Freitag, Dezember 27, 2024
Wie der Datenschutz die Auswirkungen der KI zu spüren bekommt
Gregor König ist Group Data Protection Officer bei der Erste Group Bank. (Foto: Business Circle)

Gregor König ist Group Data Protection Officer bei der Erste Group Bank. Er spricht im Vorfeld der Konferenz PriSec über die Risiken, die KI für den Datenschutz bringt und wie man als CISO am besten damit umgeht.


Welcher Weg hat sie zu ihrer Aufgabe als Group Data Protection Officer bei der Erste Group Bank geführt?

Gregor König: Ich habe in Wien Rechtswissenschaften studiert und mich im Postgraduate bereits auf Informationsrecht inklusive Datenschutzrecht spezialisiert. Dies kam mir bereits zu Gute, als ich vom Verwaltungsgerichtshof zur Datenschutzkommission, der Vorgängerbehörde der heutigen Datenschutzbehörde, gewechselt bin. Ich war zunächst als Referent tätig, später dann mehrere Jahre als stellvertretender Leiter der Geschäftsstelle und geschäftsführendes Mitglied der Kommission. 2014 bin ich in die Erste Group gewechselt, habe dort die Datenschutzorganisation aufgebaut und gestaltet und bin seit Inkrafttreten der DSGVO als Gruppendatenschutzbeauftragter - sowie lokaler DPO der Gesellschaften in Österreich - tätig.

Welche sind Ihres Erachtens die größten Risiken für den im Zusammenhang mit KI und Datenschutz?

König: KI stellt zunächst eine neue technologische Entwicklung dar, die von der technologieneutralen DSGVO gleichermaßen wie anderen Formen der Datenverarbeitung erfasst wird. Mit einigen Grundsätzen der DSGVO tut sich die KI-Verwendung aber schwer: das betrifft einerseits die Erklärbarkeit der Vorgänge im Zusammenhang mit der Rechenschaftspflicht des Verantwortlichen, demzufolge der Transparenz gegenüber den betroffenen Person, aber auch der Richtigkeit der Daten (Stichwort: Halluzinationen der KI) sowie dem Grundsatz der Datenlöschung, was aus Modellen schwierig bis unmöglich ist. Hier gibt es noch keine zufriedenstellenden Antworten.

Was sollte der CISO vor allem beachten, um den Einsatz von KI möglichst risikoarm zu halten?

König: Ganz grundsätzlich ist, auch im Hinblick auf den AI Act, eine solide Governance im Unternehmen zur Behandlung von KI Usecases aufzubauen. Das bedeutet die Involvierung aller relevanten Stellen, neben Security auch Legal, Datenschutz, Compliance, IT etc. Weiters ist eine ausreichende Awareness zum Thema wichtig - den Gefahren von KI sowie den rechtlichen Anforderungen und Schnittstellen zu Datenschutz, Urheberrecht und anderen Bereichen - und schließlich die Adaptierung bestehender Prozesse der IT Governance im Hinblick auf die Besonderheiten der KI. Ein Pre-Check nach den von der französischen Datenschutzbehörde CNIL erarbeiteten Fragebögen kann hier Sinn machen

Daten, die unter personendaten- oder patentrechtlichen Schutz fallen, werden – meist aus Unachtsamkeit – bei Prompts schnell eingegeben und sind dann irgendwo in den Weiten des Netzes. Wie ist der unternehmensinterne Datenschutz hier gefordert?

König: Wann immer Menschen Daten an einer Schnittstelle verarbeiten, deren Missbrauch man nicht rechtssicher technisch beschränken kann, sind drei Säulen von Bedeutung: strenge Regeln zur Verwendung – was darf eingegeben werden oder – manchmal sinnvoller – wo liegen die Grenzen der zulässigen Eingabe. Zweitens Awareness zu diesen Regeln, in unterschiedlicher Form und regelmäßig, und drittens adäquate Kontrollsysteme, deren Ergebnisse wiederum die Regeln und Awarenessmaßnahmen beeinflussen können

KI-gestützte Systeme werden häufig als Black Box wahrgenommen, man weiß nicht wie die Algorithmen funktionieren und mit welchen Daten die Systeme „gefüttert“ werden. Wie geht man damit um? Ist es besser, eigene Systeme zu programmieren?

König: Natürlich ist das eigens kreierte KI System auf eigenen Systemen das relativ sicherere – was allerdings einen Preis hat. Jedenfalls darauf achten sollte man, dass kein offenes KI-System verwendet, das die Erkenntnisse aus den eingespielten Informationen auch für andere Unternehmen und KI-Kunden verwendet. Geschlossene Systeme, zumal wenn personenbezogene Daten verwendet werden sollen, sind hier unumgänglich. In allen Anwendungsfällen rät es sich außerdem, Ergebnisse der KI zu plausibilisieren – viele Anwendungsfälle lösen ja manuelle bestehende Prozesse ab, das entsprechende Wissen um korrekte Ergebnisse sollte also vorhanden sein. Wenn in Zukunft KIs mit KIs interagieren oder solches Wissen fehlt, ist größere Skepsis angebracht, sind aber auch die Möglichkeiten der Kontrolle eingeschränkt beziehungsweise nicht (mehr) vorhanden.

Das Interview in voller Länge ist auf der Website der Konferenz PriSec erschienen (Link)

Meistgelesene BLOGS

Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...
Redaktion
04. September 2024
Ökologische Baumaterialien: Der Weg zu umweltfreundlichen Gebäuden Die Bauindustrie befindet sich in einem tiefgreifenden Wandel, bei dem ökologische Baumaterialien eine zentrale Rolle spielen. Tradit...
Alfons A. Flatscher
06. November 2024
Mit Donald Trumps Rückkehr ins Weiße Haus zeichnet sich ein neues Kapitel der Handelspolitik der USA ab – und für europäische Unternehmen könnten die nächsten Jahre herausfordernd werden. Trump, bekan...
LANCOM Systems
14. Oktober 2024
Die österreichische Bundesbeschaffung GmbH (BBG) hat die Lösungen des deutschen Netzwerkinfrastruktur- und Security-Herstellers LANCOM Systems in ihr Portfolio aufgenommen. Konkret bezieht sich die Ra...
Firmen | News
30. September 2024
Die Wahl der richtigen Matratze kann einen großen Unterschied in Ihrem Leben machen. Es gibt viele Faktoren zu berücksichtigen, bevor Sie eine Entscheidung treffen. Erfahren Sie, wann der beste Zeitpu...
Marlene Buchinger
31. Oktober 2024
Beim Thema Nachhaltigkeit stellt sich oft die Frage, für wen machen wir das überhaupt? Im vierten Teil der REPORT-Serie geht es um die Anspruchsgruppen, auch Interessensträger oder Stakeholder genannt...

Log in or Sign up