NENNA.AI monthly newsletter – Dezember

KI-Modelle enthalten personenbezogene Daten

EDSA veröffentlicht Stellungnahme zum Datenschutz bei KI-Modellen

Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme veröffentlicht, die betont, dass KI-Modelle, die mit personenbezogenen Daten trainiert wurden, nicht automatisch als anonym gelten. Die Anonymität muss im Einzelfall geprüft werden, wobei die Wahrscheinlichkeit der direkten oder indirekten Rückverfolgbarkeit berücksichtigt wird.

Details:

• Anonymisierung von KI-Modellen: Der EDSA betont, dass KI-Modelle, die mit personenbezogenen Daten trainiert wurden, nicht automatisch als anonym gelten. Die Anonymität muss im Einzelfall geprüft werden, wobei die Wahrscheinlichkeit der direkten oder indirekten Rückverfolgbarkeit berücksichtigt wird.

• Berechtigtes Interesse als Rechtsgrundlage: Die Stellungnahme erläutert, dass Verantwortliche prüfen müssen, ob die Verarbeitung personenbezogener Daten zur Entwicklung und zum Einsatz von KI-Modellen auf berechtigtes Interesse gestützt werden kann. Dies erfordert eine dreistufige Prüfung: Identifizierung des berechtigten Interesses, Notwendigkeit der Verarbeitung und Abwägung mit den Rechten der betroffenen Personen.

• Folgen unrechtmäßiger Datenverarbeitung: Der EDSA weist darauf hin, dass unrechtmäßige Verarbeitung personenbezogener Daten in der Entwicklungsphase eines KI-Modells Auswirkungen auf die Rechtmäßigkeit der weiteren Nutzung des Modells haben kann. Daher ist es entscheidend, bereits in frühen Phasen datenschutzkonforme Maßnahmen zu ergreifen.

Warum ist das wichtig:

Die Stellungnahme des EDSA bietet klare Leitlinien für Unternehmen und Organisationen, die KI-Technologien entwickeln oder einsetzen. Sie unterstreicht die Bedeutung des Datenschutzes in allen Phasen des KI-Lebenszyklus und hilft, rechtliche Risiken zu minimieren sowie das Vertrauen der Nutzer in KI-Systeme zu stärken.

Datenschutz-Folgenabschätzung für Microsoft 365 Copilot

Die Datenschutz-Folgenabschätzung von SURF identifiziert Risiken bei der Nutzung von Microsoft 365 Copilot, darunter fehlende Transparenz, internationale Datenübermittlungen und begrenzte Kontrollmöglichkeiten für Institutionen. Der Bericht schlägt technische Maßnahmen vor, um Datenschutzkonformität sicherzustellen.

Details:

• Datenverarbeitung: Microsoft 365 Copilot verarbeitet Eingaben der Nutzer sowie kontextbezogene Daten aus Microsoft Graph, um KI-gestützte Funktionen bereitzustellen. Es fehlt jedoch an ausreichender Transparenz darüber, welche Daten konkret verarbeitet werden und wie diese genutzt oder gespeichert werden.

• Datenübermittlungen: Die Nutzung von Microsoft 365 Copilot birgt potenzielle Risiken bei der Übertragung personenbezogener Daten in Drittländer wie die USA. Diese Datenübermittlungen stehen im Widerspruch zur DSGVO, wenn keine adäquaten Schutzmaßnahmen wie Standardvertragsklauseln oder zusätzliche Sicherheiten implementiert sind.

• Kontrollmöglichkeiten: Bildungseinrichtungen haben nur begrenzte Möglichkeiten, die Nutzung und Verarbeitung von Daten durch Copilot zu steuern. Funktionen wie lokale Datenverarbeitung, granulare Datenschutzeinstellungen oder umfassende Verschlüsselung sind nicht ausreichend integriert, was die sichere Anwendung erschwert.

Warum ist das wichtig:

Technische Schutzmaßnahmen wie Verschlüsselung, lokale Datenverarbeitung und klare Datenkontrolle sind entscheidend, um sensible Daten zu schützen und DSGVO-Konformität zu gewährleisten.

NENNA - "Feature of the Month"

Schutz sensibler Daten bei Dokumentenupload

Der Schutz von Dokumenten ist bei NENNA Shield in 2024 einer der meistgenutzten Use Cases. Wir decken mit dieser Lösung mehrere Anwendungsfälle in der täglichen Nutzung von KI ab. Sie hilft der Geschäftsführung mit Verträgen zu arbeiten und trotzdem finanzielle und Reputationsrisiken zu vermeiden. Sie unterstützt die Rechtsabteilung bei der Einhaltung gesetzlicher Vorgaben und reduziert Haftungsrisiken. Wir schützen damit auch die HR-Abteilung, die die Anonymsierung von Mitarbeiterdokumenten vornehmen kann.

Die Maskierung von sensiblen Daten in PDF- und Word-Dokumenten schützt vertrauliche Informationen und minimiert Risiken für Datenschutzverletzungen in verschiedenen Abteilungen eines Unternehmens und sorgt gleichzeitig für Zeitersparnis und Effizienz.

KI-Kompetenz-Pflicht ab Februar 2025

Ab dem 2. Februar 2025 verpflichtet die europäische KI-Verordnung Unternehmen, sicherzustellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Dies betrifft alle Anbieter und Betreiber von KI-Systemen, einschließlich der Nutzung von Tools wie ChatGPT oder Microsoft Copilot.

Details:

• Durchführung von Risikoanalysen: Unternehmen müssen kontextbezogene Risikoanalysen für eingesetzte KI-Systeme durchführen, um potenzielle Gefahren zu identifizieren und zu minimieren.

• Schulungen für Mitarbeitende: Mitarbeitende sind zu schulen, um sicherzustellen, dass sie KI-Tools sachkundig und rechtssicher einsetzen können, wobei ein Bewusstsein für Chancen und Risiken geschaffen werden soll.

• Entwicklung und Implementierung interner KI-Leitlinien: Es sind klare interne Richtlinien und Prozesse im Umgang mit KI zu etablieren, um Verantwortlichkeiten festzulegen und die Einhaltung der gesetzlichen Vorgaben zu gewährleisten

Warum ist das wichtig:

Die Einhaltung der KI-Kompetenz-Pflicht ist entscheidend, um rechtliche Risiken zu vermeiden und den verantwortungsvollen Einsatz von KI-Systemen im Unternehmen sicherzustellen.