Die Integration von Künstlicher Intelligenz (KI) in zahlreiche Lebensbereiche bringt immense Vorteile mit sich, stellt aber auch erhebliche Herausforderungen im Bereich des Datenschutzrechts dar. Insbesondere die Datenschutz-Grundverordnung (DSGVO) spielt eine entscheidende Rolle bei der rechtlichen Regulierung von KI-Anwendungen.
Mein Beitrag versucht verständlich und nicht zu juristisch – übrigens im Rahmen unserer Reihe zu den rechtlichen Grundlagen bei Entwicklung und Einsatz von KI – die wesentlichen Anforderungen und praktischen Lösungen, um KI datenschutzkonform zu implementieren und zu betreiben.
Einführung
KI-Systeme sind darauf ausgelegt, ihre Umgebung durch Datenerfassung wahrzunehmen, diese Daten zu interpretieren und daraus Schlüsse zu ziehen, um Entscheidungen zu treffen und vorgegebene Ziele zu erreichen. Dabei kommen verschiedene Ansätze und Techniken wie maschinelles Lernen zum Einsatz, die auf die Verarbeitung großer Datenmengen angewiesen sind.
Vorweg stellt sich die Frage für den ein oder anderen: warum das alles? Warum als Entwickler oder KI-Startup Zeit und Geld schon zu Beginn in Datenschutz-Compliance stecken? Als Erstes wird gerne die Bußgeld-Keule herausgeholt, mit dem Verweis auf die immensen Strafzahlungen, wenn man erwischt wird. Schlimmer sollte allerdings etwas anderes sein: Bei einem rechtswidrig erstellten oder weiter verwendeten Datenbestand droht die Untersagung der Tätigkeit. Das ist kein fiktives Szenario, ChatGPT hatte es in Italien bereits kennengelernt.
Ein Vorstand riskiert den Bestand des gesamten Geschäftsmodells, wenn nicht zu Beginn ordentliche Datenschutz-Compliance betrieben wird – und haftet für die Konsequenzen gegenüber seiner Gesellschaft persönlich.
Datenschutzrechtliche Fragen sind dabei ein bedeutender Aspekt – aber eben nur ein Teilaspekt! Wer KI-Systeme entwickeln möchte, die auch in freier Wildbahn eine gewisse Relevanz oder gar Markttauglichkeit haben, der muss sich mit einer Vielzahl von Anforderungen auseinandersetzen.
Datenschutzrecht und KI
Spannungsverhältnis zwischen KI und DSGVO-Grundsätzen
Die Integration von Künstlicher Intelligenz (KI) in diverse Anwendungsbereiche stellt eine erhebliche Herausforderung für den Datenschutz dar. Die Hauptprobleme liegen dabei in der Natur der KI selbst und den spezifischen Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Eines der Hauptprobleme ist die Menge an Daten, die für das Training und die Verbesserung von KI-Systemen erforderlich ist. Diese Datenmenge steht im Widerspruch zu den Grundsätzen der DSGVO, die Datenminimierung und Zweckbindung fordert. KI-Systeme benötigen große Datenmengen, um genaue und zuverlässige Ergebnisse zu erzielen, was häufig nicht mit der Anforderung vereinbar ist, nur die unbedingt erforderlichen Daten zu verarbeiten und diese nur für festgelegte Zwecke zu verwenden. Das Prinzip der Zweckbindung kann daher schnell problematisch werden, da KI-Systeme oft eigenständig neue Anwendungsmöglichkeiten entdecken und entwickeln.
Hinzu kommt die Problematik der Transparenz und Nachvollziehbarkeit von KI-Entscheidungen: Viele KI-Systeme, insbesondere solche, die auf maschinellem Lernen basieren, sind „Black Boxes“. Das heißt, es ist schwer nachvollziehbar, wie die Algorithmen zu ihren Entscheidungen kommen. Dies ist problematisch, da die DSGVO verlangt, dass die Betroffenen darüber informiert werden, wie ihre Daten verarbeitet werden, und dass sie das Recht haben, Entscheidungen, die auf einer automatisierten Verarbeitung beruhen, zu verstehen und anzufechten.
