Künstliche Intelligenz (KI) spielt eine immer größere Rolle in der Softwareentwicklung. Dieser Artikel stellt einen kleinen Prüfkatalog vor, um die Einhaltung wichtiger DSGVO-Grundsätze in Bezug auf KI-Systeme sicherzustellen. Im Fokus stehen der Zweckbindungsgrundsatz, der Transparenzgrundsatz und der Grundsatz der Speicherbegrenzung.
Der Inhalt im Überblick
Wozu Künstliche Intelligenz auditieren?
Die datenschutzrechtliche Überprüfung einer Software mit KI-Elementen erfordert einen klaren, unabhängigen und gut dokumentierten Prozess. Dieser Prozess zielt darauf ab, objektive Anhaltspunkte und Informationen zu sammeln und zu bewerten, um festzustellen, ob die Software die relevanten Datenschutzstandards erfüllt.
Dieser „Prüfkatalog“ ist selbstverständlich nicht abschließend und kann je nach Anwendungsbereich variieren. Er dient dazu, Kontrollziele und -maßnahmen im Datenschutzbereich für Verarbeitungsprozesse mit künstlicher Intelligenz zu bestimmen. Bei einem Audit kann dies als Referenz verwendet werden, um die Eignung des zu prüfenden Prozesses zu beurteilen und seine nachfolgende Entwicklung zu bewerten.
Je nach Entwicklungsmodell kann es auch ratsam sein, einen Data Scientist in das Prüfungsteam einzubeziehen.
Ermittlung KI-basierter Komponenten
Um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden, ist es zunächst erforderlich, die Nachverfolgbarkeit sicherzustellen. Somit wird eine korrekte Identifizierung der verwendeten KI-basierten Komponenten in der geprüften Verarbeitung gewährleistet.
Dies wäre exemplarisch sicherzustellen durch:
- die Führung einer Versionshistorie für die Entwicklung der KI-Komponenten. Diese sollte sämtliche Parameter enthalten, die während des Trainings der Komponenten verwendet wurden, sowie alle Informationen, welche für die Nachverfolgbarkeit der Entwicklung und der vorgenommenen Änderungen an den Komponenten notwendig sind.
Transparenz
Die Einhaltung des Transparenzgrundsatzes und der Pflicht, Informationen über den Verarbeitungsvorgang für die betroffenen Personen bereitzustellen, erfordert, dass sowohl die Datenquelle als auch die Logik der KI-basierten Komponente zugänglich, verständlich und erklärbar sind.
Dies wäre exemplarisch dadurch gewährleistet, dass:
- die Datenquellen dokumentiert sind.
- die Merkmale der Daten, die zum Training der KI-Komponente verwendet werden, identifiziert, dokumentiert und angemessen begründet sind.
- die Logik der relevanten KI-basierten Komponente gut dokumentiert ist, damit sie verstanden werden kann. Ihr Verhalten in Bezug auf Eingabedaten, Datenverwendung und Ausgabedaten kann nachverfolgt werden.
- wenn ein fehlerhaftes Verhalten der KI-basierten Komponente Schaden für die betroffenen Personen verursachen könnte, Mechanismen eingerichtet wurden, um diesen Schaden zu minimieren und Kommunikationskanäle für relevante Interessengruppen bereitgestellt werden.
- der aktuelle Entwicklungsstand der KI-Komponente berücksichtigt wird. In diesem Kontext sollte stets Rat bei einem Data Scientist eingeholt werden.
Zweckbindung
Im Einklang mit dem Grundsatz der Zweckbindung müssen die Zwecke, für die die von der KI-Komponente verarbeiteten Daten verwendet werden, klar, ausdrücklich und rechtmäßig festgelegt sein.
Dies wäre exemplarisch dadurch gewährleistet, dass:
- der beabsichtigte Zweck der relevanten KI-Komponente in quantitativer und qualitativer Hinsicht dokumentiert wird, wobei genau beschrieben wird, was durch ihre Verwendung im Rahmen der Datenverarbeitung erreicht werden soll.
- die verschiedenen Abläufe, Aktivitäten und/oder Prozesse innerhalb der Organisation, in denen die KI-Komponente verwendet wird, identifiziert wurden, und der Anwendungsbereich so gut wie möglich eingegrenzt wird.
- potenzielle Nutzer der KI-basierten Komponente kategorisiert werden.
Im Kontext des Zweckbindungsprinzips ist auch der Verhältnismäßigkeitsgrundsatz zu beachten. Wenn die KI-basierte Komponente im Rahmen eines Verarbeitungsverfahrens auditiert wird und eine Datenschutz-Folgenabschätzung erfordert, muss die Notwendigkeit und Verhältnismäßigkeit der Verwendung dieser KI-basierten Komponente in Hinblick auf den beabsichtigten Zweck bewertet werden.
Dies wäre exemplarisch zu gewährleisten durch:
- Prüfung, ob die Verwendung der KI-Komponente bei der Datenverarbeitung im Vergleich zu anderen möglichen Optionen die Rechte und Freiheiten der betroffenen Personen angemessen berücksichtigt.
- Dokumentation der Motivationen und Gründe (bei der Behandlung eines neuen Problems) für die Verwendung eines KI-basierten Elements zur Lösung des Problems.
Begrenzung der Datenspeicherung
In Übereinstimmung mit dem Grundsatz der Speicherbegrenzung und den vorgesehenen Ausnahmen dürfen Daten, die von der KI-basierten Komponente verwendet werden, sei es für Trainingszwecke oder von ihr generierte Daten, nicht länger gespeichert werden, als es für ihre beabsichtigten Zwecke erforderlich ist.
- Die rechtlichen Gründe, um personenbezogene Daten zu speichern, die von der KI-basierten Komponente für einen Zeitraum verarbeitet werden, der über den für Verarbeitungszwecke festgelegten Zeitraum hinausgeht, müssen sorgfältig identifiziert werden.
- Der gesamte Lebenszyklus einer KI-basierten Komponente, in denen die verarbeiteten personenbezogenen Daten gespeichert werden sollen, müssen festgelegt und begründet werden.
- Verfahren zur Überprüfung müssen eingerichtet werden, ob diese Speicherfristen auch umgesetzt werden.
