Künstliche Intelligenz (KI und Datenschutz

Der Prompt, die Trainingsdaten und der Output

20 Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union - also am 01.08.2024 - trat der AI-Act in Kraft. Die Verordnung der EU für den Umgang mit künstlicher Intelligenz. Und da es eine Verordnung ist und keine Richtlinie, ist das Regelwerk zum Gültigkeitsdatum in jedem EU-Mitgliedsstaat unmittelbar anzuwenden.

Aus Datenschutzsicht ergeben sich hier ein paar Fragestellungen, die sie sich als Verantwortliche beantworten sollte, um am Ende des Tages Rechtssicherheit im eigenen Unternehmen herzustellen. 

Ist in ihrem Unternehmen bereits ein Managementsystem implementiert, also ein funktionierendes Datenschutzmanagementsystem, ein ISMS nach ISO 27001, eine ISO 9001 oder ähnliches, sind die folgenden Punkte ideal für sie, um Klarheit und  Sicherheit bei der Verarbeitung personenbezogener Daten innerhalb einer Künstlichen Intelligenz zu bekommen. Gehen Sie am besten in 5 Schritten strukturiert vor und dokumentieren die einzelnen Ergebnisse, idealerweise im Verzeichnis der Verarbeitungstätigkeiten (VVT).

Und glauben sie mir, es ist einfacher als es sich ließt, man muss es nur machen. Gerne unterstütze ich sie dabei.

Hier gibt es den deutschen Text in strukturierter Darstellung.

  1. Erfassung der verwendeten KI-Technologie - Der erste Schritt besteht darin, das wir alle KI-Technologien zu erfassen, die sie in ihrem Unternehmen einsetzen. Zu diesem Zweck muss ein KI-Register erstellt werden. Zu jeder KI-Technologie werden Fragen technischer und organisatorischer Natur gestellt. Es ist notwendig zu wissen, zu welchem Zweck und in welchem Kontext die Technologie eingesetzt wird oder werden soll. Außerdem werden technische Informationen benötigt, darunter die Komponenten, aus denen die Technologie besteht, die verwendeten Datenquellen, das verwendete Framework und auch welcher Vertragspartner ihnen die KI zur Verfügung stellt.
  2. Risikoklassifizierung und Rollenzuweisung - Der zweite Schritt besteht darin, die erfassten KI-Technologien zu klassifizieren. Dazu müssen wir vergleichen, inwieweit die Anwendungsszenarien, in denen sie die KI-Technologie einsetzen wollen, unter eine verbotene Praxis oder ein Hochrisikoszenario fallen. Je nachdem, welche der Kategorien hier zutrifft, muss auch ihre Rolle in der KI-Wertschöpfungskette für jede dieser KI-Technologien definiert werden. Sind sie nur Anwender oder auch Entwickler dieser Technologien?
  3. Ressourcen- und Budgetplanung - Nachdem wir festgelegt haben, wie die KI-Technologie nach dem KI-Gesetz einzuordnen ist, bestimmen wir den Umfang des notwendigen Managementsystems (Scope). Dieser kann von einem einfachen Risikomanagementsystem (Art. 9 KI-Gesetz) bis zu einem komplexen Qualitätsmanagementsystem (Art. 17 KI-Gesetz) reichen. In der Regel beginnen wir mit einfachen und leicht verständlichen Richtlinien, die sie innerhalb ihres Unternehmens an die jeweiligen Abteilungen oder Zielgruppen ausrollen. Vielleicht ist es aber auch erforderlich, die für das Risikomanagement notwendigen Prozesse aufzulisten und die erforderlichen Personal-, Verwaltungs-, Rechts- und IT-Kosten im Rahmen eines Budgetplans zu erfassen. Auch hier unterstütze ich Sie dabei, in Abhängigkeit des Risikos eine Präsentation vor der Geschäftsleitung vorzubereiten und durchzuführen, um die identifizierten Risiken und die geplanten Maßnahmen darzustellen. Auch das für die geplanten Maßnahmen erforderliche Budget wird vorgestellt.
  4. Implementierung von AI-Governance - Basierend auf den Ergebnissen der Risikoanalyse, Klassifizierung und Rollenzuweisung sowie dem definierten Ressourcen- und Budgetplan müssen die Anforderungen des KI-Gesetzes in den bestehenden Managementsystemen umgesetzt werden. Dazu sind die zuvor definierten Rollen und Verantwortlichkeiten zu übertragen und den Überwachungs- und Kontrollfunktionen des Managementsystems zuzuordnen. Gegebenenfalls empfehle ich, ihre Organisationsstruktur entsprechend anzupassen. 
  5. PDCA-Zyklus - Wie andere Managementsysteme muss auch das KI-Managementsystem kontinuierlich überprüft und an die aktuellen Gegebenheiten angepasst werden. Unter anderem müssen die Gesetzgebung und die Rechtsprechung zum KI-Gesetz laufend überwacht werden. Die Europäische Kommission kann delegierte Rechtsakte und Durchführungsrechtsakte erlassen und Leitlinien entwickeln, um den Anwendungsbereich und die Anforderungen des KI-Gesetzes anzupassen. Es ist wichtig, diese Änderungen zu überwachen und zu berücksichtigen. Natürlich können auch technologische Entwicklungen können eine Anpassung des KI-Managementsystems erforderlich machen. Es muss laufend KI-Expertise aufgebaut und erhalten werden, um die Chancen und Risiken im Datenschutz beim Einsatz von KI-Technologie sorgfältig abwägen zu können, damit ihr Unternehmen rechtssicher belastbar im Markt agiert.

Drag and Drop Website Builder