Die Rechtsgrundlage der Datenverarbeitung muss im Auge behalten werden: Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur unter bestimmten Voraussetzungen, wie der Einwilligung der betroffenen Person oder der Notwendigkeit zur Vertragserfüllung. Im Kontext von KI-Systemen ist es oft schwierig, eine klare und freiwillige Einwilligung der Nutzer zu erhalten, speziell wenn die Datenverarbeitung komplex und intransparent ist.
Ein kritischer Punkt ist die Wahrung der Betroffenenrechte, da die DSGVO den Betroffenen umfassende Rechte einräumt, darunter das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten. KI-Systeme müssen in der Lage sein, diese Rechte effektiv umzusetzen, was aufgrund der oft großen und verteilten Datensätze eine große Herausforderung darstellt.
Verantwortlichkeit und Haftung sind ebenfalls problematisch beim Einsatz von KI-Systemen. Es muss klar geregelt werden, wer für die Datenverarbeitung verantwortlich ist und welche Pflichten und Verantwortlichkeiten die verschiedenen Akteure haben. Diese Fragen werden noch komplexer, wenn mehrere Parteien an der Entwicklung und dem Betrieb von KI-Systemen beteiligt sind.
Schließlich ist die Gewährleistung der Datensicherheit eine wesentliche Anforderung. KI-Systeme müssen vor unberechtigtem Zugriff, Verlust oder Missbrauch der Daten geschützt werden, was hohe Anforderungen an technische und organisatorische Maßnahmen stellt.
Wesentliche Anforderungen der DSGVO
Personenbezogene Daten
Die DSGVO gilt für alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Dies umfasst nicht nur offensichtliche Daten wie Namen und Adressen, sondern auch indirekte Identifikatoren. In der Praxis bedeutet dies, dass viele der von KI-Systemen verarbeiteten Daten als personenbezogen gelten und somit den strengen Anforderungen der DSGVO unterliegen.
Verantwortlichkeit und vertragliche Regelungen
Die Einbindung mehrerer Stellen in die Datenverarbeitung erfordert klare vertragliche Regelungen zur Verantwortlichkeit. Dies betrifft insbesondere die Unterscheidung zwischen Verantwortlichen und Auftragsverarbeitern sowie die Festlegung gemeinsamer Verantwortlichkeiten bei der Zusammenarbeit mehrerer Parteien.
Rechtsgrundlagen für die Datenverarbeitung
Für die Verarbeitung personenbezogener Daten durch KI-Systeme kommen verschiedene Rechtsgrundlagen in Betracht, darunter die Einwilligung der Betroffenen und die Wahrung berechtigter Interessen. Insbesondere bei umfangreichen Datenerhebungen und dem Training von KI-Systemen wird oft auf berechtigte Interessen zurückgegriffen.
Technische und organisatorische Maßnahmen (TOM) bei KI
Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass alle Unternehmen, die personenbezogene Daten verarbeiten, geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Für KI-Systeme ist dies besonders wichtig, da sie häufig auf umfangreichen Datenanalysen basieren und komplexe Verarbeitungsprozesse durchführen, die potenziell sensible Informationen enthalten können.
Die Umsetzung technischer und organisatorischer Maßnahmen ist entscheidend für die Gewährleistung des Datenschutzes bei der Entwicklung und Nutzung von KI-Systemen. Durch die Integration dieser Maßnahmen in den Entwicklungsprozess können KI-Entwickler die Anforderungen der DSGVO erfüllen und das Vertrauen der Nutzer in KI-Technologien stärken.
TOM? Technische und organisatorische Maßnahmen (TOMs) im Sinne des Datenschutzrechts sind wesentliche Instrumente zur Gewährleistung der Sicherheit und Integrität personenbezogener Daten. Sie umfassen alle physischen, technischen und administrativen Schutzmaßnahmen, die darauf abzielen, personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Missbrauch zu schützen. Diese Maßnahmen spielen eine zentrale Rolle bei der Entwicklung und dem Betrieb von Künstlicher Intelligenz (KI), da KI-Systeme oft große Mengen an personenbezogenen Daten verarbeiten.
Um die Anforderungen der DSGVO zu erfüllen, müssen technische und organisatorische Maßnahmen umgesetzt werden. Dies erfordert eine Kombination aus technischem Fachwissen, organisatorischem Weitblick und einem klaren Verständnis der rechtlichen Anforderungen an den Datenschutz.
TOM bei KI
Anonymisierung und Pseudonymisierung
Diese Techniken verringern das Risiko der Identifizierung der betroffenen Personen und tragen zur Einhaltung der Datenschutzvorschriften bei. Die Identifizierbarkeit von Daten kann durch Pseudonymisierung verringert werden, so dass personenbezogene Daten ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können.
Datensicherheit
Maßnahmen wie Verschlüsselung und Zugriffskontrolle schützen die Daten vor unbefugtem Zugriff und Verlust. Die Daten sollten sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen.
Privacy by Design und Privacy by Default:
Der Datenschutz sollte bereits in der Entwicklungsphase von KI-Systemen berücksichtigt werden, um eine datenschutzfreundliche Gestaltung von Anfang an sicherzustellen. Regelmäßige Sicherheitsüberprüfungen und Audits sollten durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben. Und natürlich sollten nur berechtigte Personen Zugriff auf die Daten und die Systeme, die sie verarbeiten, haben.
Datenschutzrichtlinien und -schulungen
Mitarbeiter sollten regelmäßig über Datenschutzrichtlinien informiert und geschult werden, um ein Bewusstsein für den sicheren Umgang mit Daten zu schaffen.
Datenschutz-Folgenabschätzung (DSFA)
Eine DSFA ist erforderlich, wenn eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies ist bei vielen KI-Anwendungen der Fall, da sie umfangreiche und sensible Daten verarbeiten.
Vertragsmanagement
Klare vertragliche Regelungen zur Datenverarbeitung durch Dritte, wie Cloud-Dienste oder externe Entwickler, sind erforderlich. Verträge sollten Verantwortlichkeiten und Sicherheitsanforderungen eindeutig festlegen.
Datenschutz-Folgenabschätzung (DSFA)?
Die Datenschutz-Folgenabschätzung (DSFA) ist ein – wenn nicht DAS – zentrales Instrument des Datenschutzrechts, um die Risiken einer Datenverarbeitung für die Rechte und Freiheiten betroffener Personen systematisch zu bewerten und geeignete Maßnahmen zur Risikominimierung zu entwickeln. Besonders bei der Nutzung von Künstlicher Intelligenz (KI) ist eine DSFA oft erforderlich, da KI-Systeme häufig große Mengen personenbezogener Daten verarbeiten und autonome Entscheidungen treffen, die erhebliche Auswirkungen auf Einzelpersonen haben können.
Die DSFA ist ein Prozess, der vor der Inbetriebnahme einer Datenverarbeitung durchgeführt wird, um die potenziellen Risiken zu identifizieren und zu bewerten, die durch die Verarbeitung personenbezogener Daten entstehen. Dabei werden sowohl die Art und der Umfang der Datenverarbeitung als auch deren Umstände und Zwecke betrachtet. Ziel ist es, Risiken frühzeitig zu erkennen und Maßnahmen zur Risikominimierung zu ergreifen. Dies umfasst technische und organisatorische Maßnahmen, um den Datenschutz zu gewährleisten und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen.
Für KI-Entwickler bedeutet die Durchführung einer DSFA, dass sie bereits in der Entwicklungsphase ihrer Systeme den Datenschutz berücksichtigen müssen. Dies erfordert eine enge Zusammenarbeit zwischen Datenschutzexperten und den Entwicklern. Praktische Maßnahmen umfassen die frühzeitige Integration von Datenschutzmechanismen (Privacy by Design), die regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen sowie die transparente Kommunikation mit den Nutzern über die Datenverarbeitungsprozesse.
Checkliste: Durchführung einer DSFA bei KI
Wenn eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, aber nicht durchgeführt wird, kann dies verschiedene rechtliche und finanzielle Folgen haben.
