Herausforderungen bei der datenschutzkonformen Konzeption und Einsatz von KI-Anwendungen im Unternehmen.

Künstliche Intelligenz

Diese 4 Punkte sind für datenschutzkonforme KI wichtig

NTT Ltd. identifiziert die vier wichtigsten Herausforderungen bei der datenschutzkonformen Konzeption und Einsatz von KI-Anwendungen im Unternehmen.

Künstliche Intelligenz (KI) erobert KI mit dem Digitalisierungsschub immer neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz, umso wichtiger wird in diesem Zusammenhang auch der Datenschutz der Lösungen. Denn die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung vor komplexe, neue Herausforderungen, müssen sie doch sicherstellen, dass KI-Lösungen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen. NTT Ltd. hat die wichtigsten Aktionsfelder dafür identifiziert:

1. Absicherung der KI-Lösung

Der erste Schritt zur datenschutzkonformen Nutzung von Künstlicher Intelligenz ist unter anderem die technische und organisatorische Absicherung der KI-Lösung gegen Missbrauch. Sie beginnt bei der strikten Zugangskontrolle und eindeutig geregelten Zugriffsberechtigung auf die KI-Programme. Damit ist sicherstellt, dass nur autorisierte Mitarbeiter Zugang zur KI-Logik haben und Änderungen daran vornehmen können. So muss das Rechtemanagement unter anderem toxische Kombinationen ausschließen, bei der die Verknüpfung von Einzelrechten zu neuen, an sich unerlaubten Zugriffsmöglichkeiten führt. Zudem muss die KI-Logik transparent sein. Artikel 5 der DSGVO schreibt die Intervenierbarkeit vor. Damit soll gewährleistet werden können, dass ein Betroffener Auskunft über die Auswahlkriterien und deren Verarbeitung erhält, etwa in Bewerbungsprozessen oder bei Kreditvergaben. Hierbei ist abzuwägen, ob möglicherweise rechtliche Einschränkungen gegeben sind (etwa zur Wahrung von Geschäftsgeheimnissen).

2. Absicherung der Daten

Das gleiche gilt für alle im KI-Prozess verarbeiteten Daten. Bei der Datenverarbeitung betrifft das Arbeitsschritte wie Datenerhebung, -selektion, -fluss, -analyse und -weitergabe sowie deren technische und juristische Absicherung. Über den gesamten Lebenszyklus der Daten ist die Zweckbindung zu berücksichtigen. Das gilt gleichermaßen für Mitarbeiter (auf Basis des Arbeitsvertrags) als auch Kunden, deren Daten beispielsweise im Rahmen einer Leistungserbringung erfasst wurden, aber nicht für Marketingzwecke eingesetzt werden dürfen. Sie sind damit auch ohne zusätzliche Einwilligungserklärung für das Training der KI-Lösung tabu. Dieser potenzielle Missbrauch muss von vornherein ausgeschlossen werden. Sämtliche Daten, Prozesse und Arbeitsschritte innerhalb des KI-Systems sind bereits in der Designphase einem zuständigen Owner zuzuweisen. Dieser definiert unter Berücksichtigung des Kaskadenprinzips den Schutzbedarf, führt eine Risikoanalyse durch, leitet die erforderlichen Schutzmaßnahmen ab und gewährleistet deren Etablierung. Analog zur KI-Logik gehört zur Intervenierbarkeit laut DSGVO auch, dass Betroffenen jederzeit Auskunft zur Verarbeitung ihrer personenbezogenen Daten gewährt werden muss. Dies ist organisatorisch und technisch von Anfang an sicherzustellen.

3. Schutz der IT-Systeme:

Sämtliche im KI-Prozess genutzten technischen und räumlichen Ressourcen sind Teil eines umfassenden Sicherheitskonzepts. Das reicht von der IT-Infrastruktur (Server, Netzwerke, Storage Systeme, Cloud Services, Endgeräte) über die genutzten Security-Konzepte (Firewalls, Viren-Software) bis hin zu Gebäuden. Die Absicherungsmaßnahmen gegen Schäden, Missbrauch, unberechtigte Zugriffe oder Cyber-Attacken müssen lückenlos identifiziert, etabliert, dokumentiert und jederzeit nachweisbar sein. Wie bei den Daten sind auch die Verantwortlichkeiten für die IT-Systeme zu definieren und festzuhalten.

4. Governance Risk & Compliance

Sämtliche Teilverantwortlichkeiten bezüglich der KI-Logik, des Umgangs mit Daten, der eingesetzten Ressourcen und des Sicherheitskonzepts laufen zentral bei der Geschäftsführung auf, die für die KI-Nutzung insgesamt die Verantwortung trägt (Rechenschaftspflicht). Dazu gehört auch die Prüfung der KI-Lösung auf Gleichbehandlung (Bias) aller Kunden. Es muss sichergestellt sein, dass sie diskriminierungsfrei arbeitet und Bevorzugung oder Benachteiligung wegen Herkunft, Religion, Geschlecht, Hautfarbe oder ähnlicher Merkmale ausgeschlossen sind. Und nicht zuletzt gilt es auch, den menschlichen Faktor mit einzubeziehen. Training, Schulung und Consulting der Mitarbeiter sind elementarer Teil von Sicherungskonzepten für den KI-Einsatz.

„Datenschutzaspekte müssen bei der Konzeption und Implementierung von KI-Lösungen von Anfang an mitgedacht werden“, so Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division. „Das Prinzip ‚Data Protection by Design‘ hilft dabei, schon sehr früh die Weichen für eine datenschutzkonforme KI-Lösung richtig zu stellen, und so aufwändige Korrekturen und Nacharbeiten zu vermeiden. Was noch fehlt, sind konkretere Umsetzungsstandards für KI-Prozesse, mit einem integrierten Ansatz, um den Unternehmen die Arbeit zu erleichtern.“

Foto: bluedesign/Adobe Stock

Europäische Datenschutz-grundverordnung

Die EU-DSGVO als Chance nutzen

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen kämpfen. Zusammen mit den Auflagen und Bußgeldern schüren die kursierenden Informationen oftmals Angst vor den bevorstehenden Änderungen.

Künstliche Intelligenz lässt sich mit Befehlen manipulieren, die vom Mneschen kaum registriert werden können.
Foto: sittinan - stock.adobe.com

IT-Sicherheit

Wie Schadsoftware Künstliche Intelligenz manipuliert

Eine Sudie zeigt, dass KI-Systeme durch Schadsoftware gezielt angegriffen werden können. Für den Einsatz in der Sicherheitstechnik wirft das Fragen auf.

Foto: Adobe Stock

Biometrie und DSGVO

Wenn der Finger teuer wird

Seit zwei Jahren gilt die DGSVO. Seit Mai wird sie vollzogen. Ein beachtlicher Teil der betroffenen Betriebe ist schlecht oder unzureichend vorbereitet. Es drohen drakonische Strafen.

Foto: Office Depot

Europäische Datenschutz-Grundverordnung

Die DSGVO gilt auch für Daten in Papierform

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung praktisch in Kraft. Viele Unternehmen konzentrieren sich bei der Umsetzung auf ihre digitalen Daten, vergessen jedoch, dass die DSGVO genauso für Daten und Akten in Papierform gilt. Doch wie gehen Unternehmen richtig mit ihren analogen Daten um?