Die Schnittstelle zwischen DSGVO und KI und 6 Best Practices zur Compliance

Was ist die DSGVO?

Die DSGVO (Datenschutz-Grundverordnung) ist eine 2008 in der Europäischen Union erlassene Verordnung zum Datenschutz und zur Wahrung der Privatsphäre. Sie gilt nicht nur innerhalb der Europäischen Union, sondern betrifft auch die Übermittlung personenbezogener Daten außerhalb der EU und des EWR sowie für Unternehmen außerhalb der EU, die mit EU-Bürgern Geschäfte tätigen. Ziel der DSGVO ist es, Einzelpersonen die Kontrolle über ihre personenbezogenen Daten zu geben und durch eine Vereinheitlichung der Vorschriften innerhalb der EU das regulatorische Umfeld für internationale Unternehmen zu vereinfachen.

Gemäß der DSGVO sind Unternehmen verpflichtet, den Schutz personenbezogener Daten zu gewährleisten, Datenschutzverletzungen zu melden, den sicheren grenzüberschreitenden Datentransfer sicherzustellen und bestimmte Praktiken zur Einhaltung der Vorschriften einzuhalten. Verstöße können zu hohen Geldstrafen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes führen.

Die DSGVO verändert den Umgang von Unternehmen mit Datenschutz und -sicherheit und hat weitreichende Auswirkungen auf alle Branchen. Sie hat die Geschäftslandschaft in vielerlei Hinsicht verändert, unter anderem die Art und Weise, wie Systeme der künstlichen Intelligenz (KI) personenbezogene Daten nutzen und verarbeiten.

Erfahren Sie mehr über die Auswirkungen von KI auf die Cybersicherheit: KI-Cybersicherheit: Schutz von KI-Systemen vor Cyberbedrohungen.

Die Schnittstelle zwischen DSGVO und KI

Die Datenschutz-Grundverordnung (DSGVO) beeinflusst maßgeblich die Entwicklung und Anwendung von Technologien der Künstlichen Intelligenz (KI), die typischerweise die Verarbeitung großer Datenmengen erfordern. KI-Systeme, insbesondere Large Language Models (LLMs), müssen die Anforderungen der DSGVO strikt einhalten, wenn sie Daten von EU-Bürgern verwenden oder in der EU eingesetzt werden sollen. Hier sind die wichtigsten Auswirkungen der DSGVO auf die KI-Entwicklung:

Berechtigte Gründe für die Datenverwaltung

Die DSGVO legt fest, dass für die Verwendung personenbezogener Daten durch KI-Modelle eine ausdrückliche Einwilligung erforderlich ist. KI-Entwickler müssen sicherstellen, dass die Einwilligung freiwillig, spezifisch, informiert und eindeutig erteilt wird.

In einigen Fällen kann KI personenbezogene Daten auf der Grundlage eines berechtigten Interesses verarbeiten. Dabei ist jedoch ein sorgfältiges Gleichgewicht erforderlich, um sicherzustellen, dass die Rechte der betroffenen Person nicht beeinträchtigt werden.

Datenminimierung und Zweckbindung

Die DSGVO schreibt vor, dass für jeden bestimmten Zweck nur die minimal erforderlichen Daten verwendet werden dürfen. KI-Mechanismen müssen dies einhalten und die Erfassung oder Manipulation unnötiger Daten verhindern. Darüber hinaus dürfen zu einem bestimmten Zweck erhobene Daten nicht ohne zusätzliche Zustimmung zweckentfremdet werden.

Anonymisierung und Pseudonymisierung

KI-Mechanismen wie LLMs sollten Anonymisierungs- und Pseudonymisierungsmethoden einsetzen. Anonymisierung verhindert dauerhaft die Identifizierung, während Pseudonymisierung private Kennungen durch gefälschte Kennungen oder Pseudonyme ersetzt. Diese Techniken können die Privatsphäre des Einzelnen schützen und es KI-Systemen gleichzeitig ermöglichen, Erkenntnisse aus großen Datensätzen zu gewinnen.

Schutz und Rechenschaftspflicht

Die DSGVO verlangt, dass personenbezogene Daten so verarbeitet werden, dass ihr Schutz gewährleistet ist. KI-Systeme müssen Sicherheitspraktiken integrieren, um Datenverletzungen und unbefugten Zugriff zu verhindern.

