Datenschutz und KI

Mit dem Boom von KI in Unternehmen und im wirtschaftlichen Umfeld wird für Datenschutzbeauftragte alles komplexer.
Als Datenschutzbeauftragter, der sich mit der Anwendung von Künstlicher Intelligenz (KI) im Rahmen der Datenschutz-Grundverordnung (DSGVO) befasst, gibt es mehrere wichtige Punkte zu beachten. Die DSGVO setzt strenge Anforderungen an den Schutz personenbezogener Daten, und diese Anforderungen müssen auch bei der Nutzung von KI eingehalten werden. Hier sind die wesentlichen Aspekte:

1. Rechtsgrundlage für die Datenverarbeitung

Einwilligung: Eine der möglichen Rechtsgrundlagen ist die Einwilligung der betroffenen Personen (Art. 6 Abs. 1 lit. a DSGVO). Diese muss freiwillig, informiert und unmissverständlich sein.
Vertragserfüllung: Die Verarbeitung kann notwendig sein, um einen Vertrag zu erfüllen, an dem die betroffene Person beteiligt ist (Art. 6 Abs. 1 lit. b DSGVO).
Rechtliche Verpflichtung: Die Verarbeitung kann zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein (Art. 6 Abs. 1 lit. c DSGVO).
Berechtigte Interessen: Die Verarbeitung kann auf berechtigten Interessen des Verantwortlichen beruhen, sofern diese nicht durch die Interessen oder Grundrechte der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

2. Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 DSGVO). Dies ist häufig bei der Nutzung von KI der Fall, insbesondere wenn:

Es sich um groß angelegte Verarbeitungsvorgänge handelt.
Besondere Kategorien personenbezogener Daten verarbeitet werden.
Die Verarbeitung zu einer systematischen und umfassenden Bewertung persönlicher Aspekte führt, z.B. durch Profiling oder automatisierte Entscheidungsfindung.

3. Transparenz und Informationspflichten

Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden (Art. 12-14 DSGVO). Dies umfasst:

Den Zweck der Verarbeitung.
Die Rechtsgrundlage der Verarbeitung.
Die Kategorien der verarbeiteten personenbezogenen Daten.
Die Empfänger oder Kategorien von Empfängern der Daten.
Die Speicherdauer oder die Kriterien zur Festlegung dieser Dauer.
Die Rechte der betroffenen Personen (z.B. Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Widerspruchsrecht).

4. Betroffenenrechte

Die Rechte der betroffenen Personen müssen gewahrt werden, insbesondere:

Recht auf Auskunft: Betroffene haben das Recht, eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, Auskunft über diese Daten sowie weitere Informationen zu erhalten (Art. 15 DSGVO).
Recht auf Berichtigung: Unrichtige personenbezogene Daten müssen unverzüglich berichtigt werden (Art. 16 DSGVO).
Recht auf Löschung (Recht auf Vergessenwerden): Betroffene haben unter bestimmten Bedingungen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen (Art. 17 DSGVO).
Recht auf Einschränkung der Verarbeitung: Betroffene können unter bestimmten Bedingungen die Einschränkung der Verarbeitung ihrer Daten verlangen (Art. 18 DSGVO).
Recht auf Datenübertragbarkeit: Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO).
Widerspruchsrecht: Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen (Art. 21 DSGVO).

5. Sicherheit der Verarbeitung

Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Dies umfasst:

Pseudonymisierung und Verschlüsselung personenbezogener Daten.
Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste.
Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu diesen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6. Automatisierte Entscheidungsfindung und Profiling

Besondere Vorsicht ist geboten, wenn KI-Systeme für automatisierte Entscheidungsfindung oder Profiling eingesetzt werden (Art. 22 DSGVO). Betroffene Personen dürfen nicht einer Entscheidung unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, außer es liegen spezifische Voraussetzungen vor.

Um die Anforderungen der DSGVO im deutschen Rechtsraum bei der Anwendung von KI korrekt umzusetzen, ist eine gründliche Analyse und Umsetzung der oben genannten Aspekte erforderlich. Es ist ratsam, regelmäßig Schulungen und Audits durchzuführen, um sicherzustellen, dass alle Beteiligten die datenschutzrechtlichen Anforderungen verstehen und einhalten.

Vertraulichkeit von Informationen und Daten im Unternehmensumfeld. Was kann man tun?

