Skip to main content

Neue ICO-Richtlinien für die Einhaltung des Datenschutzes bei KI und PII

    Mit der zunehmenden Verbreitung von KI in unserem Alltag müssen sich Unternehmen auf der ganzen Welt mit der wachsenden Zahl rechtlicher und regulatorischer Pflichten im Zusammenhang mit der Nutzung von KI-Systemen auseinandersetzen.

    Im November 2022 kündigte das ICO eine Reihe von Richtlinien an, wie Organisationen KI und personenbezogene Daten sowohl ethisch als auch rechtlich in Übereinstimmung mit dem britischen Datenschutzrahmen nutzen können.

    Der Leitfaden wird durch eine Reihe häufig gestellter Fragen zur Nutzung von KI und personenbezogenen Daten ergänzt, z. B. ob Folgenabschätzungen durchgeführt werden sollten, ob bei den Ergebnissen der Grundsatz der Genauigkeit eingehalten werden muss und ob Organisationen eine Genehmigung für die Analyse personenbezogener Daten benötigen.

    In diesem Leitfaden wird erläutert, wie die Datenschutzvorschriften auf KI-Initiativen anzuwenden sind, wobei die vielen Vorteile solcher Projekte im Auge behalten werden. So können Organisationen die Risiken, die sich speziell aus Sicht des Datenschutzes ergeben, verringern.

    Lesen Sie mehr über diesen Leitfaden auf der Webseite des ICO.

    Wie man rechtmäßig KI-Daten sammelt

    Der Leitfaden des ICO erkennt an, dass der Einsatz von KI zwar unbestreitbare Vorteile hat, aber auch die Freiheiten und Rechte der Menschen gefährden kann, wenn der Datenschutz nicht ernst genommen wird. Zu diesem Zweck bietet der Leitfaden einen nützlichen Rahmen dafür, wie Unternehmen diese Risiken bewerten und abmildern sollten.

    Der Leitfaden umfasst acht strategische Elemente, die Unternehmen übernehmen können, um ihren Umgang mit KI und personenbezogenen Daten zu verbessern:

     

    1. Verwenden Sie ein risikobasiertes Verfahren bei der Entwicklung und Implementierung von KI

    Wenn Sie KI einsetzen, sollten Sie prüfen, ob sie für die jeweilige Situation notwendig ist. KI gilt in der Regel als Hochrisikotechnologie, wenn sie mit personenbezogenen Daten interagiert. Ein Unternehmen benötigt große Datenmengen, um seine Systeme zu verbessern, damit sie richtig funktionieren, und unsere Daten könnten weiterverkauft werden, ohne dass wir wissen, wer sie erhält oder wie sie verwendet werden.

    Es könnte also einen effizienteren und die Privatsphäre wahrenden Ersatz geben.

    Wie die ICO feststellt, müssen Sie die Risiken bewerten und die notwendigen organisatorischen und technischen Schutzmaßnahmen ergreifen, um sie zu verringern. Realistischerweise ist es unmöglich, alle Risiken vollständig zu beseitigen, und die Datenschutzgesetze schreiben dies auch nicht vor, aber stellen Sie sicher, dass Sie dies tun:

    • Führen Sie eine Datenschutz-Folgenabschätzung (DPIA) durch, um das Risiko der Nichteinhaltung von Datenschutzgesetzen durch den Einsatz von KI zu ermitteln und zu verringern sowie Schäden für Einzelpersonen zu verhindern.
    • Holen Sie die Meinung vieler Gruppen ein, auf die sich Ihr Einsatz von KI möglicherweise auswirkt, um die Gefahr besser zu verstehen.

    Wenn eine Datenschutzfolgenabschätzung gesetzlich vorgeschrieben ist, müssen Sie diese vor dem Einsatz eines KI-Systems durchführen und angemessene organisatorische und technische Schutzmaßnahmen einführen, die dazu beitragen, die festgestellten Risiken zu verringern oder zu bewältigen. Bevor eine Verarbeitung stattfindet, sind Sie gesetzlich verpflichtet, mit dem ICO zu sprechen, wenn Sie ein Risiko erkennen, das Sie nicht angemessen mindern können.

     

    2. Überlegen Sie, wie Sie die Entscheidungen Ihres KI-Systems den Betroffenen erklären werden

    Laut ICO kann es schwierig sein zu erklären, wie KI bestimmte Entscheidungen und Ergebnisse generiert, insbesondere wenn es um maschinelles Lernen und komplizierte Algorithmen geht.

    Die ICO empfiehlt Folgendes:

    • Seien Sie den Menschen gegenüber klar, offen und transparent darüber, wie und warum Sie ihre personenbezogenen Daten erfassen und verwenden
    • Überlegen Sie, welche Rechtfertigung in dem Umfeld, in dem Ihr KI-System eingesetzt werden soll, erforderlich ist.
    • Überlegen Sie, wie die Menschen Ihre Erklärung wahrscheinlich wahrnehmen werden.
    • Analysieren Sie die wahrscheinlichen Auswirkungen der Entscheidungen Ihres KI-Systems, um zu bestimmen, wie ausführlich Ihre Begründung sein sollte.
    • Überlegen Sie, wie individuelle Rechteanfragen gehandhabt werden sollen.

     

    3. Sammeln Sie nur die Informationen, die für die Erstellung Ihres KI-Systems erforderlich sind

    Das ICO rät, die Datenerfassung so weit wie möglich einzuschränken. Das heißt nicht, dass keine Daten gesammelt werden dürfen - es bedeutet nur, dass die Daten so verwaltet werden müssen, dass sie den GDPR-Standards entsprechen.

    Das sollten Sie tun:

    • Sicherstellen, dass die von Ihnen verwendeten personenbezogenen Daten richtig, angemessen, relevant und begrenzt sind - dies hängt von dem Kontext ab, in dem Sie KI verwenden
    • Überlegen Sie, welche Methoden zum Schutz der Privatsphäre für die Situation geeignet sind, in der Sie KI zur Verarbeitung personenbezogener Daten einsetzen.

    Der Grundsatz der Genauigkeit des Datenschutzes verlangt nicht, dass ein KI-System zu 100 % korrekt ist. Stattdessen sollten Organisationen sicherstellen, dass Verfahren vorhanden sind, die Fairness und Gesamtgenauigkeit der Ergebnisse garantieren.

     

    4. Risiken von Voreingenommenheit und Diskriminierung in einem frühen Stadium erkennen

    Es gibt Möglichkeiten, wie ein KI-System voreingenommen sein oder zu Diskriminierung führen kann. Dies kann zu ungenauen, unausgewogenen Datensätzen führen, und die frühzeitige Behebung dieses Problems ist ein wichtiger Aspekt der Einhaltung des Datenschutzes.

    Die ICO empfiehlt, dass Sie:

    • Bestimmen Sie, ob die Daten, die Sie sammeln, für die Gemeinschaft oder die verschiedenen Gruppen von Menschen, die von dem KI-System betroffen sind, genau, repräsentativ, zuverlässig, relevant und aktuell sind.
    • Bestimmen Sie, ob die vom KI-System getroffenen Entscheidungen akzeptabel sind, indem Sie die potenziellen Auswirkungen und Ergebnisse für verschiedene Gruppen aufzeigen.

     

    5. Investieren Sie Zeit und Ressourcen in die ordnungsgemäße Aufbereitung der Daten

    Wie bereits erwähnt, ist KI nur so zuverlässig wie die Daten, die sie sammelt. Daher müssen Organisationen sicherstellen, dass genügend Ressourcen und Zeit für die Sammlung der erforderlichen Daten aufgewendet werden.

    Das empfiehlt die ICO:

    • Wenn es um die Kennzeichnung von Daten geht, die geschützte Merkmale oder besondere Datenkategorien beinhalten, sollten definierte Kriterien und Verantwortungsbereiche bestehen.
    • Zur Wahrung der Konsistenz und zur Bewältigung ungewöhnlicher Situationen sollten Sie mehrere Personen für die Kennzeichnung heranziehen.

     

    6. Stellen Sie sicher, dass Ihr KI-System sicher ist

    KI-Systeme haben das Potenzial, Risiken zu erhöhen oder neue Sicherheitslücken zu schaffen.

    Bei den Sicherheitsmaßnahmen gibt es kein Patentrezept, das für alle gilt. Sie müssen sich jedoch an die Gesetze halten und die entsprechenden organisatorischen und technischen Sicherheitsvorkehrungen treffen, um ein Sicherheitsniveau zu gewährleisten, das den festgestellten Risiken angemessen ist.

