Werden KI-Systeme mit fehlerhaften oder voreingenommenen Daten trainiert, können sie falsche Auskünfte geben oder gar diskriminierende Entscheidungen treffen. Unternehmen, die KI-Dienste zur Leistungserbringung für ihre Kunden einsetzen, müssen auch für Fehlleistungen der KI gegenüber ihren Kund:innen einstehen. Haftungsrisiken bestehen beispielsweise bei Fehlinformationen durch KI-Systeme in Callcentern oder Servicechats.
KI-Lösungen
datensicher
gestalten
30. Oktober 2024
Künstliche Intelligenz und Datenschutz
Künstliche Intelligenz (KI) gilt auch im ÖPNV als Schlüsseltechnologie. Doch sie birgt Herausforderungen beim Datenschutz. Wie lassen sich KI-Anwendungen datenschutzkonform gestalten? Welche Vorgaben sind zu beachten? Dieser Beitrag gibt einen Überblick.
„Datenschutz muss integraler Bestandteil eines jeden KI-Projekts sein.“ Auf die Frage, wie sich digitale Anwendungen und die Nutzung Künstlicher Intelligenz im NRW-Nahverkehr datensicher gestalten lassen, gibt Rainer Lukas, Datenschutzbeauftragter beim Verkehrsverbund Rhein-Ruhr (VRR), Antwort: „Gemäß dem Prinzip des Privacy by Design, festgelegt in Artikel 25 DSGVO, sollten technische und organisatorische Maßnahmen so gestaltet werden, dass der Schutz personenbezogener Daten von Beginn an gewährleistet ist. Dies bedeutet, dass Entwickler und Unternehmen schon in der Planungsphase von KI-Anwendungen datenschutzfreundliche Lösungen implementieren müssen, um den Anforderungen des Datenschutzes proaktiv gerecht zu werden.“ Katharina te Heesen, Justiziarin beim Kompetenzcenter Digitalisierung (KCD), ergänzt: „Die gefühlte Regelungsdichte und die Komplexität der datenschutzkonformen Integration von KI in unsere Systeme, sollten nicht davon abhalten, KI zu nutzen. Mit von Anfang an guter und zeitlich ausreichender datenschutzrechtlicher Betreuung lassen sich fast alle Projekte datenschutzkonform umsetzen. So kann die Branche von der KI profitieren.“
Welche Datenschutzrisiken beinhalten KI-Anwendungen?
Die Verarbeitung personenbezogener Daten durch KI-Anwendungen birgt das Risiko der unbefugten Datenverarbeitung und des Datenmissbrauchs. Denn die Künstliche Intelligenz kann nicht nur große Datenmengen verarbeiten. Als selbstlernendes System, das sich kontinuierlich und selbstständig weiterentwickeln will, ist KI auch in der Lage, Daten aus unterschiedlichen Quellen zu analysieren und abzugleichen. In diesem Zusammenhang stellt sich die Frage, ob und inwieweit ein KI-System personenbezogene Daten wie Namen, Adressen, Telefonnummern und weitere damit verbundene Informationen aus verschiedenen Quellen abgleicht und damit eine Identifizierung lebender Personen ermöglichen kann oder wird. Denn die Funktionsweise von KI-Algorithmen ist oft schwer nachzuvollziehen, was die gesetzlich geforderte Datenschutzfolgeabschätzung erschwert und zu einem Mangel an Transparenz führt.
Algorithmische Voreingenommenheit
Welche gesetzlichen Vorgaben zu Datenschutz und KI gibt es?
Für die Nutzung und Verarbeitung personenbezogener Daten durch KI-Systeme gibt es zunächst die Vorschriften der europäischen Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Seit August 2024 wurde darüber hinaus der AI Act, die europäische Verordnung über Künstliche Intelligenz (KI-Verordnung), in Kraft gesetzt. Sie legt für alle EU-Länder einen einheitlichen Rechtsrahmen insbesondere für die Entwicklung, die Inbetriebnahme und die Verwendung von KI-Systemen fest – und ist die weltweit erste umfassende KI-Verordnung. Die ersten beiden Kapitel gelten ab Februar 2025 verbindlich. Die weiteren Vorschriften werden nach und nach jeweils ab dem 2. August 2025, 2026 und 2027 verbindlich.
Privacy by Design bzw. Datenschutz durch Technikgestaltung nach Artikel 25 DSGVO stellt sicher, dass der Schutz personenbezogener Daten proaktiv in die Entwicklung eingebunden ist und man den Stress der Prüfung und nachträglichen Anpassungen massiv reduziert.
Welche Maßnahmen sind ansonsten zu beachten?
Gerade Nahverkehrskund:innen erwarten eine transparente Information über die Verwendung ihrer Daten durch KI-Systeme und wollen ihre Datenschutzrechte ausüben können. Verkehrsunternehmen müssen daher sicherstellen, dass sie bei der Gestaltung und Nutzung von KI-Anwendungen das geltende Datenschutzrecht einhalten. Neben den gesetzlichen Vorgaben gilt es auch, technische und organisatorische Maßnahmen zu beachten:
- Datenschutz sollte von Anfang an in die Entwicklung von KI-Systemen integriert werden.
