Die Integration von Künstlicher Intelligenz (KI) in geschäftliche Abläufe bietet unbestreitbare Vorteile: von der Optimierung interner Prozesse über ein verbessertes Verständnis der Kundenbedürfnisse bis hin zur Entwicklung innovativer Produkte. Jedoch bringt die Implementierung von KI auch datenschutzrechtliche Herausforderungen mit sich, die eine umsichtige KI-Compliance-Strategie erfordern.
Um diesen Herausforderungen begegnen zu können, ist es essentiell, dass Unternehmen gewisse Richtlinien beachten, um die Konformität ihrer KI-Anwendungen mit den Datenschutzgesetzen zu gewährleisten. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat hierfür eine praxisorientierte Checkliste veröffentlicht. Sie dient als Leitfaden zur Erfüllung der relevanten Datenschutzanforderungen.
Die Checkliste ist als Good-Practice-Ansatz konzipiert und unterstützt bei der Durchführung einer Soll-Ist-Analyse für KI-Compliance.
KI versus Datenschutz: Gleichgewicht finden
Die Verarbeitung personenbezogener Daten durch KI unterliegt den allgemeinen Datenschutzprinzipien der DSGVO. Dazu gehören die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz und Zweckbindung.
Unternehmen müssen deshalb die Verarbeitung personenbezogener Daten auf legitime Zwecke beschränken und nur die hierfür notwendigen Daten verarbeiten. Es ist außerdem wichtig, eine transparente Datenverarbeitung sicherzustellen, damit die betroffenen Personen über die Nutzung ihrer Daten informiert sind.
Sie wollen mehr über die Schnittstelle Datenschutz und KI, sowohl aus technischer Sicht als auch aus rechtlicher Sicht, wissen? Dann lesen Sie hierzu auch unseren Beitrag KI und die DSGVO.
Die Checkliste des BayLDA
Im Folgenden werden wir die wichtigsten Punkte der Checkliste des BayLDA darstellen, welche bei der Anwendung eines KI-Programms Berücksichtigung finden sollten:
1. Festlegung der Anwendungsart
Es sollte klar festgelegt und dokumentiert werden, welche Art von Anwendung mit der KI-Technologie realisiert werden soll. Zum Beispiel die Verwendung eines Sprachmodells zur Erstellung eines Chatbots für eine Bank.
2. Personenbezug des KI-Modells:
Wenn das KI-Modell personenbeziehbar ist, müssen die rechtlichen Grundlagen für die Verarbeitung geprüft und dokumentiert werden (z.B. Einwilligung der betroffenen Personen, Vertragserfüllung oder berechtigtes Interesse des Verantwortlichen). Darüber hinaus sollte geprüft und dokumentiert werden, ob das KI-Modell personenbezogene Daten an Dritte übermittelt, einschließlich Übermittlungen an Drittländer außerhalb der EU/des EWR. Wenn ja, müssen die rechtlichen Voraussetzungen für den Transfer gemäß den Datenschutzbestimmungen eingehalten werden. Zum Beispiel durch Abschluss von Standardvertragsklauseln oder Vorliegen einer Angemessenheitsentscheidung der EU-Kommission für das Drittland.
3. Verzeichnis der Verarbeitungstätigkeiten
Die Nutzung einer KI-Anwendung muss in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden, um die Einhaltung der Datenschutzvorschriften zu gewährleisten. Dieser Punkt kann aufgrund der dynamischen Natur von KI-Systemen eine Herausforderung darstellen. Unternehmen sollten daher Prozesse implementieren, um das Verzeichnis regelmäßig zu aktualisieren.
4. Datenschutzfolgenabschätzung
Es sollte geprüft und dokumentiert werden, ob eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO erforderlich ist, um potenzielle Risiken zu identifizieren und zu minimieren. Die Durchführung einer Datenschutzfolgenabschätzung kann zeitaufwändig und ressourcenintensiv sein, insbesondere bei komplexen KI-Systemen. Unternehmen sollten sicherstellen, dass sie über das erforderliche Fachwissen verfügen. Gegebenenfalls können sie externe Experten hinzuziehen, um eine umfassende Bewertung vornehmen zu können.
5. Kategorien von personenbezogenen Daten festlegen
Unternehmen sollten festlegen und dokumentieren, welche Kategorien von personenbezogenen Daten als Eingabedaten in die KI-Anwendung eingegeben werden sollen und eine geeignete Rechtsgrundlage dafür bestimmen. Unternehmen sollten dabei unbedingt sicherstellen, dass sie nur die Daten verarbeiten, die für den jeweiligen Zweck unbedingt erforderlich sind.
6. Risikomodell erstellen
Es ist wichtig, ein Risikomodell zu erstellen, um die Datenschutzrisiken im spezifischen Einsatzszenario der KI-Anwendung zu identifizieren und zu bewerten. Die Erstellung eines Risikomodells erfordert eine genaue Analyse der potenziellen Datenschutzrisiken, die mit der Nutzung der KI-Anwendung verbunden sind. Dies umfasst auch die Bewertung von Risiken im Zusammenhang mit einem möglichen datenschutzrechtlichen Drittlandtransfer, falls das KI-Modell personenbezogene Daten in Länder außerhalb der EU/des EWR überträgt. Unternehmen sollten sich bewusst sein, dass sich diese Risiken im Laufe der Zeit ändern können und daher eine regelmäßige Überprüfung erforderlich ist.
7. Metriken berechnen und dokumentieren
Unternehmen sollten Metriken aus dem Risikomodell berechnen und dokumentieren, um eine angemessene Eindämmung der Datenschutzrisiken nachzuweisen.
8. Informationspflichten sicherstellen
Unternehmen müssen sicherstellen, dass die Informationspflichten gemäß der DSGVO eingehalten werden, insbesondere wenn ein KI-as-a-Service-Dienst verwendet wird.
9. Auskunftsersuchen berücksichtigen
Bei Auskunftsersuchen nach Art. 15 DSGVO in Bezug auf den Einsatz von KI-Anwendungen sollte das Datenschutzmanagement berücksichtigt werden. Aufgrund der Komplexität einiger KI-Modelle kann es jedoch sein, dass eine detaillierte Aufschlüsselung aller Verarbeitungsschritte und -grundlagen nicht möglich ist. In solchen Fällen sollte die Kommunikation darauf abzielen, die betroffenen Personen so umfassend wie möglich zu informieren und gegebenenfalls auf die Besonderheiten der KI-Technologie hinzuweisen, die eine vollständige Auskunft erschweren könnten.
10. Betroffenenrechte sicherstellen
Unternehmen müssen sicherstellen, dass sie die Betroffenenrechte, wie Berichtigung, Löschung und Datenübertragbarkeit, in Bezug auf den Einsatz von KI-Anwendungen berücksichtigen. Angesichts der besonderen Herausforderungen, die sich aus der Verwendung von KI ergeben können, kann die vollständige Gewährleistung dieser Rechte in der Praxis jedoch schwierig sein. Unternehmen sollten daher Maßnahmen ergreifen, um sicherzustellen, dass die Betroffenen so weit wie möglich von ihren Rechten Gebrauch machen können, und transparent darüber informieren, wie die KI-Technologie die Ausübung dieser Rechte beeinflussen könnte.
11. Protokollierung der Nutzung
Die Nutzung von KI-Anwendungen sollte protokolliert werden. Damit können Unternehmen eine angemessene Risikoeindämmung nachweisen und die Datenschutzrisiken dokumentieren. Die Protokollierung kann eine umfassende Erfassung und Dokumentation der Verarbeitungstätigkeiten erfordern, um die Einhaltung der Datenschutzvorschriften zu gewährleisten. Unternehmen sollten daher geeignete Protokollierungsmethoden implementieren, um eine angemessene Risikoeindämmung zu gewährleisten.
12. Datensparsamkeit und Zweckbindung
Unternehmen sollten sicherstellen, dass sie nur die für den jeweiligen Zweck unbedingt erforderlichen Daten verarbeiten. Es sollte eine klare Dokumentation darüber geben, welche Daten zu welchem Zweck verarbeitet werden und wie lange sie aufbewahrt werden. Zudem sollten Mechanismen implementiert werden, um sicherzustellen, dass die Daten nicht für andere Zwecke verwendet werden.
13. Regelmäßige Überprüfung und Aktualisierung
Unternehmen sollten ihre Datenschutzmaßnahmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie den aktuellen rechtlichen Anforderungen entsprechen. Dies können sie durch interne Audits, Schulungen der Mitarbeiter und die Überprüfung von Richtlinien und Verfahren erreichen. Diese Überprüfungen sind regelmäßig durchzuführen, da sich die Datenschutzgesetze und -vorschriften ständig ändern können und die KI-Technologie weiterentwickelt wird.
Durch die Beachtung dieser Richtlinien können Unternehmen die Vorteile von KI-Technologien voll ausschöpfen, während sie gleichzeitig die Privatsphäre und Sicherheit der Nutzerdaten schützen und die Einhaltung der Datenschutzgesetze sicherstellen
Nicht zu vergessen: Die Bedeutung von TOM für KI-Compliance
Ein zentraler Pfeiler der KI-Compliance im Datenschutzkontext sind die technischen und organisatorischen Maßnahmen (TOM), die gemäß Art. 32 DSGVO implementiert werden müssen. Diese Maßnahmen sind entscheidend, um ein hohes Schutzniveau für die durch Künstliche Intelligenz verarbeiteten personenbezogenen Daten zu gewährleisten. Für Unternehmen, die KI-Technologien einsetzen, ist es daher unerlässlich, adäquate Sicherheitsmaßnahmen zu implementieren. Diese sollen nicht nur die Vertraulichkeit und Integrität der Daten schützen, sondern auch deren Verfügbarkeit sicherstellen. Zu den wirksamsten Methoden zählen hierbei die Verschlüsselung von Daten, die Anonymisierung von personenbezogenen Informationen und die Etablierung strikter Zugriffskontrollen. Diese Maßnahmen spielen eine zentrale Rolle in der KI-Compliance-Strategie eines Unternehmens. Sie trafen ferner dazu bei, das Vertrauen der Nutzer in die datenverarbeitenden KI-Anwendungen zu stärken.
Fazit
Die von der BayLDA zur Verfügung gestellte Checkliste dient Unternehmen als wertvolle Richtschnur, um die komplexen datenschutzrechtlichen Anforderungen im Rahmen der KI-Nutzung zu navigieren. Es ist jedoch essentiell, dass jedes Unternehmen auch die spezifischen Anforderungen seines Geschäftsbereichs und die jeweils gültigen Datenschutzgesetze im Auge behält. Die Integration technischer und organisatorischer Maßnahmen (TOM) in die KI-Compliance-Strategie spielt dabei eine wichtige Rolle
Auch eine regelmäßige Überprüfung und gegebenenfalls Anpassung dieser Datenschutzmaßnahmen ist unverzichtbar, um einen dauerhaft hohen Datenschutzstandard bei der Anwendung von KI-Technologien zu gewährleisten.
Aktuelle Version der Checkliste zum Download:
