Herausforderungen durch KI: Datenschutz und IT-Sicherheit in Einklang bringen

21 Juni
Posted on Author Uwe Lingscheid

Die rasante Entwicklung Künstlicher Intelligenz (KI) verändert nicht nur unsere Arbeitswelten, sondern stellt Unternehmen vor komplexe Herausforderungen. Besonders im Bereich Datenschutz und IT-Sicherheit sind neue Denkweisen und Strategien gefragt. Wie stellt man sicher, dass KI-Anwendungen sowohl leistungsstark als auch rechtlich konform sind? Welche Stolperfallen gilt es zu vermeiden, um Transparenz, Sicherheit und den Schutz personenbezogener Daten zu gewährleisten?

Im neuen Fachbeitrag KI und Datenschutz rechtskonform umsetzen des Digitalwerks Information Security Management  erfahren Sie alles, was Sie wissen müssen, um KI-Systeme datenschutz- und IT-sicher zu gestalten. Gerald Spyra beleuchtet detailliert den gesamten Lebenszyklus von KI-Systemen – von der Datenaggregation über das Training bis hin zur Nutzung im Praxiseinsatz. Praxisnahe Tipps, Checklisten und eine klare Darstellung der zentralen rechtlichen Anforderungen machen den Beitrag wertvoll für Entscheider und Verantwortliche in Unternehmen.

Die rechtskonforme Implementierung und Nutzung von Künstlicher Intelligenz (KI) im Kontext des Datenschutzes ist der Dreh- und Angelpunkt des Beitrags. Dabei wird der gesamte Lebenszyklus von KI-Systemen unter den Aspekten „Privacy by Design“ und „Security by Design“ behandelt. Es werden Anforderungen definiert, die sicherstellen sollen, dass KI-Systeme mit den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) sowie dem EU-AI-Act übereinstimmen. Dabei liegt der Fokus auf folgenden Aspekten:

  1. Ganzheitliche Betrachtung des KI-Lebenszyklus:
    • Datenschutzrechtliche Anforderungen (z. B. Zweckbindung, Datenminimierung, Transparenz) müssen in allen Phasen des Lebenszyklus berücksichtigt werden:
      1. Datenaggregation und -veredelung
      2. Modelltraining
      3. Inhaltsgenerierung
      4. Optimierung und Rückkopplung.
  2. Datenschutz- und Sicherheitsanforderungen:
    • „Privacy by Design“ und „Privacy by Default“ gelten als Leitprinzipien.
    • Verantwortliche Unternehmen müssen Risikoanalysen (Datenschutzfolgenabschätzung, DSFA) durchführen und Stakeholder umfassend dokumentieren und informieren.
    • Technische und organisatorische Maßnahmen (z. B. IT-Sicherheit, Datenpseudonymisierung, Anonymisierung) minimieren Risiken.
  3. Datenverarbeitung und -kontrolle:
    • Alle Schritte der Datenverarbeitung – von der Datensammlung bis zur Nutzung – müssen nachvollziehbar, sicher und dokumentiert sein.
    • Zweckbindung und Datenminimierung müssen gewahrt bleiben – Daten dürfen nur für klar festgelegte Zwecke verwendet werden.
    • Diskriminierungen und Verzerrungen sollen durch ein sorgfältiges Datenmanagement und Algorithmenprüfungen vermieden werden.
  4. Transparenz und Erklärbarkeit:
    • Besonders bei tieferen Lernmodellen (Deep Learning) ist eine Erklärung der Entscheidungsalgorithmen komplex, jedoch essenziell.
    • Der Ansatz der „Explainable AI (XAI)“ sollte verfolgt werden, um regulatorischen Anforderungen zu genügen und Vertrauen in die Technologie zu schaffen.
  5. Sicherheitsanforderungen:
    • KI-Systeme sollten physisch und digital gesichert werden (z. B. durch Netzwerkabschottung, Verschlüsselung und Backup-Mechanismen).
    • Der Umgang mit personenbezogenen Daten muss klar geregelt sein und vor Missbrauch geschützt werden (z. B. Protokollierung, Berechtigungskonzepte).
  6. Praxiseinsatz und Kontrolle:
    • KI-Systeme sollen kontinuierlich überwacht und auf korrekte Funktion sowie Diskriminierungsfreiheit überprüft werden.
    • Ein menschliches Eingreifen in der Verarbeitung muss zwingend möglich sein, insbesondere bei risikobehafteten Anwendungen.
  7. Risikomanagement und ISO-Standards:
    • Der AI-Act und die DSGVO verlangen die Bewertung und Minimierung spezifischer Risiken (z. B. durch DSFA).
    • Unternehmen wird empfohlen, Managementsysteme entsprechend der ISO/IEC 42001 einzuführen, um Vertrauen und Nachvollziehbarkeit in der KI-Nutzung sicherzustellen.