Sie sind hier: Home » Markt » Hinweise & Tipps

Einsatz von KI-Anwendungen


KI-Lösungen müssen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen
NTT Ltd. benennt vier Schwerpunkte für datenschutzkonforme KI-Lösungen



Von Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division

NTT identifiziert die vier wichtigsten Herausforderungen bei Konzeption und Einsatz von KI-Anwendungen im Unternehmen. Der Siegeszug Künstlicher Intelligenz spielt beim jüngst ausgelösten Digitialisierungsschub eine herausragende Rolle, schließlich erobert KI ständig neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz. Die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung jedoch vor komplexe, neue Herausforderungen, denn sie müssen sicherstellen, dass KI-Lösungen jederzeit sowohl die Konformität zu Compliance-, als auch Datenschutzvorgaben erfüllen. NTT Ltd. hat die wichtigsten Aktionsfelder dafür identifiziert.

1. Absicherung der KI-Lösung: Der erste Schritt zur datenschutzkonformen Nutzung von Künstlicher Intelligenz ist unter anderem die technische und organisatorische Absicherung der KI-Lösung gegen Missbrauch. Sie beginnt bei der strikten Zugangskontrolle und eindeutig geregelten Zugriffsberechtigung auf die KI-Programme. Damit ist sicherstellt, dass nur autorisierte Mitarbeiter Zugang zur KI-Logik haben und Änderungen daran vornehmen können. So muss das Rechtemanagement unter anderem toxische Kombinationen ausschließen, bei der die Verknüpfung von Einzelrechten zu neuen, an sich unerlaubten Zugriffsmöglichkeiten führt. Zudem muss die KI-Logik transparent sein. Artikel 5 der DSGVO schreibt die Intervenierbarkeit vor. Damit soll gewährleistet werden können, dass ein Betroffener Auskunft über die Auswahlkriterien und deren Verarbeitung erhält, etwa in Bewerbungsprozessen oder bei Kreditvergaben. Hierbei ist abzuwägen, ob möglicherweise rechtliche Einschränkungen gegeben sind (etwa zur Wahrung von Geschäftsgeheimnissen).

2. Absicherung der Daten: Das gleiche gilt für alle im KI-Prozess verarbeiteten Daten. Bei der Datenverarbeitung betrifft das Arbeitsschritte wie Datenerhebung, -selektion, -fluss, -analyse und -weitergabe sowie deren technische und juristische Absicherung. Über den gesamten Lebenszyklus der Daten ist die Zweckbindung zu berücksichtigen. Das gilt gleichermaßen für Mitarbeiter (auf Basis des Arbeitsvertrags) als auch Kunden, deren Daten beispielsweise im Rahmen einer Leistungserbringung erfasst wurden, aber nicht für Marketingzwecke eingesetzt werden dürfen. Sie sind damit auch ohne zusätzliche Einwilligungserklärung für das Training der KI-Lösung tabu.

Dieser potenzielle Missbrauch muss von vornherein ausgeschlossen werden. Sämtliche Daten, Prozesse und Arbeitsschritte innerhalb des KI-Systems sind bereits in der Designphase einem zuständigen Owner zuzuweisen. Dieser definiert unter Berücksichtigung des Kaskadenprinzips den Schutzbedarf, führt eine Risikoanalyse durch, leitet die erforderlichen Schutzmaßnahmen ab und gewährleistet deren Etablierung. Analog zur KI-Logik gehört zur Intervenierbarkeit laut DSGVO auch, dass Betroffenen jederzeit Auskunft zur Verarbeitung ihrer personenbezogenen Daten gewährt werden muss. Dies ist organisatorisch und technisch von Anfang an sicherzustellen.

3. Absicherung der IT-Systeme: Sämtliche im KI-Prozess genutzten technischen und räumlichen Ressourcen sind Teil eines umfassenden Sicherheitskonzepts. Das reicht von der IT-Infrastruktur (Server, Netzwerke, Storage Systeme, Cloud Services, Endgeräte) über die genutzten Security-Konzepte (Firewalls, Viren-Software) bis hin zu Gebäuden. Die Absicherungsmaßnahmen gegen Schäden, Missbrauch, unberechtigte Zugriffe oder Cyber-Attacken müssen lückenlos identifiziert, etabliert, dokumentiert und jederzeit nachweisbar sein. Wie bei den Daten sind auch die Verantwortlichkeiten für die IT-Systeme zu definieren und festzuhalten.

4. Governance Risk & Compliance: Sämtliche Teilverantwortlichkeiten bezüglich der KI-Logik, des Umgangs mit Daten, der eingesetzten Ressourcen und des Sicherheitskonzepts laufen zentral bei der Geschäftsführung auf, die für die KI-Nutzung insgesamt die Verantwortung trägt (Rechenschaftspflicht). Dazu gehört auch die Prüfung der KI-Lösung auf Gleichbehandlung (Bias) aller Kunden. Es muss sichergestellt sein, dass sie diskriminierungsfrei arbeitet und Bevorzugung oder Benachteiligung wegen Herkunft, Religion, Geschlecht, Hautfarbe oder ähnlicher Merkmale ausgeschlossen sind. Und nicht zuletzt gilt es auch, den menschlichen Faktor mit einzubeziehen. Training, Schulung und Consulting der Mitarbeiter sind elementarer Teil von Sicherungskonzepten für den KI-Einsatz.

Datenschutzaspekte müssen bei der Konzeption und Implementierung von KI-Lösungen von Anfang an mitgedacht werden. Das Prinzip ‚Data Protection by Design‘ hilft dabei, schon sehr früh die Weichen für eine datenschutzkonforme KI-Lösung richtig zu stellen, und so aufwändige Korrekturen und Nacharbeiten zu vermeiden. Was noch fehlt, sind konkretere Umsetzungsstandards für KI-Prozesse, mit einem integrierten Ansatz, um den Unternehmen die Arbeit zu erleichtern. (NTT: ra)

eingetragen: 24.08.20
Newsletterlauf: 12.11.20

Comarch Software und Beratung: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Erfordernis einer digitalen Due Diligence Für welche Unternehmen gilt die XRechnungspflicht?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen