Site Search

Menu

Dienstleistungen

Menu

Private Wealth & Entrepreneurs

Menu

Familienunternehmen & KMU Beratung

Featured

Künstliche Intelligenz

Ergebnisse laden

Datenschutz und künstliche Intelligenz

So bewerten Sie Ihre KI-Systeme aus rechtlicher und regulatorischer Sicht

Philipp Rosenauer
Partner Legal, PwC Schweiz

Fatih Sahin
Director, TLS Artificial Intelligence & Data Lead, PwC Schweiz

Künstliche Intelligenz (KI) entwickelt sich rasant und birgt viele Möglichkeiten und Herausforderungen für verschiedene Sektoren und Anwendungen. KI-Systeme können grosse Datenmengen verarbeiten, aus Mustern und Rückmeldungen lernen und komplexe Aufgaben ausführen, die andernfalls menschliches Eingreifen oder Fachwissen erfordern würden. Allerdings werfen diese KI-Systeme auch erhebliche Fragen und Risiken hinsichtlich Datenschutz, Privatsphäre, Ethik und Menschenrechte auf. Wie können wir sicherstellen, dass KI-Systeme so konzipiert, entwickelt und eingesetzt werden, dass die Rechte und Interessen des Einzelnen und der Gesellschaft gewahrt bleiben? Wie können wir potenzielle Schäden und Verzerrungen, die sich unter Umständen aus dem Einsatz von KI-Systemen ergeben, verhindern oder reduzieren? Wie können wir das Vertrauen und die Verantwortlichkeit bei der Nutzung von KI-Systemen fördern?

Dieser Artikel gibt Datenverantwortlichen, die KI-Systeme auf rechtmässige, faire und transparente Weise einsetzen wollen, einige Leitlinien und bewährte Verfahren an die Hand. Dabei stützen wir uns auf die Empfehlungen und Fragen der französischen Datenschutzbehörde (CNIL). Der Artikel behandelt dabei sechs Hauptaspekte des Lebenszyklus von KI-Systemen:

  • Grundlegende Fragen als Ausgangspunkt
  • Verwenden von Trainingsdaten
  • Entwickeln des KI-Algorithmus
  • Einsatz von KI-Systemen
  • Überlegungen zur Sicherheit
  • Rechte betroffener Personen

Für jeden Bereich bieten wir eine Zusammenfassung der wichtigsten Punkte sowie eine Liste von Fragen, die sich Datenverantwortliche bei der Analyse ihrer KI-Systeme stellen und dokumentieren sollten.

Künstliche Intelligenz ist ein komplexes und aktuelles Thema. Haben Sie Fragen dazu? Wir sind da, um Ihnen zu helfen. 

Reden Sie mit unseren Experten!

Grundlegende Fragen als Ausgangspunkt

Bevor sie sich für den Einsatz eines KI-Systems entscheiden, sollten Datenverantwortliche den Zweck und den Verarbeitungsumfang klar definieren, um zu beurteilen, ob der Einsatz von KI zur Erreichung des angestrebten Ziels notwendig und verhältnismässig ist. Sie sollten ausserdem potenzielle Auswirkungen und Risiken der Datenverarbeitung auf die Grundrechte und -freiheiten von Einzelpersonen ermitteln. Das gilt besonders dann, wenn die Verarbeitung personenbezogene Daten umfasst, auf schutzbedürftige Gruppen abzielt oder rechtliche, finanzielle oder physische Folgen für die betroffenen Personen hat. Datenverantwortliche sollten sich daher die folgenden Fragen stellen:

  • Welches spezifische Verarbeitungsziel erfordert den Einsatz eines KI-Systems?
  • Rechtfertigt sich der Einsatz eines KI-Systems durch einen signifikanten Vorteil gegenüber anderen bestehenden Systemen oder Methoden?
  • Betrifft die Verarbeitung personenbezogene Daten, die entweder direkt bei den Personen erhoben oder aus anderen Quellen beschafft wurden?
  • Welche Personen sind von der Verarbeitung betroffen, entweder als Nutzer oder als Betroffene von automatisierten Entscheidungen?
  • Welche Auswirkungen kann die Verarbeitung auf die Rechte und Interessen der betroffenen Personen haben, beispielsweise auf Privatsphäre, Würde, Autonomie oder das Recht auf Nichtdiskriminierung?
  • Wie lassen sich Risiken oder mögliche Schäden durch die Datenverarbeitung verhindern oder reduzieren?
  • Wer ist für Entwurf, Entwicklung, Einsatz und die Überwachung des KI-Systems verantwortlich und welche Aufgaben und Pflichten haben dieses Personen?
     

Verwenden von Trainingsdaten

Trainingsdaten sind die Daten, die zum Trainieren und Validieren von KI-Systemen verwendet werden – in der Regel im Rahmen überwachter oder nicht überwachter Lernprozesse. Qualität und Quantität der Trainingsdaten sind entscheidend für die Leistung und Zuverlässigkeit des KI-Systems sowie für das Einhalten von Datenschutzgrundsätzen. Datenverantwortliche sollten sicherstellen, dass die Trainingsdaten rechtmässig bezogen werden. Ausserdem sollten sie relevant, genau, repräsentativ und vorurteilsfrei sein. Datenverantwortliche sollten sich daher die folgenden Fragen stellen:

  • Woher stammen die Trainingsdaten und wie wurden sie bezogen oder erhoben?
  • Auf welcher Rechtsgrundlage werden die Trainingsdaten verarbeitet, wie wird dies dokumentiert und den betroffenen Personen gegebenenfalls mitgeteilt?
  • Wie wird die Einhaltung der Vorschriften bei der Verarbeitung von Schulungsdaten überwacht und bewertet, beispielsweise durch eine Datenschutz-Folgenabschätzung oder eine Risikoanalyse?
  • Wie werden die Daten anonymisiert oder pseudonymisiert und welche Massnahmen werden getroffen, um das Risiko einer Re-Identifizierung oder eines Rückschlusses zu vermeiden oder zu begrenzen?
  • Wie werden die Daten minimiert und nach welchen Kriterien werden die für das Lernen notwendigen und relevanten Variablen und Werte ausgewählt?
  • Wie wird die Datenqualität sichergestellt und welche Methoden werden zur Überprüfung und Korrektur der Daten hinsichtlich Fehler, Inkonsistenzen oder Ausreisser verwendet?
  • Wie wird eine potenzielle Verzerrung der Daten erkannt und korrigiert, welche Instrumente werden verwendet, um Verzerrungen von Daten oder Ersatzwerten für sensible oder geschützte Merkmale zu messen und abzuschwächen?

Entwickeln des KI-Algorithmus

Ein Algorithmus besteht im Wesentlichen aus Regeln oder Anweisungen, die festlegen, wie ein KI-System die Eingabedaten verarbeitet und die Ausgabedaten erzeugt. Wahl und Implementierung des Algorithmus hängt von der Art und Komplexität der Lernaufgabe, den verfügbaren Daten sowie der erwarteten Leistung und Fairness des KI-Systems ab. Datenverantwortliche sollten sicherstellen, dass der Algorithmus stabil, zuverlässig und transparent ist und dass er getestet und erklärt werden kann. Datenverantwortliche sollten sich daher die folgenden Fragen stellen:

  • Was für ein Algorithmus wird verwendet, welche Logik hat er und wie passt er zu Zweck und Umfang der Verarbeitung?
  • Warum wurde dieser Algorithmus gewählt und welche Vor- und Nachteile bietet dieser im Vergleich zu anderen Algorithmen oder Methoden?
  • Wie wird der Algorithmus validiert und überprüft und welche Quellen und Kriterien werden zur Bewertung seiner Qualität und Genauigkeit herangezogen?
  • Wie wird der Algorithmus dokumentiert und kommuniziert und welche Mittel und Formate werden verwendet, um den Beteiligten und den betroffenen Personen seine Funktionsweise und Beschränkungen zu erklären?
  • Welche Tools und Frameworks werden für die Entwicklung und Implementierung des Algorithmus verwendet und wie werden sie ausgewählt sowie hinsichtlich ihrer Zuverlässigkeit und Sicherheit bewertet?
  • Wie wird der Algorithmus trainiert und getestet und welche Strategien und Metriken werden verwendet, um seine Leistung und Fairness zu messen und zu optimieren?
  • Wie wird der Algorithmus aktualisiert und gewartet und welche Mechanismen und Protokolle werden zur Überwachung und Kontrolle seines Verhaltens und seiner Ergebnisse im Laufe der Zeit verwendet?

Einsatz von KI-Systemen

Die Produktion ist die Phase, in der das KI-System in der realen Umgebung eingesetzt und verwendet wird – entweder als eigenständiges System oder als Teil eines grösseren Systems oder Prozesses. Der Einsatz von KI-Systemen in der Produktion kann direkte oder indirekte Auswirkungen auf Einzelpersonen und die Gesellschaft haben. Ausserdem kann der Einsatz auch Veränderungen oder Herausforderungen in der Umgebung oder den Daten unterliegen. Datenverantwortliche sollten sicherstellen, dass das KI-System überwacht wird, transparent und anpassungsfähig ist und dass es die Rechte und Interessen des Einzelnen und der Gesellschaft wahrt. Die folgenden Fragen können hier von Bedeutung sein:

  • Wie wird die menschliche Aufsicht gewährleistet und welche Aufgaben und Zuständigkeiten haben die menschlichen Bediener, die mit dem KI-System interagieren oder es überwachen?
  • Wie wird Transparenz gewährleistet und welche Informations- und Kommunikationskanäle werden genutzt, um Nutzer und betroffene Personen über das KI-System zu informieren und es ihnen zu erklären?
  • Wie wird die Qualität sichergestellt und welche Massnahmen und Indikatoren werden zur Bewertung und Aufrechterhaltung der Qualität von Input- und Outputdaten des KI-Systems verwendet?
  • Wie wird die Anpassungsfähigkeit sichergestellt und welche Methoden und Verfahren werden verwendet, um das KI-System zu aktualisieren und an Veränderungen oder Rückmeldungen in der Umgebung oder den Daten anzupassen?

KI-Systeme werfen Fragen und Risiken hinsichtlich Datenschutz, Privatsphäre, Ethik und Menschenrechte auf. Wie können wir sicherstellen, dass KI-Systeme so konzipiert, entwickelt und eingesetzt werden, dass die Rechte und Interessen des Einzelnen und der Gesellschaft gewahrt bleiben?

Philipp Rosenauer,Partner and Head of Data Privacy, PwC Schweiz

Überlegungen zur Sicherheit

Die Sicherheit ist ein wichtiger Aspekt des Lebenszyklus von KI-Systemen, da sie die Integrität, Verfügbarkeit und Vertraulichkeit der Daten und des Systems beinflusst. KI-Systeme können für verschiedene Arten von Angriffen oder Schwachstellen anfällig sein, die ihre Funktionsweise oder Leistung beeinträchtigen oder Einzelpersonen oder der Gesellschaft schaden können. Datenverantwortliche sollten daher sicherstellen, dass das KI-System geschützt, belastbar und rechenschaftspflichtig ist und dass es den Sicherheitsstandards und bewährten Verfahren entspricht. Die folgenden Aspekte sind dabei zu berücksichtigen: 

  • Wie wird die Risikoanalyse durchgeführt und welche Methoden und Instrumente werden zur Ermittlung und Bewertung von potenziellen Bedrohungen und Schwachstellen des KI-Systems eingesetzt?
  • Wie wird der Schutz implementiert und welche Massnahmen und Techniken werden eingesetzt, um Angriffe oder Schwachstellen, die das KI-System oder die Daten beeinträchtigen könnten, zu verhindern oder zu entschärfen?
  • Wie wird die Belastbarkeit gewährleistet und welche Mechanismen und Pläne werden verwendet, um das KI-System oder die Daten im Falle eines Zwischenfalls oder einer Verletzung wiederherzustellen?
  • Wie wird die Rechenschaftspflicht sichergestellt und welche Aufzeichnungen und Protokolle werden verwendet, um die Aktivitäten und Ereignisse des KI-Systems oder der Daten zu verfolgen und zu dokumentieren?
  • Wie wird die Sicherheit überwacht und geprüft und welche Prozesse und Verfahren werden zur Überprüfung und Bewertung der Sicherheit des KI-Systems oder der Daten eingesetzt?

Rechte betroffener Personen

Einzelpersonen haben spezifische Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten oder die sie betreffenden automatisierten Entscheidungen. KI-Systeme können die Ausübung dieser Rechte erschweren oder einschränken, sei es aufgrund ihrer Komplexität, Undurchsichtigkeit oder Unvorhersehbarkeit. Deshalb sollten Datenverantwortliche sicherstellen, dass das KI-System die Ausübung dieser Rechte respektiert und erleichtert. Ausserdem sind die notwendigen Informationen und Mittel bereitzustellen, damit die betroffenen Personen Auskunft zu dem KI-System oder den Daten erhalten und diese berichtigen, löschen, beanstanden oder anfechten können. Datenverantwortliche sollten sich daher die folgenden Fragen stellen:

  • Wie werden die Personen informiert und welchen Inhalt und welches Format haben die Informationen, die den Personen über das KI-System oder die Daten zur Verfügung gestellt werden?
  • Wie werden die Rechte ausgeübt und welche Kanäle und Methoden stehen Einzelpersonen zur Verfügung, um ihre Rechte in Bezug auf das KI-System oder die Daten zu beantragen oder auszuüben?
  • Wie werden die Anfragen gehandhabt und welche Kriterien und Verfahren werden verwendet, um auf die Anfragen von Einzelpersonen in Bezug auf das KI-System oder die Daten zu antworten oder ihnen nachzukommen?
  • Wie werden die Entscheidungen erklärt und welche Elemente und Formate werden verwendet, um sinnvolle und verständliche Erklärungen für die vom KI-System oder den Daten getroffenen Entscheidungen zu liefern?
  • Wie werden Entscheidungen angefochten und welche Mechanismen und Rechtsmittel stehen Einzelpersonen zur Verfügung, um die vom KI-System oder den Daten getroffenen Entscheidungen anzufechten oder ihnen zu widersprechen?

Wir bei PwC unterstützen unsere Kund:innen bei ihrer KI-Reise. Abgesehen von den oben beschriebenen rechtlichen Anforderungen müssen Unternehmen noch weitere Aspekte bei der Einführung ihrer KI-Lösungen berücksichtigen. Genau dazu haben wir das PwC’s Responsible AI Toolkit entwickelt, eine Suite von anpassbaren Rahmen, Tools und Prozessen. Diese unterstützen Sie dabei, die Möglichkeiten der KI auf ethische und verantwortungsvolle Weise zu nutzen – von der Strategie bis zur Umsetzung.

Bitte kontaktieren Sie unsere Expert:innen, um mehr zu diesem Thema zu erfahren.

#social#

Haben Sie Fragen?

https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de

Das könnte ausserdem interessant für Sie sein

PwC’s Responsible AI Toolkit

Datenschutz-Blogserie

Related content

Contact us

Philipp Rosenauer

Philipp Rosenauer

Partner Legal, PwC Switzerland

Tel: +41 58 792 18 56

Linkedin Follow Email
Fatih Sahin

Fatih Sahin

Director, AI & Data Leader Tax & Legal Services, PwC Switzerland

Tel: +41 58 792 48 28

Linkedin Follow Email
Matthias Leybold

Matthias Leybold

Partner, Cloud & Digital, PwC Switzerland

Tel: +41 58 792 13 96

Linkedin Follow Email
Yan Borboën

Yan Borboën

Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland

Tel: +41 58 792 84 59

Linkedin Follow Email
Dienstleistungen Consulting Deals Familienunternehmen und KMU Globale Märkte Legal People und Organisation Private Wealth Steuerberatung Treuhand Wirtschaftsprüfung
Branchen Detailhandel und Konsumgüter Energie Finanzdienstleistungen Gesundheitswesen Immobilien Öffentlicher Sektor Pharma- und Life-Sciences Sports Business Advisory Telekommunikation und Medien Verarbeitende Industrie
Im Fokus Künstliche Intelligenz Workforce of the Future Finance Transformation Customer Transformation Cybersecurity Data & Analytics ESG: Die Kriterien und ihre Umsetzung
Über PwC Kontakt Presse Standorte Organisation und Führung Corporate Sustainability Zweck, Werte & Verhalten Fakten und Zahlen Geschichte Alumni
Karriere Karriere Events Offene Stellen Berufserfahrene Absolventen Studierende Lernende PwC als Arbeitgeber
Research & Insights Unsere neuesten Insights PwC Insights abonnieren Preference Centre

© 2018 - 2024 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.