Eine der schwerwiegendsten Konsequenzen ist natürlich die Verhängung von Bußgeldern. Die DSGVO sieht vor, dass Verstöße gegen die Vorschriften zur Durchführung einer DSFA mit erheblichen Geldbußen geahndet werden können. Die Bußgelder können bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens betragen, je nachdem, welcher Betrag höher ist. Die Datenschutzaufsichtsbehörden haben auch das Recht, Maßnahmen zu ergreifen, wenn sie feststellen, dass eine DSFA erforderlich gewesen wäre, aber nicht durchgeführt wurde. Solche Maßnahmen können Anordnungen zur Einstellung der Datenverarbeitung, zur Löschung von Daten oder zur Umsetzung spezifischer Datenschutzmaßnahmen umfassen – hier liegt ein erhebliches Risiko für das gesamte Geschäftsmodell eines KI-Startups.
Und zur Erinnerung: Betroffene Personen haben das Recht, Schadenersatz zu verlangen, wenn ihnen durch eine unrechtmäßige Datenverarbeitung ein Schaden entstanden ist. Wurde eine DSFA nicht durchgeführt und hat dies zu einem Datenverlust oder einer anderen Beeinträchtigung der Rechte der Betroffenen geführt, kann das Unternehmen haftbar gemacht werden. Alles in allem Grund genug für eine kleine DSFA-Checkliste:
- Systematische Beschreibung der Verarbeitungstätigkeit: Eine DSFA beginnt mit einer detaillierten Beschreibung der geplanten Datenverarbeitung. Für KI-Systeme bedeutet dies, dass der gesamte Prozess der Datenverarbeitung von der Datenerhebung über die Datenanalyse bis hin zur Entscheidungsfindung durch den Algorithmus dokumentiert werden muss. Dabei müssen alle relevanten Aspekte der Datenverarbeitung beschrieben werden, wie die Art der erhobenen Daten, die Methoden der Datenverarbeitung und die eingesetzten Technologien.
- Bewertung der Notwendigkeit einer DSFA: Die DSGVO schreibt eine DSFA vor, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Dies ist bei vielen KI-Anwendungen der Fall, insbesondere wenn sie auf großen Datenmengen basieren, sensible Daten verarbeiten oder automatisierte Entscheidungen treffen. Verantwortliche sollten daher stets prüfen, ob ihre KI-Anwendung eine DSFA erfordert, und dies dokumentieren.
- Bewertung der Risiken: In diesem Schritt werden mögliche Risiken der Datenverarbeitung identifiziert und bewertet. Typische Risiken bei KI-Systemen sind u.a. Diskriminierung, Verletzung der Privatsphäre, Kontrollverlust über personenbezogene Daten und Intransparenz von Entscheidungsprozessen (sog. Black-Box-Problematik). Die Risiken werden anhand der Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes bewertet. Diese Bewertung sollte möglichst konkret und nachvollziehbar dokumentiert werden.
- Maßnahmen zur Risikominimierung: Auf der Grundlage der Risikobewertung werden geeignete Maßnahmen zur Risikominimierung entwickelt. Diese können technischer Natur sein, wie z.B. die Implementierung von Verschlüsselung und Anonymisierung, oder organisatorischer Natur, wie z.B. die Schulung von Mitarbeitern und die Einführung klarer Datenschutzrichtlinien. Bei KI-Systemen sind darüber hinaus spezifische Maßnahmen erforderlich, um die Transparenz und Nachvollziehbarkeit der Algorithmen zu verbessern, z.B. durch die Verwendung von erklärbaren KI-Modellen oder die Implementierung von Kontrollmechanismen, die die Entscheidungen der KI überwachen.
- Dokumentation und Berichterstattung: Die Ergebnisse der DSFA und die getroffenen Maßnahmen müssen umfassend dokumentiert werden. Diese Dokumentation dient als Nachweis der Einhaltung der DSGVO und kann bei Bedarf den Aufsichtsbehörden vorgelegt werden. Der DSFA-Bericht sollte alle relevanten Informationen enthalten, einschließlich der Beschreibung der Datenverarbeitung, der Risikobewertung und der Maßnahmen zur Risikominimierung. Ein Teil des Berichts kann auch veröffentlicht werden, um die Transparenz gegenüber den betroffenen Personen zu erhöhen.