    Das ICO empfiehlt den Unternehmen:

    • eine Sicherheitsrisikobewertung durchzuführen, die ein aktuelles Inventar aller KI-Systeme umfasst, um ein allgemeines Konzept zu erhalten, wo potenzielle Zwischenfälle auftreten könnten
    • Modell-Debugging durchzuführen, d. h. Schwachstellen in Ihrem Modell zu identifizieren und zu beheben - entweder durch einen internen oder einen externen Sicherheitsprüfer
    • Implementierung eines proaktiven Überwachungssystems und Untersuchung aller Unregelmäßigkeiten

     

    7. Menschliche Überprüfungen von KI-Entscheidungen sollten aussagekräftig sein

    Je nach Zielsetzung der KI sollte frühzeitig festgelegt werden, ob die Ergebnisse zur Unterstützung eines menschlichen Entscheidungsträgers herangezogen werden oder ob die Entscheidungen völlig autonom getroffen werden.

    Die ICO betont, dass die betroffenen Personen das Recht haben, zu erfahren, ob die Entscheidungen, die ihre Daten betreffen, vollständig von ihnen selbst oder mit Hilfe von KI getroffen wurden. In den Leitlinien wird auch vorgeschlagen, dass sie sinnvoll bewertet werden sollten, wenn sie zur Unterstützung einer Person eingesetzt werden.

    Um sicherzustellen, dass diese Bewertungen aussagekräftig sind, sollten die Prüfer:

    • ausreichend qualifiziert sein, um die Ergebnisse von KI-Systemen zu bewerten und zu hinterfragen
    • in der Lage sein, ein automatisches Urteil zu revidieren
    • sich zusätzlicher Faktoren bewusst sein, die in den Eingabedaten nicht berücksichtigt wurden

    Wenn eine Entscheidung rechtliche oder andere wesentliche Auswirkungen hat, haben die betroffenen Personen nach der Datenschutz-Grundverordnung das Recht, ihr nicht zu unterliegen. Sie haben auch das Recht, aussagekräftige Informationen über die Gründe für die Entscheidung zu erwarten.

    Folglich ist eine menschliche Überprüfung notwendig, wenn KI wichtige Entscheidungen trifft, auch wenn sie als Empfehlung ausgesprochen wird.

     

    8. Konsultieren Sie einen externen Anbieter, um sicherzustellen, dass Ihr Einsatz von KI angemessen ist

    Der Kauf eines KI-Systems von einem Drittanbieter entbindet Sie nicht von der Verantwortung, die Datenschutzgesetze einzuhalten. In den meisten Fällen sind Sie der für die Datenverarbeitung Verantwortliche und entscheiden, wie Sie das KI-System einsetzen.

    Folglich müssen Sie nachweisen können, wie das KI-System die Datenschutzvorschriften einhält.

    Das ICO empfiehlt den Unternehmen:

    • Wählen Sie einen geeigneten Anbieter, indem Sie vor der Beschaffung eine Due-Diligence-Prüfung durchführen
    • mit dem externen Anbieter eine Bewertung vor dem Einsatz durchzuführen (z. B. eine DPIA)
    • Festlegung von Rollen und Pflichten mit dem externen Anbieter und deren Aufzeichnung (z. B. wer auf Anfragen nach individuellen Rechten reagiert oder Sicherheitsüberprüfungen durchführt)
    • Verlangen Sie vom externen Anbieter Unterlagen, die belegen, dass er den "eingebauten Datenschutz" beachtet.
    • Überlegen Sie, ob personenbezogene Daten ins Ausland übertragen werden - wenn ja, stellen Sie sicher, dass die Datenschutzrechte der Personen respektiert werden.

     

    DSGVO und KI

    Obwohl KI das Potenzial hat, ein wertvolles Werkzeug zu sein, birgt sie im Zuge ihrer Entwicklung auch ein Risiko für die Datensicherheit und den Datenschutz sowie rechtliche Bedenken.

    Es ist schwer zu vermeiden, die Allgemeine Datenschutzverordnung (DSGVO) anzusprechen, wenn es um Regeln für künstliche Intelligenz (KI) geht. Daten sind ein wesentlicher Bestandteil von KI-Anwendungen, und die DSGVO hat weltweit den größten Einfluss auf die Schaffung eines stärker regulierten Datenmarktes gehabt.

    Sehen Sie sich unseren DSGVO- und Datenschutz-Hub an, der sich eingehend mit Vorschriften und Compliance befasst.