Dr. Hans-Jürgen Hillmer
Neuer Bitkom-Leitfaden vom 12.7.2024
Das Nutzenpotenzial des KI-Einsatzes ist unbestreitbar. Dennoch zögern viele Unternehmen beim Einsatz Künstlicher Intelligenz (KI), weil sie befürchten, gegen Datenschutz-Vorgaben zu verstoßen. Ein neu vorgelegter Praxis-Leitfaden zeigt, wie sich der KI-Einsatz datenschutzkonform gestalten lässt: Neben ausführlichen Informationen zu den datenschutzrechtlichen Anforderungen helfen insbesondere eine Anleitung zur Erstellung einer Richtlinie, ein Anwendungsbeispiel und ausführliche Checklisten dabei, Ängste zu überwinden und Risiken einzudämmen.
Praxis-Info!
Problemstellung
Datenschutzverstöße gelten in der Wirtschaft als größtes Risiko beim KI-Einsatz (KI = Künstliche Intelligenz). Nach Bitkom-Angaben vom 12.7.2024 sehen das 70% aller Unternehmen so und sogar 80% der Unternehmen, die bereits KI nutzen. Und 62% der befragten Unternehmen meinen, dass sich KI-Dienste in der Cloud nicht mit Datenschutzvorgaben vereinen lassen. „Beim KI-Einsatz herrscht derzeit noch viel Unsicherheit. Damit Deutschland bei Künstlicher Intelligenz nicht ins Hintertreffen gerät, ist vor allem mehr Klarheit und Sicherheit im Umgang mit den gesetzlichen Vorgaben erforderlich“, so die Einschätzung von Susanne Dehmel (Mitglied der Bitkom-Geschäftsleitung).
Lösung
Um hier Abhilfe zu verschaffen und Hemmschwellen zu überwinden, hat der Digitalverband Bitkom den neuen Praxisleitfaden „Künstliche Intelligenz und Datenschutz“ entwickelt. Damit soll gezeigt werden, wie KI im Unternehmen datenschutzkonform genutzt werden kann und welche Rechtsvorschriften es zu beachten gilt.
Am Anfang des Leitfadens steht eine kurze Definition, wann in Abgrenzung von klassischer Software von KI gesprochen werden kann und welche Gesetze beim KI-Einsatz relevant werden können. Im umfangreichen zweiten Teil werden wesentliche Vorschriften der europäischen Datenschutz-Grundverordnung und ihre Bedeutung bei der Nutzung von KI eingeordnet – von Transparenz- und Informationspflichten bis hin zur Datenschutzfolgenabschätzung. Es wird auch erörtert, welche Inhalte eine unternehmensinterne Richtlinie zur KI-Nutzung haben muss.
Danach wird an einem Praxisbeispiel aus der Automobilindustrie noch einmal exemplarisch dargestellt, wie KI datenschutzkonform in ein Unternehmen implementiert werden kann. Den Abschluss des Leitfadens bilden zwei ausführliche Checklisten für das Training von eigenen KI-Modellen sowie die Nutzung von fremden KI-Systemen. Mit ihrer Hilfe können die Verantwortlichen in Unternehmen Schritt für Schritt vorgehen, um den KI-Einsatz datenschutzkonform zu gestalten.
Aus der Fülle der für den KI-Einsatz hochrelevanten Informationen des Leitfadens sei hier der Abschnitt über interne Richtlinien zur Nutzung von KI näher betrachtet (vgl. Bitkom-Leitfaden, 38–40). Um das Problem der Schatten-KI (siehe zur Definition und zum möglichen Kontrollverlust auf Geschäftsleitungsebene den Beitrag des Verfassers in BC 2024, 251 f., Heft 6) zu vermeiden, ist das besonders wichtig für Unternehmen, die sich erstmalig oder vertiefend mit der Nutzung von KI befassen wollen. Sie müssen im Vorfeld vielfältige technische, kommerzielle und rechtliche Bewertungen und Festlegungen der internen und externen Anforderungen an die KI durchführen. Dazu gehört auch die Erstellung einer unternehmensinternen Richtlinie zur Nutzung von (generativer) KI. Eine solche Richtlinie sollte sicherstellen, dass personenbezogene Daten rechtmäßig und zweckgebunden erhoben, verarbeitet und bei Dateneingaben und -ausgaben auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden. Es sollten – soweit nötig – Maßnahmen ergriffen werden, um die Datensicherheit zu gewährleisten, wie z.B. die Anonymisierung oder Pseudonymisierung von Daten. Weiterhin sind Zugriffs- und Löschungsrechte zu definieren. Wichtig ist es auch, von Anfang an eine Dokumentation von KI-Modellen und Systemen, Tools und Anwendungsfällen sicherzustellen, damit ausreichend Klarheit besteht und nicht zu einem späteren Zeitpunkt erst mühsam begonnen werden muss, den KI-Bestand im Unternehmen zu ermitteln und die jeweiligen Risiken im Einzelnen zu bewerten. Weitere Regelungsbereiche einer solchen Richtlinie im Überblick:
- Zuständigkeiten, Genehmigungserfordernisse, Aufklärungs- und Sanktionsmechanismen bei Missachtung der Richtlinien
- Bezüge zu anderen internen Richtlinien und zu externen regulatorischen Vorgaben
- Verfahren zur Sicherstellung von Fairness, Transparenz und Interpretierbarkeit, Zuverlässigkeit, Vermeidung von Voreingenommenheit
- Vorgaben für die Beschaffung bzw. den Einkauf von Anwendungen mit KI-Komponenten
- Handlungsanforderungen/-empfehlungen für die Angestellten
- Einzelheiten des Risikomanagementsystems und des Qualitätsmanagementsystems (u.a. urheberrechtliche Aspekte bei der Nutzung von Daten)
- Überwachung von Modellen im Einsatz, die mit hohem Risiko behaftet sind
- Nutzung von personenbezogenen und nicht personenbezogenen Daten für die Entwicklung, das Testen und den Einsatz von Modellen
- Sicherheit und Informationssicherheit von KI-Anwendungen
- Regelungen für einzelne Anwendungsfelder („Use Cases“).
