Zusammenspiel KI und Datenschutz

Der Einsatz von (auch eigens) entwickelten KI-Systemen in Unternehmen nimmt immer mehr zu. Gleichzeitig entwickelt sich die Gesetzgebung weiter. Sei es durch die unlängst in Kraft getretene KI-Verordnung, wie auch die altbekannte Datenschutz-Grundverordnung, wenn es um personenbezogene Daten in KI-Systemen geht. Die neusten Entwicklungen im Zusammenspiel von KI und Datenschutz haben wir im Folgenden zusammengefasst.

Was ist ein KI-System?

Allein diese Frage lässt sich nicht leicht beantworten. Eine Definition findet sich in Artikel 3 der KI-Verordnung. Da die Definition allein trotzdem nicht selbsterklärend ist, hat die Europäische Kommission mit Guidelines versucht, nachzuhelfen. Diese sind nicht verbindlich, denn maßgeblich ist (erst) die Rechtsprechung (EuGH). Trotzdem lassen sich 7 Merkmale identifizieren:

  1. Maschinenbasiertes System: Ein KI-System besteht aus Hardware- und Softwarekomponenten, die Modelltraining, Datenverarbeitung und automatisierte Entscheidungsfindung ermöglichen.
  2. Autonomie: Das System kann mit unterschiedlichen Autonomiestufen arbeiten und agiert teilweise unabhängig von menschlicher Beteiligung.
  3. Adaptivität: Nach der Bereitstellung kann das System selbstlernende Fähigkeiten zeigen und sein Verhalten anpassen.
  4. Ziele des KI-Systems: KI-Systeme arbeiten nach expliziten oder impliziten Zielen, die klar definiert oder aus dem Verhalten des Systems abgeleitet sein können.
  5. Schlussfolgerung zur Generierung von Ausgaben: Das System muss in der Lage sein, aus Eingaben Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen abzuleiten.
  6. Ausgaben, die physische oder virtuelle Umgebungen beeinflussen können: Ein zentrales Merkmal von KI-Systemen ist die Fähigkeit, physische oder virtuelle Umgebungen zu beeinflussen.
  7. Interaktion mit der Umgebung: Das System muss seine Umgebung beeinflussen können, sei es physisch (z.B. Roboterarm) oder virtuell (z.B. digitale Räume, Datenflüsse).

Datenschutz bei KI-Systemen

Der Europäische Datenschutzausschuss (EDSA) hat in einer Stellungnahme die Herausforderungen des Datenschutzes bei KI-Modellen beleuchtet. Anders als bei vorherigen Einschätzungen (z.B. der Hamburger Datenschutzbehörde) wird grundsätzlich davon ausgegangen, dass es sich bei personenbezogenen Daten im KI-Modell nicht nur um Vektoren oder Token handelt. Denn in der Phase des Trainings werden personenbezogene Daten in das Modell „eingesogen“. Auch ein Output kann dann wiederum personenbezogene Daten (in klarer Form) enthalten. Somit gilt es, zwei Punkte beim Zusammenspiel aus KI und Datenschutz zu beachten:

  • Anonymität: Ein KI-Modell gilt als anonym, wenn die Wahrscheinlichkeit einer direkten Extraktion personenbezogener Daten (pbD) und pbD im Output als gering angesehen werden kann.
  • Prüfung der Anonymität: Sie umfasst die Auswahl der Quellen, Datenvorbereitung und -minimierung, methodologische Entscheidungen beim Training (z.B. differential privacy), Maßnahmen bezüglich der Modellausgaben, KI-Modell-Analyse (Richtlinien, Audits, etc.), KI-Modell-Testing und Resilienz gegenüber Angriffen sowie umfassende Dokumentation.

Berechtigtes Interesse als Rechtsgrundlage im Datenschutz

Ferner wurde eine Konkretisierung vorgenommen, ob und wann das berechtigte Interesse als Rechtsgrundlage für die Verarbeitung personenbezogener Daten in KI-Modellen herangezogen werden kann. Die kurze Antwort ist ja. Nichtsdestotrotz ist es immer eine Einzelfallbetrachtung, die dem bekannten Dreiklang bei der Prüfung des berechtigten Interesses folgt:

  1. Legitime Ziele: Die Verarbeitung muss legitime Ziele verfolgen.
  2. Erforderlichkeit: Die Verarbeitung muss zur Zielerreichung erforderlich sein.
  3. Interessenabwägung: Eine sorgfältige Abwägung der Interessen der betroffenen Personen und des Verantwortlichen muss durchgeführt werden.

Allgemeine Datenschutz-Tipps für Unternehmen bei Verwendung von KI

Neben den spezifischen Anforderungen für KI-Systeme gibt es allgemeine Datenschutzmaßnahmen, die Unternehmen beachten sollten:

  • Datenschutz-Folgenabschätzung (DSFA): Führen Sie regelmäßig DSFAs durch, um potenzielle Risiken für die Rechte und Freiheiten der betroffenen Personen zu identifizieren und zu minimieren.
  • Richtlinien: Implementieren Sie geeignete Richtlinien zur Nutzung und gegebenenfalls Entwicklung von KI in Ihrem Unternehmen.
  • Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig in Datenschutzfragen und im Hinblick auf die KI-Verordnung und sensibilisieren Sie sie für den verantwortungsvollen Umgang mit personenbezogenen Daten.
  • Dokumentation: Führen Sie eine umfassende Dokumentation aller Datenschutzmaßnahmen und -prozesse, um die Einhaltung der DSGVO nachweisen zu können.

Link zum EDSA-Paper: edpb_opinion_202428_ai-models_en.pdf

Link zum Bereich „KI-Beratung“ bei der Rewion: KI-Beratung – Rewion IT-Beratung & Services

Können wir Ihnen helfen?

Können wir Ihnen helfen?

Wir helfen Ihnen gerne! Schreiben Sie uns an [email protected] oder buchen Sie einen Termin mit unseren Experten.
David Morva
Termin vereinbaren

Beitrag teilen:

Mehr Informationen, einen Austausch oder konkrete Unterstützung im Projekt?

Anfrage senden

Weitere interessante Beiträge

DeepSeek und der Datenschutz
KI-Strategie Workshop - 2 Tage
360° KI-Workshop für CIOs: KI-Strategie, KI-Governance und KI-Richtlinie in 2 Tagen erstellen
Die Notwendigkeit einer KI-Strategie durch disruptive Innovationen
Die Notwendigkeit einer KI-Strategie durch disruptive Innovationen
Datenschutz M365
Datenschutz in Microsoft 365: So geht’s
Nach oben scrollen