Die Sicherheit und Vertraulichkeit von unternehmensrelevanten Informationen bei der Nutzung von ChatGPT und ähnlichen KI-Tools können durch eine Kombination technischer, organisatorischer und vertraglicher Maßnahmen gewährleistet werden. Durch die Umsetzung folgender Maßnahmen kann die Sicherheit und Vertraulichkeit von unternehmensrelevanten Informationen bei der Nutzung von ChatGPT und ähnlichen KI-Tools deutlich verbessert werden.

1. Technische Maßnahmen

Datenverschlüsselung: Alle übermittelten Daten sollten sowohl im Transit als auch im Ruhezustand verschlüsselt werden, um unbefugten Zugriff zu verhindern.
Zugangskontrollen: Implementierung strenger Authentifizierungs- und Autorisierungsverfahren, um sicherzustellen, dass nur berechtigte Benutzer auf das KI-System zugreifen können.
Datenminimierung: Nur die unbedingt notwendigen Daten sollten verarbeitet und gespeichert werden, um das Risiko von Datenverlust oder -missbrauch zu minimieren.
Sicherheitsprotokolle: Verwendung sicherer Kommunikationsprotokolle (z.B. HTTPS) für die Datenübertragung zwischen dem Unternehmen und dem KI-Anbieter.

2. Organisatorische Maßnahmen

Schulung und Sensibilisierung: Mitarbeiter sollten regelmäßig geschult und über die Risiken und Best Practices im Umgang mit KI-Tools informiert werden.
Richtlinien und Verfahren: Entwicklung und Implementierung klarer Richtlinien für die Nutzung von KI-Tools, einschließlich der Arten von Daten, die eingegeben werden dürfen, und der Art und Weise, wie diese Daten verwendet werden.
Überwachung und Audits: Regelmäßige Überprüfung und Audits der KI-Systeme und ihrer Nutzung, um Sicherheitslücken und Verstöße gegen die Unternehmensrichtlinien zu identifizieren und zu beheben.

3. Vertragliche Maßnahmen

Vertraulichkeitsvereinbarungen: Abschluss von Vertraulichkeitsvereinbarungen (NDAs) mit dem KI-Anbieter, um sicherzustellen, dass alle verarbeiteten Daten vertraulich behandelt werden.
Datenverarbeitungsverträge: Abschluss eines Datenverarbeitungsvertrags (DPA) mit dem KI-Anbieter, der sicherstellt, dass dieser die Anforderungen der DSGVO und anderer relevanter Datenschutzgesetze einhält.
Klar definierte Verantwortlichkeiten: Klare Definition der Verantwortlichkeiten des KI-Anbieters und des Unternehmens hinsichtlich der Datensicherheit und -vertraulichkeit.

4. Spezifische Maßnahmen bei der Nutzung von ChatGPT

Eingabedaten anonymisieren: Wenn möglich, sollten personenbezogene oder sensible Daten anonymisiert oder pseudonymisiert werden, bevor sie an ChatGPT übermittelt werden.
Vermeidung sensibler Informationen: Unternehmensrichtlinien sollten festlegen, dass keine hochsensiblen oder kritischen Informationen in das KI-System eingegeben werden.
Datenaufbewahrungsrichtlinien: Sicherstellen, dass der KI-Anbieter strenge Datenaufbewahrungs- und Löschrichtlinien hat, um die Daten nur so lange wie nötig zu speichern.
Nutzung von Business-Varianten: Falls verfügbar, sollten Business- oder Enterprise-Versionen von ChatGPT genutzt werden, da diese in der Regel erweiterte Sicherheits- und Datenschutzfunktionen bieten.

5. Kontinuierliche Verbesserung

Risikoanalysen: Regelmäßige Durchführung von Risikoanalysen, um neue Bedrohungen zu identifizieren und entsprechende Maßnahmen zur Risikominderung zu ergreifen.
Feedback-Schleifen: Einrichtung von Mechanismen, um Feedback von den Nutzern des KI-Systems zu sammeln und auf Basis dieses Feedbacks kontinuierlich Verbesserungen vorzunehmen.

Welche technischen Lösungen gibt es?

Für die Verarbeitung und Analyse sensibler Unternehmensdaten gibt es spezielle KI-Lösungen, die darauf ausgelegt sind, hohe Sicherheitsstandards zu gewährleisten. Hier sind einige der besten Optionen, die für solche Anforderungen geeignet sind:

1. On-Premises Lösungen

Vorteile:

Vollständige Kontrolle über Daten und Infrastruktur.
Keine Datenübertragung über das Internet, was das Risiko von Abhör- und Man-in-the-Middle-Angriffen minimiert.

