Richtlinie zum Datenschutz bei KI und automatisierter Entscheidungsfindung

Die Richtlinie zum Datenschutz bei KI und automatisierter Entscheidungsfindung definiert verbindliche Datenschutzanforderungen für künstliche Intelligenz, Profiling, Scoring, Empfehlungen, Entscheidungsunterstützung und automatisierte Entscheidungsfindung unter Einbeziehung personenbezogener Daten. Ihr Geltungsbereich umfasst KI-gestützte Systeme, Anwendungen, Modelle, Services, Workflows, Entscheidungsmaschinen, Analysemodelle und Prozesse der automatisierten Entscheidungsfindung, die personenbezogene Daten innerhalb des PIMS-Geltungsbereichs nutzen, ableiten, erzeugen, offenlegen oder anderweitig verarbeiten. Sie deckt außerdem personenbezogene Daten ab, die für Schulung, Tests, Validierung, Feinabstimmung, Überwachung, Produktionsinferenz, Prüfung von Ausgaben, Leistungsmessung, Untersuchung von Vorfällen und Stilllegung von Modellen verwendet werden. Die Richtlinie gilt in Kontexten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter, einschließlich KI-bezogener Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter, Empfänger von Datenweitergaben und internationaler Übermittlungswege. Zweck der Richtlinie ist es sicherzustellen, dass KI, Profiling und automatisierte Entscheidungsfindung unter Einbeziehung personenbezogener Daten identifiziert, dokumentiert, risikobeurteilt, transparent, anfechtbar, überwacht und über das PIMS kontrolliert werden, ohne doppelte KI-spezifische Governance-Artefakte zu schaffen. Sie stellt ausdrücklich klar, dass sie kein vollständiges KI-Governance-Rahmenwerk, KI-Managementsystem, KI-Inventar, Modellinventar, Modellrisikoregister, Fairness-Register, Algorithmusregister, KI-Vorfallsregister, KI-Komitee, keine Rolle eines Modellverantwortlichen, keine Rolle eines KI-Systemverantwortlichen, keinen Rechtsberatungs-Workflow und kein separates KI-Genehmigungsformular erstellt. Stattdessen verlangt sie, dass KI-bezogene Datenschutzverpflichtungen durch bestehende kanonische Nachweisobjekte belegt werden: REG02, REG04, REG06, REG07, REG08, REG09, REG10 und REG12. Operativ verlangt die Richtlinie von Prozessverantwortlichen / Geschäftsinhabern zu bestimmen, ob neue oder wesentlich geänderte Systeme, Workflows oder Geschäftsprozesse KI, Profiling, Scoring, Empfehlungen, Entscheidungsunterstützung oder automatisierte Entscheidungsfindung unter Einbeziehung personenbezogener Daten verwenden, und diese Feststellung in REG02 zu dokumentieren. Bevor KI-bezogene Verarbeitung personenbezogener Daten beginnt, verlangt die Richtlinie die Dokumentation von Verarbeitungszweck, Kategorien personenbezogener Daten, Kategorien betroffener Personen, Datenquellen, Kategorien abgeleiteter oder hergeleiteter Daten, Ausgabekategorien, Empfängerkategorien, Rechtsgrundlage und Verknüpfung mit der Aufbewahrung. Für Profiling, Scoring, Empfehlungen, Entscheidungsunterstützung oder automatisierte Entscheidungsfindung, die produktiv eingesetzt werden, müssen Entscheidungskontext, erwartete Auswirkung auf betroffene Personen, menschliche Einbindung und Weg zur Wahrnehmung von Rechten in REG02 und REG04 dokumentiert werden. Risiko-Governance ist ein zentraler Bestandteil der Richtlinie. Vor der Einführung oder wesentlichen Änderung KI-bezogener Verarbeitung personenbezogener Daten muss die Datenschutzleitung / der PIMS-Manager ein Datenschutz-Risiko-Screening abschließen und die DSFA-Entscheidung in REG04 dokumentieren. Wenn die Verarbeitung Profiling, automatisierte Entscheidungen, groß angelegte Bewertung, besondere Kategorien von Daten, Daten zu Straftaten, schutzbedürftige betroffene Personen, Bewertung von Beschäftigten, Kinder, Verhaltensüberwachung, Standortdaten, biometrische Daten, Scoring mit hoher Tragweite oder erhebliche Auswirkungen umfasst, muss der Datenschutzbeauftragte / Datenschutzberater das Datenschutzrisiko prüfen und die Beratung in REG04 dokumentieren. Wenn nach der geplanten Behandlung ein hohes Datenschutz-Restrisiko verbleibt, muss die oberste Leitung die produktive Nutzung genehmigen, ablehnen oder eine weitere Behandlung verlangen; die Entscheidung wird in REG04 und REG12 dokumentiert. Die Richtlinie legt außerdem Kontrollen für Transparenz, aussagekräftige Informationen, Minimierung, Bearbeitung von Rechten, Überwachung, Lieferanten und Durchsetzung fest. Inhalte von Datenschutzhinweisen müssen KI-bezogene Zwecke, Datenkategorien, Ausgabekategorien, Empfängerkategorien, Weg zur Wahrnehmung von Rechten und Kontaktweg beschreiben; Versionen der Datenschutzhinweise werden in REG07 dokumentiert. Wege für menschliche Überprüfung, Widerspruch und Anfechtbarkeit sind für KI-bezogene Entscheidungen mit rechtlichen, berechtigungsbezogenen, zugriffsbezogenen, beschäftigungsbezogenen, finanziellen, bildungsbezogenen, servicebezogenen, sicherheitsbezogenen oder ähnlich erheblichen Auswirkungen erforderlich. Lieferanten und Auftragsverarbeiter müssen über REG08 gesteuert werden; internationale Übermittlungen werden über REG09 geleitet. Überwachungskriterien müssen Änderungen bei Eingaben, Änderungen bei Ausgaben, Rechteprobleme, nachteilige Datenschutzfolgen, unbefugte Nutzung und Beschwerdetrends abdecken; für aktive KI-bezogene Verarbeitung personenbezogener Daten mit hoher Tragweite ist eine vierteljährliche Überprüfung erforderlich, und Nichtkonformitäten oder Korrekturmaßnahmen werden in REG12 dokumentiert.