1. Zweck
Diese Richtlinie legt die Kontrollen für den Umgang mit sensiblen Daten in KI-Systemen bei [Name der Organisation] fest. Sie definiert Datenklassifizierungsstufen, spezifiziert die für jede Stufe erforderlichen Sicherheitsmaßnahmen und bestätigt, dass sensible Informationen während des gesamten KI-Lebenszyklus geschützt sind — von der Aufnahme von Trainingsdaten über die Modellinferenz bis hin zur Ausgabe.
2. Geltungsbereich
Diese Richtlinie gilt für:
- Alle als vertraulich oder eingeschränkt klassifizierten Daten, die in KI-Systemen verwendet oder von diesen erzeugt werden.
- Alle personenbezogenen Informationen (PII), die von KI-Systemen verarbeitet werden.
- Alle besonderen Datenkategorien (Gesundheit, Biometrie, Finanzen etc.) im KI-Kontext.
- Alle Umgebungen: Entwicklung, Testing, Staging und Produktion.
- Alle Mitarbeitenden, Auftragnehmer und Drittanbieter, die mit sensiblen KI-Daten umgehen.
3. Datenklassifizierungsstufen
| Stufe | Definition | Beispiele im KI-Kontext |
|---|---|---|
| Öffentlich | Zur Veröffentlichung bestimmte Informationen. Keine Zugangsbeschränkungen. | Veröffentlichte Modellkarten, öffentliche Dokumentation, anonymisierte Benchmarks. |
| Intern | Informationen für den internen Gebrauch. Geringes Risiko bei Offenlegung, aber nicht für die Öffentlichkeit bestimmt. | Nicht-sensible Trainingskennzahlen, interne Experimentprotokolle, Modellarchitektur-Notizen. |
| Vertraulich | Sensible geschäftliche oder personenbezogene Informationen. Offenlegung könnte Schaden verursachen. | Für Training verwendete Kundendaten, PII in Inferenz-Eingaben, proprietäre Modellgewichte, geschäftssensible Vorhersagen. |
| Eingeschränkt | Hochsensible Informationen. Offenlegung könnte schweren Schaden oder regulatorische Verstöße verursachen. | Gesundheitsdaten, biometrische Daten, Finanzkontodaten, Bonitätsbewertungseingaben, dem Anwaltsprivileg unterliegende Daten. |
Alle in KI-Systemen verwendeten Datensätze müssen vor der Verwendung klassifiziert werden. Die Klassifizierung wird vom Datenverantwortlichen durchgeführt und vom Datenschutzbeauftragten für Datensätze mit personenbezogenen Daten überprüft.
4. Schutzanforderungen nach Klassifizierung
| Kontrolle | Öffentlich | Intern | Vertraulich | Eingeschränkt |
|---|---|---|---|---|
| Verschlüsselung im Ruhezustand | Optional | Empfohlen | Erforderlich (AES-256) | Erforderlich (AES-256) |
| Verschlüsselung bei Übertragung | Empfohlen | Erforderlich (TLS 1.2+) | Erforderlich (TLS 1.2+) | Erforderlich (TLS 1.3) |
| Zugriffskontrolle | Offen | Rollenbasiert | Rollenbasiert + Genehmigung | Namentlich benannte Personen + MFA |
| Audit-Protokollierung | Optional | Empfohlen | Erforderlich | Erforderlich + Echtzeit-Alerting |
| Datenmaskierung/-anonymisierung | Nicht erforderlich | Nicht erforderlich | Erforderlich für Nicht-Produktionsumgebungen | Erforderlich für alle Umgebungen |
| Aufbewahrungsüberprüfung | Jährlich | Jährlich | Vierteljährlich | Monatlich |
| DLP-Überwachung | Nicht erforderlich | Empfohlen | Erforderlich | Erforderlich |
5. PII-Handhabung in KI-Systemen
Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 5. PII-Handhabung in KI-Systemen aus.
5.1 Erkennung
Bevor Daten in eine KI-Pipeline gelangen, müssen sie mit automatisierten Erkennungstools auf PII überprüft werden. PII-Kategorien umfassen unter anderem: Namen, E-Mail-Adressen, Telefonnummern, Personalausweisnummern, Finanzkontennummern, Gesundheitsdaten, biometrische Identifikatoren und Standortdaten.
5.2 Minimierung
KI-Systeme müssen die minimal notwendige Menge an PII verwenden. Techniken zur Reduzierung der PII-Exposition:
- Maskierung: PII durch funktionale Platzhalter ersetzen (z. B. [E-MAIL], [NAME]), die die Datenstruktur erhalten, ohne tatsächliche Werte offenzulegen.
- Schwärzung: PII-Felder, die für die KI-Aufgabe nicht erforderlich sind, dauerhaft entfernen.
- Tokenisierung: PII durch reversible Token ersetzen, die in einem sicheren Tresor gespeichert und nur von autorisierten Systemen zugänglich sind.
- Anonymisierung: Daten irreversibel so transformieren, dass Personen nicht re-identifiziert werden können. Bevorzugt für Trainingsdaten, wenn keine persönliche Identifikation erforderlich ist.
- Synthetische Daten: Künstliche Daten generieren, die statistische Eigenschaften bewahren, ohne echte PII zu enthalten. Bevorzugt für Entwicklungs- und Testumgebungen.
5.3 KI-Leitplanken
Laufzeit-Leitplanken müssen konfiguriert werden, um KI-Ein- und -Ausgaben auf PII-Lecks zu überprüfen. Leitplanken-Aktionen:
- Blockieren: Anfrage ablehnen, wenn PII in Ein- oder Ausgabe erkannt wird.
- Maskieren: Erkannte PII vor Weiterleitung durch Platzhalter ersetzen.
- Warnen: Erkennung protokollieren und Sicherheitsteam benachrichtigen, ohne zu blockieren.
6. Sicherheit von KI-Modellen und -Ausgaben
- Proprietäre Modellgewichte werden als vertraulich eingestuft und müssen im Ruhezustand verschlüsselt und zugangskontrolliert sein.
- Modellausgaben, die vertrauliche oder eingeschränkte Daten enthalten, müssen auf derselben Klassifizierungsstufe wie die Eingabedaten behandelt werden.
- KI-generierte Inhalte dürfen nicht in Systemen mit niedrigerer Klassifizierung als die Quelldaten gespeichert werden.
- Modellextraktions- und Inversionsangriffe müssen im Bedrohungsmodell für hochwertige Modelle berücksichtigt werden.
7. Entwicklungs- und Testumgebungen
- Produktionsdaten, die als vertraulich oder eingeschränkt klassifiziert sind, dürfen ohne Anonymisierung, Maskierung oder Verwendung synthetischer Daten nicht in Entwicklung oder Testing verwendet werden.
- Entwicklungsumgebungen müssen gleichwertige Zugriffskontrollen entsprechend der Datenklassifizierungsstufe aufweisen, die sie verarbeiten.
- Testdatensätze müssen mit ihrer Klassifizierungsstufe und angewendeten Transformationen dokumentiert werden.
8. Drittanbieter-Datenhandhabung
- Drittanbieter-KI-Dienstleister, die vertrauliche oder eingeschränkte Daten verarbeiten, müssen gleichwertige Sicherheitskontrollen nachweisen.
- Auftragsverarbeitungsvereinbarungen müssen Anforderungen an die Klassifizierungshandhabung spezifizieren.
- Anbieter dürfen sensible Daten nicht für ihr eigenes Modelltraining verwenden.
- Datenstandort- und Unterauftragsverarbeiter-Beschränkungen müssen vertraglich durchgesetzt werden.
9. Vorfallreaktion bei sensiblen Daten
Wenn sensible Daten durch ein KI-System offengelegt werden (Prompt-Leakage, Modellmemorierung, unbefugter Zugriff):
- Der Vorfall muss sofort dem Sicherheitsteam und dem Datenschutzbeauftragten gemeldet werden.
- Das KI-System muss bis zur Untersuchung ausgesetzt werden, wenn die Offenlegung andauert.
- DSGVO Artikel 33 verlangt die Benachrichtigung der Aufsichtsbehörde innerhalb von 72 Stunden bei Verletzungen des Schutzes personenbezogener Daten.
- Betroffene Personen müssen benachrichtigt werden, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte darstellt (DSGVO Artikel 34).
- Ursachenanalyse und Behebung müssen abgeschlossen und dokumentiert werden.
10. Rollen und Verantwortlichkeiten
| Rolle | Verantwortlichkeiten |
|---|---|
| Datenverantwortlicher | Klassifiziert Daten, genehmigt Zugriff, überprüft Aufbewahrung, stellt die Aufrechterhaltung der Klassifizierung sicher. |
| Modellverantwortlicher | Stellt sicher, dass das KI-System Daten auf oder über seiner Klassifizierungsstufe verarbeitet, konfiguriert Leitplanken. |
| Sicherheit | Implementiert Verschlüsselung, DLP, Zugriffskontrollen und überwacht unbefugten Zugriff. |
| Datenschutzbeauftragter | Überprüft Klassifizierung für personenbezogene Daten, berät zur Anonymisierung, bearbeitet Verletzungsmeldungen. |
| Alle Mitarbeitenden | Gehen mit Daten gemäß der Klassifizierung um, melden vermutete Datenoffenlegung. |
11. Regulatorische Ausrichtung
- DSGVO: Artikel 5 (Grundsätze), 25 (Datenschutz durch Technikgestaltung), 32 (Sicherheit der Verarbeitung), 33-34 (Meldung von Verletzungen).
- EU AI Act: Artikel 10 (Daten-Governance), Artikel 15 (Genauigkeit und Robustheit).
- ISO/IEC 27001: Anhang-A-Kontrollen für Zugriffskontrolle, Kryptografie und Betriebssicherheit.
- ISO/IEC 42001: Anhang B (B.7 — Daten für KI-Systeme).
12. Überprüfung
Diese Richtlinie wird jährlich oder früher überprüft, wenn dies durch Datenschutzverletzungen, neue Datenklassifizierungsanforderungen, regulatorische Änderungen oder Änderungen der KI-Verarbeitungsaktivitäten ausgelöst wird.
Dokumentenlenkung
| Feld | Wert |
|---|---|
| Richtlinienverantwortlicher | [CISO / Datenschutzbeauftragter] |
| Genehmigt durch | [KI-Governance-Ausschuss] |
| Inkrafttreten | [Datum] |
| Nächste Überprüfung | [Datum + 12 Monate] |
| Version | 1.0 |
| Klassifizierung | Intern |