IT-Sicherheitsrecht & Sicherheitsvorfall
Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!
Datenschutz und Rechte der Betroffenen bei KI
Die DSGVO gewährt Betroffenen umfangreiche Rechte, darunter das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten. KI-Systeme müssen so gestaltet sein, dass diese Rechte effizient erfüllt werden können. Hierzu gehört auch die Möglichkeit, automatisierte Entscheidungen anzufechten, die auf KI-Algorithmen basieren. Und dann gibt es da noch ein kniffliges Problem.
Die aus meiner Sicht spannendste Frage liegt derzeit im Personenbezug verborgen: Wenn personenbezogene Daten verwendet werden, um ein LLM zu trainieren – sind dann später in dessen „Datenbank“ personenbezogene Daten vorhanden? Man könnte sich auf den Standpunkt stellen, dass die letztlich trainierten. und gespeicherten Gewichtungen lediglich Zahlen sind, die am Ende zu einer reinen Reproduktion (und damit erneuten Generierung) personenbezogener Daten führen. Man könnte aber auch davon ausgehen, dass nur weil die personenbezogenen Daten nicht unmittelbar gespeichert sind, diese aufgrund der Fähigkeit zur Reproduktion gleichwohl als solche gespeichert sind. Hier wird noch viel Streit zu führen sein.
Die Berücksichtigung der Rechte der Betroffenen bei der Entwicklung von KI und der Nutzung von Datenpools erfordert im Übrigen natürlich eine sorgfältige Planung und die Umsetzung geeigneter technischer und organisatorischer Maßnahmen: Entwickler müssen transparente und erklärbare KI-Modelle schaffen, Mechanismen zur Wahrung der Auskunfts-, Berichtigungs- und Löschungsrechte implementieren und sicherstellen, dass die Grundsätze der Datensparsamkeit und der Zweckbindung eingehalten werden. Ferner müssen sie das Risiko einer Reidentifizierung minimieren und sicherstellen, dass automatisierte Entscheidungen fair und nicht diskriminierend sind.
Einzelne Rechte des Betroffenen im Detail
Transparenz und Erklärbarkeit
Eines der Hauptprobleme besteht darin, dass KI-Systeme, insbesondere solche, die auf maschinellem Lernen basieren, häufig als „Black Boxes“ agieren. Dies bedeutet, dass die internen Entscheidungsprozesse der KI für Außenstehende, einschließlich der betroffenen Personen, nur schwer nachvollziehbar sind. Die DSGVO verlangt jedoch, dass die Betroffenen verständliche Informationen über die Verarbeitung ihrer Daten erhalten. Dazu gehört auch eine Erklärung, wie und warum bestimmte Entscheidungen getroffen werden. Mangelnde Transparenz erschwert es den Betroffenen, ihre Auskunfts- und Widerspruchsrechte wirksam wahrzunehmen.
Recht auf Auskunft und Löschung
Nach der DSGVO haben betroffene Personen das Recht, zu erfahren, welche Daten über sie gespeichert sind, und unter bestimmten Umständen die Löschung dieser Daten zu verlangen. In der Praxis können diese Rechte bei KI-Systemen schwierig umzusetzen sein, insbesondere wenn große und komplexe Datenpools verwendet werden. Die Daten sind häufig verteilt und in unterschiedlichen Formaten gespeichert, was die Identifizierung und Löschung einzelner Datensätze erschwert. Darüber hinaus kann das Löschen einzelner Daten das gesamte KI-Modell beeinträchtigen, da diese Daten möglicherweise zum Training des Modells verwendet wurden.
Recht auf Berichtigung
Das Recht auf Berichtigung ermöglicht es den Betroffenen, unrichtige Daten korrigieren zu lassen. Dies kann bei KI-Systemen besonders problematisch sein, da die Modelle ständig aus den Daten lernen und auf dieser Grundlage Entscheidungen treffen. Eine nachträgliche Änderung der Daten kann das Modell beeinträchtigen oder sogar verfälschen, was wiederum die Genauigkeit und Zuverlässigkeit der KI beeinträchtigen kann.
Datenminimierung und Zweckbindung
Die DSGVO verlangt, dass nur die Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind (Datensparsamkeit), und dass diese Daten nur für den ursprünglichen Zweck verwendet werden (Zweckbindung). KI-Systeme benötigen jedoch oft große Datenmengen, um genaue und leistungsfähige Modelle zu entwickeln. Diese Daten werden häufig für verschiedene Zwecke verwendet, was die Einhaltung des Grundsatzes der Zweckbindung erschwert. Zudem widerspricht der Bedarf an großen Datenmengen dem Grundsatz der Datensparsamkeit.
Automatisierte Entscheidungen und Profiling
Die DSGVO schützt die Rechte der Betroffenen gegen Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen und rechtliche Folgen nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen. KI-Systeme treffen jedoch häufig solche automatisierten Entscheidungen. Die Betroffenen haben das Recht, eine menschliche Überprüfung der Entscheidung zu verlangen, was jedoch die Effizienz und Nützlichkeit von KI-Systemen beeinträchtigen kann. Außerdem müssen die Algorithmen so gestaltet sein, dass sie die Kriterien für faire und diskriminierungsfreie Entscheidungen erfüllen, was technisch anspruchsvoll sein kann.
Anonymisierung und Re-Identifikation
Eine Möglichkeit, Datenschutzprobleme zu mildern, ist die Anonymisierung der Daten. Allerdings ist es oft schwierig, eine echte Anonymisierung zu gewährleisten, insbesondere bei großen Datenpools, bei denen es aufgrund der Vielzahl der Datenpunkte möglich sein kann, einzelne Personen zu identifizieren. Dies stellt ein Risiko für die betroffenen Personen dar und erschwert die vollständige Erfüllung der Anforderungen der DSGVO.
Praxishinweise zur Umsetzung
Also was gibt es pauschal zu sagen, wenn man eine KI-Lösung („KI-System“) entwickeln möchte? Natürlich ist die Frühzeitige Planung geboten: Datenschutzmaßnahmen müssen bereits in der Planungs- und Entwicklungsphase von KI-Systemen berücksichtigt werden. Alle Datenschutzmaßnahmen und Überlegungen müssen zudem sorgfältig dokumentiert werden, um im Falle einer Überprüfung nachweisen zu können, dass die Anforderungen der DSGVO eingehalten wurden. Und es geht nicht anders: Die Dynamik von KI-Systemen erfordert eine kontinuierliche Überprüfung und Anpassung der Datenschutzmaßnahmen, um neuen Entwicklungen und potenziellen Risiken Rechnung zu tragen. Einmal für die Scham irgendwas machen und dann nur noch Entwickeln funktioniert einfach nicht und gefährdet, wie ein mangelhafter Datenschutz insgesamt, den Bestand der eigenen Arbeit.
Den Beginn machen aus meiner Sicht ausnahmslos Gedanken rund um die technischen und organisatorischen Maßnahmen. So gibt es dann auch für KI-Entwickler mehrere praktische Aspekte, die bei der Implementierung von technischen und organisatorischen Maßnahmen berücksichtigt werden müssen und damit prägen, worüber man nachzudenken hat, bevor man seine Lösung entwickelt:
- Design und Architektur: Datenschutz muss bereits in der Designphase eines KI-Systems integriert werden (Privacy by Design). Entwickler sollten sicherstellen, dass Datenschutzfunktionen wie Datenminimierung und Zweckbindung von Anfang an berücksichtigt werden.
- Datensicherheit und -integrität: KI-Systeme müssen so entwickelt werden, dass sie gegen Cyberangriffe und Datenlecks geschützt sind. Dies erfordert den Einsatz moderner Sicherheitsprotokolle und regelmäßige Sicherheitsupdates.
- Dokumentation und Transparenz: Entwickler sollten alle Datenschutzmaßnahmen und -prozesse dokumentieren. Dies umfasst die Erstellung und Pflege von Datenschutzdokumentationen, die den Nachweis der Einhaltung der DSGVO ermöglichen.
