Der Einsatz von Künstlicher Intelligenz (KI) bietet viele Chancen, birgt aber auch Risiken, insbesondere wenn es um den Schutz sensibler Daten geht. Bei der Nutzung Generativer KI sollte immer der Schutz der Daten im Vordergrund stehen. Ein besonders relevantes Thema ist die Einhaltung der Datenschutzgrundverordnung (DSGVO). Wir haben für Sie eine Check-Liste zusammengestellt, die Ihnen dabei hilft, sicherzustellen, dass alle wichtigen Daten geschützt sind und die DSVGO somit eingehalten ist.
Grundlegende Überlegungen
Einige grundlegende Überlegungen vor dem Einsatz von KI-Tools nach dem Privacy by Design Ansatz (Art. 25 DSGVO “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen”) sind folgende:
- Welchen Mehrwert bringt die Nutzung eines KI-Tools?
- Gibt es andere datenschutzkonformere Lösungen?
- Wie effizient lassen sich Daten anonymisieren?
Erfassen Sie alle Arten von personenbezogenen und geschäftskritischen Daten in Ihrem Unternehmen. Die unten stehende Checkliste hilft Ihnen, sensible Daten zu identifizieren.
Identifikation sensibler Daten
- Daten von Kund*innen: Namen, Adressen, Telefonnummern, E-Mail-Adressen, Zahlungsinformationen und Rechnungen, Präferenzen, Kommunikationsdaten, etc.
- Daten von Mitarbeitenden: Persönliche Informationen, Gehaltsdaten, Gesundheitsdaten, Kommunikationsdaten
- Geschäftsgeheimnisse: Produktentwicklungspläne, Marktstrategien, geistiges Eigentum
- Intellektuelles Eigentum: Technologiepläne und Prototypen, Patente, Marken, Urheberrechte, andere Geschäftsgeheimnisse wie Verträge, Preisgestaltung, Strategien und Analysen
- Finanzdaten: Bilanzen, Bankverbindungen, Steuerinformationen
- Partnerdaten / Daten von Subunternehmer*innen / Lieferantendaten: Vertragsdetails, Preisvereinbarungen, Lieferkonditionen
- Zugangsdaten: Passwörter, Nutzer*innen-Namen und Codes, Token, etc.
- Protokolle: Systemlogs, Fehlerprotokolle, etc.
Nachdem alle sensiblen Daten identifiziert wurden, dokumentieren Sie nun, wo diese Daten gespeichert und verarbeitet werden.
Datenklassifizierung und -priorisierung
- Kategorisierung der Daten nach Sensibilitätsgrad (z.B. öffentlich, intern, vertraulich, streng vertraulich)
- Festlegung, welche Daten besonders schützenswert sind; Priorisierung dieser.
- Definition von Zugriffsrechten für jede Datenkategorie
Datenminimierung
- Überprüfung, welche (personenbezogenen) Daten für die Nutzung der KI-Anwendung notwendig sind
- Regelmäßiges Löschen nicht (mehr) benötigter Daten
- Verwendung von Synonymen oder Platzhaltern statt echter (personenbezogener) Daten
Datensicherheit
- Verschlüsselung sensibler Daten sowohl bei der Übertragung als auch bei der Speicherung
- Zugriffskontrolle bspw. durch starke Authentifizierungsmechanismen
- Anonymisierung von personenbezogenen Daten
- Regelmäßige Sicherheits-Audits und Penetrationstests
Externe Dienstleister und KI-Plattformen
- Überprüfung der Sicherheitsmaßnahmen und Datenschutzrichtlinien externer KI-Anbieter
- Abschluss von Auftragsverarbeitungsverträgen mit externen Dienstleistern
- Überprüfung der Einhaltung von DSGVO- oder andere relevante Datenschutzrichtlinien seitens der KI-Anbieter
- Überprüfung, ob Proxy-Lösungen zur Bereinigung der Daten vor der Weitergabe an KI-Anbieter eingesetzt werden können
Datenüberwachung und -protokollierung
- Implementieren eines Systems zur kontinuierlichen Überwachung und Protokollierung von Datenzugriffen und -nutzungen
- Protokollierung aller Datenverarbeitungsvorgänge, insbesondere bei sensiblen Daten
- Regelmäßige Analyse von Protokollen auf verdächtige Aktivitäten
- Setzung automatischer Alarme für ungewöhnliche Aktivitäten oder Datenlecks
Schulung und Sensibilisierung
- Regelmäßige Schulung von Mitarbeitenden im Umgang mit sensiblen Daten und der Nutzung von KI-Systemen sowie zum Thema Datenschutz
- Förderung des Bewusstseins für Datenschutz und Datensicherheit innerhalb des Unternehmens.
- Erstellung klarer Richtlinien für den Umgang mit sensiblen Daten bei der Nutzung von KI-Tools
- Sensibilisierung von Mitarbeitenden für potenzielle Risiken und Best Practices
Notfall- und Reaktionspläne
- Entwickelung von Notfallplänen für den Fall eines Datenlecks oder eines Sicherheitsvorfalls
- Definition von klaren Verantwortlichkeiten und Eskalationswegen
- Regelmäßige Übung der Umsetzung des Notfallplans
Regelmäßige Überprüfung und Aktualisierung
- Regelmäßige Überprüfung der Schutzmaßnahmen und ggf. Anpassung an neue Bedrohungen oder Technologien
- Kontinuierliche Aktualisierung der Richtlinien und Verfahren, um auf dem neuesten Stand der Technik zu bleiben
Rechtliche und regulatorische Anforderungen
- Sicherstellung, dass alle Prozesse und Maßnahmen den geltenden gesetzlichen Vorgaben (z.B. DSGVO) entsprechen
- Bei Bedarf: Einholen rechtlicher Beratung, um sicherzustellen, dass Ihre KI-Anwendungen „compliant“, d. h. regeltreu, sind
Bei weiteren Fragen empfehlen wir Ihnen einen Besuch der Webseite der Transferstelle Cybersicherheit von Mittelstand-Digital.