• Home
  • Blog
  • Interview: Aaron Weller über die Herausforderungen des Datenschutzes bei KI

Hallo! Wir experimentieren mit automatischen Übersetzungen. Sie können auch zum originalen englischen Inhalt wechseln.

Datenschutz-Innovation und Daten-Governance im Zeitalter von KI

Während KI, Privacy Engineering und Quantencomputing die Datenlandschaft grundlegend verändern, wird die Einhaltung gesetzlicher Vorgaben zunehmend komplexer. TWIPLAs Jorge Cuevas sprach mit Aaron Weller von HP über den Umgang mit Datenrisiken, die Vereinfachung des Datenschutzes und die Navigation durch neue Regulierungsrahmen.

1. Welche neuen Datenschutzrisiken ergeben sich durch KI und fortschrittliche Technologien?

Was über uns durch die Nutzung von Technologie geteilt wird – und wie es verarbeitet wird – kann beunruhigend sein. Unsere Aktivitäten erzeugen eine enorme Menge an Daten, die sich zu unterschiedlichen Narrativen über unser Leben zusammensetzen lassen. Diese Daten werden in größeren Sets gebündelt, um Werbung zu schalten, Inhalte gezielt auszuspielen oder Vorhersagen über unser Verhalten zu treffen.

Je mehr Informationen Unternehmen sammeln, desto detaillierter wird das Profil, das sie von einer Person erstellen können. Eine der größten Herausforderungen im Zusammenhang mit KI liegt in der Risikenutzung scheinbar unbedenklicher oder nicht personenbezogener Daten, die dennoch ein vollständiges Bild einer Person ergeben können. Unternehmen, die nur dann eine Datenschutzprüfung durchführen, wenn explizit personenbezogene Daten vorliegen, setzen sich und ihre Kundschaft unwissentlich erhöhten Risiken aus.

KI ist besonders stark in der Mustererkennung – und das gefährdet auch aggregierte, pseudonymisierte oder anonymisierte Daten. Selbst verschlüsselte Informationen können im Zuge des technischen Fortschritts kompromittiert werden. Führende Unternehmen setzen daher bereits auf quantenresistente Verschlüsselungsverfahren, um sich gegen die künftigen Risiken durch Quantencomputing abzusichern.

Ohne klare, robuste und regelmäßig aktualisierte Standards für Aggregation, Anonymisierung und Verschlüsselung laufen wir Gefahr, Daten entgegen der Präferenzen der betroffenen Personen zu verwenden und damit deren Rechte zu verletzen. Gleichzeitig besteht das Risiko, dass wir reidentifizierte oder versehentlich verknüpfte personenbezogene Daten nicht korrekt identifizieren oder lokalisieren können, was es wiederum unmöglich macht, Zugriffsanfragen oder Rechenschaftspflichten gegenüber Einzelpersonen oder Aufsichtsbehörden ordnungsgemäß zu erfüllen.

Inzidentelle Daten umfassen dabei Informationen, die nicht direkt beabsichtigt erhoben, sondern durch Rückschlüsse, indirekte Quellen oder automatisierte Prozesse erfasst werden. Viele Datenpunkte sind nicht sofort identifizierend, lassen sich aber durch Kombination mit bekannten Profilen oder zusätzlichen Datensätzen einem Individuum zuordnen – auch ohne dessen ausdrückliche Einwilligung.

Neue Technologien können zudem neue Wege zur Erfassung inzidenteller Daten eröffnen, wodurch zuvor anonymisierte Daten reidentifizierbar werden – oder neue Einsichten aus alten Datensätzen generiert werden. Häufig waren solche Anwendungen zum Zeitpunkt der ursprünglichen Datenerhebung nicht absehbar, was die Frage aufwirft, ob der damalige Einwilligungsprozess die heutigen Nutzungszwecke wirklich abdeckt.

Der Grundsatz der Zweckbindung und ein Einwilligungsprozess, der die Rechte und Präferenzen der betroffenen Personen in den Mittelpunkt stellt, sind entscheidend, um diesen Herausforderungen zu begegnen. Informationen sollten ausschließlich zu den bei der Erhebung klar kommunizierten Zwecken verwendet werden – das minimiert das Risiko einer unerlaubten Nutzung inzidenteller Daten und wahrt sowohl Wort als auch Geist der Einwilligung.

