fly-tech’s KI-Praxis hat einen bedeutenden Meilenstein erreicht: Die Bestätigung durch die Datenschutzkonferenz. Dieser Schritt markiert einen wichtigen Erfolg in der Anwendung von KI im Einklang mit Datenschutzstandards.
Am 08. Mai ist nun auch die Datenschutzkonferenz (DSK) auf den Zug Künstliche Intelligenz (KI) aufgesprungen und hat eine erste Orientierungshilfe mit dem Thema Künstliche Intelligenz und Datenschutz veröffentlicht. Der Begriff Orientierungshilfe ist hier passend gewählt, denn zusammengefasst geht die DSK nicht auf einzelne Maßnahmen ein, sondern beschreibt nur, welche Gedanken sich Unternehmen und Behörden stellen sollten, wenn Sie KI einsetzen wollen. Auch wenn die Themenbereiche explizit nicht als abschließend formuliert sind, sind es doch die gleichen Gedanken, welche wir uns schon seit November in der fly-tech machen und bestätigt hier unsere eigene Herangehensweise an das Thema.
Klare Definition, für welche Verarbeitungen KI verwendet werden soll und auf welche Bereiche es Zugriff erhalten darf
Es muss klar definiert sein, für welche Situationen KI tatsächlich zum Einsatz kommen soll, denn manche sind explizit für KI unzulässig, zum Beispiel gemäß der KI-Verordnung. So zählen zum Beispiel zum jetzigen Zeitpunkt das sogenannte Social Scoring und biometrische Echtzeitüberwachung öffentlicher Räume als grundsätzlich unzulässige Praktiken. Werden personenbezogene Daten von einer KI verarbeitet, wird dies in den meisten Fällen eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO zur Folge haben, um die Risiken konkret abzuwägen. Ein schöner Hinweis der DSK ist, dass der Verantwortliche auf die Daten des jeweils Anbietenden angewiesen ist, um eine Einschätzung durchführen zu können. Das bedeutet zum einen, wir müssen nicht jede einzelne Funktion im Quellcode überprüfen und dürfen uns zu einem gewissen Grad auf die Aussagen der Anbieter verlassen. Wenn wir allerdings keine Aussagen vom Anbieter erhalten, impliziert die Orientierungshilfe, dass hier keine adäquate Einschätzung vorgenommen werden kann.
Sollte eine automatische Entscheidung gemäß Art. 21 DSGVO mithilfe von KI stattfinden, ist nicht nur eine Datenschutzfolgenabschätzung notwendig, sondern auch eine explizite Erlaubnis im Gesetz. Das Widerspruchsrecht der Betroffenen muss zudem klar geregelt sein.
Auch die Trainingsdaten können personenbezogene Daten enthalten
Die DSK verweist auch darauf, dass schon bei den Trainingsdaten der KI personenbezogene Daten verarbeitet werden können und man hier einen genaueren Blick darauf haben soll. Realistisch gesehen können Unternehmen und Behörden erst eine Beurteilung vornehmen, wenn die Anbieter Informationen zu den Trainingsdaten veröffentlichen. Manche bieten dies jetzt schon an, andere werden sich erst damit auseinandersetzen, wenn die KI-Verordnung endgültig in Kraft tritt.
Beschäftigte sensibilisieren
Am Ende einer erfolgreichen Nutzung, insbesondere einer datenschutzkonformen stehen die Mitarbeiter:innen. Nur wenn klar ist, welche Daten der KI gegeben werden und welche nicht, können Datenschutzverletzungen vermieden werden. Die DSK geht davon aus, dass eine eigenmächtige Nutzung bereits in einigen Unternehmen als Standard-Zustand gilt. Hier ist es umso wichtiger, die Mitarbeiter:innen zu sensibilisieren, ihnen Richtlinien mitzugeben und die technische Nutzung der KI einzuschränken.
Zuletzt betont die DSK, dass jegliche Ergebnisse der KI auf Richtigkeit und Diskriminierung überprüft werden müssen.
Die KI steckt für den Allgemeingebrauch immer noch in den Kinderschuhen, speziell mit den nun plötzlich neu entwickelten KI-basierten Möglichkeiten, welche aufgrund von ChatGPT und Copilot in Zugzwang gekommen sind. Wir können auch hier nur empfehlen genau auf die Funktionsweise der KI, also wo welche Daten wie verknüpft werden sowie den Output, also die Ergebnisse der KI kritisch zu betrachten.
Für die Einführung von KI in Ihrer Organisation empfehlen wir unseren 5 Schritte-Plan, damit Sie die KI sicher und ohne größere Stolpersteine einführen zu können.
Lust auf …
Einfach digital
arbeiten?
Für Ihre Fragen und Anliegen rund um Informationssicherheit & Datenschutz steht Ihnen gerne unsere Expertin Jennifer Baumann zur Verfügung.
Jennifer Baumann
Consultant Datenschutz & Informationssicherheit
(0821) 207 111 – 16
cloudheroes@fly-tech.de
Wenn Sie mehr über unsere Datenschutzdienstleistungen erfahren möchten, dann wählen Sie doch hier einen Termin für ein kostenloses Erstgespräch.
Bildnachweis: Headerfoto von fly-tech, Artikelfoto von canva und fly-tech