Die DSGVO und der AI Act

29. Mai 2023
| Keine Kommentare
Die DSVGO und der AI Act

Beitrag teilen

Fünf Jahre ist die DSGVO nun in Kraft und die Europäische Kommission will die Regelung noch im ersten Halbjahr verbessern. Konkret sollen verbindliche Fristen für die Weiterleitung von Beschwerden und eine generelle Bearbeitungsfrist kompletter Beschwerdeverfahren eingeführt werden.

Das Thema KI wird die EU separat im “AI Act” regeln, wobei DSGVO und KI eng verflochten sind, wie der Bann von ChatGPT in Italien zeigt. Wie Firmen das Potenzial von KI für sich nutzen können, unter kontrolliertem rechtlichen Risiko, erläutert Mark Molyneux, EMEA CTO bei Cohesity und formuliert vier konkrete Empfehlungen:

Rechtliche, technische und ethische Fragen

„ChatGPT hat KI für jeden frei zugänglich gemacht und in den Alltag gebracht. Diesen Januar sollen mehr als 100 Millionen aktive User die KI genutzt haben – zwei Monate nach ihrem Start. Damit ist ChatGPT nach Reuters die am schnellsten gewachsene Consumer-Anwendung der Geschichte. Und mit jeder neuen Version wird diese KI größer und besser. Und mit jeder neuen Version wirft sie mehr Fragen auf – rechtlich, technisch und ethisch. Denn es mangelt an Transparenz, niemand von außen kann in diese Black Box schauen.

Die Italienische Regierung hat sich entschieden, ChatGPT zu bannen. Die KI verstöße gegen Prinzipien der DSGVO, heißt es von der italienischen Staatsanwaltschaft. Die Europäischen Staaten und ihre Datenschutzbehörden sehen sich in der Pflicht, die KI in den Blick zu nehmen. Es passt ins Bild, dass gegen die Firma für Gesichtserkennung, Clearview AI, im vergangenen Jahr gleich dreimal Strafen von bis zu 20 Millionen Euro ausgesprochen wurden. Die Datenschützer in Großbritannien , Italien und Griechenland waren der Meinung, diese Firma und ihre AI verletze die Rechte der Bürger.

Verstöße gegeb die DSGVO

Das Gesamtbild ist unscharf, es sind aber klare Tendenzen erkennbar, dass der Einsatz von KI mit bestimmten Daten rechtliche Risiken schafft, wenn mit DSGVO-relevanten Daten hantiert wird. Und die Statistiken zeigen, dass die Behörden in Europa weiter hohe Strafen verhängen – insbesondere gegen Big Data. Von Mai 2022 bis Mai dieses Jahres wurden Bußgelder in Höhe von 1,1 Milliarden Euro erhoben – neun der zehn höchsten Strafen wurden gegen Tech-Giganten aus den USA ausgesprochen.

Die EU will die Rechtslage im AI Act klarer regeln. Das europaweite KI-Gesetz hat am 11. Mai die erste Hürde genommen und soll Mitte Juni im Plenum verabschiedet werden. Es wird bis 2024 dauern, bis das Gesetz tatsächlich in Kraft tritt. Und erst viel später wird in den ersten Fällen klar, wie es in der Praxis tatsächlich wirkt. Sicher ist, dass auf Firmen und ihre Mitarbeiter aus Compliance-Sicht neue Aufgaben und Pflichten zukommen.

Kontrolliertes Risiko

Niemand in der freien Wirtschaft kann es sich leisten, bis dahin zu warten. Firmen und Privatpersonen brauchen jetzt klare Orientierung. Denn sie wollen das große Potenzial dieser Technik nutzen, erste Firmen tun es bereits. Es gibt vier klare Empfehlungen, wie Firmen dies angehen können, ohne rechtliche Risiken zu verursachen und trotzdem den Usern nicht im Weg zu stehen. Und zugleich so aufgestellt zu sein, dass man den AI Act voll umsetzen kann, ohne die IT auf den Kopf zu stellen:

  • Compliance immer mitdenken: Ob der Einsatz von KI Compliance betrifft, hängt schlicht vom Anwendungsszenario und den genutzten Daten ab. Wer KI DSGVO-konform einsetzen will, sollte vor Einführung den Rat eines Datenschutzexperten einholen.
  • Daten kennen: Unternehmen und ihre Mitarbeiter müssen genau wissen, mit welchen Daten sie die KI füttern und welchen Wert diese Daten für die Firma besitzen. Einige KI -Anbieter übertragen diese Entscheidung bewusst an die Daten-Owner, weil sie die Daten am besten kennen.
  • Inhalte der Daten verstehen: Damit die Daten-Owner richtig entscheiden können, muss der Wert und Inhalt der Daten klar sein. Im Alltag ist diese Aufgabe gigantisch und die meisten Firmen haben Berge von Informationen angehäuft, von denen sie überhaupt nichts wissen. Auf diesem Gebiet kann KI und Machine Learning massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen automatisiert klassifiziert. Vordefinierte Filter fischen Compliance-relevante Daten wie Kreditkarten oder andere personenbezogene Details sofort aus dem Datenteich und markieren sie. Diese KI entwickelt einmal auf die Daten losgelassen eine firmenbezogene Sprache, einen Firmendialekt. Und je länger sie arbeitet und je mehr Firmendaten sie untersucht , desto genauer werden ihre Ergebnisse. Der Charme dieser KI-getriebenen Klassifizierung zeigt sich vor allem, wenn neue Vorgaben einzuhalten sind. Was auch immer der AI Act bringt, die ML und KI getriebene Klassifizierung wird diese zusätzlichen Attribute suchen können und der Firma ein Stück Zukunftssicherheit verschaffen.
  • Datenflüsse steuern: Sind die Daten mit den richtigen Merkmalen eingestuft und klassifiziert, lassen sich von der darunter liegenden Datenmanagement-Plattform automatisch Regeln durchsetzen, ohne dass der Data Owner eingreifen muss. Dadurch sinken die Chancen für menschliche Fehler und die Risiken. So könnte eine Firma durchsetzen, dass bestimmte Daten wie Intellectual Property oder Finanzdaten niemals an andere Speicherorte oder externe KI-Module weitergegeben werden dürfen. Moderne Datenmanagement-Plattformen steuern den Zugriff auf diese Daten, indem sie diese automatisch verschlüsseln und sich Anwender per Access Controls und Multifaktor-Authentifizierung autorisieren müssen.

Haben Sie kurz Zeit?

Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen!

Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender.

Hier geht es direkt zur Umfrage
 

Fazit: KI wird die Wirtschaft so umwälzen, wie es das Internet tat. Firmen wollen, dass ihre Mitarbeiter KI innovativ nutzen. KI selbst hat die Kraft, KI zu zähmen, indem sie die Daten und ihren Inhalt durchleuchten kann. Dies eröffnet Firmen viele gute Wege, wie sie den Einsatz von KI steuern können, ohne hohe Risiken und Strafen fürchten zu müssen.“

Mehr bei Cohesity.com

 

Über Cohesity

Cohesity vereinfacht das Datenmanagement extrem. Die Lösung erleichtert es, Daten zu sichern, zu verwalten und aus ihnen Wert zu schöpfen - über Rechenzentrum, Edge und Cloud hinweg. Wir bieten eine vollständige Suite von Services, die auf einer Multi-Cloud-Datenplattform konsolidiert sind: Datensicherung und Wiederherstellung, Notfallwiederherstellung, Datei- und Objektdienste, Entwicklung/Test sowie Daten-Compliance, Sicherheit und Analysen. Das reduziert die Komplexität und vermeidet die Fragmentierung der Massendaten. Cohesity kann als Service, als selbst verwaltete Lösung sowie über Cohesity-Partner bereitgestellt werden.

 

Passende Artikel zum Thema

Bedrohungen durch Insider entgegenwirken

IT-verantwortlich zu sein, ist derzeit nicht der leichteste Beruf. Wenn neben der stetigen Warnung vor externen Angriffen und dem Gebot ➡ Weiterlesen

Phishing-Studie: Mitarbeiter gehen viel zu hohes Risiko 

Knapp zwei Drittel der Mitarbeiter in Deutschland (64 %, weltweit 68 %) setzen ihr Unternehmen wissentlich Risiken aus, die zu ➡ Weiterlesen

Risiken durch steigende Nutzung von künstlicher Intelligenz

Ein Report verdeutlicht, dass 569 TByte an Unternehmensdaten an KI-Tools weitergegeben werden, und unterstreicht die Relevanz besserer Datensicherheit. KI/ML-Transaktionen in ➡ Weiterlesen

Kryptografie und Quantencomputing

Kryptografie ist seit geraumer Zeit eines der besten Mittel, um digitale Informationen vor unberechtigtem Zugriff zu schützen – beispielsweise, um ➡ Weiterlesen

KMU im Visier: Cyberangriffe auf Lieferketten

Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um ➡ Weiterlesen

Ursachen für Datenverluste in deutschen Unternehmen

Datenverlust ist ein Problem, das im Zusammenspiel zwischen Menschen und Maschinen auftritt: „Unvorsichtige Benutzer“ sind mit viel größerer Wahrscheinlichkeit die ➡ Weiterlesen

Warum Cyberkriminelle extra auf Backups zielen

Es gibt im Wesentlichen zwei Möglichkeiten, verschlüsselte Daten nach einem Ransomware-Angriff wiederherzustellen: die Wiederherstellung aus Backups und die Zahlung des ➡ Weiterlesen

Report: Mehr E-Mail-Server-Angriffe und Evasive Malware

WatchGuard Internet Security Report dokumentiert einen dramatischen Anstieg der sogenannten „Evasive Malware“, was zu einer deutlichen Erhöhung des Malware-Gesamtvolumens beiträgt. ➡ Weiterlesen

Storys
, , , ,