Kontakt
Kontakt

Erkenntnisse eines DSB – KI-Lernreise Woche 4, Beitrag 1

KI und Datenschutz
October 24, 2024

In diesem ersten Artikel dieser Woche gibt es „nur“ eine Zusammenfassung der Inhalte der ersten drei Wochen. Der zweite Artikel wird eine Checkliste bieten für Unternehmen /Organisationen, die darüber nachdenke, KI einzusetzen. 

Grundlagen und erste Einblicke

Vorstellung meiner Lernreise 

In meinem Beitrag „KI und Datenschutz – Eine Lernreise“ habe ich Euch von mir erzählt und meine Motivation zu der Lernreise offengelegt. Davon, dass ich mich im November 2022 habe faszinieren lassen von den Möglichkeiten, die in generativer KI stecken. Und ich habe Euch berichtet, dass ich nicht zu einem KI-Experten werden will, sondern mich „nur“ für den Teil der KI interessiere, in der personenbezogene Daten (pbD) verarbeitet werden, wo also mein Kernthema Datenschutz eine Rolle spielt. 

Was ich zu dem Zeitpunkt noch nicht überblickt hatte, war die Tatsache, dass es nicht den Teil der KI gibt, die pbD verarbeitet und den anderen, der eben keine pbD verarbeitet. Der KI ist das absolut gleichgültig. Sie verarbeitet mit den antrainierten Daten immer das, was man ihr „vor die Füße wirft“. 

Ein schönes Beispiel dafür ist das Verhalten von Claude 3 Sonnet, das eintritt, wenn nervöse Zeitgenossen wie ich beim Lesen mit der Maus rumspielen, eine Passage markieren und weiter irgendwie rumklicken (das Verhalten scheint übrigens vererbbar zu sein, mein Sohn macht das genauso 😉). Dann wundere ich mich immer, warum die Maschine anfängt, zu rattern. Sie interpretiert das Markieren als Zeichen dafür, dass ich den markierten Teil erläutert haben möchte. Unter der Überschrift „Can you explain this section to me in more detail?“ geht’s ungefragt los. Das kann in völlig andere Bereiche des Wissens führen. Faszinierend, aber auch extrem ablenkend.

Wenn Ihr Euch den Beitrag noch einmal ansehen wollt, klickt hier.

KI-Technologien und ihre Datenschutzimplikationen

In der zweiten Folge der ersten Woche habe ich mich sehr intensiv mit den wichtigsten KI-Technologien und ihren Datenschutzimplikationen beschäftigt. Dabei ist mir erst so richtig aufgegangen, wie vielfältig KI heute bereits eingesetzt wird. Aber auch, wo ihre Fallstricke liegen und wie wir uns dagegen wappnen können. Und, siehe oben, dass eine (nur von mir unterstellte, offensichtlich von den Erfinder*innen nie gewollte) Einteilung von KI in pbD-verarbeitende und eben nicht pbD-verarbeitende Techniken nur Ausdruck meiner Voreingenommenheit aufgrund meiner datenschutzfixierten Denkweise ist. 

Hier kommt zur Auffrischung eine kurze Zusammenfassung der verschiedenen KI-Techniken:

  1. Machine Learning (ML) Machine Learning birgt Risiken wie Überanpassung (Overfitting) – dabei lernt das System die Trainingsdaten zu genau und kann nicht mehr gut verallgemeinern, etwa wie ein Student, der nur Altklausuren auswendig lernt, statt die Konzepte zu verstehen. Um dies zu vermeiden, sollten wir Techniken wie die Kreuzvalidierung, bei der die Daten in verschiedene Test- und Trainingssets aufgeteilt werden, einsetzen, um die Zuverlässigkeit des Modells zu prüfen.
  2. Natural Language Processing (NLP) erfordert besondere Herausforderungen im Hinblick auf den Schutz sensibler persönlicher Informationen und die Vermeidung unbeabsichtigter Profilbildung. Lösungsansätze umfassen: 
    • Implementierung robuster Anonymisierungstechniken
    • Strikte Zugriffskontrollen
    • Regelmäßige Datenschutz-Folgenabschätzungen
  3. Computer Vision birgt spezifische Risiken im Bereich biometrischer Daten. Hier sind Maßnahmen wie: 
    • Entwicklung von Algorithmen zur automatischen Unkenntlichmachung von Gesichtern
    • Implementierung von “Privacy by Design”-Prinzipien in der Systemarchitektur von zentraler Bedeutung.

Das hat mir vor Augen geführt, wie wichtig es ist, für jede einzelne KI-Technologie spezifische Datenschutzstrategien zu entwickeln. Die Gesichtserkennung in Videos von in Massen in ein Stadion strömendes Publikum hat mit generativer KI wie ChatGPT oder Claude 3 vielleicht in technischer Hinsicht einiges miteinander zu tun. Die datenschutzrechtliche Auseinandersetzung geht in eine völlig andere Richtung. Diese Erkenntnis führt mich übrigens jetzt gerade zu der Erkenntnis, dass ich von der hinter KI stehenden Technik nach wie vor so viel Ahnung hab, „wie ne Kuh vom Stricken“. Nämlich gar keine. Aber die benötige ich auch nicht, wenn ich mit Datenschutzfragen beim Einsatz von KI befassen muss. Selbst ein KFZ-Sachverständiger muss nicht die letzten Verwinklungen einer Knorr-Bremse verstehen, wenn er einen Unfall zu analysieren hat. 

Wenn Ihr Euch den Beitrag noch einmal ansehen wollt, klickt hier.

Vertiefung in rechtliche und ethische Aspekte

KI und DSGVO: Wichtige Berührungspunkte

In der zweiten Woche habe ich mich mit den Schnittstellen zwischen KI und der Datenschutz-Grundverordnung (DSGVO) befasst. Dabei wurde mir wieder einmal klar, wie zentral die Datenschutzgrundsätze nach Art. 5 DSGVO sind:

  1. Die Datenschutzgrundsätze der DSGVO Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit, müssen auch bei KI-Systemen konsequent angewendet werden.
  2. Die Umsetzung dieser Prinzipien stellt bei KI-Systemen besondere Herausforderungen dar: 
  • Transparenz: Die Komplexität von KI-Algorithmen erschwert die Nachvollziehbarkeit von Entscheidungen.
  • Zweckbindung: KI-Systeme können unerwartete Muster oder Zusammenhänge in Daten entdecken, die über den ursprünglichen Zweck hinausgehen.
  • Datenminimierung: KI-Modelle, insbesondere Deep Learning, benötigen oft große Datenmengen für effektives Training. Diese Datenmengen müssen irgendwo herkommen. Dieses „irgendwo“ darf uns Datenschützer*innen nicht egal sein.
  1. Lösungsansätze für diese Herausforderungen umfassen: 
  • Techniken zur Erklärbarkeit von KI (Explainable AI, XAI) helfen uns zu verstehen, wie KI-Systeme zu ihren Entscheidungen kommen. SHAP (SHapley Additive exPlanations) und LIME (Local Interpretable Model-agnostic Explanations) sind dabei zwei wichtige Werkzeuge: Sie zeigen uns, welche Faktoren wie stark zu einer bestimmten Entscheidung beigetragen haben – ähnlich wie ein Arzt erklärt, welche Symptome zu seiner Diagnose geführt haben.
  • Implementierung von Differential Privacy zur Gewährleistung der Datenminimierung
  • Entwicklung robuster Datenschutz-Folgenabschätzungen speziell für KI-Systeme

Diese Erkenntnisse haben mir die Notwendigkeit einer engen Zusammenarbeit zwischen Verantwortlichen, Datenschutzbeauftragten, KI-Entwicklern und den Informationssicherheitsbeauftragten (ISB) vor Augen geführt. Interdisziplinäre Zusammenarbeit, möglichst in diversen Teams, garantiert die bestmöglichen Ergebnisse.

Wenn Ihr Euch den Beitrag noch einmal ansehen wollt, klickt hier.

Praktische Anwendungen und Herausforderungen

Fallstudien zum datenschutzkonformen KI-Einsatz

In der dritten Woche habe ich mich mit praktischen Fallstudien befasst, die die Herausforderungen und Lösungsansätze für einen datenschutzkonformen KI-Einsatz veranschaulichen:

Fallstudie: KI im Personalwesen 

  • Herausforderung: Ein KI-System zur Vorauswahl von Bewerbungen zeigte unbeabsichtigte Diskriminierung.
  • Lösung: Die implementierten Fairness-Metriken prüfen beispielsweise, ob die Vorauswahlquoten für verschiedene demographische Gruppen ähnlich sind. Konkret: Wenn von männlichen Bewerbern 30% in die engere Auswahl kommen, sollte dies bei weiblichen Bewerbern ähnlich sein. Das System prüft automatisch solche Verhältnisse für verschiedene geschützte Merkmale und schlägt Alarm bei signifikanten Abweichungen.
  • Erkenntnis: Die Kombination von technischen Lösungen und menschlicher Aufsicht ist entscheidend für einen ethischen und datenschutzkonformen KI-Einsatz.

Fallstudie: NLP in der Kundenbetreuung 

  • Herausforderung: Ein Chatbot extrahierte unbeabsichtigt sensible Kundeninformationen.
  • Lösung: Entwicklung von Algorithmen zur Erkennung und Filterung sensibler Daten in Echtzeit, strikte Zugriffskontrollen und regelmäßige Datenschutzschulungen für das Betreuungspersonal.
  • Erkenntnis: Datenschutz muss von Anfang an in den Entwicklungsprozess von KI-Systemen integriert werden (Privacy by Design).

Fallstudie: Computer Vision in der öffentlichen Sicherheit 

  • Herausforderung: Einsatz von Gesichtserkennungssoftware unter Wahrung der Privatsphäre.
  • Lösung: Implementierung von Techniken zur Unkenntlichmachung von Gesichtern, strenge Zweckbindung und zeitliche Begrenzung der Datenspeicherung.
  • Erkenntnis: Der Einsatz von KI im öffentlichen Raum erfordert besonders sorgfältige Abwägungen zwischen Sicherheitsinteressen und Privatsphäre.

Diese Fallstudien haben mir gezeigt, wie wichtig es ist, theoretische Konzepte in die Praxis umzusetzen und dabei flexibel auf spezifische Herausforderungen zu reagieren.

Wenn Ihr Euch den Beitrag noch einmal ansehen wollt, klickt hier.

Fazit und Ausblick

Die intensive Auseinandersetzung mit dem Thema “Datenschutzkonformer KI-Einsatz” in den vergangenen Wochen hat mir gezeigt, dass wir als Datenschutzbeauftragte vor einer ebenso herausfordernden wie spannenden Aufgabe stehen. Die Integration von KI-Technologien in Unternehmensprozesse bietet enorme Chancen, erfordert aber auch ein hohes Maß an Verantwortung und Expertise im Bereich des Datenschutzes.

Zentrale Erkenntnisse meiner bisherigen Lernreise sind:

  1. Datenschutzkonformer KI-Einsatz erfordert ein tiefes Verständnis sowohl der technologischen als auch der rechtlichen und ethischen Aspekte.
  2. Wir müssen dabei vor allem verstehen, wie die Ergebnisse von KI zustande kommen, die genauen technischen Abläufe sind dabei für DSB unerheblich („Knorr-Bremse“). 
  3. Die Prinzipien der DSGVO müssen von den ersten Überlegungen an in die Entwicklung und den Einsatz von KI-Systemen integriert werden (Privacy by Design).
  4. Kontinuierliche Weiterbildung und interdisziplinäre Zusammenarbeit sind unerlässlich, um mit den rasanten Entwicklungen Schritt zu halten – sei es bei der Verbesserung von Sprachmodellen wie GPT-4 oder Claude 3, bei neuen Techniken zur Anonymisierung von Trainingsdaten oder bei der Entwicklung von Methoden zur Erkennung von KI-generierten Inhalten. Auch regulatorische Entwicklungen wie der EU AI Act oder neue Orientierungshilfen der Datenschutzbehörden erfordern kontinuierliche Weiterbildung.
  5. Die Rolle des DSB entwickelt sich zunehmend zu der eines strategischen Beraters, der Unternehmen bei der verantwortungsvollen Integration von KI unterstützt.

In den kommenden Wochen werde ich mich noch intensiver mit spezifischen Techniken und Best Practices für den datenschutzkonformen KI-Einsatz auseinandersetzen. Ich freue mich darauf, diese Erkenntnisse mit Euch zu teilen und den fachlichen Austausch fortzusetzen. Vor allem über konstruktive Kritik und Anregungen für weitere Artikel, auch außerhalb meiner Lernreise, würde ich mich sehr freuen.

Wie sind Deine Erfahrungen mit der Integration von KI in bestehende Datenschutzkonzepte? Welche Herausforderungen siehst Du als besonders kritisch? Lass Sie uns in einen fruchtbaren Dialog einsteigen!

Exkurs

Für das Verständnis meiner Arbeitsweise mit ChatGPT und Claude 3 Sonnet gebt doch mal spaßeshalber folgenden Prompt in eine generative KI ein: „Muss ein KFZ-Sachverständiger, der einen Unfall mit einem LKW zu analysieren hat, zwingend die detaillierte innere Funktionsweise einer Knorr-Bremse verstehen, um zu beurteilen, warum der Einsatz einer solchen Bremse für den eingesetzten LKW besser gewesen wäre?“

Exkurs Ende

#DatenschutzkonformerKIEinsatz #DSGVO #KünstlicheIntelligenz #Datenschutzbeauftragter #EUAI Act #PrivacyByDesign #DSFAfürKI

Teilen

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit einem * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Facebook Youtube Linkedin

Kontakt-Informationen

Quicklinks

Copyright © 2022 skriptura.
Datenschutz
Impressum

Chat-Feedback

Super, vielen Dank!
Vielen Dank!
Vielen Dank für die interessanten Informationen!
Vielen Dank. Ich fand es sehr informativ.
Vielen Dank für die Schulung!
Danke!
Klasse tolles Seminar besten Dank!
Ich danke auch schon mal sehr für die ganzen Infos
Vielen Dank und allen noch einen schönen Tag
Herzlichen Dank!
Vielen Dank! Gute Schulung, wichtiges Thema.
Danke für diese informative Schulung
Ich bedanke mich für die ausführlichen Informationen heute. Ein spannendes Thema…
Vielen Dank, war sehr informativ.
Auch ein Danke von mir! :D

E-Mail-Feedback

Lieber Dirk Wolf,

Danke für die spannende Veranstaltung! Kannst du mir nochmal den Zugang für die Cloud schicken? Ich habe es leider nicht mitbekommen.

Lieber Dirk,

danke für das Seminar!

Ich hatte meine Frage zu den Custom GPTs ja schon im Seminar gestellt, aber hier noch eine kurze Erläuterung als Video

Fragen KI-VO Seminar – Watch Video

Ich würde mich sehr über eine Rückmeldung freuen, per Mail oder auch gerne telefonisch: 0178 / 3307968.
(Ich könnte aber auch verstehen, wenn Sie über das Seminar hinaus keine Fragen beantworten).

Hallo,

Vielen Dank für das Seminar!

Kurze Frage: Auf welchem Wege gibt es eine Teilnahmebestätigung?

Beste Grüße