Unsere Zukunft und AI
Auch Papst Leo XIV hat in einer seiner ersten Ansprachen AI erwähnt: „Und heute bietet die Kirche allen Menschen das Vermächtnis ihrer Soziallehre, um auf eine weitere soziale Revolution zu reagieren: die Entwicklungen der künstlichen Intelligenz, die neue Herausforderungen für die Verteidigung der Menschenwürde, der Gerechtigkeit und der Arbeit mit sich bringen. „
Bei Datenschutz können wir auf lange Erfahrung mit dem Thema verweisen – schon Jahrzehnte vor der DSGVO; AI ist gerade erst in rasanter Entwicklung: hatte GPT1 noch 117 Millionen Parameter, hat GPT4 schon 1760 Milliarden Parameter. Wir DPOs tun uns bei der Betrachtung eines Prozesses mit personenbezogenen Daten bei dem AI eingesetzt wird u.a. deshalb so schwer, da die DSGVO und der AI-Act vom Ansatz her unterschiedlich sind: Die DSGVO ist ein technologieneutraler Ansatz, der AI-Act ist eine Produktregulierung.
Die DSGVO will, dass unsere Grundrechte und Grundfreiheiten geschützt werden. Nur demokratische Staaten schützen auch diese Rechte ihrer Bürger:innen und haben ein Interesse am Schutz ihrer Daten. Totalitäre Staaten wollen keinen Datenschutz, da sie auch nicht die Rechte und Freiheiten der Menschen schützen wollen.
Orwells Zitat aus 1984 „Wer die Vergangenheit kontrolliert, kontrolliert die Zukunft. Wer die Gegenwart kontrolliert, kontrolliert die Vergangenheit“ bekommt durch IA eine ganz neue Bedeutung:
- Denn wie viele User hinterfragen die erste Antwort ihres Handys?
- Gibt es die Quelle überhaupt oder sind die Daten für das Training manipuliert worden?
- Kann ich überhaupt eine Aufgabe an AI delegieren? Wer ist verantwortlich? IA unterteilt eine Aufgabe in Unteraufgaben, was die Beantwortung noch schwieriger macht.
- Wir verlieren die Fähigkeit zu entscheiden und uns verantwortlich zu fühlen „ich war es nicht, das war der Algorithmus“
Eine der immanenten Gefahren von IA als lernenden System ist, dass es ein System ist, das gewohnt ist, dass wir zustimmen und nicht widersprechen. Das führt aber auch dazu, dass IA uns das sagt, was sie glaubt, dass wir hören wollen und so die Bildung von Meinungsblasen verstärkt.
Menschen neigen dazu alles, was uns umgibt, auch den Staubsaugerroboter, zu vermenschlichen. Wir haben die juristische Person geschaffen und selbst falls wir die IA zur Person machen, wird sie kein menschliches Wesen.
IA stellt eine Chance und eine Gefahr für die Rechte und Freiheiten von uns und den Generationen nach uns dar.
Doch egal, was wir tun und mit welchen Hilfsmitteln, wir müssen evaluieren und überlegen. Denn es gibt wie immer einen ein Kompromiss zwischen Nutzen und Sicherheit.
Rolle des Datenschutzbeauftragten von morgen
Die notwendigen Kompetenzen haben sich weiterentwickelt zur Multidisziplinarität:
- Es ist wichtig die Sprache der Rechtswissenschaft, der Informatik und des Managements zu verstehen. è „Du musst es einem Richter erklären können.“
- Wir müssen die Leidenschaft für Datenschutz weitergeben è Datenschutz muss „POPP“ machen „deve fare POP.
- Datenschutz und Cybersecurity müssen von Anfang an in den Prozessen mitgedacht werden.
- Unsere wesentliche Fähigkeit ist es Fragen zu stellen und zu kommunizieren.
- Wir als DPOs sind wesentliche Teile der Architektur, Teil des Designprozesses und der Beurteilung.
- DPO ist nicht mehr eine Rolle, sondern eine Funktion und somit werden diese Aufgaben nicht von einer Person, sondern einer Gruppe wahrgenommen
Ein DPO muss die Geschäftsleitung unterstützen. Aber er muss sich dagegenstemmen, missbraucht zu werden:
- Es ist weder seine Aufgabe Entscheidungen zu treffen noch kritiklos im Interesse der Firma zu agieren.
- Unsere Aufgabe ist das Beraten und das Aufzeigen von Schwachstellen bzw. Problemen.
Die Arbeit von Datenschutzbeauftragten kann auch vereinfacht werden:
- Automatisierung von Audits
- Auslagerung von Audits z.B. Audits durch eine interne Revision oder durch Externe (Verhaltenscodices, Zertifizierungen)
Die Rolle des DPO in der AI
Wie können uns als DPO nicht aus AI herausnehmen, sonst machen wir uns überflüssig. Wie es ein Vertreter eines italienischen Datenschutzvereins gesagt hat: „Künstliche Intelligenz gibt es nicht, es sind nur dumme Algorithmen.
Nur weil ich den Algorithmus nicht kenne/verstehe, heißt das nicht, dass in der Blackbox gezaubert wird. Wenn ein Wissenschaftler den Begriff Blackbox verwendet, meint er, dass er nicht sagen will, was er getan hat.“ Allerdings besteht die Gefahr der Überlastung, wenn sich der Datenschutzbeauftragte auch noch um AI kümmert. Deshalb sollten die Aufgaben und Zuständigkeiten zur Beurteilung und Dokumentation definiert aufgeteilt werden.
Dennoch müssen alle IA-Systeme dokumentiert werden und gemäß IA-Act klassifiziert (niedriges, mittleres, hohes Risiko) und auf Verwendung personenbezogener Daten überprüft werden.
Harmonisierte System der Risikobeurteilung und der Dokumentation
Die Prozesse für die Überwachung der IA-Systeme und der Verarbeitung von personenbezogenen Daten bezüglich Rechenschaftspflicht sind zu harmonisieren.
Ein Privacy Impact Assessment (PIA) bzw. eine Datenschutzfolgenabschätzung (DSFA) müssen mit der IA-Risikobewertung in einem Prozess vereinigt werden, indem eine Methode angewandt wird, die sowohl die Risiken für die (Grund-)Rechte der Menschen, ihre Privatsphäre als auch die technologischen und operativen Risiken der Systeme behandelt.
Zur Beurteilung von IA können auch Normen herangezogen werden:
- ISO 42001 Managementsystem für Künstliche Intelligenz
- ISO 42005 AI system impact assessment
Gerade bei AI muss die DSFA weitergedacht werden, hin zur FRIA.
Transparenz und Überwachung der Lieferkette
Ein System der Überwachung (due diligence Prüfung) der supply-chain der AI-Modelle erstellen, das garantiert:
- Transparenz über die Lieferanten (durch Beteiligung/Orientierung an den Due-Diligence-Aktivitäten zur Korruptionsbekämpfung).
- Audit der Modelle vor Einführung und bei Änderungen
- Überprüfung der Einhaltung der geltenden Vorschriften durch die Lieferanten
Integrierte Plattform für die Compliance Dokumentation
DPOs haben mit dem Verarbeitungsverzeichnis schon ein passendes Werkzeug zur Dokumentation, das bei passender Anwendung um AI-Informationen ergänzt werden kann, um Teile der Anforderungen nach Art 9 bis 11 AI-Act zu erfüllen.
Zentralisierung der Register als Nachweis der integrierten Compliance-Aktivitäten
- Führung von zentralen Registern, die die Anforderungen der DSGVO (Verarbeitungsverzeichnis), des AI-Acts (IA-Protokoll) und des dIDAS 2 (Authentifizierung und Signaturen) kombinieren.
- Einführung einer technologischen Lösung, die eine zentralisierte Verwaltung der Nachweise ermöglicht.
- Beibehaltung einer klaren Unterscheidung zwischen den verschiedenen Vorschriften, um die spezifische Konformität zu gewährleisten.
FRIA und HRIA (Fundamental Rights Impact Assessment und Human Rights Impact Assessment)
Eine Datenschutzfolgenabschätzung (DPIA Data Protection Impact Assessment) ist eigentlich kein Impact Assessment, sondern ein Risk Assessment.
Da gerade IA oftmals nicht das Individuum, sondern das Kollektiv betrifft, sind die Auswirkungen auf die Grundrechte/Menschenrechte zu prüfen.
FRIA bezieht sich auf die „Charter of Fundamental Rights oft he European Union“
HRIA bezieht sich auf die United Nations‘ „Universal Declaration of Human Rights“
In der praktischen Prüfung braucht zwischen FRIA und HRIA nicht unterschieden zu werden. Es geht nicht um abstrakte/theoretische Risken, sondern um reale Risiken, die eintreten können.
Ebenso sollten die Prozesse für DPIA und FRIA ident sein. Es gibt Fälle, wo eine DPIA, andere wo eine FRIA und wieder solche wo beide notwendig sind.
3 wichtige Grundrechte:
- Datenschutz/Privatsphäre
- Nichtdiskriminierung
- Vorhandensein von Rechtsbehelfen (Recht auf Anrufung eines Gerichts)
Unterlagen zu diesem Thema
Art 27 und Erw. 96 AI-Act legen fest, für welche AI-Systeme eine FRIA notwendig ist
