Check-Liste: Schutz sensibler Daten beim Einsatz von Generativer KI

Check-Liste schützenswerte Daten DSGVO

Bildquelle: bing image creator

Check-Liste schützenswerte Daten DSGVO


28. Oktober 2024 | Von Kristina Bodrozic-Brnic, Redaktion

Der Einsatz von Künstlicher Intelligenz (KI) bietet viele Chancen, birgt aber auch Risiken, insbesondere wenn es um den Schutz sensibler Daten geht. Bei der Nutzung Generativer KI sollte immer der Schutz der Daten im Vordergrund stehen. Ein besonders relevantes Thema ist die Einhaltung der Datenschutzgrundverordnung (DSGVO). Wir haben für Sie eine Check-Liste zusammengestellt, die Ihnen dabei hilft, sicherzustellen, dass alle wichtigen Daten geschützt sind und die DSVGO somit eingehalten ist.

Grundlegende Überlegungen

Einige grundlegende Überlegungen vor dem Einsatz von KI-Tools nach dem Privacy by Design Ansatz (Art. 25 DSGVO “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen”) sind folgende:

  1. Welchen Mehrwert bringt die Nutzung eines KI-Tools?
  2. Gibt es andere datenschutzkonformere Lösungen?
  3. Wie effizient lassen sich Daten anonymisieren?

Erfassen Sie alle Arten von personenbezogenen und geschäftskritischen Daten in Ihrem Unternehmen. Die unten stehende Checkliste hilft Ihnen, sensible Daten zu identifizieren.

Identifikation sensibler Daten

  • Daten von Kund*innen: Namen, Adressen, Telefonnummern, E-Mail-Adressen, Zahlungsinformationen und Rechnungen, Präferenzen, Kommunikationsdaten, etc.
  • Daten von Mitarbeitenden: Persönliche Informationen, Gehaltsdaten, Gesundheitsdaten, Kommunikationsdaten
  • Geschäftsgeheimnisse: Produktentwicklungspläne, Marktstrategien, geistiges Eigentum
  • Intellektuelles Eigentum: Technologiepläne und Prototypen, Patente, Marken, Urheberrechte, andere Geschäftsgeheimnisse wie Verträge, Preisgestaltung, Strategien und Analysen
  • Finanzdaten: Bilanzen, Bankverbindungen, Steuerinformationen
  • Partnerdaten / Daten von Subunternehmer*innen / Lieferantendaten: Vertragsdetails, Preisvereinbarungen, Lieferkonditionen
  • Zugangsdaten: Passwörter, Nutzer*innen-Namen und Codes, Token, etc.
  • Protokolle: Systemlogs, Fehlerprotokolle, etc.

Nachdem alle sensiblen Daten identifiziert wurden, dokumentieren Sie nun, wo diese Daten gespeichert und verarbeitet werden.

Datenklassifizierung und -priorisierung

  • Kategorisierung der Daten nach Sensibilitätsgrad (z.B. öffentlich, intern, vertraulich, streng vertraulich)
  • Festlegung, welche Daten besonders schützenswert sind; Priorisierung dieser.
  • Definition von Zugriffsrechten für jede Datenkategorie

Datenminimierung

  • Überprüfung, welche (personenbezogenen) Daten für die Nutzung der KI-Anwendung notwendig sind
  • Regelmäßiges Löschen nicht (mehr) benötigter Daten
  • Verwendung von Synonymen oder Platzhaltern statt echter (personenbezogener) Daten

Datensicherheit

  • Verschlüsselung sensibler Daten sowohl bei der Übertragung als auch bei der Speicherung
  • Zugriffskontrolle bspw. durch starke Authentifizierungsmechanismen
  • Anonymisierung von personenbezogenen Daten
  • Regelmäßige Sicherheits-Audits und Penetrationstests

Externe Dienstleister und KI-Plattformen

  • Überprüfung der Sicherheitsmaßnahmen und Datenschutzrichtlinien externer KI-Anbieter
  • Abschluss von Auftragsverarbeitungsverträgen mit externen Dienstleistern
  • Überprüfung der Einhaltung von DSGVO- oder andere relevante Datenschutzrichtlinien seitens der KI-Anbieter
  • Überprüfung, ob Proxy-Lösungen zur Bereinigung der Daten vor der Weitergabe an KI-Anbieter eingesetzt werden können

Datenüberwachung und -protokollierung

  • Implementieren eines Systems zur kontinuierlichen Überwachung und Protokollierung von Datenzugriffen und -nutzungen
  • Protokollierung aller Datenverarbeitungsvorgänge, insbesondere bei sensiblen Daten
  • Regelmäßige Analyse von Protokollen auf verdächtige Aktivitäten
  • Setzung automatischer Alarme für ungewöhnliche Aktivitäten oder Datenlecks

Schulung und Sensibilisierung

  • Regelmäßige Schulung von Mitarbeitenden im Umgang mit sensiblen Daten und der Nutzung von KI-Systemen sowie zum Thema Datenschutz
  • Förderung des Bewusstseins für Datenschutz und Datensicherheit innerhalb des Unternehmens.
  • Erstellung klarer Richtlinien für den Umgang mit sensiblen Daten bei der Nutzung von KI-Tools
  • Sensibilisierung von Mitarbeitenden für potenzielle Risiken und Best Practices

Notfall- und Reaktionspläne

  • Entwickelung von Notfallplänen für den Fall eines Datenlecks oder eines Sicherheitsvorfalls
  • Definition von klaren Verantwortlichkeiten und Eskalationswegen
  • Regelmäßige Übung der Umsetzung des Notfallplans

Regelmäßige Überprüfung und Aktualisierung

  • Regelmäßige Überprüfung der Schutzmaßnahmen und ggf. Anpassung an neue Bedrohungen oder Technologien
  • Kontinuierliche Aktualisierung der Richtlinien und Verfahren, um auf dem neuesten Stand der Technik zu bleiben

Rechtliche und regulatorische Anforderungen

  • Sicherstellung, dass alle Prozesse und Maßnahmen den geltenden gesetzlichen Vorgaben (z.B. DSGVO) entsprechen
  • Bei Bedarf: Einholen rechtlicher Beratung, um sicherzustellen, dass Ihre KI-Anwendungen „compliant“, d. h. regeltreu, sind

Bei weiteren Fragen empfehlen wir Ihnen einen Besuch der Webseite der Transferstelle Cybersicherheit von Mittelstand-Digital.

https://transferstelle-cybersicherheit.de/

Kontaktmöglichkeit

Karsten Höft

khoeft@ftk.de

+49 231 / 975056-25

Kristina Bodrozic-Brnic

kristina.brnic@businessschool-berlin.de

+49 331 / 730404 - 304

SCHLAGWORTE