Aufrufe
vor 1 Jahr

KINOTE 01.2022

  • Text
  • Wwwbankverlagde
  • Digitale
  • Conversational
  • Optimierung
  • Beispielsweise
  • Mining
  • Modelle
  • Intelligenz
  • Einsatz
  • Banken
  • Unternehmen
Um einen Wandel der Finanzbranche erfolgreich zu meistern, müssen Kreditinstitute sowohl Chancen als auch Herausforderungen der Künstlichen Intelligenz (KI) erkennen. Unter der neuen Marke KINOTE der Bank-Verlag GmbH finden Sie Meldungen, Studien und Fachartikel zum Themenkomplex KI. Wir beantworten Ihre Fragen rund um KI. Wir berichten über Trends, neue Technologien, Forschungsergebnisse und daraus entstehende Möglichkeiten, die KI Ihrem Unternehmen bietet.

36 01 | 2022 gesetzlich

36 01 | 2022 gesetzlich dazu angehalten, personenbezogene Daten am jeweiligen Verwendungszweck orientiert zu verarbeiten und diese technisch und organisatorisch so gut zu schützen, wie der Stand der Technik es zulässt. Über diesen Sachverhalt besteht in der Industrie auch kein Zweifel. Doch was bedeutet dies konkret für die Anwendung von Künstlicher Intelligenz, etwa bei Identifizierungsverfahren mit biometrischen Daten? Im Prinzip sind die Verfahren ähnlich wie bei jedem anderen Umgang mit personenbezogenen Daten: Identitätsüberprüfungsverfahren unter Zuhilfenahme von KI benötigen im Prinzip keine zusätzlichen gesetzgeberischen Anforderungen, wenn die dahinterstehenden Prozesse sicher gestaltet sind, Nutzende umfassend und verständlich informiert und aufgeklärt werden und gegebenenfalls erforderliche Einwilligungen eingeholt werden. Das bedeutet konkret zweierlei: Wenn ein Unternehmen personenbezogene Daten speichern will, muss dieses die Nutzenden transparent und verständlich informieren, für welche konkreten Zwecke dies erfolgt – und es muss durch Sicherheitsmaßnahmen, die hohen technischen Standards entsprechen, gewährleisten, dass die Daten gegen Zugriff von Fremden gesichert sind und auch nur für die Zwecke verwendet werden, die den Nutzenden vorab bereits erläutert wurden. Beim Identifikationsverfahren haben wir einen klaren Prozess. Wie bereits beschrieben, analysiert der Algorithmus zunächst, ob es sich um ein Ausweisdokument handelt oder nicht. Dann folgt das Matching, also der Abgleich, ob die gezeigte Person auf dem Ausweisfoto auch wirklich diejenige ist, die gerade das Video von sich aufgenommen hat. An dieser Stelle werden bereits biometrische Daten verarbeitet. Dieser Identifizierungsprozess und der Vorgang des Maschinellen Lernens (ML), bei dem mithilfe der erhobenen Daten der Algorithmus verbessert wird, sind dabei eindeutig voneinander zu trennen. Bereits für die Identifizierung ist ausdrücklich eine Zustimmung der Kundschaft notwendig. Selbstverständlich werden diese Daten nur für den Zweck der Identifizierung in einem getrennten System gespeichert – und zwar nur für die Dauer der Identifizierung und auf diesen Prozess beschränkt. Weitergehende Einwilligung der Nutzer notwendig Der anspruchsvolle Teil des Vorgangs tritt ein, sobald Daten dazu genutzt werden, das bestehende System zu verbessern – damit der Algorithmus mit der Zeit immer präziser arbeiten kann. In diesem Sinne benötigt ein Unternehmen, das seine KI-Lösungen nutzt, um biometrische Daten oder Dokumente zu erkennen, selbstverständlich eine weitergehende Einwilligung der Nutzer für genau diesen Zweck. Das Unternehmen muss die Nutzenden zuvor verständlich und transparent über den weiteren Prozess informieren und klar signalisieren: Liebe Kundin / lieber Kunde, wir benötigen an dieser Stelle Ihr Einverständnis, dass wir Ihre Daten speichern und zu KI- und Machine-Learning-Verfahren nutzen dürfen, um unsere Systeme und Leistungen zu verbessern. Denn ja: Es müssen sensible Daten gespeichert werden, um eine KI langfristig zu verbessern. Es muss darüber hinaus auch klar sein, dass die Kunden zwar im Moment der Datenerhebung nicht selbst von der Verbesserung profitieren, sondern dass zunächst das Identifikationsverfahren für zukünftige Nutzerinnen und Nutzer besser funktioniert. Wichtig ist, dass bei der Datenverarbeitung mit KI eng am Zweck gearbeitet wird und nicht mehr aus dem Big-Data- Material herausgeholt wird, als für die Verbesserung der Algorithmen notwendig ist. Beispielsweise ist es nicht erforderlich, Daten auf eine Weise zu verarbeiten, sodass Individuen wiedererkannt werden können – zum Beispiel, indem die Daten mit bereits in einer Datenbank gespeicherten Gesichtsdatensätzen abgeglichen werden. Der Prozess sollte sich also ausschließlich darauf beschränken, die Daten des Dokuments auszuwerten und mit dem Selfie-Video abzugleichen. Mit den hierbei erhobenen Daten – zum Beispiel dem Bild des Dokuments und dem Selfie – wird das System allerdings kontinuierlich weiter trainiert, wenn die Nutzerin oder der Nutzer dem zustimmt. Verbraucher müssen aber nicht befürchten, aufgrund der Big-Data-Basis in anderem Zusammenhang wiedererkannt zu werden. Ausblick: Die EU-Verordnung für Künstliche Intelligenz Die rasanten technologischen Entwicklungen und der vermehrte Einsatz von KI-Lösungen bringen weitere rechtliche Fragestellungen mit sich. Auch auf EU-Ebene wird das Thema stark diskutiert. Im April 2021 hat die EU-Kommission einen ersten Rechtsrahmen vorgelegt. Der Entwurf sieht unter anderem eine Risikoeinstufung für KI-Systeme hinsichtlich der

