III. Mögliche Lösungen
Completion requirements
Datenschutz und Datenverwaltung
Wie können wir die Datenschutzrisiken angehen, die durch KI-Systeme entstehen?
Die Industrie und Forschende untersuchen und entwickeln kontinuierlich Techniken, die angewendet werden könnten, um Datenschutzrisiken im Kontext von KI-Systemen zu minimieren. Einige Beispiele für diese Techniken sind Anonymisierung, Pseudonymisierung, Verschlüsselung, differenzielle Privatsphäre (Differential Privacy) und föderiertes Lernen (Federated Learning).
Bezüglich der Vorschriften unterstützen die EU-Datenschutz-Grundverordnung (DSGVO) und das EU-KI-Gesetz diesen Prozess.
Bezüglich der EU-Datenschutz-Grundverordnung (DSGVO):
Einwilligung des Nutzers
Um sicherzustellen, dass Personen in der EU über die Verarbeitung ihrer Daten informiert sind und zustimmen können, hat die EU im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) verabschiedet. Basierend auf der DSGVO müssen Einzelpersonen, Unternehmen und Organisationen strenge Anforderungen bei der Verarbeitung (d. h. Erfassung, Speicherung und Verwaltung) personenbezogener Daten von Personen in der EU einhalten. Diese Personen müssen in klarer und verständlicher Sprache darüber informiert werden, wie ihre Daten verarbeitet werden, damit sie verstehen können, wozu sie ihre Zustimmung geben.
Laut DSGVO haben Personen in der EU, deren Daten verarbeitet werden sollen, folgende Rechte:
- Recht auf Information: Vor der Erhebung personenbezogener Daten haben Personen das Recht, darüber informiert zu werden, wer die Daten sammelt, zu welchem Zweck sie verwendet werden und wie sie verarbeitet werden.
- Recht auf Zugang: Nach der Erhebung personenbezogener Daten haben Personen das Recht, Zugang zu ihren Daten und ergänzenden Informationen zu verlangen.
- Recht auf Berichtigung: Personen haben das Recht, ihre personenbezogenen Daten berichtigen zu lassen, wenn diese ungenau oder unvollständig sind.
- Recht auf Löschung (Recht auf Vergessenwerden): Unter bestimmten Umständen können Personen den Datenverantwortlichen auffordern, ihre personenbezogenen Daten zu löschen.
- Recht auf Datenübertragbarkeit: Personen können verlangen, dass ihre personenbezogenen Daten an sie zurückgegeben oder an ein anderes Unternehmen übermittelt werden.
- Widerspruchsrecht: Personen können der Verarbeitung ihrer personenbezogenen Daten widersprechen und verlangen, dass ein Unternehmen oder eine Organisation die Verarbeitung ihrer Daten einstellt, insbesondere für Direktmarketingzwecke, einschließlich Profiling.
Maßnahmen zur Datensicherheit und Benachrichtigungspflichten bei Datenschutzverletzungen
Die DSGVO erkennt die Risiken von Datenschutzverletzungen bei der Verarbeitung personenbezogener Daten an und legt die Verantwortung für geeignete technische und organisatorische Maßnahmen zum Schutz der Daten auf den Verantwortlichen und den Verarbeiter.
Im Falle einer Datenschutzverletzung muss die Organisation, die die personenbezogenen Daten hält, die Aufsichtsbehörde unverzüglich benachrichtigen. Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt und dieses Risiko nicht gemindert wurde, müssen auch die betroffenen Personen informiert werden.
Profiling und automatisierte Entscheidungsfindung
In Bezug auf Profiling und Systeme zur automatisierten Entscheidungsfindung stellt die DSGVO sicher, dass Einzelpersonen das Recht haben, keiner Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung basiert, es sei denn, sie haben ausdrücklich zugestimmt.
In solchen Fällen muss die Organisation die betroffene Person über die automatisierte Entscheidungsfindung informieren, ihr das Recht einräumen, die automatisierte Entscheidung durch eine Person überprüfen zu lassen, und ihr die Möglichkeit geben, die Entscheidung anzufechten.
Ein Beispiel: Wenn eine Bank die Vergabe eines Kredits automatisiert entscheidet, muss die Person informiert und ihr die Möglichkeit gegeben werden, die Entscheidung anzufechten und eine menschliche Überprüfung zu verlangen.
Bezüglich des EU-KI-Gesetzes:
Wie bereits in Modul 7 beschrieben, klassifiziert das EU-KI-Gesetz KI-Systeme als Hochrisiko-KI-Systeme, wenn diese ein großes Risiko für die Gesundheit, Sicherheit oder Grundrechte von natürlichen Personen darstellen.
Hochrisiko-KI-Systeme müssen unter Verwendung von Trainings-, Validierungs- und Testdatensätzen von hoher Qualität entwickelt werden, um Risiken und diskriminierende Ergebnisse zu minimieren.
Anbieter von Hochrisiko-KI-Systemen dürfen in Ausnahmefällen besondere Kategorien personenbezogener Daten verarbeiten, um die Erkennung und Korrektur von Verzerrungen im Zusammenhang mit den Hochrisiko-KI-Systemen sicherzustellen. Dabei müssen jedoch die folgenden Bedingungen erfüllt sein:
(b) die besonderen Kategorien personenbezogener Daten unterliegen technischen Beschränkungen der Weiterverwendung der personenbezogenen Daten und dem Stand der Technik entsprechenden Sicherheits- und Datenschutzmaßnahmen, einschließlich Pseudonymisierung;
(c) die besonderen Kategorien personenbezogener Daten Gegenstand von Maßnahmen sind, die gewährleisten, dass die verarbeiteten personenbezogenen Daten gesichert und geschützt sind und geeigneten Garantien unterliegen, einschließlich strenger Kontrollen und Dokumentation des Zugangs, um Missbrauch zu vermeiden und sicherzustellen, dass nur befugte Personen mit angemessenen Vertraulichkeitsverpflichtungen Zugang zu diesen personenbezogenen Daten haben;
(d) die besonderen Kategorien personenbezogener Daten dürfen nicht an andere Parteien übermittelt, weitergegeben oder anderweitig zugänglich gemacht werden;
(e) die besonderen Kategorien personenbezogener Daten werden gelöscht, sobald die Verzerrung behoben ist oder die Aufbewahrungsfrist der personenbezogenen Daten abgelaufen ist, je nachdem, was zuerst eintritt;
Hier können Sie den gesamten Artikel 10 lesen: https://artificialintelligenceact.eu/article/10/.
Profilsysteme und automatisierte Entscheidungssysteme
Hinsichtlich der KI-Systeme, die zur Bewertung der Kreditwürdigkeit oder Bonität natürlicher Personen eingesetzt werden, schlägt das aktuelle KI-Gesetz vor, diese Systeme als Hochrisiko-KI-Systeme einzustufen, da sie über den Zugang dieser Personen zu finanziellen Ressourcen oder grundlegenden Dienstleistungen wie Wohnraum, Strom und Telekommunikationsdiensten entscheiden.
Biometrische Erkennungssysteme
Hinsichtlich biometrischer KI-Systeme schlägt das aktuelle KI-Gesetz vor, die Nutzung von KI-Systemen zur „Echtzeit“-ferngesteuerten biometrischen Identifizierung von Personen für Zwecke der Strafverfolgung in öffentlich zugänglichen Räumen zu verbieten, außer in spezifischen Situationen.
Biometrische KI-Systeme, die nicht für die Strafverfolgung bestimmt sind, aber zur „Echtzeit“- oder „nachträglichen“ ferngesteuerten biometrischen Identifizierung von Personen verwendet werden sollen, sollten als Hochrisiko-KI-Systeme eingestuft werden.