Daten, die anonymisiert oder verschlüsselt wurden, sollten nicht zur Profilbildung beitragen – selbst wenn neue Technologien dies theoretisch ermöglichen. Denn nur durch die Minimierung des Reidentifizierungsrisikos kann sichergestellt werden, dass Datenschutzrechte gewahrt bleiben und Organisationen auch langfristig rechtlich konform handeln.

2. Welche Strategien helfen dabei, Datenschutzinformationen zu vereinfachen und gleichzeitig rechtliche Anforderungen einzuhalten?

Mit der zunehmenden Komplexität von Datenverarbeitungsmethoden werden auch die Anforderungen an transparente Offenlegungen immer anspruchsvoller. Um sicherzustellen, dass komplexe Inhalte verständlich und zugänglich kommuniziert werden, sollten beim Erstellen von Datenschutzerklärungen oder -hinweisen drei grundlegende Prinzipien beachtet werden:

Konkret sein

Viele regionale und branchenspezifische Datenschutzgesetze verlangen, dass Unternehmen klar und nachvollziehbar darlegen, wie Daten erhoben, verwendet und weitergegeben werden. Diese Transparenzanforderungen führen jedoch häufig zu einem Flickenteppich aus unterschiedlichen Richtlinien, der für Nutzer schwer zu verstehen und oft abschreckend wirkt.

Wenn Sie mehrere Datenquellen, Erhebungsprozesse oder Schnittstellen nutzen, sollten diese deutlich voneinander abgegrenzt und erklärt werden. Eine zu starke Vereinfachung auf ein gemeinsames Minimum führt oft zu missverständlicher oder unvollständiger Sprache.

Nicht alle Nutzer nehmen an allen Aspekten eines Dienstes teil. Deshalb sollten sie schnell und einfach erkennen können, welche Interaktionen zu welchen Arten der Datenerhebung führen. Nur so können fundierte Entscheidungen über die Nutzung getroffen werden.

Konsequent sein

Ihre Datenschutzerklärung sollte klar strukturiert und einfach navigierbar sein – idealerweise mit internen Verlinkungen, die verwandte Themen logisch verbinden. Durch einheitliche Begrifflichkeiten und Formulierungen bleibt die Sprache klar und verständlich.

Wichtige Begriffe sollten zu Beginn definiert und idealerweise in einem verlinkten Glossar zur Verfügung gestellt werden, um die Lesbarkeit auf jeder Ebene zu sichern. Konsistenz innerhalb und zwischen Dokumenten reduziert Verwirrung und verhindert, dass ähnliche Konzepte vermischt werden.

Berücksichtigen Sie auch die Zielgruppen Ihrer Datenschutzhinweise. Kommunikation ist erst dann erfolgreich, wenn die Information nicht nur bereitgestellt, sondern auch verstanden wird.

Stufenweiser Zugang zu Inhalten

Nicht jede Information muss auf der Startseite stehen. Datenschutzinformationen sollten in abgestufter Tiefe zugänglich gemacht werden – mit steigendem Detailgrad, je tiefer ein Nutzer einsteigt.

So vermeiden Sie, dass Nutzer zu Beginn überfordert werden, und bieten dennoch vollständige Transparenz für alle, die sich detaillierter informieren möchten.

Die strukturierte Organisation dieser Dokumente ist nicht nur ein Zeichen von Respekt gegenüber den Nutzern, sondern auch eine strategische Investition in die Vertrauenswürdigkeit Ihrer Prozesse – und den Wert Ihrer Marke.

3. Wie können Unternehmen die verschiedenen Anforderungen an die Datenverwaltung effektiv verwalten?

Die Vielzahl an Regelungen zur Datenverwaltung wächst von Jahr zu Jahr – und schafft damit eine komplexe und oft schwer überschaubare Landschaft. Da laufend neue Standards und Gesetze entwickelt werden, um mit den technologischen Entwicklungen Schritt zu halten, gleicht der Versuch, auf dem neuesten Stand zu bleiben, oft einem endlosen Marathon.