- Datensparsame und datenschutzfreundliche (Vor)-Einstellungen leisten einen grundsätzlichen Beitrag zum Datenschutz.
- Die datenschutzkonforme Arbeit von KI-Systeme sollte durch regelmäßige Überprüfungen sichergestellt werden.
- Mitarbeitende sollten regelmäßig im Umgang mit KI-Systemen geschult und für die Anforderungen des Datenschutzes sensibilisiert werden.
- Unternehmen sollen ihren Datenschutzbeauftragten bei allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einbinden.
- Innovationsprojekte im Bereich KI sollten beim Landesbeauftragten für Datenschutz und Informationssicherheit vorgestellt und beraten werden.
Datenschutz muss seinen eigenen Platz im Projektmanagement erhalten. So wird nicht nur die Compliance sichergestellt, sondern auch das Vertrauen der Nutzer in die Technologie gestärkt und eine bestmögliche Integration der KI in unsere Systeme nutzerfreundlich gewährleistet.
Leitfäden und Orientierungshilfen
KI-Anwendungen für den ÖPNV müssen verlässlich und sicher agieren – und zugleich transparent und zuverlässig mit Daten umgehen. Bei der Gestaltung und beim richtigen Einsatz helfen Leitfäden und Checklisten. Hier eine Auswahl:
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK / Datenschutzkonferenz) hat am 6. Mai 2024 die erste „Orientierungshilfe Künstliche Intelligenz und Datenschutz“ veröffentlicht. Sie bietet einen Überblick über datenschutzrechtliche Kriterien, die für die datenschutzkonforme Nutzung von KI-Anwendungen zu berücksichtigen sind. Als Leitfaden stellt sie keinen abschließenden Anforderungskatalog dar.
Der Praxisleitfaden „KI & Datenschutz“ des Branchenverbandes der deutschen Informations- und Telekommunikationsbranche (BitKom) ist ein umfassendes Nachschlagewerk, das Unternehmen und Organisationen bei der datenschutzkonformen Nutzung und Implementierung von KI-Technologien unterstützt. Rechtliche Grundlagen und praxisnahe Anleitungen sollen sicherstellen, dass die Verarbeitung personenbezogener Daten unter Einhaltung der DSGVO und anderer relevanter Vorschriften erfolgt.
Wann und wie dürfen personenbezogene Daten für das Training und die Anwendung von Künstlicher Intelligenz verarbeitet werden? Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg hat zu dieser Frage im November 2023 ein Diskussionspapier vorgelegt. Dieses zielt zwar auf die verantwortlichen Stellen in Baden-Württemberg, vermittelt aber ein gutes Überblickwissen zu Rechtsgrundlagen und zentralen Begrifflichkeiten.
Einen strukturierten Leitfaden mit anwendungsspezifischen Prüfkriterien bietet der KI-Prüfkatalog der Kompetenzplattform KI.NRW – gefördert durch die Landesministerien MWIKE und MKW und geleitet vom Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS in Sankt Augustin. Dieser zielt darauf ab, gesellschaftliches Vertrauen in KI-Anwendungen zu stärken.
Die Plattform Lernende Systeme wurde 2017 vom Bundesministerium für Bildung und Forschung (BMBF) auf Anregung des Fachforums Autonome Systeme des Hightech-Forums und acatech gegründet. Sie vereint Expertinnen und Experten aus Wissenschaft, Wirtschaft, Politik und Zivilgesellschaft aus dem Bereich Künstliche Intelligenz. In Arbeitsgruppen entwickeln sie Handlungsoptionen und Empfehlungen für den verantwortlichen Einsatz von Lernenden Systemen.
Die Checkliste für den Einsatz LLM-basierter Chatbots des Hamburgischen Datenschutzbeauftragten aus 2023 bietet einfach verständliche und praxisnahe Hinweise für die datenschutzkonforme Nutzung von Large Language Models (LLM) und die Sicherung personenbezogener Daten.
Für Unternehmen in Nordrhein-Westfalen bietet Digital.Sicher.NRW im Internet praktische Hinweise zur Sicherung von Daten sowie kostenfreie Webinare, Veranstaltungen, Sprechstunden und Informationen.
Leicht zugängliche Nutzungsstandards
Ob innovative Technikprojekte oder Künstliche Intelligenz: Datenschutz muss zur Routine werden. Dann kann er gerade bei der Verwendung von KI-Systemen im ÖPNV ein Innovationstreiber sein. Zielführend sind leicht zugängliche Nutzungsstandards. Sobald personenbezogene Daten innerhalb eines Projektes verarbeitet werden, ist der Datenschutz als gleichwertige Projektaufgabe in den Projektplan aufzunehmen und in jede Projektphase einzubinden. Die Erstellung eines Daten-Grundgerüsts ist signifikant. Dazu gehören ein Verarbeitungsverzeichnis, ein Rollen- und Berechtigungs- sowie ein Löschkonzept. So werden Projekte datenschutzkonform umgesetzt und Datenschutzrisiken minimiert.
Bildnachweise: © 3rdtimeluckystudio / shutterstock (1);
© Rainer Lukas / Verkehrsverbund Rhein-Ruhr (2)