- Einwilligungsmanagement: Nutzer müssen klar und verständlich über die Verarbeitung ihrer Daten informiert und ihre Einwilligung muss eingeholt werden. Dies erfordert transparente und leicht zugängliche Einwilligungsprozesse.
- Datenzugriffsrechte: KI-Systeme sollten so gestaltet sein, dass Nutzer ihre Rechte auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit problemlos wahrnehmen können.
- Regelmäßige Überprüfungen und Audits: Datenschutzmaßnahmen müssen regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie weiterhin effektiv sind. Dies beinhaltet auch die Durchführung von regelmäßigen Datenschutz-Audits.
Ich habe die Datenschutzfolgenabschätzung oben bewusst in den Kontext der TOM eingefügt, systematisch gehört es für mich ohnehin zusammen – aber ebenso wie TOM muss die DSFA frühzeitig auf dem Schirm sein.
Datenschutz bei KI? … !
Ich hoffe, ich konnte ein wenig aufzeigen, dass Datenschutz zwar anspruchsvoll, aber machbar ist. Die Notwendigkeit liegt hoffentlich auf der Hand: Eine KI-Lösung, die von den Nutzern nicht akzeptiert wird, ist wertlos. Ohne gelebten und auch transparent kommunizierten Datenschutz ist aber kein Vertrauen der Nutzer zu erwarten.
Dass die Einhaltung datenschutzrechtlicher Anforderungen bei der Entwicklung und dem Betrieb von KI-Anwendungen eine komplexe Herausforderung darstellt, muss nicht schrecken: Durch eine frühzeitige und systematische Berücksichtigung der Vorgaben der DSGVO inklusive der Umsetzung geeigneter technischer und organisatorischer Maßnahmen können praktikable Lösungen gefunden werden.
Generell scheinen die größten datenschutzrechtlichen Herausforderungen bei der Entwicklung und dem Einsatz von KI die Vereinbarkeit mit den Grundsätzen der DSGVO, die Transparenz und Erklärbarkeit der Datenverarbeitung, die Sicherstellung einer gültigen Rechtsgrundlage, die Wahrung der Betroffenenrechte, die Klärung der Verantwortlichkeiten und die Gewährleistung der Datensicherheit zu sein. All dies ohne sorgfältige Planung und Umsetzung geeigneter Maßnahmen anzugehen, dürfte ebenso zum Scheitern verurteilt sein, wie das Thema Datenschutz „auf die lange Bank“ zu schieben und sich, wie bei Softwareprojekten gerne praktiziert, primär auf die Entwicklung zu konzentrieren.
Ich habe den Schwerpunkt bewusst auf die TOM gelegt – und auf die Datenschutz-Folgenabschätzung: Ich halte die DSFA für ein unverzichtbares Instrument, um die datenschutzrechtlichen Anforderungen bei der Entwicklung und dem Einsatz von KI-Systemen zu erfüllen. Sie hilft nicht nur, Risiken zu minimieren, sondern stärkt auch das Vertrauen der Nutzerinnen und Nutzer in die Technologie. Durch sorgfältige Planung und Dokumentation können KI-Entwickler sicherstellen, dass ihre Anwendungen den hohen Anforderungen der DSGVO genügen und gleichzeitig innovative und vertrauenswürdige Lösungen bieten. Allerdings wird sich eine nicht durchgeführte DSFA irgendwann rächen, da sie dokumentiert werden muss und von den Datenschutzbehörden überprüft werden kann. Es ist sinnvoll, zu Beginn etwas Zeit in TOM und DSFA zu investieren, diese Investition ist eine Investition in die Zukunft des KI-Startups und der KI-Lösung.
Es erscheinen weitere Beiträge zum Thema Entwicklung von KI – bisher erschienene Beiträge sind beispielsweise:
- FBI legt Kryptobetrüger mit gefälschtem Token herein: „Operation Token Mirrors“ - 15. Oktober 2024
- Agent Provocateur - 15. Oktober 2024
- Kündigungsbutton: Anforderungen an die Gestaltung des Kündigungsprozesses bei online abgeschlossenen Verträgen - 13. Oktober 2024