Sie sind hier: Home » Markt » Hinweise & Tipps

Einsatz von KI-Anwendungen


KI-Lösungen müssen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen
NTT Ltd. benennt vier Schwerpunkte für datenschutzkonforme KI-Lösungen



Von Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division

NTT identifiziert die vier wichtigsten Herausforderungen bei Konzeption und Einsatz von KI-Anwendungen im Unternehmen. Der Siegeszug Künstlicher Intelligenz spielt beim jüngst ausgelösten Digitialisierungsschub eine herausragende Rolle, schließlich erobert KI ständig neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz. Die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung jedoch vor komplexe, neue Herausforderungen, denn sie müssen sicherstellen, dass KI-Lösungen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen. NTT Ltd. hat die wichtigsten Aktionsfelder dafür identifiziert.

1. Absicherung der KI-Lösung: Der erste Schritt zur datenschutzkonformen Nutzung von Künstlicher Intelligenz ist unter anderem die technische und organisatorische Absicherung der KI-Lösung gegen Missbrauch. Sie beginnt bei der strikten Zugangskontrolle und eindeutig geregelten Zugriffsberechtigung auf die KI-Programme. Damit ist sicherstellt, dass nur autorisierte Mitarbeiter Zugang zur KI-Logik haben und Änderungen daran vornehmen können. So muss das Rechtemanagement unter anderem toxische Kombinationen ausschließen, bei der die Verknüpfung von Einzelrechten zu neuen, an sich unerlaubten Zugriffsmöglichkeiten führt. Zudem muss die KI-Logik transparent sein. Artikel 5 der DSGVO schreibt die Intervenierbarkeit vor. Damit soll gewährleistet werden können, dass ein Betroffener Auskunft über die Auswahlkriterien und deren Verarbeitung erhält, etwa in Bewerbungsprozessen oder bei Kreditvergaben. Hierbei ist abzuwägen, ob möglicherweise rechtliche Einschränkungen gegeben sind (etwa zur Wahrung von Geschäftsgeheimnissen).

2. Absicherung der Daten: Das gleiche gilt für alle im KI-Prozess verarbeiteten Daten. Bei der Datenverarbeitung betrifft das Arbeitsschritte wie Datenerhebung, -selektion, -fluss, -analyse und -weitergabe sowie deren technische und juristische Absicherung. Über den gesamten Lebenszyklus der Daten ist die Zweckbindung zu berücksichtigen. Das gilt gleichermaßen für Mitarbeiter (auf Basis des Arbeitsvertrags) als auch Kunden, deren Daten beispielsweise im Rahmen einer Leistungserbringung erfasst wurden, aber nicht für Marketingzwecke eingesetzt werden dürfen. Sie sind damit auch ohne zusätzliche Einwilligungserklärung für das Training der KI-Lösung tabu.

Dieser potenzielle Missbrauch muss von vornherein ausgeschlossen werden. Sämtliche Daten, Prozesse und Arbeitsschritte innerhalb des KI-Systems sind bereits in der Designphase einem zuständigen Owner zuzuweisen. Dieser definiert unter Berücksichtigung des Kaskadenprinzips den Schutzbedarf, führt eine Risikoanalyse durch, leitet die erforderlichen Schutzmaßnahmen ab und gewährleistet deren Etablierung. Analog zur KI-Logik gehört zur Intervenierbarkeit laut DSGVO auch, dass Betroffenen jederzeit Auskunft zur Verarbeitung ihrer personenbezogenen Daten gewährt werden muss. Dies ist organisatorisch und technisch von Anfang an sicherzustellen.

3. Absicherung der IT-Systeme: Sämtliche im KI-Prozess genutzten technischen und räumlichen Ressourcen sind Teil eines umfassenden Sicherheitskonzepts. Das reicht von der IT-Infrastruktur (Server, Netzwerke, Storage Systeme, Cloud Services, Endgeräte) über die genutzten Security-Konzepte (Firewalls, Viren-Software) bis hin zu Gebäuden. Die Absicherungsmaßnahmen gegen Schäden, Missbrauch, unberechtigte Zugriffe oder Cyber-Attacken müssen lückenlos identifiziert, etabliert, dokumentiert und jederzeit nachweisbar sein. Wie bei den Daten sind auch die Verantwortlichkeiten für die IT-Systeme zu definieren und festzuhalten.

4. Governance Risk & Compliance: Sämtliche Teilverantwortlichkeiten bezüglich der KI-Logik, des Umgangs mit Daten, der eingesetzten Ressourcen und des Sicherheitskonzepts laufen zentral bei der Geschäftsführung auf, die für die KI-Nutzung insgesamt die Verantwortung trägt (Rechenschaftspflicht). Dazu gehört auch die Prüfung der KI-Lösung auf Gleichbehandlung (Bias) aller Kunden. Es muss sichergestellt sein, dass sie diskriminierungsfrei arbeitet und Bevorzugung oder Benachteiligung wegen Herkunft, Religion, Geschlecht, Hautfarbe oder ähnlicher Merkmale ausgeschlossen sind. Und nicht zuletzt gilt es auch, den menschlichen Faktor mit einzubeziehen. Training, Schulung und Consulting der Mitarbeiter sind elementarer Teil von Sicherungskonzepten für den KI-Einsatz.

Datenschutzaspekte müssen bei der Konzeption und Implementierung von KI-Lösungen von Anfang an mitgedacht werden. Das Prinzip ‚Data Protection by Design‘ hilft dabei, schon sehr früh die Weichen für eine datenschutzkonforme KI-Lösung richtig zu stellen, und so aufwändige Korrekturen und Nacharbeiten zu vermeiden. Was noch fehlt, sind konkretere Umsetzungsstandards für KI-Prozesse, mit einem integrierten Ansatz, um den Unternehmen die Arbeit zu erleichtern. (NTT: ra)

eingetragen: 24.08.20
Newsletterlauf: 12.11.20

Comarch Software und Beratung: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

  • Rechenschaftspflicht: Risikoreduzierung & Stärkung

    Europäische Gesetzgeber setzen mit dem, was eines der bedeutendsten Gesetzgebungen in einer Generation sein könnte, fort. Die EU KI-Verordnung wird einen wesentlich proaktiveren Ansatz zur Regulierung verfolgen als die derzeitigen Vorschläge in den USA und in Großbritannien.

  • Zukunftsaussichten für das Underwriting

    Technologieunternehmen, die ihren Schwerpunkt auf das Versicherungswesen legen - sogenannte InsurTechs -, stellen inzwischen eine echte Konkurrenz für traditionelle Versicherungsunternehmen dar, die mit der Agilität dieser neuen Marktteilnehmer kaum Schritt halten können.

  • Stolperstein Verpackungsgesetz

    Wer Verpackungen in den Umlauf bringt, muss sich laut Gesetzgeber im Anschluss finanziell an deren Verwertung beteiligen. Das betrifft insbesondere Gründer im E-Commerce, deren Waren in den meisten Fällen per Paketdienst oder Spedition zugestellt werden.

  • Generative KI-Tools mit großen Sicherheitsrisiken

    ChatGPT und Co. sind tolle Helferlein am Arbeitsplatz - und ein potenzielles Sicherheitsrisiko. Unternehmen und Mitarbeiter sollten sich deshalb zweimal überlegen, welche Aufgaben sie ChatGPT und Co. übertragen Forcepoint erläutert, wofür sie generative KI-Tools bei der Arbeit besser nicht nutzen sollten.

Erfordernis einer digitalen Due Diligence Für welche Unternehmen gilt die XRechnungspflicht?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen