Einleitung

Der Einsatz von Künstlicher Intelligenz (KI) bringt erhebliche Herausforderungen im Datenschutz mit sich. Unternehmen müssen nicht nur sicherstellen, dass sie personenbezogene Daten rechtskonform verarbeiten. Zusätzlich sind auch ethische und gesellschaftliche Risiken zu berücksichtigen. Gleichzeitig sollen die Unternehmen aber auch von Vorteilen der KI profitieren und nicht durch weitere bürokratische Prozesse den Anschluss an die digitale Welt verlieren. Die konicon GmbH unterstützt Unternehmen dabei, diese komplexen Anforderungen ressourcenschonend zu bewältigen.

Die rechtlichen Rahmenbedingungen für KI und Datenschutz

Die Entwicklung und Nutzung von KI unterliegt wie mittlerweile viele unserer Lebensbereiche gesetzlichen Vorgaben, die sowohl aus der DSGVO als auch aus weiteren EU-Verordnungen wie dem AI Act resultieren. Unternehmen müssen diese Regeln einhalten, um Bußgelder zu vermeiden aber auch das Vertrauen ihrer Kunden, Partner und Beschäftigten zu wahren.

Datenschutz-Grundverordnung (DSGVO) und KI

Sobald in KI-Systemen personenbezogene Daten verarbeitet werden, gelten auch hier die Anforderungen der DSGVO. Eine frühzeitige Berücksichtigung dieser Anforderungen sehen wir dabei als Essenziel an, um Datenschutz gewährleisten zu können. Bereits bei der Entwicklung und dem Training der Modelle, der Ausgestaltung von Nutzeroberflächen oder der Entscheidung über ein fortlaufendes Training, sollten grundlegende Datenschutzaspekte berücksichtigt werden. Erfolgt dies nicht frühzeitig, kann dies erhebliche Folgeaufwendungen nach sich ziehen, oder dazu führen, dass Kunden den Einsatz der KI aufgrund von Datenschutzmängeln ablehnen. Zu den wichtigsten Anforderungen gehören:

• Rechtmäßigkeit: Jegliche Verarbeitung personenbezogener Daten bedürfen einer Rechtsgrundlage nach der DSGVO. Dies betrifft auch die Verwendung von Daten für Trainings- oder Testzwecke aber auch die Verarbeitung von Daten im live-Betrieb durch bspw. Nutzereingabe oder wenn die KI die Interaktion mit einem Nutzer verwendet, um dessen verhalten oder Präferenzen zu bewerten oder ein Profil zu erstellen.
• Transparenz: Unternehmen müssen offenlegen, wie KI Daten verarbeitet und welche Algorithmen dabei zum Einsatz kommen. Insbesondere wenn hierbei Entscheidungen über Personen mit Hilfe von KI getroffen werden. Um so wichtig ist es in der Entwicklung nicht nur die Erstellung eines KI-Models zu betrachten, sondern bereits hier die Nachvollziehbarkeit der Entscheidungswege oder zumindest die relevanten Daten, die zu einer Entscheidung geführt haben, mit zu berücksichtigen und ausgeben zu können.
• Richtigkeit: Eins der größten Probleme zwischen KI und Datenschutz ist die Gewährleistung der Richtigkeit. Die DSGVO fordert, dass personenbezogene Daten richtig und auf dem neuesten Stand sein sollen und falsche Daten berichtigt oder gelöscht werden können. Die meisten Systeme arbeiten derzeit jedoch mit Wahrscheinlichkeiten, weshalb die Richtigkeit in fragegestellt werden kann. Wie zur Transparenz beschrieben, kann dem bspw. begegnet werden, in dem die Anwender in die Lage versetzt werden, die Entscheidungen und Quellen nachzuvollziehen, um so falsche Informationen identifizieren zu können.
  Ebenso ist es wichtig, das falsche Daten berichtigt werden können. Insbesondere AI-Modelle die mit personenbezogen Daten trainiert wurden, stellt dies vor Herausforderungen. Guardrails können hierbei Möglichkeiten bieten Falschangaben durch bereits trainiert Modelle zu verhindern. Aber auch das neue Trainieren einer AI sollte frühzeitig mit berücksichtigt werden, um falsche Daten zu vermeiden.
• Zweckbindung: Daten dürfen nur für klar definierte Zwecke genutzt werden. Eine nachträgliche Zweckänderung ist ohne erneute Einwilligung problematisch. Daher ist es erforderlich, bereits vorab die Anwendungsszenarien der KI zu beschreiben und somit die Zwecke einer Datenverarbeitung prüfbar zu machen und mögliche Weiterentwicklungen nicht aufgrund entgegenstehender Datenschutzvorgaben zu behindern.
• Datensparsamkeit und Speicherbegrenzung: Es dürfen nur die Daten verarbeitet werden, die für die jeweilige Anwendung unbedingt erforderlich sind. Nicht mehr erforderliche Daten sind zudem zu löschen. Dies betrifft bereits die Auswahl von Trainings und Testdaten, aber auch grundlegende sollte geprüft werden, ob überhaupt personenbezogene Daten für ein Training erforderlich sind. Alternativen, wie das Bereitstellung erforderlicher Informationen nur im Bearbeitungsmoment, um so Daten aus einem Training auszuschließen, sollten ebenso geprüft werden.
  Wichtig ist hierbei jedoch, dass die Risiken abgewogen werden, die sich ergeben können, wenn Daten nicht berücksichtigt werden. Dies kann dazu führen, dass KI-Systeme falsche Entscheidungen im Livebetrieb treffen. Beispielsweise ist davon auszugehen, das KI-Systeme in autonomen Fahrfunktionen nicht die ausreichende Qualität erreichen, wenn dies nicht mit echten Bildern oder nur mit anonymisierten Bilder von Menschen trainiert werden. Dies würde bspw. dazu führen, dass die KI erwartet, das ein Menscheinen schwarzen Balken über dem Gesicht hat und im Live-Betrieb somit Passanten nicht erkennt.
• Risiko-Management und Einsatz von angemessenen technischen und organisatorischen Schutzmaßnahmen: Bestehen hohe Risiken für betroffene Personen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Weitere Informationen für eine Risikobewertung von AI finden sie in unserem Artikel zur HUDERIA Methodologie.

EU AI Act – Regulierung von Künstlicher Intelligenz

Der geplante EU AI Act ergänzt die DSGVO um spezifische Anforderungen an KI-Systeme und unterteilt diese in vier Risikokategorien:

• Unzulässige KI: Diese Systeme sind verboten, da sie ein hohes Schadenspotenzial haben und grundlegende Rechte und demokratische Werte gefährden. Beispiele sind Social Scoring nach chinesischem Vorbild und biometrische Echtzeit-Identifizierung im öffentlichen Raum. Der AI Act verbietet solche Systeme vollständig, um die Privatsphäre und die Grundrechte der Bürger zu schützen.
• Hochrisiko-KI: Diese Systeme unterliegen strengen Anforderungen wie Risikoanalysen, Transparenzverpflichtungen und menschlicher Überwachung. Sie werden in kritischen Sektoren eingesetzt, z.B. im Gesundheitswesen, Personalmanagement und Strafverfolgung. Beispiele sind KI-gestützte Bewerbungsverfahren und autonome Fahrzeuge. Die Anforderungen umfassen unter anderem:
  • Risikomanagement: Identifizierung und Bewertung potenzieller Risiken.
  • Transparenz: Offenlegung der Funktionsweise und Entscheidungsprozesse der KI.
  • Überwachung: Menschliche Kontrolle und Eingriffsmöglichkeiten.
  • Dokumentation: Umfassende technische Dokumentation und Protokollierung
• Begrenztes Risiko: KI-Systeme mit begrenztem Risiko müssen Transparenzpflichten erfüllen, und Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren. Beispiele sind Chatbots und einfache Empfehlungssysteme. Die Anforderungen umfassen:
  • Transparenz: Nutzer müssen wissen, dass sie mit einer KI interagieren.
  • Informationspflicht: Bereitstellung klarer und verständlicher Informationen über die KI.
• Minimales Risiko: Diese Systeme stellen keine oder nur sehr geringe Risiken dar und unterliegen keiner speziellen Regulierung. Beispiele sind Spam-Filter und KI-gestützte Schreibassistenten. Obwohl keine spezifischen Anforderungen bestehen, wird empfohlen, grundlegende Prinzipien der Transparenz und Fairness zu beachten.

Weitere relevante Gesetze und Richtlinien

Zusätzlich zur DSGVO und dem AI Act gibt es nationale Regelungen, die für den Einsatz von KI wichtig sind:

• Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten in Deutschland.
• Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) betrifft die Nutzung von Tracking- und Analyse-Tools.

Praktische Lösungen für den datenschutzkonformen Einsatz von KI

Es gibt bewährte Methoden, um KI datenschutzkonform zu gestalten.

Privacy by Design und Privacy by Default

Datenschutz sollte bereits bei der Entwicklung von KI-Systemen berücksichtigt werden. Dies bedeutet, dass die Minimierung der Datenerhebung auf das Notwendigste ein zentraler Aspekt sein muss. Daten sollten nur dann erhoben werden, wenn sie unbedingt erforderlich sind, um die Funktionalität des Systems zu gewährleisten. Frühzeitige Implementierung von Sicherheitsmechanismen ist ebenfalls entscheidend, um potenzielle Bedrohungen und Schwachstellen zu identifizieren und zu beheben, bevor sie ausgenutzt werden können. Voreinstellungen, die standardmäßig den höchsten Datenschutz gewährleisten, sind ein weiterer wichtiger Punkt. Dies stellt sicher, dass Nutzer von Anfang an den bestmöglichen Schutz ihrer Daten genießen, ohne zusätzliche Einstellungen vornehmen zu müssen.

Automatisierte Entscheidungsfindung und Profiling

KI-Systeme können dazu verwendet werden, Entscheidungen mit erhebliche Auswirkungen auf Personen zu treffen. Dies kann beispielsweise bei Kreditwürdigkeitsprüfungen, Bewerbungsverfahren oder personalisierten Werbeanzeigen der Fall sein. Die Datenschutz-Grundverordnung (DSGVO) regelt in Artikel 22, dass automatisierte Entscheidungen nicht ohne menschliche Kontrolle getroffen werden dürfen. Dies bedeutet, dass ein Mensch in den Entscheidungsprozess eingebunden sein muss, um sicherzustellen, dass die Entscheidung fair und gerecht ist und keine diskriminierenden Auswirkungen hat.

Zudem haben Betroffene ein Widerspruchsrecht gegen Profiling, das durch KI-Systeme durchgeführt wird. Profiling bezieht sich auf die automatisierte Verarbeitung personenbezogener Daten, um bestimmte Aspekte einer Person zu bewerten, wie beispielsweise ihre Leistung bei der Arbeit, ihre wirtschaftliche Lage, ihre Gesundheit, ihre persönlichen Vorlieben oder Interessen. Das Widerspruchsrecht ermöglicht es den Betroffenen, gegen diese automatisierten Bewertungen Einspruch zu erheben und eine Überprüfung durch einen Menschen zu verlangen.

Transparenz durch erklärbare KI

Die Entwicklung von Explainable AI (XAI) ist ein bedeutender Schritt, um die Entscheidungsprozesse von KI-Systemen verständlich zu machen. Durch die Visualisierung von Entscheidungsprozessen können Nutzer und Entwickler nachvollziehen, wie und warum bestimmte Entscheidungen getroffen wurden. Dies fördert das Vertrauen in die Technologie und ermöglicht es, eventuelle Fehler oder Vorurteile zu erkennen und zu korrigieren. Die Bereitstellung verständlicher Erklärungen für Nutzer ist ebenfalls wichtig, damit sie die Funktionsweise der KI besser verstehen und informierte Entscheidungen treffen können. Regelmäßige Audits und Tests zur Nachvollziehbarkeit sind notwendig, um sicherzustellen, dass die KI-Systeme weiterhin transparent und vertrauenswürdig bleiben.

