Neue ICO-Richtlinien für die Einhaltung des Datenschutzes von AI und PII

Wie man KI-Daten legal sammelt

Die Leitlinien des ICO erkennen an, dass der Einsatz von KI zwar unbestreitbare Vorteile hat, aber auch die Freiheiten und Rechte der Menschen gefährden kann, wenn der Datenschutz nicht ernst genommen wird. Zu diesem Zweck bieten ihre Leitlinien einen nützlichen Rahmen dafür, wie Unternehmen diese Risiken bewerten und mindern sollten.

Der Leitfaden behandelt acht strategische Elemente, die Unternehmen anwenden können, um den Umgang mit KI und personenbezogenen Daten zu verbessern:

1. Verwenden Sie bei der Erstellung und Implementierung von KI ein risikobasiertes Verfahren

Beim Einsatz von KI sollten Sie feststellen, ob dies für die Situation erforderlich ist. KI wird in der Regel als Hochrisikotechnologie angesehen, wenn sie mit personenbezogenen Daten interagiert. Ein Unternehmen benötigt große Datenmengen, um seine Systeme zu verbessern, damit sie ordnungsgemäß funktionieren, und unsere Daten werden möglicherweise weiterverkauft, ohne zu wissen, wer sie erhält oder wie sie verwendet werden.

Somit kann es einen effizienteren und die Privatsphäre bewahrenden Ersatz geben.

Wie das ICO feststellt, müssen Sie die Risiken bewerten und die erforderlichen organisatorischen und technischen Sicherheitsvorkehrungen treffen, um sie zu reduzieren. Realistischerweise ist es unmöglich, alle Risiken vollständig auszuschließen, und die Datenschutzgesetze schreiben dies nicht vor, aber stellen Sie sicher, dass Sie:

• Führen Sie eine Datenschutz-Folgenabschätzung (DSFA) durch, um das Risiko der Nichteinhaltung von Datenschutzgesetzen, das Ihre Nutzung von KI darstellt, zu ermitteln und zu verringern und Schäden für Einzelpersonen zu verhindern
• Holen Sie den Input von vielen Gruppen ein, auf die sich Ihre Nutzung von KI potenziell auswirkt, um die Gefahr besser zu verstehen

Wenn eine DSFA gesetzlich vorgeschrieben ist, müssen Sie vor dem Einsatz eines KI-Systems eine durchführen und geeignete organisatorische und technische Sicherheitsvorkehrungen treffen, die dazu beitragen, die von Ihnen festgestellten Risiken zu verringern oder zu bewältigen. Vor einer Verarbeitung sind Sie gesetzlich verpflichtet, mit dem ICO zu sprechen, wenn Sie ein Risiko erkennen, das Sie nicht angemessen mindern können.

2. Überlegen Sie, wie Sie die Entscheidungen Ihres KI-Systems den Betroffenen erklären werden

Laut ICO kann es schwierig sein zu erklären, wie KI bestimmte Entscheidungen und Ergebnisse generiert, insbesondere wenn es um maschinelles Lernen und komplizierte Algorithmen geht – aber das bedeutet nicht, dass Sie Menschen keine Erklärungen geben sollten.

Hier ist, was das ICO empfiehlt:

• Seien Sie anderen gegenüber klar, offen und transparent darüber, wie und warum Sie ihre personenbezogenen Daten erfassen und verwenden
• Überlegen Sie, welche Begründung in der Umgebung erforderlich ist, in der Ihr KI-System verwendet wird
• Überlegen Sie, wie die Leute Ihre Erklärung wahrscheinlich wahrnehmen werden
• Analysieren Sie die wahrscheinlichen Auswirkungen der Entscheidungen Ihres KI-Systems, um festzustellen, wie gründlich Ihre Begründung sein sollte
• Überlegen Sie, wie individuelle Rechteanfragen verwaltet werden

3. Sammeln Sie nur die Informationen, die zum Erstellen Ihres KI-Systems erforderlich sind

Das ICO empfiehlt, die Datenerhebung nach Möglichkeit einzuschränken. Das bedeutet nicht, dass keine Daten gesammelt werden können – es bedeutet nur, dass Daten so verwaltet werden, dass sie den DSGVO-Standards entsprechen.

Du solltest:

• Stellen Sie sicher, dass die von Ihnen verwendeten personenbezogenen Daten korrekt, angemessen, relevant und begrenzt sind – dies ist je nach Kontext, in dem Sie KI verwenden, unterschiedlich
• Überlegen Sie, welche Methoden zum Schutz der Privatsphäre für die Situation geeignet sind, in der Sie KI zur Verarbeitung personenbezogener Daten einsetzen

Das Genauigkeitsprinzip für den Datenschutz verlangt nicht, dass ein KI-System zu 100 % korrekt ist. Stattdessen sollten Organisationen sicherstellen, dass Verfahren vorhanden sind, um Fairness und allgemeine Genauigkeit der Ergebnisse zu gewährleisten.

4. Benachteiligungs- und Diskriminierungsrisiken frühzeitig kennzeichnen

Es gibt Möglichkeiten, wie ein KI-System voreingenommen sein oder zu Diskriminierung führen kann. Dies kann zu ungenauen, unausgewogenen Datensätzen führen, und die frühzeitige Behebung dieses Problems ist ein wichtiger Aspekt der Einhaltung des Datenschutzes.

Das ICO empfiehlt Ihnen:

• Bestimmen Sie, ob die von Ihnen gesammelten Daten für die Gemeinschaft oder verschiedene vom KI-System betroffene Personengruppen genau, repräsentativ, zuverlässig, relevant und aktuell sind
• Bestimmen Sie, ob die vom KI-System getroffenen Urteile akzeptabel sind, indem Sie die potenziellen Auswirkungen und Ergebnisse für verschiedene Gruppen darstellen

5. Investieren Sie Zeit und Ressourcen in die richtige Aufbereitung der Daten

Wie bereits erwähnt, ist KI nur so zuverlässig wie die Daten, die sie sammelt. Daher müssen Organisationen sicherstellen, dass genügend Ressourcen und Zeit für die Erfassung der erforderlichen Daten aufgewendet werden.

Das ICO empfiehlt Folgendes:

• Bei der Kennzeichnung von Daten mit geschützten Merkmalen oder Daten besonderer Kategorie sollten Kriterien und Verantwortlichkeiten definiert werden
• Um Konsistenz zu wahren und in ungewöhnlichen Situationen zu helfen, sollten Sie mehrere menschliche Bezeichner einbeziehen

6. Stellen Sie sicher, dass Ihr KI-System sicher ist

KI-Systeme haben das Potenzial, Risiken zu erhöhen oder neue Sicherheitslücken einzuführen.

Wenn es um Sicherheitsmaßnahmen geht, gibt es keinen einheitlichen Ansatz. Sie müssen sich jedoch an das Gesetz halten und die geeigneten organisatorischen und technischen Sicherheitsvorkehrungen treffen, um ein Sicherheitsniveau zu gewährleisten, das den festgestellten Risiken angemessen ist.

Das ICO empfiehlt Unternehmen:

• Führen Sie eine Sicherheitsrisikobewertung durch, die eine aktuelle Bestandsaufnahme aller KI-Systeme umfasst, damit Sie sich ein allgemeines Bild davon machen können, wo potenzielle Vorfälle auftreten könnten
• Führen Sie ein Modell-Debugging durch, bei dem Fehler in Ihrem Modell identifiziert und behoben werden – entweder durch einen internen Sicherheitsprüfer oder einen externen Sicherheitsprüfer
• Implementieren Sie ein proaktives Überwachungssystem und untersuchen Sie alle Unregelmäßigkeiten

7. Menschliche Überprüfungen von KI-Entscheidungen sollten sinnvoll sein

Es sollte frühzeitig festgestellt werden, ob die Ergebnisse verwendet werden, um einem menschlichen Entscheidungsträger zu helfen, oder ob Entscheidungen vollständig autonom sind, je nach Ziel der KI.

Das ICO betont, dass betroffene Personen das Recht haben zu erfahren, ob Entscheidungen in Bezug auf ihre Daten vollständig selbst oder mit Hilfe von KI getroffen wurden. Die Richtlinien schlagen auch vor, dass sie sinnvoll bewertet werden sollten, wenn sie verwendet werden, um einer Person zu helfen.

Um sicherzustellen, dass diese Überprüfungen aussagekräftig sind, sollten die Prüfer:

• Qualifiziert genug, um die Ergebnisse von KI-Systemen zu bewerten und zu hinterfragen
• Kann ein automatisches Urteil aufheben
• Kenntnis zusätzlicher Faktoren, die in den Eingabedaten nicht berücksichtigt wurden

Wenn eine Entscheidung rechtliche oder andere erhebliche Auswirkungen hat, haben die betroffenen Personen gemäß DSGVO das Recht, ihr nicht unterworfen zu werden. Sie haben auch das Recht, aussagekräftige Informationen über die Gründe für die Entscheidung zu erwarten.

Daher ist, auch wenn es sich um eine Empfehlung handelt, dennoch eine menschliche Überprüfung erforderlich, wenn KI wichtige Entscheidungen trifft.

8. Wenden Sie sich an einen externen Anbieter, um sicherzustellen, dass Ihre Nutzung von KI angemessen ist

Der Kauf eines KI-Systems von einem Drittanbieter entbindet Sie nicht von der Verantwortung, die Datenschutzgesetze einzuhalten. In den meisten Fällen sind Sie der Datenverantwortliche und entscheiden, wie das KI-System bereitgestellt wird.