04. Oktober 2021

Datenschutz und KI-Systeme: Wie Unternehmen die Vorteile der DSFA nutzen

Auch wenn die KI-Verordnung der EU-Kommission, deren Entwurf am 21. April 2021 vorgestellt wurde, sich noch in der Planung befindet, müssen sich Unternehmen für die Entwicklung und den Einsatz von KI-Systemen mit einigen rechtlichen Fragen auseinandersetzen. Denn neben anderen Gesetzen, die auch für KI Vorgaben enthalten, stellt die DSGVO das maßgebliche Gesetz für KI-Systeme dar. Denn nur mit einer ausreichenden Menge an Trainingsdaten sind KI-Systeme funktionsfähig und zu Lernprozessen in der Lage. In den meisten Fällen weisen diese Daten einen Personenbezug auf, da oft bereits schon aufgrund der großen Datenmenge die Identifikation der jeweiligen Personen möglich ist. Dann müssen die Vorgaben der DSGVO und gegebenenfalls weiterer einschlägiger Vorschriften umgesetzt werden. Dazu gehören unter anderem Informationspflichten gegenüber den betroffenen Personen oder die Erstellung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten – und eine weitere Vorgabe ist im Rahmen von KI häufig die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Viele Unternehmen nehmen diese als reinen Zusatzaufwand wahr, den die DSGVO ihnen auferlegt. Die Praxis zeigt jedoch, dass eine DSFA als hilfreiches Instrument genutzt werden kann, um KI-Projekte erfolgreich durchzuführen. Denn es geht nicht um eine bloße Dokumentation, sondern um die Begleitung des Entwicklungsprozesses von Beginn an, um die Anwendungen datenschutzkonform und sicher zu gestalten. Somit lassen sich mit einer sorgfältig durchgeführten DSFA das Kund:innenvertrauen gewinnen und Wettbewerbsvorteile sichern.

Die DSFA zur Identifizierung von Risiken

Die Risiken, die sich aus dem Einsatz von KI-Systemen ergeben können, sind oft ganz unterschiedlicher Natur. Mit einer DSFA, die einen umfassenden Überblick über alle Datenverarbeitungstätigkeiten ermöglicht, können diese jedoch schnell erkannt und mitigiert werden. Ein für KI-Systeme typisches Risiko besteht in der Diskriminierung von Personen oder Personengruppen. Denn die Algorithmen verwenden das anfänglich bereitgestellte Datenmaterial für die Lernprozesse und nehmen es als Grundlage für Entscheidungen. Bereits dieses Datenmaterial kann, beabsichtigt oder unbeabsichtigt, menschliche Vorurteile (sog. bias) enthalten. Beispielsweise kann das mit einer KI passieren, die in einer ersten Durchsicht Bewerbungsunterlagen ablehnt oder weiterleitet. Handelt es sich etwa um einen technischen Beruf, für den sich in der Vergangenheit, aus der die Daten stammen, hauptsächlich Männer beworben und die ausgeschriebenen Stellen erhalten haben, kann ein Algorithmus einen Zusammenhang zwischen Berufsgruppe herstellen und Männer bevorzugen. Eine DSFA hilft dabei, diese und weitere Risiken festzustellen, indem alle mit der KI-Anwendung verbundenen Datenverarbeitungsvorgänge erfasst und auf den Prüfstand gestellt werden.

