Suchen

NTT benennt Herausforderungen Vier Schwerpunkte für datenschutzkonforme KI-Lösungen

| Autor / Redakteur: Martin Hensel / Nico Litzel

Der Technologiedienstleister NTT hat vier wesentliche Herausforderungen rund um Konzeption und Einsatz von KI-Anwendungen in Unternehmen identifiziert. Sie spielen für den datenschutzkonformen Betrieb der Lösungen eine wichtige Rolle.

Firmen zum Thema

Eva-Maria Scheiter, Managing Consultant GRC der Security Division von NTT
Eva-Maria Scheiter, Managing Consultant GRC der Security Division von NTT
(Bild: NTT)

Im Rahmen der Digitalisierungswelle ist Künstliche Intelligenz ein großes Thema. Besonders Security-Verantwortliche sehen sich in Unternehmen dabei vor komplexe neue Herausforderungen gestellt, wie NTT betont. Sie müssen sicherstellen, dass KI-Lösungen jederzeit Compliance-konform und gemäß der gültigen Datenschutzvorgaben arbeiten. NTT hat dabei vier Schwerpunkte herausgearbeitet:

Absicherung der KI-Systeme

Der erste Schritt zur datenschutzkonformen Nutzung von Künstlicher Intelligenz ist unter anderem die technische und organisatorische Absicherung der KI-Lösung gegen Missbrauch. Sie beginnt bei strikter Zugangskontrolle und eindeutig geregelten Zugriffsberechtigungen. Somit erhalten nur autorisierte Mitarbeiter Zugang zur KI-Logik und können diese verändern. Zudem muss das Rechtemanagement toxische Kombinationen ausschließen, bei der die Verknüpfung von Einzelrechten zu neuen, an sich unerlaubten Zugriffsmöglichkeiten führt. Auch ist eine transparente KI-Logik nötig: Artikel 5 der DSGVO schreibt die Intervenierbarkeit vor. Damit soll gewährleistet werden, dass Betroffene Auskunft über die Auswahlkriterien und deren Verarbeitung erhalten. Dies kommt beispielsweise in Bewerbungsprozessen oder bei Kreditvergaben zum Tragen. Hierbei ist abzuwägen, ob möglicherweise rechtliche Einschränkungen gegeben sind, wie etwa zur Wahrung von Geschäftsgeheimnissen.

Absicherung der Daten

Gleiches gilt für alle im KI-Prozess verarbeiteten Daten, von deren Erhebung, Selektion, Fluss, Analyse und Weitergabe bis hin zur technischen und juristischen Absicherung. Über den gesamten Lebenszyklus der Daten ist die Zweckbindung zu berücksichtigen. Das gilt gleichermaßen für Mitarbeiter auf Basis des Arbeitsvertrags als auch für Kunden, deren Daten beispielsweise im Rahmen einer Leistungserbringung erfasst wurden, aber nicht für Marketingzwecke eingesetzt werden dürfen. Sie sind damit ohne zusätzliche Einwilligungserklärung für das Training der KI-Lösung tabu. Potenzieller Missbrauch muss dabei von vornherein ausgeschlossen werden.

Sämtliche Daten, Prozesse und Arbeitsschritte innerhalb des KI-Systems sind bereits in der Designphase einem zuständigen Owner zuzuweisen. Dieser definiert unter Berücksichtigung des Kaskadenprinzips den Schutzbedarf, führt eine Risikoanalyse durch, leitet die erforderlichen Schutzmaßnahmen ab und gewährleistet deren Etablierung. Analog zur KI-Logik gehört zur Intervenierbarkeit laut DSGVO auch, dass Betroffenen jederzeit Auskunft zur Verarbeitung ihrer personenbezogenen Daten gewährt werden muss. Dies ist organisatorisch und technisch von Anfang an sicherzustellen.

Absicherung der IT-Systeme

Sämtliche im KI-Prozess genutzten technischen und räumlichen Ressourcen sind Teil eines umfassenden Sicherheitskonzepts. Es umfasst alles von der IT-Infrastruktur über die genutzten Security-Konzepte bis hin zu Gebäuden. Absicherungsmaßnahmen gegen Schäden, Missbrauch, unberechtigte Zugriffe oder Cyber-Attacken müssen lückenlos identifiziert, etabliert, dokumentiert und jederzeit nachweisbar sein. Wie bei den Daten sind auch die Verantwortlichkeiten für die IT-Systeme zu definieren und festzuhalten.

Governance Risk & Compliance

Sämtliche Teilverantwortlichkeiten bezüglich der KI-Logik, des Umgangs mit Daten, der eingesetzten Ressourcen und des Sicherheitskonzepts laufen zentral bei der Geschäftsführung auf. Sie trägt für die KI-Nutzung insgesamt die Verantwortung („Rechenschaftspflicht“). Dazu gehört auch die Prüfung der KI-Lösung auf Gleichbehandlung („Bias“) aller Kunden. Es muss sichergestellt sein, dass sie diskriminierungsfrei arbeitet und Bevorzugung oder Benachteiligung wegen Herkunft, Religion, Geschlecht, Hautfarbe oder ähnlicher Merkmale ausgeschlossen sind. Und nicht zuletzt gilt es auch, den menschlichen Faktor mit einzubeziehen. Training, Schulung und Consulting der Mitarbeiter sind elementarer Teil von Sicherungskonzepten für den KI-Einsatz.

„Datenschutzaspekte müssen bei der Konzeption und Implementierung von KI-Lösungen von Anfang an mitgedacht werden“, erklärt Eva-Maria Scheiter, Managing Consultant GRC der Security Division von NTT. „Das Prinzip ‚Data Protection by Design‘ hilft dabei, schon sehr früh die Weichen für eine datenschutzkonforme KI-Lösung richtig zu stellen, und so aufwändige Korrekturen und Nacharbeiten zu vermeiden. Was noch fehlt, sind konkretere Umsetzungsstandards für KI-Prozesse, mit einem integrierten Ansatz, um den Unternehmen die Arbeit zu erleichtern“, ergänzt sie.

(ID:46832838)