Schutz sensibler Informationen

KI-Systeme verarbeiten meist große Mengen an Daten. Hierbei können auch Daten betroffen sein, die besonders schützenswert sind. Aber auch Daten, welche scheinbar unverfänglichen sind, aber aus denen die KI sensibel oder besonders schützenswerte Informationen ableitet. Unternehmen müssen daher umfassende Sicherheitsmaßnahmen ergreifen, um die Integrität und Vertraulichkeit dieser Daten zu gewährleisten. Eine der wichtigsten Maßnahmen ist die Verschlüsselung von Daten sowohl während der Speicherung als auch während der Übertragung. Dies stellt sicher, dass die Daten selbst bei einem Sicherheitsvorfall nicht ohne Weiteres gelesen oder missbraucht werden können.

Zugriffskontrollen und Berechtigungskonzepte sind ebenfalls entscheidend, um sicherzustellen, dass nur autorisierte Personen Zugang zu sensiblen Informationen haben. Dies umfasst die Implementierung von strengen Authentifizierungs- und Autorisierungsmechanismen, um unbefugten Zugriff zu verhindern. Darüber hinaus sollten Unternehmen Maßnahmen ergreifen, um ihre KI-Systeme gegen Prompt Engineering abzusichern, bei dem Angreifer versuchen, die KI durch gezielte Eingaben zu manipulieren um so beispielsweise Informationen zu erhalten, die für diese nicht bestimmt sind.

Regelmäßige Sicherheitsüberprüfungen und Penetrationstests sind notwendig, um Schwachstellen in den Systemen zu identifizieren und zu beheben. Diese Tests helfen dabei, die Sicherheitsmaßnahmen kontinuierlich zu verbessern und sicherzustellen, dass die Systeme gegen aktuelle Bedrohungen gewappnet sind. Durch diese umfassenden Sicherheitsvorkehrungen können Unternehmen die sensiblen Daten, die von ihren KI-Systemen verarbeitet werden, effektiv schützen und das Vertrauen der Nutzer in die Technologie stärken.

Datenschutz-Folgenabschätzung (DPIA) für KI-Systeme

Für KI-Anwendungen mit hohem Datenschutzrisiko ist eine Datenschutz-Folgenabschätzung (DPIA) verpflichtend. Diese umfasst die Identifikation potenzieller Datenschutzrisiken, die durch die Nutzung der KI entstehen könnten. Es ist wichtig, Maßnahmen zur Risikominimierung zu entwickeln und umzusetzen, um die Privatsphäre der Nutzer zu schützen. Die Dokumentation und regelmäßige Überprüfung der Ergebnisse der DPIA sind ebenfalls erforderlich, um sicherzustellen, dass die getroffenen Maßnahmen wirksam sind und kontinuierlich verbessert werden.

Verantwortlichkeiten und Rollen im Unternehmen

Unternehmen sollten klare Verantwortlichkeiten für den Datenschutz bei KI-Systemen festlegen. Datenschutzbeauftragte spielen eine zentrale Rolle bei der Überwachung der Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Vorschriften. Entwicklungsteams sind dafür verantwortlich, Privacy by Design in ihre Prozesse zu integrieren und sicherzustellen, dass Datenschutzaspekte von Anfang an berücksichtigt werden. Compliance-Abteilungen müssen sicherstellen, dass alle rechtlichen Anforderungen erfüllt werden und das Unternehmen in Übereinstimmung mit den geltenden Datenschutzgesetzen handelt.

Fazit und Handlungsempfehlungen

Die Nutzung von KI erfordert eine durchdachte Datenschutzstrategie. Unternehmen sollten frühzeitig geeignete Maßnahmen ergreifen, um DSGVO-konform zu agieren. Die konicon GmbH unterstützt Sie dabei, KI sicher und effizient in Ihr Unternehmen zu integrieren.