Sowohl KI-Entwickler als auch KI-Nutzer sind für die Einhaltung der DSGVO verantwortlich. Dazu gehört die Aufzeichnung von Datenmanipulationsaktivitäten, die Durchführung von Folgenabschätzungen und die Integration von Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.

Individuelle Rechte

Die DSGVO gewährt im Zusammenhang mit der Verwendung von Daten in KI-Modellen folgende individuelle Rechte:

• Zugriff und Portabilität: Einzelpersonen haben das Recht, auf ihre Daten zuzugreifen und diese zur Wiederverwendung zu erhalten. KI-Systeme müssen dieses Recht wahren, indem sie es Einzelpersonen ermöglichen, ihre Daten wiederherzustellen und bei Bedarf an einen anderen Dienst zu übertragen.
• Recht auf Erklärung: Einzelpersonen haben das Recht, die Gründe für Entscheidungen, die durch automatisierte Verarbeitung getroffen werden, zu verstehen. KI-Systeme sollten transparent sein und verständliche Entscheidungsmethoden bieten.
• Recht auf Vergessenwerden: Einzelpersonen können die Löschung ihrer personenbezogenen Daten verlangen. KI-Systeme müssen über Mechanismen verfügen, die eine vollständige Löschung der Daten auf Anfrage ermöglichen.

6 Best Practices zur Gewährleistung der DSGVO-konformen KI-Entwicklung und -Implementierung

Die DSGVO-Konformität für KI-Systeme steckt noch in den Kinderschuhen. Hier sind einige Best Practices, die Ihnen den Einstieg erleichtern:

1. Integration von Datensicherheit und Datenschutz in die KI-Entwicklung

Um die KI-Entwicklung an die DSGVO-Vorschriften anzupassen, ist es wichtig, Datensicherheit und Datenschutz von Anfang an zu priorisieren. Dazu gehört:

• Sicherheitsüberprüfungen für API-Endpunkte: APIs sind die Brücken, über die Daten in ein KI-System ein- und aus diesem austreten. Es ist wichtig, sicherzustellen, dass sie sicher konzipiert und implementiert sind. Dies kann sowohl die nicht konforme Aufnahme privater Daten als auch den versehentlichen Verlust von Daten verhindern.
• SDLC-Audit: KI-Systeme erfordern ein umfassendes Audit des gesamten Softwareentwicklungslebenszyklus (SDLC), einschließlich statischer und dynamischer Tests der Anwendungen. Dies garantiert, dass in jeder Phase des Prozesses – vom Entwurf bis zur Bereitstellung – Sicherheitsmaßnahmen getroffen werden.

2. Definition von Data-Governance-Standards für KI-Projekte

Organisationen müssen klare, präzise und transparente Standards für die Datenverwaltung für KI-Projekte einführen. Diese Standards müssen detailliert beschreiben, wie Daten in KI-Systemen erfasst, analysiert, gespeichert und verwendet werden. Eine solche Verwaltung ermöglicht es allen Beteiligten, vom Entwickler bis zum Endnutzer, ihre Pflichten zur Wahrung der Datengenauigkeit und des Datenschutzes zu verstehen.

Ein wichtiger Aspekt von Data-Governance-Standards ist die Festlegung ethischer Anwendungsfälle von KI-Systemen und deren Bereitstellung für Entwickler als Teil der nicht-funktionalen Anforderungen des Projekts. Entwickler sollten darauf bedacht sein, zuverlässige und leistungsstarke KI-Systeme zu entwickeln und diese ethischen Richtlinien zu entsprechen, um Schäden für Einzelne und die Gesellschaft zu vermeiden.

3. Zweckbestimmung und Dokumentation

Um die DSGVO einzuhalten, ist es wichtig, die spezifischen, expliziten und berechtigten Zwecke zu definieren und zu dokumentieren, für die das KI-System private Daten verwendet. Dieser dokumentierte Zweck sollte die Gestaltung des KI-Systems bestimmen und Transparenz und Rechenschaftspflicht gewährleisten. Er trägt dazu bei, die Ziele der KI mit Recht und Ethik in Einklang zu bringen und Datenmissbrauch oder die Verwendung von Daten für unbeabsichtigte Zwecke zu vermeiden.

