Aufrufe
vor 2 Jahren

KINOTE 01.2021

  • Text
  • Digitale
  • Algorithmen
  • Modelle
  • Einsatz
  • Entwicklung
  • Beispielsweise
  • Informationen
  • Intelligenz
  • Unternehmen
  • Banken
Um einen Wandel der Finanzbranche erfolgreich zu meistern, müssen Kreditinstitute sowohl Chancen als auch Herausforderungen der Künstlichen Intelligenz (KI) erkennen. Unter der neuen Marke KINOTE der Bank-Verlag GmbH finden Sie Meldungen, Studien und Fachartikel zum Themenkomplex KI. Wir beantworten Ihre Fragen rund um KI. Wir berichten über Trends, neue Technologien, Forschungsergebnisse und daraus entstehende Möglichkeiten, die KI Ihrem Unternehmen bietet.

8 01 | 2021

8 01 | 2021 Datenschutzrechtliche Vorgaben Data Science unter Anwendung von KI Data Science generiert Informationen aus großen Datenmengen und daraus abgeleitete Handlungsempfehlungen. Kommen hierbei Automatisierung intelligenten Verhaltens und Maschinelles Lernen zum Einsatz, wird häufig von Künstlicher Intelligenz (KI) ge sprochen. Entschließungen und Positionspapiere der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) geben einen Handlungsrahmen für die datenschutzrechtlichen Vorgaben. Entwicklung, Betrieb und Nutzung von KI fallen in den Anwendungsbereich der Datenschutz­Grundverordnung (DS­GVO), soweit personenbezogene Daten nach Art. 4 Nr. 1 DS­GVO verarbeitet werden. Hierbei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt dann als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online­Kennung oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Pseudonyme Daten i. S. d. Art. 4 Nr. 5 DS­GVO zeichnen sich dadurch aus, dass eine Zuordnung zu einer spezifischen betroffenen Person nur über zusätzliche Informationen möglich ist. Diese müssen gesondert aufbewahrt werden, und technische und organisatorische Maßnahmen müssen gewährleisten, dass eine Zuordnung zu einer identifizierbaren natürlichen Person nicht erfolgt. Die Verarbeitung pseudonymer Daten unterliegt grundsätzlich ebenfalls der DS­GVO.

01 | 2021 9 Verständnis von Pseudonymisierung und Anonymisierung Ist eine Identifizierung der betroffenen Daten ausgeschlossen, liegen also anonyme Daten vor, findet die DS­GVO keine Anwendung (vgl. Erwägungsgrund 26 der DS­GVO). Konsequenterweise sind die Begriffe anonyme Daten bzw. Anonymisierung in der DS­GVO nicht definiert. Nachfolgendes Beispiel verdeutlicht das Verständnis von Pseudonymisierung und Anonymisierung: Offensichtlich enthält » 1 personenbezogene Daten. Wird wie in » 2 der Name durch eine eindeutige Nummer ersetzt und die Zuordnung der eindeutigen Nummer zu Klartextnamen separat aufbewahrt, handelt es sich um pseudonyme Daten. Über die Zuordnungstabelle kann die ursprüngliche Information, z. B. die Arbeitgeber der betroffenen Personen, wiederhergestellt werden. Ein einfacher Ansatz zur Anonymisierung besteht darin, wie in » 3 dargestellt, die identifizierenden Attribute zu entfernen. Sofern Geburtstag, Geschlecht und Postleitzahl der betroffenen Personen bekannt sind, ist allerdings mit hoher Wahrscheinlichkeit eine Re­Identifizierung und damit ein Rückschluss auf den Arbeitgeber möglich. Geburtstag, Geschlecht und Postleitzahl bilden damit einen Quasi­Identifikator. Um dies zu verhindern, können die zu Quasi­Identifikatoren gehörenden Daten zu Gruppen mit gleichem Informationsgehalt zusammengefasst werden. Möglichkeiten hierzu umfassen das Hinzufügen von Dummy­Datensätzen, das Unterdrücken von Informationen, das Vertauschen und die Verallgemeinerung von Daten. Wenn anschließend alle durch die Quasi­Identifikatoren bestimmbaren Gruppen mindestens k Elemente enthalten, liegt eine k­Anonymität vor. Die Wahrscheinlichkeit der Identifizierung liegt dann bei 1/k. Ein höherer k­Wert bedeutet damit einen höheren Anonymitätsgrad. Im vorliegenden Beispiel kann durch Reduzierung des Geburtstags auf das Geburtsjahr, Entfernen der Information zum

die bank