Kontakt
Kontakt

Muster einer Datenschutz-Folgenabschätzung (DSFA)

Datenschutz
October 24, 2024

KI-System zur Optimierung von Dauerspenden

1. Beschreibung der geplanten Verarbeitung

1.1 Art und Zweck der Verarbeitung

Die [Name der Organisation] plant die Einführung eines KI-Systems zur Analyse und Optimierung von Dauerspenden. Das System soll auf Basis historischer Spenderdaten und aktueller Interaktionen Vorhersagen treffen, welche Dauerspender potenziell bereit wären, ihre Spendenhöhe zu erhöhen. Ziel ist es, durch gezielte Ansprache und personalisierte Kampagnen das Spendenvolumen zu steigern.

1.2 Umfang und Kontext der Verarbeitung

Das KI-System wird auf die bestehende Fundraising-Datenbank zugreifen, die folgende Datenfelder enthält:

  • Persönliche Identifikationsdaten (Name, Anschrift, Geburtsdatum, Kundennummer)
  • Kontaktdaten (E-Mail, Telefonnummer)
  • Spendenhistorie (Datum, Betrag, Zweck jeder Spende)
  • Interaktionshistorie (Teilnahme an Veranstaltungen, Reaktionen auf Mailings)
  • Soziodemografische Daten (Beruf, Familienstand, Einkommen [geschätzt])
  • Präferenzen (bevorzugte Kontaktart, Interessengebiete)
  • Verhaltensanalyse (Reaktionszeiten, Klickverhalten auf der Website)

Das System wird diese Daten analysieren, um Muster zu erkennen und Vorhersagen zu treffen.

1.3 Funktionsweise des KI-Systems

Das KI-System basiert auf einem Machine Learning-Modell, das folgende Schritte durchführt:

  1. Datenaufbereitung: Bereinigung und Normalisierung der Eingabedaten
  2. Bearbeitung der Merkmale: Erstellung relevanter Merkmale aus den Rohdaten
  3. Modelltraining: Verwendung historischer Daten zum Training des Vorhersagemodells
  4. Vorhersage: Anwendung des Modells auf aktuelle Spenderdaten
  5. Ausgabe: Erstellung einer Liste von Spendern mit hoher Wahrscheinlichkeit für Spendenerhöhung

1.4 Beteiligte Akteure

  • Fundraising-Abteilung: Nutzer des Systems
  • IT-Abteilung: Technische Implementierung und Wartung
  • Datenschutzbeauftragter: Überwachung der Datenschutzkonformität
  • Externe KI-Dienstleister: Entwicklung und Support des KI-Systems

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit

2.1 Rechtmäßigkeit der Verarbeitung

Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse liegt in der Optimierung der Mittelbeschaffung für gemeinnützige Zwecke.

Interessenabwägung:

Berechtigte Interessen der Organisation:

  • Effiziente Mittelbeschaffung zur Erfüllung des gemeinnützigen Zwecks
  • Verbesserung der Spenderkommunikation
  • Langfristige Bindung von Unterstützern

Schutzwürdige Interessen der betroffenen Personen:

  • Schutz der Privatsphäre und der personenbezogenen Daten 
  • Vermeidung von übermäßigem Kontakt oder Druck
  • Selbstbestimmung über Spendenverhalten
  • Transparenz über die Verwendung ihrer Daten

Abwägung: Die Interessen der Organisation überwiegen aus folgenden Gründen:

  1. Die Verarbeitung dient einem gemeinnützigen Zweck, der der Gesellschaft zugutekommt.
  2. Spender haben bereits ihr Interesse an der Unterstützung der Organisation bekundet.
  3. Es werden Schutzmaßnahmen implementiert (siehe Abschnitt 4), um die Rechte und Freiheiten der betroffenen Personen zu wahren.
  4. Betroffene haben die Möglichkeit, der Verarbeitung zu widersprechen.
  5. Die Verarbeitung ermöglicht eine zielgerichtetere und damit weniger belastende Kommunikation.

Dennoch werden kontinuierlich Maßnahmen ergriffen, um die Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen zu minimieren.

2.2 Zweckbindung

Der Zweck der Verarbeitung (Optimierung von Dauerspenden) ist vereinbar mit dem ursprünglichen Erhebungszweck der Daten (Spenderverwaltung und -kommunikation).

2.3 Datenminimierung

Es werden nur die für die Analyse notwendigen Daten verwendet. Das System wird regelmäßig überprüft, um nicht benötigte Datenfelder zu identifizieren und zu entfernen.

2.4 Richtigkeit der Daten

Bestehende Prozesse zur Datenaktualisierung und -bereinigung werden auf das KI-System ausgeweitet. Spender haben die Möglichkeit, ihre Daten einzusehen und zu korrigieren.

2.5 Speicherbegrenzung

Daten werden nur so lange gespeichert, wie es für den Zweck der Spendenoptimierung erforderlich ist. Es wird ein Löschkonzept implementiert, das regelmäßige Überprüfungen und Löschungen vorsieht.

3. Identifizierung und Bewertung von Risiken

3.1 Mögliche Risiken für die Rechte und Freiheiten natürlicher Personen

  1. Verletzung der Privatsphäre durch umfassende Profilbildung
  2. Diskriminierung durch verzerrte Algorithmen
  3. Intransparenz der KI-Entscheidungen
  4. Übermäßiger Druck auf Spender zur Erhöhung ihrer Spenden
  5. Unberechtigter Zugriff auf sensible Spenderdaten
  6. Fehlerhafte Datenverarbeitung führt zu falschen Entscheidungen

3.2 Bewertung von Eintrittswahrscheinlichkeit und Schwere

Risiko Eintrittswahrscheinlichkeit Schwere Gesamtrisiko
1. Profilbildung Hoch Mittel Hoch
2. Diskriminierung Mittel Hoch Hoch
3. Intransparenz Hoch Mittel Hoch
4. Übermäßiger Druck Mittel Mittel Mittel
5. Unberechtigter Zugriff Niedrig Hoch Mittel
6. Fehlerhafte Verarbeitung Mittel Mittel Mittel

4. Maßnahmen zur Risikobewältigung

4.1 Technische Maßnahmen

  • Implementierung von Datenverschlüsselung (in Ruhe und bei Übertragung)
  • Zugriffskontrollen und Benutzerrechtemanagement
  • Regelmäßige Sicherheits-Audits und Penetrationstests
  • Einsatz von Anonymisierungs- und Pseudonymisierungstechniken
  • Implementierung von “Explainable AI”-Techniken (z.B. LIME, SHAP)
  • Regelmäßige Überprüfung und Aktualisierung des Machine Learning-Modells

4.2 Organisatorische Maßnahmen

  • Schulungen für Mitarbeiter zu Datenschutz und ethischem Umgang mit KI
  • Einrichtung eines KI-Ethik-Komitees
  • Regelmäßige Überprüfung und Aktualisierung der DSFA
  • Etablierung eines Prozesses für die manuelle Überprüfung von KI-Entscheidungen
  • Klare Richtlinien für die Kommunikation mit Spendern
  • Einrichtung eines Beschwerdemanagements für KI-bezogene Anliegen

4.3 Rechtliche Maßnahmen

  • Anpassung der Datenschutzerklärung
  • Überarbeitung der Einwilligungserklärungen (falls erforderlich)
  • Abschluss von Auftragsverarbeitungsverträgen mit externen Dienstleistern
  • Implementierung von Prozessen zur Wahrung der Betroffenenrechte

5. Dokumentation und Überwachung

5.1 Dokumentation der DSFA

Diese DSFA wird vollständig dokumentiert und regelmäßig aktualisiert. Alle Entscheidungen und Maßnahmen werden nachvollziehbar festgehalten.

5.2 Überwachung und Überprüfung

  • Vierteljährliche Überprüfung der Wirksamkeit der implementierten Maßnahmen
  • Jährliche vollständige Überarbeitung der DSFA
  • Kontinuierliches Monitoring des KI-Systems auf Anomalien oder unerwartetes Verhalten
  • Regelmäßige Berichte an die Geschäftsführung und den Datenschutzbeauftragten

6. Konsultation der Aufsichtsbehörde

Basierend auf der durchgeführten DSFA und den implementierten Schutzmaßnahmen wird eine Konsultation der Aufsichtsbehörde zum jetzigen Zeitpunkt als nicht erforderlich erachtet. Bei wesentlichen Änderungen des Systems oder neuen Erkenntnissen wird diese Einschätzung überprüft.

7. Fazit und Empfehlung

Die Einführung des KI-Systems zur Optimierung von Dauerspenden birgt sowohl Chancen als auch Risiken. Durch die identifizierten Maßnahmen zur Risikominimierung kann das System datenschutzkonform implementiert werden. Es wird empfohlen, das System unter strenger Beobachtung einzuführen und die Wirksamkeit der Schutzmaßnahmen kontinuierlich zu überprüfen.

Datum: [Aktuelles Datum]

Unterschrift: [Verantwortliche Person]

Diese DSFA wurde 

Erstellt von: [Name, Position] ggf. + [Name, Position]

Genehmigt durch: [Name, GF]

Geprüft durch: [Name, DSB]

Teilen

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit einem * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Facebook Youtube Linkedin

Kontakt-Informationen

Quicklinks

Copyright © 2022 skriptura.
Datenschutz
Impressum