Noch sind die rechtlich bindenden Vorschriften für KI-Systeme, sofern sie mit personenbezogenen Daten agieren, hauptsächlich über die DSGVO abzuleiten. Insbesondere kommt es darauf an, dass die Datenverarbeitung einen legitimierten Zweck verfolgt und transparent ausgestaltet ist und auf einer Rechtsgrundlage der Verarbeitung beruht. Ebenso müssen technisch organisatorische Maßnahmen getroffen und Sonderregelungen für den Fall automatisierter Einzelfallentscheidungen aus Art. 22 DSGVO umgesetzt werden.
Um den Lernprozess einer KI zu initiieren, ist u.a. eine Vielzahl historischer Daten notwendig, welche häufig in der Form von Echtdaten einen Personenbezug aufweisen. Im produktiven Betrieb wird beim maschinellen Lernen die KI mit weiteren personenbezogenen Daten angereichert. Daher sollte auch der Einsatz der KI unter der gesonderten Prüfung der Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung (DSFA) erfolgen. Wann die Erforderlichkeit einer DSFA gegeben ist und wie für die Entwicklung oder Nutzung von KI-Systemen eine DSFA erfolgreich realisiert werden kann, beantworten wir Ihnen gerne.
Nutzen Sie den Kontakt zu unserem BDO Fachbereich IT & Controls Assurance.