4. Durchführung von Datenschutz-Folgenabschätzungen

Datenschutz-Folgenabschätzungen (DSFA) gemäß Artikel 35 der DSGVO sind für KI-Systeme, die Hochrisikoprozesse verarbeiten, unerlässlich. Sie helfen dabei, Risiken im Zusammenhang mit Datenverarbeitungsaufgaben zu erkennen und zu minimieren. Angesichts der Komplexität von KI-Systemen und ihrer potenziellen Auswirkungen auf die Privatsphäre von Einzelpersonen ist es für KI-Systeme unerlässlich, diese Analyse zu durchlaufen. Die Integration von DSFA in den Projektlebenszyklus ermöglicht die frühzeitige Erkennung und Lösung potenzieller Datenschutzprobleme.

5. Benutzer über KI-gesteuerte Entscheidungslogik informieren

Die DSGVO verlangt, dass Nutzer über die Gründe für KI-basierte Entscheidungen informiert werden. Dazu gehört die Offenlegung, wie das KI-System Daten verarbeitet und Entscheidungen trifft. Transparenz stärkt nicht nur das Vertrauen der Nutzer, sondern ermöglicht es ihnen auch, sie betreffende Entscheidungen zu verstehen und gegebenenfalls anzufechten. Dies ist besonders wichtig in Branchen, in denen KI-Entscheidungen erhebliche Auswirkungen haben, wie etwa im Finanz- oder Gesundheitswesen.

6. Implementierung einer kontinuierlichen Überwachung der DSGVO-Konformität

Die DSGVO verpflichtet Unternehmen, Verfahren für die laufende Compliance-Überwachung und KI-Systemprüfungen zu definieren. Kontinuierliches Monitoring kann helfen, Compliance-Probleme frühzeitig zu erkennen und zu beheben. Regelmäßige Kontrollen von KI-Systemen stellen sicher, dass sie wie gewünscht funktionieren und die DSGVO-Vorgaben einhalten. Diese Verfahren sollten Teil eines kontinuierlichen Engagements für Datenschutz und -sicherheit sein und sich an rechtliche und technologische Entwicklungen anpassen.

DSGVO-Konformität mit Exabeam

Bei Exabeam ist Vertrauen der Grundstein unserer Arbeitsweise – von der Herstellung unserer Produkte bis hin zur Betriebsführung. Wir wissen, dass Ihre Daten zu Ihren wertvollsten Gütern gehören. Deshalb legen wir Wert darauf, dass Ihre Daten sicher sind, die Datenschutzbestimmungen eingehalten werden und die Plattform eine hohe Verfügbarkeit gewährleistet.

Die KI-gesteuerte Security Operations Platform Exabeam bietet einen zentralen Mechanismus, mit dem jedes Anwendungsteam Ereignisse für Compliance- und Bedrohungserkennungsfälle an das Audit-Protokoll senden kann. Benutzer speichern Audit-Ereignisse für die Dauer ihrer Vertragslaufzeit und können diese wie jedes andere Drittanbieter-Protokoll in der Exabeam Plattform durchsuchen und bearbeiten. Benutzer können Korrelationsregeln für das Audit-Protokoll konfigurieren, um Compliance-Verstöße zu erkennen, und Dashboards mit allen Ereignissen im Ereignisspeicher, einschließlich Audit-Protokoll-Ereignissen, konfigurieren.

Audit-Protokolle stellen Benutzer-, Objekt- oder Einstellungsereignisse in Ihrem Unternehmen dar. Spezifische Ereignisse aller Exabeam Benutzer werden protokolliert, einschließlich Aktivitäten innerhalb der Benutzeroberfläche und Konfigurationsaktivitäten. Exabeam speichert alle Audit-Protokolle und bietet eine Abfrageoberfläche in der Suche, mit der Sie Audit-Protokolle finden und exportieren können. Dies ist zusammen mit Visualisierungen und Tabellen, die in Dashboards nach Audit-Anforderungen gekennzeichnet sind, besonders nützlich für die Überprüfung von Aktivitäten im Rahmen von DSGVO-Audits.