Im Leitfaden werden dazu die in der Tabelle (unten) aufgeführten Anwendungsfelder (Use Cases) näher beschrieben.
| Tabelle: KI-Anwendungsfelder im Kontext von Datenschutzproblemen (redaktionell neu aufbereitet, mit Anpassungen entnommen aus Bitkom-Leitfaden, Auflistung S. 31) |
| Anwendungsfall 1: Weiterverbreitung oder Veröffentlichung von personenbezogenen Daten | Ausführung durch KI-Systeme und KI-Modelle ohne Wissen und ohne Rechtsgrundlage (Verstoß gegen Grundsatz der Transparenz, Rechtmäßigkeit). |
| Anwendungsfall 2: KI funktioniert nicht ordnungsgemäß | Softwarefehler in KI-Lösung verursacht eine unbefugte Offenbarung personenbezogener Daten von Nutzerinnen und Nutzern.
Beispiel: Im Beschäftigtenkontext werden Daten wegen fehlerhafter KI mit Kollegen geteilt, die keine Zugriffsberechtigung besitzen.
|
| Anwendungsfall 3: Hackerangriff | KI-gesteuerter Hackerangriff auf ein Unternehmen, bei dem personenbezogene Daten z.B. von Kunden oder Beschäftigten kompromittiert werden.
Beispiel: Ein KI-gesteuertes Chatbot-System könnte von einem Angreifer gehackt werden, der dann gefälschte Unterhaltungen führt, um persönliche Informationen von Nutzern zu stehlen, indem er sich als legitimer Service ausgibt.
|
Anwendungsfall 4: Kompromittierung von personenbezogenen Daten
| Bei Vorgängen ohne menschliche Kontrolle bzw. Interaktion mit direkten rechtlichen Auswirkungen auf betroffene Personen, z.B. im Rahmen von automatisierten Entscheidungsfindungen oder KI-gestütztem Scoring.
· Beispiel 1: Anwendung für Bonitätsrating/Kreditvergabe
· Beispiel 2: Ein Bewerbungs-Tracking-System, das auf KI basiert, könnte aufgrund von Voreingenommenheit in den Trainingsdaten Bewerber bestimmter ethnischer Gruppen benachteiligen, indem es sie fälschlicherweise ausschließt.
|
Praxishinweise: - Der Praxisleitfaden richtet sich an Datenschutzbeauftragte, IT- und Compliance-Verantwortliche, Entwickler und Anwender von KI-Systemen sowie Entscheidungsträger in Unternehmen (zum kostenlosen Download siehe unter www.bitkom.org/Bitkom/Publikationen/KI-Datenschutz-Praxisleitfaden).
- Der neue Leitfaden ergänzt den Leitfaden „Generative KI im Unternehmen“, der sich mit den allgemeinen Aspekten und Rahmenbedingungen der Nutzung von generativer KI beschäftigt. Hierauf und auf das Problem der sog. Schatten-KI wurde im BC-Beitrag „Schatten-KI: Kontrollverlust auf Geschäftsführungsebene“ bereits hingewiesen, vgl. Hillmer, BC 2024, 251 f., Heft 6.
- Zum Nutzenpotenzial des KI-Einsatzes – insbesondere im Rahmen der Finanzberichterstattung – siehe den Beitrag von Thurow in BC 2024, 249, Heft 6.
|
Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld
BC 8/2024
BC20240814