Wie eine DSFA durchgeführt wird

Das richtige Vorgehen bei der DSFA beginnt jeweils mit der Vorabprüfung, ob sie gesetzlich verpflichtend durchgeführt werden muss. Nach Art. 35 Abs. 1 DSGVO ist das immer der Fall, wenn Risiken für die Rechte und Freiheiten natürlicher Personen bestehen. Das kann zwar nur im Einzelfall beurteilt werden, wird bei KI-Anwendungen jedoch meist zutreffen. Die eigentliche DSFA beginnt mit einer systematischen Beschreibung aller Verarbeitungsvorgänge. Hier sollten Art, Umfang, Umstände und Zwecke der Verarbeitung zusammen mit technischen und organisatorischen Maßnahmen erfasst werden. So kann der gesamte Lebenszyklus der Daten von der Erhebung bis zur Löschung jederzeit nachverfolgt werden. Darüber hinaus wird festgestellt, welche unterschiedlichen Kategorien an Personen und an Daten betroffen sind. Dabei kann es sich etwa um Daten von Mitarbeitenden oder Kundschaft, Inhalts- und Metadaten, Anmeldedaten oder beispielsweise auch Gesundheitsdaten handeln. Nach einer rechtlichen Bewertung der Datenverarbeitungsvorgänge – hier geht es um die Rechtsgrundlagen sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen – wird eine Risikoanalyse durchgeführt, die den Hauptbestandteil der DSFA bildet. Sie setzt sich aus einer Risikobewertung, der Risikobehandlung und der Ermittlung des Restrisikos zusammen. Für die Identifizierung und Beurteilung von Risiken haben sich gerade für neue Technologien wie KI Threat Modeling Workshops bewährt, die alle Beteiligten miteinschließen und über den gesamten Entwicklungsprozess einer Anwendung hinweg durchgeführt werden, um Risiken zu erkennen und direkt anzugehen.


Mehr Informationen zum Thema:


Gewährleistungsziele und Schutzmaßnahmen festlegen

Auch wenn das hier beschriebene Vorgehen gesetzlich nicht zwingend vorgeschrieben ist, ist es sinnvoll, um der DSFA eine sinnvolle und umfassende Struktur zu verleihen. So ist es anzuraten, anhand der Gewährleistungsziele des Standard-Datenschutzmodells (SDM) die relevanten Datenschutzvorgaben zu bestimmen und auf ihrer Grundlage entsprechende technische und organisatorische Schutzmaßnahmen festzulegen. Zu den Gewährleistungszielen gehören unter anderem die Integrität, Vertraulichkeit und Transparenz der Daten. Wenn die Risiken, die mit der KI-Anwendung verbunden sind, erfasst und beschrieben worden sind, werden sie zunächst ohne Schutzmaßnahmen in Bezug auf Eintrittswahrscheinlichkeit eines Schadens und Schadenshöhe bewertet. Aufgrund dieser Risikobewertung werden dann die passenden Abhilfemaßnahmen erst geprüft und umgesetzt. Als Schutzmaßnahmen kommen zum Beispiel die Transport- und Inhaltsverschlüsselung der Daten sowie umfassende Zugriffs- und Berechtigungskonzepte in Betracht, Schulungen, Richtlinien und Datenschutzhinweise. Für KI-Anwendungen ist es besonders wichtig, die „Kontrolle“ der KI-Entscheidungen sicherzustellen. Denn je „intelligenter“ ein Algorithmus agiert, desto schwieriger ist es, die detaillierte Kenntnis über die Entscheidungsprozesse zu behalten. Es besteht die Gefahr, dass sie in der sogenannten Black Box erfolgen. Um dadurch entstehende Nachteile zu verhindern, kann eine Kontroll-KI als Mitigations-Maßnahme implementiert werden. Nach der Umsetzung der Abhilfemaßnahmen folgt eine weitere Risikobewertung, um das verbleibende Restrisiko zu ermitteln.

Die DSFA für KI-Systeme: Der Aufwand lohnt sich

Die Vorstellung, die DSFA sei ein reiner Zusatzaufwand, stimmt daher nicht – zumindest dann, wenn Unternehmen mit dem richtigen Vorgehen die Vorteile zu nutzen wissen du die DSFA als Instrument einsetzen, mit dem KI-Anwendungen über den gesamten Entwicklungsprozess hinweg datenschutzkonform ausgestaltet werden können. Die fortwährende Überprüfung und gegebenenfalls Anpassung der Verarbeitungsvorgänge und der Schutzmaßnahmen erlaubt es, einen positiven Einfluss auf die KI-Systeme zu nehmen. Durch regelmäßige Abstimmung können Risiken von Anfang an erkannt und schnell behoben werden. Die DSFA hilft daher, durch nachhaltigen Datenschutz und technische Sicherheit Kund:innenvertrauen zu erlangen, nachträglichen Aufwand zu vermeiden und somit Wettbewerbsvorteile zu gewinnen.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!