Die Veranstaltung ist Teil der BvD-Fortbildung zum „AI-qualified (BvD)“ DPO/DPC. Es werden 8 AI-Credit-Points angerechnet für das Pflichtmodul.

Künstliche Intelligenz hat mittlerweile den breiten Unternehmens- und zunehmend auch Behördenalltag erreicht und ist schon jetzt dabei, die Verarbeitungs- und Wertschöpfungsketten enorm zu verändern. Zugleich ist der regulatorische Rahmen mit dem Inkrafttreten der KI-VO nicht einfacher geworden, die nun zusätzlich zur DS-GVO umgesetzt werden muss. Und dies, während die KI-Entwicklung mit großen Schritten weiter voranschreitet und bspw. die Großen Sprachmodelle wie ChatGPT mittels Agentensystemen, erhöhter Autonomie oder neuen Akteuren aus sog. unsicheren Drittländern für kaum mehr zu überblickende Datenschutzherausforderungen sorgen, ganz zu schweigen von Visionen einer Allgemeinen Künstlichen Intelligenz (AGI), die die menschlichen Fähigkeiten in der Breite erreichen und übertreffen soll. Im Rahmen dieses Sonderseminars werden wir uns strukturiert und mit Blick auf die rasante technische Entwicklung nachhaltig mit der datenschutzkonformen Gestaltung und Kontrolle von KI-Technologie und darauf aufsetzenden Projekten beschäftigen. Neben einem Crashkurs in aktueller KI-Technologie und der Einordnung vermeintlich zukünftiger Entwicklungen werden wir uns neben einer KI-Checkliste aus Sicht des Datenschutzes auch die Gemeinsamkeiten und Unterschiede der KI-VO anhand von konkreten Praxisszenarien ansehen.

Inhalte des Seminars:

• Crashkurs aktuelle KI-Technologie: Tiefe Neuronale Netze, Große Sprachmodelle, Agentensysteme, RAG-Systeme und Feintuning/Prompting
• Möglichkeiten und Grenzen von KI: Gibt es wirkliche künstliche Intelligenz?, Stufen der Autonomie, Bewusstsein und Moral bei KI, Allgemeine Künstliche Intelligenz und Superintelligenz
• Zusammenspiel von KI-VO und DS-GVO aus Sicht des Datenschutzpraktikers
• Phasen von erfolgreichen KI-Projekte (in a nutshell) am Beispiel von MS Copilot realisieren
• Datenschutzfolgenabschätzung (und Grundrechtsfolgenabschätzung nach KI-VO) bei Hochrisiko-KI samt Bewertung von spezifischen Risiken der Rechte und Freiheiten
• Rechtsgrundlagen für KI-Training und KI-Einsatz bei normalen und besonderen Arten personenbezogener Daten
• KI in der Breite: Beschäftigtendatenschutz trifft Hochrisikoklassen der KI-VO
• Die EDSA Opinion 28/2024 zu wichtigen Datenschutzaspekten bei KI verständlich erklärt
• Herausforderung Betroffenenrechte bei KI angehen und Verantwortungssphären zuweisen
• KI as a Service am Beispiel MS Azure und Deepseek datenschutzrechtlich gestalten und für eine Kontrolle durch den DSB vorbereiten
• Der Datenschutz rettet die Welt: Das Schufa-Urteil im Kontext KI mit Blick auf die menschliche Kontrolle schon heute auf bestimmte Hochrisikoverarbeitungen wie Autonome Agentensysteme anwenden

Die Durchsetzung von Betroffenenrechten nach der DSGVO stellt Unternehmen und Organisationen immer wieder vor Herausforderungen – insbesondere im Hinblick auf die praktische Bearbeitung und den Nachweis gegenüber Aufsichtsbehörden.

In diesem praxisorientierten Sonderseminar beleuchten wir nicht nur die rechtlichen Grundlagen, sondern insbesondere die prozessuale Umsetzung:

• Wie können Betroffenenbegehren effizient bearbeitet werden?
• Wer sollte für die Bearbeitung verantwortlich sein?
• Wie sieht ein optimaler Bearbeitungsprozess aus und wie integriert er sich in bestehende Datenschutzmaßnahmen?
• Wie weist man die ordnungsgemäße Bearbeitung im Ernstfall nach?
• Und wie geht man mit dem Widerruf einer Einwilligung nach Art. 7 DSGVO um?

Ein Transfer Impact Assessment (TIA) ist ein wesentlicher Bestandteil des Datenschutzmanagements. Es bewertet die Risiken und Auswirkungen internationaler Datentransfers und stellt sicher, dass sie den Datenschutzstandards entsprechen.

Ein TIA besteht aus mehreren Schritten: Zuerst wird die Art der zu übertragenden Daten und deren Sensibilität identifiziert. Danach erfolgt die Bewertung der Datenschutzgesetze und -praktiken im Empfängerland sowie eine Risikoanalyse. Anschließend werden Schutzmaßnahmen wie Verschlüsselung oder Anonymisierung implementiert. Die Ergebnisse dieser Analyse werden in einem detaillierten Bericht dokumentiert und von Datenschutzbeauftragten überprüft und genehmigt.

Für ein erfolgreiches TIA ist es wichtig, gründlich vorzugehen und aktuelle Kenntnisse über die Datenschutzgesetze im Empfängerland zu haben. Die Zusammenarbeit verschiedener Fachabteilungen ist ebenfalls entscheidend, um alle Aspekte zu berücksichtigen. Schließlich hilft ein gut durchgeführtes TIA, die Risiken internationaler Datentransfers zu minimieren und sicherzustellen, dass diese sicher und gesetzeskonform sind.

Der Vortrag stellt die Vorgehensweise im Einzelnen dar und beantwortet offene Fragen.