Allgemein

Chancen, Risiken und Prüfungsansätze beim datenschutzkonformen Einsatz von KI-Systemen

23. September 2024, von Dr. Ralf Kollmann

Ich freue mich, auf der kommenden IDACON 2024 einen Vortrag zu halten, der sich mit einem der spannendsten und relevantesten Themen unserer Zeit beschäftigt: Künstliche Intelligenz (KI). Im Rahmen meines Vortrags werde ich zentrale Aspekte von KI, diesbezügliche Berührungspunkte zu den Themen Datenschutz und Informationssicherheit sowie strategische und praktische Auswirkungen beleuchten.

Was ist Künstliche Intelligenz?

Über KI wird dieser Tage viel gesprochen. Dabei wird eines oft deutlich: Eine genaue und trennscharfe Definition und Abgrenzung von Künstlicher Intelligenz ist leichter gefordert als allgemeingültig formuliert. Gleichwohl ist die Frage, ob ein System als "KI-System" einzuordnen ist, für die Beurteilung der Pflichten aus Datenschutz und KI-Compliance erforderlich.

Ich werde deshalb eingangs einen kurzen Überblick über die Grundlagen von Künstlicher Intelligenz geben. Dabei geht es darum, was KI ist, wie sie funktioniert und welche Arten von KI-Systemen es gibt. Auch eine Abgrenzung von Automatisierung und klassischer Algorithmik darf hier nicht fehlen. Die Einführung soll es den Zuhörern ermöglichen, ein besseres Verständnis für die darauffolgenden, spezialisierteren Themen zu entwickeln.

Im Anschluss daran werde ich einen Einblick in gängige Ausprägungen von KI-Modellen und Anwendungsfälle aus der Praxis geben. Sprachmodelle wie GPT-4, die in der Lage sind, menschenähnliche Texte zu generieren, revolutionieren zahlreiche Branchen und Anwendungen. Dabei stellen sie insgesamt betrachtet aber nur einen kleinen Teil der KI-bezogenen Anwendungsfälle dar.

Zwei wichtige Rechtsnormen für KI-Systeme: DSGVO und KIVO

Im Mai 2024 hat die EU-Kommission im Trilog mit Parlament und Rat eine Einigung über die neue KI-Verordnung (KIVO) erzielt. Beim Einsatz und der Entwicklung von KI-Systemen sind damit neue, teils umfassende Anforderungen einschlägig und zu berücksichtigen. Doch nicht nur die KIVO wird hier auf lange Sicht relevant sein – auch die DSGVO nimmt durch ihre Regelungen umfassend Einfluss auf die Gestaltung von KI-Systemen, soweit personenbezogene Daten verarbeitet werden. Ich werde einen kurzen Überblick über einige der zentralen Anforderungen beider Rechtsnormen im Kontext der Entwicklung und Nutzung von KI-Systemen geben.

KI-Sicherheitsmanagementsystem? DSFA und KI-GFA

Für die Einführung risikobehafteter Geschäftsprozesse und Systeme sehen sowohl die DSGVO als auch die KIVO systematische Verfahren vor, die zur Identifizierung möglicher Risiken und zur Adressierung selbiger durch angemessene Schutzmaßnahmen beitragen. In Zusammenhang mit einem Datenschutz- oder KI-Managementsystem sind hier insbesondere Datenschutz-Folgenabschätzungen (DSFA) und KI-Grundrechte-Folgenabschätzungen (KI-GFA) zu berücksichtigen. Diese Instrumente sind hilfreich und notwendig, um die Sicherheit und den Schutz personenbezogener Daten bei der Nutzung von KI zu gewährleisten.

Entwicklung einer KI-Strategie

Für die meisten Unternehmen, die eine ernsthafte Auseinandersetzung mit dem Thema Künstliche Intelligenz und den daraus erwachsenden Chancen planen, steht zunächst die Entwicklung einer KI-Strategie im Fokus. Im Mittelpunkt steht hierbei nicht zuletzt die Frage, welche Chancen und Risiken der Einsatz von KI mit sich bringt. Den potenziellen Vorteilen – wie bspw. Effizienzsteigerung, Verbesserung des Qualitätsmanagements, Optimierung von Geschäftsprozessen oder Erweiterung der Geschäftsmodelle – sind die möglichen Gefährdungen und Risiken entgegenzustellen und gegeneinander abzuwägen. Risiken können bspw. im Zusammenhang mit IT-Sicherheitsfragen, Datenschutzverletzungen, Handlungsbedarf durch Compliance-Anforderungen und ethischen Fragestellungen entstehen. Ich werde erläutern, wie Unternehmen eine Potenzialanalyse durchführen und basierend darauf eine effektive KI-Strategie entwickeln können, die sowohl die Möglichkeiten und Chancen als auch die im Hinblick auf Datenschutz, Informationssicherheit und KI-Compliance bestehenden Pflichten und Risiken sowie die ethischen Anforderungen berücksichtigt.

Ansätze zur Gestaltung und Prüfung von KI-Systemen

Durch die zunehmende Vernetzung von Geschäftsprozessen – bspw. im Bereich des Betriebes und Einsatzes von Lieferketten – kommt dem Nachweis angemessener IT-Sicherheitsmaßnahmen und der Einhaltung einschlägiger Rechtsnormen eine wachsende Bedeutung zu. Bei der Einführung von KI-Systemen ist hier eine ähnliche Entwicklung zu erwarten. Ich spreche in meinem Vortrag daher abschließend über Ansätze zur Prüfung von KI-Systemen. Mit der Prüfung verbundene Ziele sind zum einen die Identifizierung etwaiger Handlungsbedarfe beim Einsatz von KI-Systemen, bspw. zur Gewährleistung eines sicheren Betriebs oder der Einhaltung von Compliance-Vorschriften. Darüber hinaus kann eine Prüfung dazu dienen, gegenüber Dritten einen objektiven Nachweis über die Zuverlässigkeit, Sicherheit und Compliance von KI-Systemen zu erbringen.

Ich freue mich darauf, diese spannenden Themen auf der IDACON 2024 zu präsentieren und mit den Teilnehmern darüber zu diskutieren. Künstliche Intelligenz bietet enorme Potenziale, bringt aber auch eine Vielzahl von Herausforderungen mit sich. Mein Ziel ist es, den Zuhörern einen Überblick über diese Thematik zu vermitteln und ihnen praktische Ansätze für den Umgang mit KI in ihrem beruflichen Umfeld aufzuzeigen.

Hier klicken, um Ihre Teilnahme zu sichern

Alle Informationen zum Vortrag am 05.11.2024 auf der IDACON

Chancen, Risiken und Prüfungsansätze beim datenschutzkonformen Einsatz von KI-Systemen
  • Überblick über KI-Sprachmodelle
  • Schutzmaßnahmen für Datenschutz und Informationssicherheit
  • Entwicklung einer KI-Strategie
  • Ansätze zur Gestaltung und Prüfung

Der Autor

Dr. Ralf Kollmann

Prokurist und Senior Manager

Dr. Ralf Kollmann ist seit über 20 Jahren in den Bereichen Informationssicherheit und Datenschutz tätig. Er hat Informatik und Wirtschaftswissenschaften mit Schwerpunkt im Unternehmensrecht studiert und im Bereich Softwaretechnik promoviert. Seit 2005 ist er bei der FIDES als IT-Auditor und IT-Berater aktiv. Gegenwärtig ist er als Prokurist mit fachlichen Schwerpunkten in den Bereichen Datenschutz, Informationssicherheit und KI-Beratung tätig.

Mehr zum Autoren

Das könnte Sie auch interessieren: