Am 24.01.2024 verkündete die Europäische Kommission, dass sie innerhalb ihrer Organisation das Europäische Amt für künstliche Intelligenz eröffnen will. Dieses soll die Durchführung und Durchsetzung des kommenden KI-Gesetzes beaufsichtigen und markiert zusammen mit der politischen Einigung auf das EU-KI-Gesetz einen weiteren Meilenstein in Richtung koordinierte KI-Durchsetzungsmaßnahmen.
Parallel zu diesen regulatorischen Entwicklungen investieren Unternehmen zunehmend in die Entwicklung und den Einsatz generativer KI. Ziel ist es, die Effizienz zu steigern, die Kosten zu senken und innovative Produkte und Dienstleistungen zu entwickeln und herzustellen. Es ist unbestritten, dass KI ein Bestandteil der Wachstumspläne und des künftigen wirtschaftlichen Erfolgs der meisten Unternehmen ist.
Angesichts der anstehenden Regulierung und Durchsetzungsmaßnahmen ist es für Unternehmen wichtig sicherzustellen, dass KI-Systeme auf verantwortungsvolle Weise arbeiten und negative Auswirkungen verhindern. Dies erfordert es von Unternehmen, der effektiven Verwaltung und Überwachung (Governance) von KI-Systemen große Aufmerksamkeit zu schenken.
Doch wer sollte diese Verantwortung tragen? Es gibt zumindest ein paar starke Argumente dafür, dass Datenschutzteams eine wichtige Rolle spielen sollten.
- Erstens müssen angesichts der datengesteuerten Natur der KI personenbezogene Daten, die von KI-Algorithmen verarbeitet werden, ernsthaft überwacht werden.
- Zweitens ist der Datenschutz selbst ein zentraler Aspekt in den Ethikleitlinien für eine vertrauenswürdige KI von der Europäischen Kommission.
- Drittens sind in letzter Zeit vor allem Datenschutzbehörden gegen KI vorgegangen, zum Beispiel ist eine KI-Gesichtserkennungsplattform in Frankreich zu einer Geldstrafe verurteilt oder ChatGPT in Italien vorübergehend verboten worden, beides wegen unzulässiger Datenverarbeitung.
Die Frage ist nun, welche Rolle Datenschutzteams bei der KI-Governance spielen sollten und wie dies in der Praxis aussehen kann. Die richtige Wahl für jede Organisation hängt von mehreren Faktoren ab, etwa der Art der Branche, der Größe der Organisation, den Ressourcenkapazitäten und Fähigkeiten und der Frage, ob KI überwiegend intern oder extern eingesetzt wird. Daher stellen wir drei verschiedene Szenarien vor, die ein Unternehmen für die Rolle des Datenschutzteams bei der KI-Governance in Betracht ziehen kann.
Das Datenschutzteam übernimmt die führende Rolle bei der KI-Governance und beim Risikomanagement
Der erste Ansatz liegt darin, dem Datenschutzteam die leitende Funktion in einer KI-Governance zukommen zu lassen. Das könnte insbesondere den Datenschutzteams zusagen, die sich eher als Business-Enabler statt als reine Complianceeinheit verstehen. Ein starker Aspekt dieses Ansatzes ist, dass Datenschutzteams in der Regel ein tiefergreifendes Verständnis von regulatorischer Compliance in Bezug auf persönliche Daten haben. Sie sind vertraut mit wichtigen Prinzipien wie Transparenz, Risikobasierung und Verantwortung, was sie für eine zentrale Rolle in der KI-Governance geeignet macht.
Die Übernahme einer Führungsrolle bringt eine Reihe von Aufgaben und Verantwortlichkeiten mit sich. So könnte das Datenschutzteam beispielsweise die Leitung eines Ausschusses mit anderen Abteilungen übernehmen und für die Ausarbeitung von Richtlinien für die Entwicklung und den Einsatz von KI-Systemen verantwortlich sein. Darüber hinaus könnte es sachlich dahingehend erweitert werden, die Einhaltung von KI-Vorschriften, Industriestandards und Unternehmensrichtlinien zu überwachen und sicherzustellen, dass Risiken wie Voreingenommenheit, Unfairness und mangelnde Sicherheit erkannt und minimiert werden.
Als Verantwortlicher für die KI-Governance würde das Datenschutzteam dafür sorgen, dass die Organisation in Bezug auf KI-Risiken und Complianceprozesse und -anforderungen geschult und sensibilisiert ist, und – was vielleicht am wichtigsten ist – mit internen und externen Stakeholdern zusammenarbeiten, um Transparenz und Rechenschaftspflicht bei der KI-Governance zu fördern und dem Vorstand darüber Bericht zu erstatten.
Eine solch aktive und zentrale Rolle in der KI-Governance ist eine große Herausforderung. Sie erfordert sowohl ausreichend Zeit und Ressourcen als auch ein tiefes technisches Verständnis. Doch ist genau diese Rollenverteilung entscheidend, um einen hohen Schutz der Privatsphäre und somit die Einhaltung der DSGVO zu gewährleisten. Für Unternehmen, die mit KI-Systemen arbeiten, die eine große Menge personenbezogener Daten verarbeiten, ist es besonders interessant, diese führende Rolle zu vergeben.
Das Datenschutzteam unterstützt eine Abteilung für KI-Regulierung
Ein zweiter Ansatz zur Gestaltung der Rolle von Datenschutzteams innerhalb der KI-Governance ist die Etablierung einer eigenständigen KI-Regulierungsabteilung mit Datenschutzkompetenz. Diese wäre für die umfassende Steuerung und Überwachung der KI-Systeme verantwortlich, um sicherzustellen, dass sie den unternehmerischen Zwecken entsprechen und gesetzeskonform transparent wie auch ethisch korrekt verwendet werden.
Manche Unternehmen haben bereits entschieden, eine solche KI-Regulierungsabteilung zu gründen, und es gibt zahlreiche Modelle, wie die Leitung strukturiert sein könnte und welche personellen Qualifikationen in diesen Teams vorhanden sein sollten. In Führungsrollen könnten möglicherweise neugeschaffene Positionen wie der „Chief AI Officer“, der „Chief Responsible AI Officer“ oder der „Chief AI Ethics Officer“ dienen.
Je nach Anforderungen und Bedürfnissen des Unternehmens können die Teams in der KI-Regulierungsabteilung unterschiedlich kombiniert oder aufgestellt werden. Dabei besteht eine gemeinsame Komponente darin, dass technische, regulatorische und kommunikative Kompetenzen vertreten sind.
Das Anwenden regulatorischen Wissens in einer KI-Regulierungsabteilung kann ein zielführender Weg sein, um den Schutz der Privatsphäre in KI-Systemen von Unternehmen zu gewährleisten. Hierbei könnte die Person, die für diese Thematik zuständig ist und sie vorantreibt, durch organisatorische Verschiebungen direkt aus dem Datenschutzteam kommen oder ein neuer Datenschutzspezialist sein.
Die vorherige Rolle des Datenschutzteams bleibt bei dieser Möglichkeit weitgehend unverändert, da die neugeschaffene KI-Regulierungsabteilung die gesamte Thematik der KI-Governance abdeckt und eine Datenschutzkompetenz beinhaltet.
Die Gründung einer solchen separaten Abteilung könnte speziell für große Unternehmen interessant sein, die über genügend Ressourcen verfügen und den Bedarf haben, zahlreiche KI-Systeme zu steuern oder zu überwachen.
Das Datenschutzteam steht den Entwicklungsteams beratend zur Seite
Der dritte Governanceansatz besteht darin, dass die Verantwortung für die KI-Governance direkt auf die Entwicklungsteams übertragen wird. Diese Teams würden dann nur gelegentlich das Datenschutzteam in ihr Vorgehen einbeziehen, und zwar dann, wenn es um die Verarbeitung personenbezogener Daten geht, ähnlich wie es bei der Entwicklung herkömmlicher IT-Systeme oftmals gehandhabt wird. Entwicklungsteams sind auch diejenigen im Unternehmen, die ein externes KI-System im Unternehmen integrieren.
Das bedeutet, dass die Entwicklungsteams die Verantwortung für die Entwicklung, Implementierung, Kontrolle und Überwachung von KI-Systemen tragen, möglicherweise ohne einen traditionellen Rahmen für das Compliancerisiko, sondern eher aus technischer Sicht und zur Überprüfung während der späteren Nutzung. Das Datenschutzteam würde in diesem Entwicklungs- und Implementierungsprozess zu spezifischen Fragen hinzugezogen, zum Beispiel im Hinblick auf die Rechtmäßigkeit der Datenverarbeitung. Trotz der Einbeziehung des Datenschutzteams in diese spezifischen Fragen verbliebe die Verantwortung für ein rechtskonformes und ethisches KI-System beim Entwicklungsteam.
Im Vergleich zu den ersten beiden Ansätzen bietet dieser den Entwicklungsteams mehr Flexibilität und könnte zu nutzerorientierteren KI-Systemen führen. Aber es gibt auch Nachteile. In großen Unternehmen können dezentrale Teams unterschiedliche Ansätze zur KI-Governance entwickeln, was zu verschiedenen Risiken führen kann. Außerdem bedeutet dieser Ansatz die geringste Einbindung des Datenschutzes, da das Datenschutzteam nur auf Anfrage des Entwicklungsteams mitwirkt.
Trotz dieser Aspekte könnte dieser Ansatz zur Steuerung und Überwachung insbesondere für kleinere Unternehmen mit begrenzten Ressourcen und einer begrenzten KI-Entwicklung interessant sein. Er erlaubt Flexibilität und Verantwortung in einem direkten, operativen Kontext, während gleichzeitig eine wenn auch reduzierte Einbindung von Datenschutzaspekten gewährleistet ist.
Fazit – Einbindung von Datenschutzteams ist unverzichtbar
Angesichts der zunehmenden Bedeutung von KI in der Unternehmenswelt ist eine sorgfältige und umfassende KI-Governance unter besonderer Berücksichtigung des Datenschutzes ein wesentlicher Bestandteil einer verantwortungsvollen Unternehmensstrategie. Die einzigartige Rolle von KI-Systemen, die große Datenmengen verarbeiten, erfordert unweigerlich die wirksame Einbindung von Datenschutzteams.
Unternehmen stehen daher vor der Herausforderung, den bestmöglichen Ansatz für diese Integration des Datenschutzes zu finden. Ob der Datenschutz dabei eine führende Rolle einnimmt, eine eigene Abteilung für KI-Regulierung eingerichtet wird oder die Verantwortung direkt bei den Entwicklungsteams liegt, hat jeweils Vor- und Nachteile.
Bei der Entscheidung sollte das Unternehmen als Ganzes, sein KI-Risikoprofil, die Branche, die Größe und die Verfügbarkeit von Ressourcen, berücksichtigt werden. Unabhängig vom gewählten Ansatz sollte der Datenschutz bei der Entwicklung und beim Einsatz von KI-Systemen von Anfang an eine wichtige Rolle spielen. Dabei sollten technische Datenschutzmaßnahmen so früh wie möglich implementiert und in den Entwicklungs- und Einführungsprozess integriert werden.
Autor
Jenny Le, M.Sc., J.D. (FIP, CIPP/E, CIPM)
EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft
Senior Manager, Forensic & Integrity Services
Autor
Markus Haybach
EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft
Consultant, Forensic & Integrity Services
