Künstliche Intelligenz (KI) ist aus dem modernen Alltag nicht mehr wegzudenken. Um den Datenschutz im Zusammenhang mit der Nutzung von KI-Systemen zu gewährleisten, hat die französische Datenschutzbehörde CNIL eine umfangreiche Reihe von Ressourcen veröffentlicht. Diese Informationsblätter und Leitfäden sollen Unternehmen dabei helfen, die großen Herausforderungen im Bereich des Datenschutzes bei dem Einsatz von KI zu bewältigen.
Datenschutz beim Einsatz künstlicher Intelligenz
Der Datenschutz muss sich immer wieder den wandelnden technischen Anforderungen stellen und sich mit neuen Fragen und Problemen beschäftigen. So entstehen auch neue Problempunkte beim steigenden Einsatz von Systemen, die künstliche Intelligenz nutzen. Verarbeitet man personenbezogene Daten mittels KI-Systemen, müssen Verantwortliche und Auftragsverarbeiter sich die Frage stellen, inwiefern diese auch DSGVO-konform implementiert werden können.
Als Teil einer europäischen Strategie zur Förderung der Entwicklung künstlicher Intelligenz sowie der Sicherstellung der Verlässlichkeit dieser Technologien durch Vorschriften stellt die CNIL diverse Ressourcen bereit. Darunter finden sich zum einen Informationen zu spezifischen Aspekten beim Einsatz von KI mit Bezug auf die datenschutzrechtlichen Grundsätze. Zum anderen stellt die CNIL einen Leitfaden bereit, anhand dessen Unternehmen ihre KI selbst bewerten und prüfen können, ob ihre Systeme im Einklang mit den Grundsätzen der DSGVO sind.
Datenschutzrechtliche Grundsätze beim Einsatz von KI
Die CNIL weist mit einer Liste der Grundprinzipien aus der DSGVO und des französischen Datenschutzrechts auf datenschutzrechtliche Grundsätze hin. Diese sollten beim Einsatz von KI zunächst geklärt werden. Die von der CNIL genannten Aspekte sind:
- Zweckbestimmung
- Ermittlung der Rechtsgrundlage
- Zusammenstellung einer Datenbank
- Datenminimierung
- Festlegen einer Speicherdauer
- Überwachung der kontinuierlichen Entwicklung des Systems
- Absicherung gegen die mit KI-Modellen verbundenen Risiken
- Bereitstellung von Informationen und Erläuterungen
- Implementierung der Wahrnehmung von Betroffenenrechten
- Überwachung der automatischen Entscheidungsfindung
- Prüfung des Systems
- Verhindern algorithmischer Diskriminierung
Zusätzlich zu den allgemeinen datenschutzrechtlichen Aspekten, die auch bei herkömmlichen Verarbeitungen gelten, finden sich hier sowohl neue spezifische Punkte als auch bekannte Aspekte, die im Kontext der KI von erhöhter Bedeutung sind. Dies umfasst beispielsweise Hinweise zur automatischen Entscheidungsfindung, die in KI-Systemen häufig vorkommt. Daher ist es notwendig, Mechanismen einzuführen, die eine menschliche Intervention ermöglichen.
Des Weiteren werden Informationen zur Einschränkung der Verarbeitung, zur Festlegung von Aufbewahrungsfristen, zur Überwachung und kontinuierlichen Verbesserung von KI-Systemen sowie zur Umsetzung von Maßnahmen, die die Rechte der betroffenen Personen gewährleisten, bereitgestellt. Besonderes Augenmerk sollte jedoch auf den Punkten sechs, sieben und zwölf liegen, da sie spezifisch im Kontext von KI-Systemen geklärt werden müssen.
Leitfaden zur Selbsteinschätzung eingesetzter KI
Im Leitfaden zur Selbsteinschätzung sind diverse Checklisten und Fragebögen enthalten, die in verschiedene Module unterteilt sind. Dieses Modulsystem dient dazu, den Einsatz von KI systematisch zu analysieren und zu bewerten. Diese Checklisten und Fragebögen sind in unterschiedliche Abschnitte gegliedert, um eine strukturierte Herangehensweise an die Beurteilung des geplanten KI-Einsatzes zu ermöglichen.
Diese Module unterstützen Organisationen dabei, eine umfassende und fundierte Einschätzung ihres KI-Projekts vorzunehmen und sicherzustellen, dass es den erforderlichen Datenschutzgrundsätzen und gesetzlichen Bestimmungen entspricht.
Die Checklisten und Fragebögen sind in folgende Module aufgeteilt:
Modul 1: Einführung in den Leitfaden
Der Zweck dieses Moduls besteht darin, die Ziele des Leitfadens zu klären und wichtige Begriffe zu definieren. Die CNIL unterscheidet in diesem Zusammenhang zwischen verschiedenen Kategorien von Beteiligten, nämlich Anbietern, Nutzern und Endnutzern.
- Anbieter: „Der Anbieter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Organisation, die ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder ihrer eigenen Marke entgeltlich oder unentgeltlich in Verkehr zu bringen oder in Betrieb zu nehmen.“
- Nutzer: „Jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Organisation, die ein KI-System in eigener Verantwortung nutzt, es sei denn, das System wird im Rahmen einer persönlichen, nicht geschäftlichen Tätigkeit verwendet.“
- Endnutzer: „Der Nutzer des KI-Systems ist nicht zu verwechseln mit dem Endnutzer, d. h. der von dem System betroffenen Person: Der Begriff der Nutzung entspricht daher der Nutzung in einem geschäftlichen Kontext.“
Mit Bezug auf die Definitionen der DSGVO führt die CNIL aus, dass Anbieter und Nutzer die Rolle des für die Verarbeitung Verantwortlichen bzw. des Auftragsverarbeiters übernehmen können, wenn das KI-System personenbezogene Daten verarbeitet.
Modul 2: Fragestellungen vor dem Einsatz von KI-Systemen
Das zweite Modul konzentriert sich auf allgemeine Aspekte, die bei der Bestimmung der Zielsetzung und Verhältnismäßigkeit eines KI-Systems berücksichtigt werden sollten. Die Fragen in diesem Modul sollen Anbietern helfen, die Risiken und die Verhältnismäßigkeit des Systems bereits in der Entwurfsphase zu bewerten.
Modul 3: Sicherstellung des Datenschutzes beim Erstellen einer Datenbank
Dieses Modul widmet sich insbesondere den Trainingsdaten eines KI-Systems. Es zielt darauf ab, festzustellen, ob die datenschutzrechtlichen Anforderungen für die Erstellung einer konformen Datenbank erfüllt sind. In diesem Modul finden sich auch Hinweise zur Qualität des Algorithmus im Hinblick auf die verwendeten Trainingsdaten. Darüber hinaus werden die Risiken der Diskriminierung im Zusammenhang mit KI-Systemen behandelt, wobei betont wird, dass die Trainingsdatenbank sorgfältig auf Anzeichen von möglicher Diskriminierung untersucht werden muss.
Modul 4: Entwicklung und Training eines Algorithmus
Die Fragen in diesem Modul zielen darauf ab, einen zuverlässigen Algorithmus zu entwerfen und zu entwickeln. Es werden auch die Herausforderungen im Zusammenhang mit Trainingsprotokollen behandelt. Anbieter sollten durch Kontrollen und Vorkehrungen die Qualität des Systems sicherstellen. Beachten Sie jedoch, dass diese Fragen auch für Nutzer (wenn sie nicht Anbieter sind) von Interesse sein können, da diese bei unrechtmäßiger Verarbeitung haftbar gemacht werden können.
Modul 5: Zuordnung von Verantwortlichkeiten
Hier werden Fragen rund um das Thema Verantwortlichkeiten und das Dokumentieren von Verarbeitungen behandelt. Das Modul fragt sowohl Punkte zur Transparenz sowie erneut zur Sicherstellung der Qualität der Verarbeitung ab.
Modul 6: Sicherheit der Verarbeitung
Das sechste Modul konzentriert sich auf die Sicherheit der Verarbeitung und umfasst Aspekte wie Angriffsmuster, Protokollierungen, Zugangskontrollen und andere Sicherheitsaspekte in allen Phasen der Verarbeitung durch ein KI-System.
Modul 7: Transparenz und Gewährleistung der Betroffenenrechte
Mit diesem Modul legt die CNIL den Schwerpunkt auf die Rechte der Betroffenen und zeigt Anbietern, welche Aspekte in diesem Zusammenhang besonders wichtig sind. Die Fragen behandeln Auswirkungen auf die Betroffenenrechte und die Notwendigkeit einer ausreichend transparenten Information. Im Modul gibt es auch spezifische Fragen zur automatischen Entscheidungsfindung gemäß Art. 22 DSGVO und es wird betont, dass (sofern keine Ausnahme vorliegt) immer eine menschliche Überwachung zur Bestätigung oder Ersetzung der automatischen Entscheidung erforderlich ist.
Modul 8: Rechtskonformität
Das achte Modul verweist auf weitere Standards, Gesetze und Zertifizierungen, einschließlich internationaler Standards wie ISO und IEEE sowie zahlreiche französische Zertifizierungen. Dies unterstreicht die Einhaltung nationaler Gesetze. Zudem wird auf die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO hingewiesen.
Modul 9: Andere Leitfäden, Tools und Hinweise
Im letzten Modul stellt die CNIL eine Liste zahlreicher Publikationen und Standards bereit, die Anbieter für eine detailliertere Bewertung der Verarbeitungen verwenden können. Diese Ressourcen umfassen neben weiteren Leitfäden und Fragebögen auch Verlinkungen zu verschiedenen Tools zur Bewertung, aber auch zur konformen Entwicklung von KI-Systemen.
Fazit
Mithilfe dieser Selbsteinschätzung sollen Unternehmen in der Lage sein, den Reifegrad ihrer KI-Systeme hinsichtlich der Datenschutzvorschriften eigenständig zu bewerten. Die bereitgestellten Leitfäden und Tools wurden bewusst allgemein formuliert, um eine breite Anwendbarkeit für verschiedenste Branchen, KI-Typen und Einsatzszenarien zu gewährleisten. Es ist also im Anschluss an die Selbsteinschätzung weiterhin die Expertise von Fachleuten einzuholen, die auf die spezifischen datenschutzrechtlichen Aspekte im Zusammenhang mit dem eigenen KI-System eingehen können. Dies stellt sicher, dass eine umfassende und maßgeschneiderte Compliance mit den Datenschutzbestimmungen gewährleistet ist.
Mit den von der CNIL bereitgestellten Ressourcen wird der datenschutzkonforme Einsatz von KI-Systemen erleichtert. Diese Leitfäden und Fragebögen dürften ein wesentlicher Schritt in einer umfangreichen Strategie sein, um die Entwicklung solcher Technologien zu fördern, aber auch den Datenschutz zu gewährleisten. Es werden stets neue Problemfelder auftauchen, die im datenschutzrechtlichen Regelungsfeld neue Fragestellungen aufwerfen werden.
Es bleibt also abzuwarten, wie sich dies vor allem unter dem erwarteten AI Act der Europäischen Union zukünftig entwickelt. Ebenfalls sollten in Zukunft ähnliche Hilfestellungen auch von anderen Behörden veröffentlicht werden.
