das verbleibende Restrisiko zu ermitteln.
Die DSFA für KI-Systeme: Der Aufwand lohnt sich
Die Vorstellung, die DSFA sei ein reiner Zusatzaufwand, stimmt daher nicht – zumindest dann, wenn Unternehmen mit dem richtigen Vorgehen die Vorteile zu nutzen wissen du die DSFA als Instrument einsetzen, mit dem KI-Anwendungen über den gesamten Entwicklungsprozess hinweg datenschutzkonform ausgestaltet werden können. Die fortwährende Überprüfung und gegebenenfalls Anpassung der Verarbeitungsvorgänge und der Schutzmaßnahmen erlaubt es, einen positiven Einfluss auf die KI-Systeme zu nehmen. Durch regelmäßige Abstimmung können Risiken von Anfang an erkannt und schnell behoben werden. Die DSFA hilft daher, durch nachhaltigen Datenschutz und technische Sicherheit Kund:innenvertrauen zu erlangen, nachträglichen Aufwand zu vermeiden und somit Wettbewerbsvorteile zu gewinnen.
-
Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?
Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.
-
KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien
Die Logistikbranche in Deutschland hat die Chancen und Möglichkeiten der Künstlichen Intelligenz (KI) erkannt und ist vielen anderen Wirtschaftszweigen bereits weit voraus. Dieser Blogbeitrag zeigt auf, welche konkreten Einsatzmöglichkeiten KI in der Logistik bietet und wie Datenschutzanforderungen bei der Implementierung von KI-Lösungen erfüllt werden können.
-
KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen
Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.