Sie sind hier: Home » Markt » Hinweise & Tipps

Einsatz von KI-Anwendungen


KI-Lösungen müssen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen
NTT Ltd. benennt vier Schwerpunkte für datenschutzkonforme KI-Lösungen



Von Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division

NTT identifiziert die vier wichtigsten Herausforderungen bei Konzeption und Einsatz von KI-Anwendungen im Unternehmen. Der Siegeszug Künstlicher Intelligenz spielt beim jüngst ausgelösten Digitialisierungsschub eine herausragende Rolle, schließlich erobert KI ständig neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz. Die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung jedoch vor komplexe, neue Herausforderungen, denn sie müssen sicherstellen, dass KI-Lösungen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen. NTT Ltd. hat die wichtigsten Aktionsfelder dafür identifiziert.

1. Absicherung der KI-Lösung: Der erste Schritt zur datenschutzkonformen Nutzung von Künstlicher Intelligenz ist unter anderem die technische und organisatorische Absicherung der KI-Lösung gegen Missbrauch. Sie beginnt bei der strikten Zugangskontrolle und eindeutig geregelten Zugriffsberechtigung auf die KI-Programme. Damit ist sicherstellt, dass nur autorisierte Mitarbeiter Zugang zur KI-Logik haben und Änderungen daran vornehmen können. So muss das Rechtemanagement unter anderem toxische Kombinationen ausschließen, bei der die Verknüpfung von Einzelrechten zu neuen, an sich unerlaubten Zugriffsmöglichkeiten führt. Zudem muss die KI-Logik transparent sein. Artikel 5 der DSGVO schreibt die Intervenierbarkeit vor. Damit soll gewährleistet werden können, dass ein Betroffener Auskunft über die Auswahlkriterien und deren Verarbeitung erhält, etwa in Bewerbungsprozessen oder bei Kreditvergaben. Hierbei ist abzuwägen, ob möglicherweise rechtliche Einschränkungen gegeben sind (etwa zur Wahrung von Geschäftsgeheimnissen).

2. Absicherung der Daten: Das gleiche gilt für alle im KI-Prozess verarbeiteten Daten. Bei der Datenverarbeitung betrifft das Arbeitsschritte wie Datenerhebung, -selektion, -fluss, -analyse und -weitergabe sowie deren technische und juristische Absicherung. Über den gesamten Lebenszyklus der Daten ist die Zweckbindung zu berücksichtigen. Das gilt gleichermaßen für Mitarbeiter (auf Basis des Arbeitsvertrags) als auch Kunden, deren Daten beispielsweise im Rahmen einer Leistungserbringung erfasst wurden, aber nicht für Marketingzwecke eingesetzt werden dürfen. Sie sind damit auch ohne zusätzliche Einwilligungserklärung für das Training der KI-Lösung tabu.

Dieser potenzielle Missbrauch muss von vornherein ausgeschlossen werden. Sämtliche Daten, Prozesse und Arbeitsschritte innerhalb des KI-Systems sind bereits in der Designphase einem zuständigen Owner zuzuweisen. Dieser definiert unter Berücksichtigung des Kaskadenprinzips den Schutzbedarf, führt eine Risikoanalyse durch, leitet die erforderlichen Schutzmaßnahmen ab und gewährleistet deren Etablierung. Analog zur KI-Logik gehört zur Intervenierbarkeit laut DSGVO auch, dass Betroffenen jederzeit Auskunft zur Verarbeitung ihrer personenbezogenen Daten gewährt werden muss. Dies ist organisatorisch und technisch von Anfang an sicherzustellen.

3. Absicherung der IT-Systeme: Sämtliche im KI-Prozess genutzten technischen und räumlichen Ressourcen sind Teil eines umfassenden Sicherheitskonzepts. Das reicht von der IT-Infrastruktur (Server, Netzwerke, Storage Systeme, Cloud Services, Endgeräte) über die genutzten Security-Konzepte (Firewalls, Viren-Software) bis hin zu Gebäuden. Die Absicherungsmaßnahmen gegen Schäden, Missbrauch, unberechtigte Zugriffe oder Cyber-Attacken müssen lückenlos identifiziert, etabliert, dokumentiert und jederzeit nachweisbar sein. Wie bei den Daten sind auch die Verantwortlichkeiten für die IT-Systeme zu definieren und festzuhalten.

4. Governance Risk & Compliance: Sämtliche Teilverantwortlichkeiten bezüglich der KI-Logik, des Umgangs mit Daten, der eingesetzten Ressourcen und des Sicherheitskonzepts laufen zentral bei der Geschäftsführung auf, die für die KI-Nutzung insgesamt die Verantwortung trägt (Rechenschaftspflicht). Dazu gehört auch die Prüfung der KI-Lösung auf Gleichbehandlung (Bias) aller Kunden. Es muss sichergestellt sein, dass sie diskriminierungsfrei arbeitet und Bevorzugung oder Benachteiligung wegen Herkunft, Religion, Geschlecht, Hautfarbe oder ähnlicher Merkmale ausgeschlossen sind. Und nicht zuletzt gilt es auch, den menschlichen Faktor mit einzubeziehen. Training, Schulung und Consulting der Mitarbeiter sind elementarer Teil von Sicherungskonzepten für den KI-Einsatz.

Datenschutzaspekte müssen bei der Konzeption und Implementierung von KI-Lösungen von Anfang an mitgedacht werden. Das Prinzip ‚Data Protection by Design‘ hilft dabei, schon sehr früh die Weichen für eine datenschutzkonforme KI-Lösung richtig zu stellen, und so aufwändige Korrekturen und Nacharbeiten zu vermeiden. Was noch fehlt, sind konkretere Umsetzungsstandards für KI-Prozesse, mit einem integrierten Ansatz, um den Unternehmen die Arbeit zu erleichtern. (NTT: ra)

eingetragen: 24.08.20
Newsletterlauf: 12.11.20

Comarch Software und Beratung: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Erfordernis einer digitalen Due Diligence Für welche Unternehmen gilt die XRechnungspflicht?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen