EU einigt sich auf KI-Verordnung. Hier findest du bewährte Anregungen zur Schaffung DSGVO-konformer Dienste
Viele Unternehmen verwenden bereits im daily business Systeme und Apps mit Künstlicher Intelligenz (KI). Wenige rücken Datenschutzrechtsfragen rund um den Einsatz von KI in den Mittelpunkt. Die Verarbeitung von Daten durch KI-Techniken erfordert explizite gesetzliche Vorgaben im öffentlichen Interesse. Mitgliedsstaaten müssen die Aufsichtsbehörden konsultieren, wenn neue Gesetze die Verarbeitung personenbezogener Daten betreffen und ein hohes Risiko für die Betroffenen darstellen. Weißt du welche Regelungsbestrebungen es aktuell auf EU-Ebene gibt? Wie sieht es mit deiner Datenqualität aus? Dieser Artikel teilt praxisrelevantes Wissen darüber, worauf du besonders achten solltest, wenn du lizenzierte KI-basierte Software vertrauenswürdig und systematisch einsetzen möchtest.
Die Artificial Intelligence Basics die du beachten solltest
- Zunächst muss der MVP stehen, um danach ein Modell mit spezifischen Daten zu trainieren.
- Rom wurde nicht an einem Tag erbaut, daher plant Zeit und Mittel objektiv ein.
- Baut und entwickelt ein KI-Team mit ML-Expertise stetig weiter aus.
- KI-Projekte sind mit hohen Equipmentkosten verbunden, welche in der Gesamtstrategie mitberücksichtigt werden müssen.
- Behandelt eure Datenqualität immer mit Vorrang und führt regelmäßig Analysen durch.
1. Tipp: Rechtsgrundlagen der Datenverarbeitung
Sensible Datenverarbeitung, wie z. B. Gesundheitsdaten, benötigt klare rechtliche Basis, die dem Unionsrecht oder nationalen Gesetzen entspricht. Die Verarbeitung aus Gründen des öffentlichen Interesses unter Einsatz von KI-Tools ist nur zulässig, wenn sie ausdrücklich im Recht der Mitgliedstaaten vorgesehen ist. Bei neuen Gesetzen oder Maßnahmen zur Datenverarbeitung ist die Konsultation der Datenschutzbehörde essenziell, vor allem bei hoher Risikobewertung für Betroffene nach Durchführung einer Datenschutz-Folgenabschätzung.
Die KI-Verordnung (AI Act) – obwohl noch nicht in Kraft – definiert bestimmte KI-Systeme als „hochriskant“, darunter biometrische Identifizierung, kritische Infrastrukturen und Bereiche wie Bildung, Beschäftigung und Strafverfolgung.
2. Tipp: Grundsätze der Verantwortlichkeit und Datenschutztechnik
Die DSGVO verlangt vom Verantwortlichen die Einhaltung und Nachweisbarkeit ihrer Pflichten, einschließlich des Schutzes der personenbezogenen Daten seit der Konzeption. Durch den Grundsatz „Datenschutz durch Technik“ müssen angemessene technische und organisatorische Maßnahmen (TOM) getroffen werden, in dem man die Risiken eindämmt und um DSGVO-Anforderungen zu erfüllen. Diese Maßnahmen sollen die Rechte der Betroffenen schützen und eine tatsächliche Schutzwirkung erzielen.
3. Tipp: Rollen
Im Rahmen der Verarbeitung personenbezogener Daten ist es erforderlich, die Rollen des Verantwortlichen und gegebenenfalls des Auftragsverarbeiters korrekt zu identifizieren. Besonders in Bezug auf Versicherungsfragen sind die Verantwortlichkeiten zu klären.
4. Tipp: Prinzipien der Erkennbarkeit, Nicht-Ausschließlichkeit und algorithmischen Nichtdiskriminierung
4.1 Erkennbarkeitsprinzip
Betroffene haben das Recht, über automatisierte Entscheidungen informiert zu werden und Details über die verwendete Logik zu erhalten.
4.2 Nicht-Ausschließlichkeitsprinzip
Menschliche Kontrolle über automatisierte Entscheidungen ist essenziell, um diese zu überwachen oder zu verweigern (sog. Human in the Loop).
4.3 Prinzip der algorithmischen Nichtdiskriminierung
Verantwortliche müssen zuverlässige KI-Systeme verwenden, die Fehler reduzieren, Technologie überprüfen und Ungenauigkeiten in den Daten korrigieren, um das Risiko diskriminierender Auswirkungen auf Personen zu minimieren.
5. Tipp: Datenschutz-Folgenabschätzung (DSFA)
Bei Verarbeitungen mit neuen Technologien oder bei hohem Risiko für die Rechte von Personen muss der Verantwortliche eine DSFA durchführen und die Aufsichtsbehörde konsultieren, falls die vorgesehenen Maßnahmen nicht ausreichend sind oder das Restrisiko hoch bleibt. Ein zentralisiertes System für Dienste mit KI erfordert eine DSFA gemäß Art. 9 DSGVO – ohne diese ist der Einsatz des Systems unzulässig.
Risiken in einer DSFA umfassen Datenqualitätsverluste, Widerruf der Einwilligung als Grundlage, Neuidentifizierung von Personen über verschiedene Systeme hinweg und die Nutzung von Daten für unpassende Zwecke.
6. Tipp: Datenqualität
In der Entwicklung nationaler KI-Systeme sind Genauigkeit, Korrektheit und Aktualität der Daten entscheidend. Besonders bei Daten, die für Zwecke erhoben und nachträglich geändert wurden, ist diese Präzision von enormer Bedeutung. Ungenaue oder nicht aktualisierte Daten beeinträchtigen die Effektivität und Richtigkeit der unterstützenden Dienste für KI-Systeme.
7. Tipp: Integrität und Vertraulichkeit
Die DSGVO verlangt eine konkrete Bewertung der Risiken für Betroffene, die aus einer Verarbeitung entstehen könnten. Hauptbedenken umfassen die Verwendung von deterministischen und stochastischen Analysemodellen in Verbindung mit maschinellem Lernen, undurchsichtige Algorithmusentwicklung sowie Fehler und Verzerrungen (sogenannte Bias). Voreingenommenheit können angelernt und sogar verstärkt werden, wie z.B. im Recruiting zur Personalauswahl oder bei der Kreditvergabe.
Es ist notwendig, Details zur Verarbeitung anzugeben, einschließlich der verwendeten Algorithmen, Trainingsmethoden, Analysen zur Vorurteilsfeststellung sowie getroffener Korrekturmaßnahmen. Diese Maßnahmen müssen konkret sein und in einem technischen Dokument festgehalten werden, um die Risiken zu mindern, die mit der Anwendung von KI-Techniken und automatisierten Entscheidungen verbunden sind. Vertraue Daten nicht blind, sondern hinterfrage sie immer.
8. Tipp: Korrektheit und Transparenz
Die OECD verabschiedete am 22. Mai 2019 die erste zwischenstaatliche Standardempfehlung für KI. Diese legt fünf Prinzipien für verantwortungsvolle KI fest: inklusives Wachstum, menschenzentrierte Werte, Transparenz, Robustheit und Rechenschaftspflicht.
Für eine vertrauenswürdige KI sind klare Rechtsgrundlagen, Konsultation von Interessenvertretern in Datenschutz-Folgenabschätzungen (DSFA) und verständliche Informationen für Betroffene entscheidend. Wichtige Punkte sind die Art der Verarbeitung, Verantwortlichkeiten für KI-Dienste, die Vorteile der Technologie und klare Methoden zur Ausübung von Betroffenenrechten.
Es ist essenziell, dass KI-basierte Dienstleistungen nur auf explizite Anforderung aktiviert und ihre Rolle im Umgang mit KI definiert wird.
9. Tipp: Menschliche Aufsicht
Menschliche Aufsicht ist entscheidend bei zunehmendem Einsatz von KI, um die Rechte und Freiheiten der Menschen zu schützen. Automatisierte Entscheidungen sollten nicht ausschließlich Maschinen überlassen werden.
Während der Trainingsphase von Algorithmen besteht die Herausforderung darin, dass Vorhersagen auf der Qualität und Genauigkeit der zugrunde liegenden Daten beruhen. Ungenauigkeiten oder nicht aktualisierte Informationen können zu fehlerhaften Vorhersagen führen.
Die Datenschutz-Folgenabschätzung (DSFA) ist entscheidend, um diese Risiken zu mindern und diesen Prozess sorgfältig zu beschreiben.
10. Tipp: Ethik und Transparenz
Vertrauenswürdige KI erfordert eine ethische und transparente Herangehensweise. Die Entwicklung von KI muss ständig ethische Aspekte berücksichtigen, besonders wenn es um sensible Daten wie die Gesundheit einer ganzen Bevölkerung geht.
Fazit
Einsatz von KI-Lösungen erfordert viele persönliche Daten, um den Algorithmus mit ausreichendem Material zu versorgen, damit er effektiv und genau arbeiten kann. Es ist ratsam, Anbieter zu wählen, die vor der Markteinführung ihrer Produkte eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Es ist noch streitig, welche KI-Systeme verboten werden sollen. Die High-Level Expert Group on Artificial Intelligence (AI HLEG) hat im Juli 2020 eine Bewertungsliste für vertrauenswürdige KI vorgestellt, die als Leitfaden dient, um ethische AI Prinzipien in die Praxis umzusetzen. Für KI-basierte Geschäftsmodelle ist die zentrale Bedeutung Resilienz durch hohe Qualitätsmaßstäbe.
FAQs
Q1. Was regelt die KI-Verordnung der EU?
Die EU einigte sich in der Nacht von Freitag auf Samstag auf den Rechtsrahmen für Künstliche Intelligenz. Die KI-Verordnung (KI-VO) sieht vor, dass große Modelle wie Chat GPT strikte Anforderungen an Transparenz erfüllen. Verstöße werden für Unternehmen teuer. Betreffend Strafverfolgung ist der Einsatz der KI für biometrische Verfahren zur Gesichtserkennung im öffentlichen Raum erlaubt, allerdings nicht für die reine Überwachung. KI-Anwendungen werden in Risikokategorien eingeordnet, u.a. als „hochriskant“, wenn ein erhebliche Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellt. Höheres Risiko bedeutet höhere Anforderungen.
Q2. Wie beeinflusst künstliche Intelligenz den Datenschutz?
Die KO-VO verweist an mehreren Stellen auf die DSGVO. Art. 48 KI-VO verlangt eine EU-Konformitätserklärung, dass KI den DSGVO-Vorgaben entspricht. Weiters sieht der Vorschlag in Art. 53 und 54 ff. KI-VO vor, dass KI-Reallabore (sog. Sandboxing) von zuständigen Behörden eingerichtet werden, die eine kontrollierte Umgebung zwecks Entwicklung und Validierung innovativer KI-Systeme bieten und regelt zusätzliche Anforderungen für die Verarbeitung personenbezogener Daten.
Q3. Für welche KI-Modelle gelten Ausnahmen gemäß KI-VO ?
Eine Ausnahme gibt es für frei verfügbare Open Source Modelle, solange diese nicht als „hochriskant“ gelten oder mit verbotener bzw. manipulativer Technologie verbunden sind.
Q4. Wie können Unternehmen den Datenschutz bei der Verwendung von KI gewährleisten?
Unternehmen können das Zusammenwirken von KI und Datenschutz nutzen und Anforderungen der KI-VO in bestehende Prozesse einbinden, in dem das Verzeichnis von Verarbeitungstätigkeiten (VVZ) um einen Kapitelpunkt „technische Dokumentation nach KI-VO“ erweitert wird. Ebenso übertragbar sind die Methoden der Datenschutz-Folgenabschätzung auf die Risikoanalyse der KI-VO.
Q5. Wann tritt die KI-Verordnung in Kraft?
Das EU-Regelwerk für Künstliche Intelligenz würde in weiten Teilen nach zwei Jahren in Kraft treten.
Hallo, ich würde gerne wissen was man bei neuronalen Netzen in Bezug auf den Datenschutz beachten sollte? Danke im Voraus
Hi Vanessa, um die Datenschutzlage zuverlässig zu beurteilen, ist es unerlässlich, grundlegendes Wissen über neuronale Netzwerke zu besitzen. Normalerweise speichern neuronale Netze keine Daten im Netz, es sei denn, sie sind ausdrücklich im Lernmodus. Es ist wichtig, den Datenschutz sowohl im Lernmodus als auch im „Standardmodus“ neuronaler Netze unterschiedlich zu betrachten und vor Einsatz eine Risikoanalyse durchzuführen.