Beispiele:

IBM Watson for Private Cloud: Eine KI-Plattform, die auf der privaten Cloud-Infrastruktur eines Unternehmens betrieben werden kann und hohe Sicherheitsstandards bietet.
Microsoft Azure Stack: Ermöglicht es Unternehmen, Azure-Dienste direkt im eigenen Rechenzentrum zu betreiben und so strenge Datenschutzanforderungen zu erfüllen.

2. Hybrid-Cloud-Lösungen

Vorteile:

Flexibilität durch Kombination aus On-Premises und Cloud.
Sensible Daten können lokal gehalten werden, während nicht-sensible Daten und Rechenleistung in der Cloud genutzt werden.

Beispiele:

Google Anthos: Ermöglicht eine einheitliche Verwaltung von Anwendungen in lokalen Rechenzentren und der Cloud, wobei sensible Daten lokal bleiben können.
Microsoft Azure Arc: Eine Lösung, die es ermöglicht, Azure-Dienste und Management-Tools in lokalen und Multi-Cloud-Umgebungen zu verwenden.

3. End-to-End Verschlüsselte Cloud-Dienste

Vorteile:

Daten werden sowohl im Ruhezustand als auch während der Übertragung verschlüsselt.
Anbieter haben oft spezielle Compliance-Zertifizierungen (z.B. ISO 27001, GDPR).

Beispiele:

AWS Nitro Enclaves: Eine Lösung von Amazon Web Services, die hochsichere Umgebungen für die Verarbeitung sensibler Daten bietet.
Microsoft Confidential Computing: Verwendet Hardware-basierte Trusted Execution Environments (TEEs), um Daten während der Verarbeitung zu schützen.

4. Privatsphäre- und Sicherheitsorientierte KI-Plattformen

Vorteile:

Entwickelt mit Schwerpunkt auf Datenschutz und Sicherheit.
Unterstützung für datenschutzfreundliche Techniken wie Differential Privacy und Federated Learning.

Beispiele:

TensorFlow Privacy: Eine Erweiterung von TensorFlow, die Entwicklern hilft, Modelle mit integrierten Datenschutzmechanismen zu trainieren.
PySyft: Eine Bibliothek für privatsphärenerhaltendes maschinelles Lernen, die es ermöglicht, Modelle zu trainieren, ohne dass sensible Daten den eigenen Server verlassen.

5. Spezialisierte Anbieter für Sicherheitskritische Anwendungen

Vorteile:

Maßgeschneiderte Lösungen für spezifische Sicherheitsanforderungen.
Oftmals umfassende Compliance mit Branchenstandards.

Beispiele:

Darktrace: Ein Anbieter, der KI-basierte Cyber-Sicherheitslösungen bietet, um Netzwerke in Echtzeit zu überwachen und zu schützen.
Palantir: Bietet spezialisierte Plattformen für Datenanalyse und Sicherheitsmanagement, die auch in stark regulierten Branchen verwendet werden.

6. Datenschutzfreundliche KI-Techniken

Vorteile:

Minimierung des Datenschutzrisikos durch innovative Techniken.
Verbesserung der Sicherheit und Vertraulichkeit während der Datenverarbeitung.

Techniken:

Differential Privacy: Fügt statistischen Rauschen zu Daten hinzu, um die Privatsphäre einzelner Einträge zu schützen.
Federated Learning: Trainiert Modelle auf dezentralisierten Daten, ohne dass die Daten das lokale Gerät verlassen.

7. Compliance und Zertifizierung

Vorteile:

Sicherstellung, dass die KI-Lösungen den geltenden Datenschutzgesetzen und -standards entsprechen.

Beispiele:

ISO/IEC 27001: Ein international anerkannter Standard für Informationssicherheits-Managementsysteme.
GDPR: Compliance mit der Europäischen Datenschutz-Grundverordnung für alle Unternehmen, die Daten von EU-Bürgern verarbeiten.

Die Wahl der passenden KI-Lösung hängt von den spezifischen Anforderungen des Unternehmens an Sicherheit und Datenschutz ab. Unternehmen sollten eine gründliche Risikoanalyse durchführen und die oben genannten Optionen in Betracht ziehen, um die beste Lösung für ihre sensiblen Daten zu finden.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.