Hier sind drei bewährte Ansätze, mit denen Ihr Unternehmen die Herausforderungen der Datenverwaltung besser meistern und den regulatorischen Rahmen zugänglicher und effizienter gestalten kann:

Beginnen Sie mit einem prinzipienbasierten Ansatz

Viele Datenschutzgesetze und Regelwerke basieren auf ethischen Grundsätzen und menschenrechtlichen Werten. Es liegt daher nahe, auch die internen Kontrollmechanismen und Richtlinien so zu gestalten, dass sie diese Grundrechte aktiv unterstützen – und zugleich Innovation und unternehmerische Ziele ermöglichen.

Es ist sinnvoll, ein Set an ethischen Leitprinzipien zu definieren, die Entscheidungen auf strategischer Ebene leiten. Das geht über reine gesetzliche Compliance hinaus und schafft einen werterorientierten Handlungsrahmen.

Setzen Sie Ihre internen Standards auf das höchste Schutzniveau

Wenn Ihr Unternehmen in mehreren Ländern oder Rechtsräumen aktiv ist, kann die Anwendung unterschiedlicher Datenschutzstandards schnell unübersichtlich werden. Der effizienteste Ansatz ist: Orientieren Sie sich am strengsten Regelwerk als Ausgangspunkt – und formulieren Sie Ausnahmen nur dann, wenn es ein nachvollziehbares Geschäftsinteresse und eine akzeptable Risikobewertung zulässt.

Einheitliche und hohe Standards verhindern nicht nur operative Komplexität, sondern schützen auch gegen fragmentierte Datenschutzniveaus, die langfristig zu verzerrten Datengrundlagen und fehleranfälligen Insights führen können – etwa durch unausgewogene oder diskriminierende Datenmuster.

Integrieren Sie möglichst viele Anforderungen frühzeitig

Gesetze und geplante Verordnungen werden in der Regel vor Inkrafttreten veröffentlicht. Auch wenn die Umsetzungszeiträume variieren, bieten viele Rechtsräume Unternehmen mehr als ein Jahr Vorlauf, um sich auf die Einhaltung vorzubereiten.

Diese Zeit sollte strategisch genutzt werden, um Ressourcen für die Analyse und Umsetzung neuer Anforderungen bereitzustellen. Wenn absehbar ist, dass Sie spezifische Vertragsklauseln, Prozesse oder Dokumentationen benötigen, sollten Sie mit deren proaktiver Entwicklung frühzeitig beginnen.

Ordnen Sie neue Anforderungen bestehenden Compliance-Rahmenwerken zu – viele ISO-Standards sind beispielsweise so aufgebaut, dass sie aufeinander aufbauen. Mit einer stabilen Grundlage lassen sich neue Regelungen so nahtlos in bestehende Programme integrieren und der Aufwand zur Aktualisierung deutlich reduzieren.

Aaron Weller ist ein erfahrener Datenschutzexperte mit über 25 Jahren internationaler Erfahrung in den Bereichen Informationssicherheit und Datenschutz. Als Leiter des Privacy Innovation and Assurance Center of Excellence bei HP entwickelt er innovative Strategien, um Unternehmen bei der ethischen Nutzung personenbezogener Daten für geschäftlichen Erfolg zu unterstützen.

Aaron ist ein anerkannter Vordenker im Bereich Datenschutz. Nach seiner Zeit als Leiter der Datenschutzpraxis von PwC im Westen der USA gründete er ein eigenes Beratungs- und Technologieunternehmen. Seine Expertise umfasst Privacy Engineering, Governance im Bereich Künstliche Intelligenz sowie strategische Datenschutzberatung. Er wurde von der IAPP mit der Auszeichnung Fellow of Information Privacy (FIP) geehrt.

Seine Einblicke wurden unter anderem im Wall Street Journal veröffentlicht, zudem war er maßgeblich an der Entwicklung zentraler Datenschutzstandards beteiligt – etwa der ISO 31700 – Privacy by Design für Verbraucherprodukte und -dienste. Darüber hinaus tritt Aaron regelmäßig als Sprecher auf Fachkonferenzen auf und ist Gastdozent an der University of Washington.

Aaron Weller auf LinkedIn kontaktieren

Kostenlos einsteigen

Gewinnen Sie erstklassige Einblicke und bieten Sie innovativen Datenschutz und Sicherheit

up-arrow.svg