01 | 2022 37 Grundrechte, der Sicherheit und der Privatsphäre vor. Die Spannbreite reicht dabei von Verfahren mit minimalen Risiken bis hin zu verbotenen Praktiken, wie etwa der Wiedererkennung von Personen im öffentlichen Raum. Viele Punkte sind dabei durchaus einleuchtend – etwa dass einfache KI-Systeme, die für die Interaktion mit Menschen gedacht sind (u. a. Service-Chatbots) als geringes Risiko eingestuft werden. Allerdings bedeuten laut Kommission zum Beispiel Chatbots, die in eine Spielzeugpuppe eingebaut werden, ein hohes und ethisch nicht tragbares Risiko. Verständlich ist grundsätzlich, dass Echtzeit- Fernidentifizierung stärker reguliert werden soll und zum Beispiel eine generelle biometrische Identifizierung über Überwachungskameras im öffentlichen Raum gar nicht möglich sein soll. Doch auch auf dem Gebiet der biometrischen Erkennung sind – wie schon bei den Chatbots – nicht alle Anwendungsfälle gleichermaßen risikobehaftet. Zu den Hochrisikosystemen sollen demnach in dem Entwurf der KI-Verordnung alle Systeme zur biometrischen Gesichtserkennung gezählt werden – und zwar unabhängig von ihrem Einsatzzweck und den damit verbundenen Risiken. Sprich: KI-basierte Identifizierungsverfahren werden pauschal als hohes Risiko eingestuft. Dabei wird allerdings nicht unterschieden, ob die Datennutzung etwa für eine Re-Identifizierung genutzt wird oder nicht. Das kann man als fraglich bezeichnen. Denn es macht durchaus ein Unterschied, ob ein Cloud-Provider seine KI nutzt, um die Gesichter auf gespeicherten Bildern zu analysieren und über Suchmaschinen nach der Person zu suchen, und zum Beispiel fragt: „Ist das deine Freundin Katrin?“, oder ob die Daten rein dafür verwendet werden, bestehende KI-Systeme zu optimieren, wo keine Re-Identifizierung möglich ist. Fazit Datenschutz hat in einer digitalisierten Lebens- und Arbeitswelt einen hohen Stellenwert und sollte gerade bei Künstlicher Intelligenz besonders sorgfältig beachtet werden. Wie stark die Daten zu schützen sind, ist allerdings nach wie vor eine politische und juristische Frage, die international unterschiedlich beantwortet wird. Derzeit gilt die EU-Datenschutzgrundverordnung hier nach wie vor als wichtigste Richtlinie in der Gesetzgebung und hat den Verbrauchern wichtige Rechte eingeräumt. Wie auch immer sich der Entwurf der EU-Verordnung für KI entwickeln und in seiner finalen Fassung aussehen wird, bleibt abzuwarten. Deutlich wird vor allem eines: Neue Technologien bringen auch stets neue Debatten mit sich, wie viel Regulierung und Schutz notwendig ist. Die Industrie tut bereits sehr viel zum Schutz der Daten. Wo hohe Risiken liegen und wie Risiken bewertet werden, bleibt letztlich eine Frage der Zeit und des Orts – und speziell Finanzinstitute sind am besten dazu in der Lage, diese Risiken und die notwendigen Maßnahmen zu ihrer Verhinderung einzuschätzen. Autor Thomas Börner ist Rechtsanwalt mit mehr als 20 Jahren Erfahrung in der Beratung von Firmen im Bereich des Datenschutzes und des Internetrechts. Derzeit arbeitet er als Datenschutzbeauftragter der PXL Vision Gruppe.

die bank