KI-Risikoanalyse: Mitarbeiterfotos mit Marvel-Charakteren
Diese Analyse untersucht die Risiken beim Einsatz einer externen KI-Software, die Mitarbeiterfotos mit Marvel-Charakteren kombiniert. Wir betrachten datenschutzrechtliche, ethische und technische Aspekte nach ISO/IEC 42001:2023 und geben konkrete Handlungsempfehlungen.
Einleitung und Zielsetzung
Anwendungsfall
Kombination von Mitarbeiterfotos mit Marvel-Charakteren (Avengers) durch externe KI-Software, ähnlich Deepfakes.
Orientierungsrahmen
ISO/IEC 42001:2023 als Standard für KI-Managementsysteme mit Fokus auf vertrauenswürdige und verantwortungsvolle KI-Nutzung.
Ziel der Analyse
Ganzheitliche Bewertung der geplanten KI-Anwendung und Ableitung geeigneter Maßnahmen zur Risikominimierung.
Bewertungskriterien
1
Auswirkungen auf Mitarbeiter
Bewertung hinsichtlich Privatsphäre, Persönlichkeitsrechten und allgemeinem Wohlbefinden (z.B. ob sich Mitarbeiter durch die Bildmanipulation bloßgestellt fühlen könnten).
2
Rechtliche und ethische Risiken
Identifikation von Risiken bezüglich Datenschutz (DSGVO/BDSG-Konformität), Persönlichkeitsrechten (Recht am eigenen Bild) und Unternehmensethik.
3
Maßnahmen zur Risikominimierung
Definition notwendiger technischer und organisatorischer Maßnahmen, um identifizierte Risiken auf ein akzeptables Maß zu reduzieren.
4
Compliance mit Datenschutzvorschriften
Sicherstellung der Einhaltung der DSGVO, des BDSG sowie relevanter ISO 42001-Prinzipien bei Planung und Betrieb der KI-Anwendung.
Systembeschreibung
1
Technische Funktionsweise
Externe KI-Bildsoftware auf Basis von Deep-Learning-Algorithmen kombiniert Mitarbeiterfotos mit Marvel-Charakteren. Personenbezogene Bilddaten werden an einen externen KI-Dienst übermittelt.
2
Datenverarbeitung
Die KI analysiert Gesichtszüge und passt diese an den Stil oder Körper der Avengers-Figur an. Es werden personenbezogene Daten in Form von Bildern verarbeitet, die als biometrische Daten im weiteren Sinne gelten.
3
Datenkontrolle
Unklar ist, ob die externe Software die Fotos nach Verarbeitung speichert oder weiterverwendet. Es wird angenommen, dass ein Datenabfluss möglich ist, da die Kontrolle bei einem externen Cloud-Service liegt.
Betroffene Gruppen
Mitarbeiter
Hauptbetroffene, deren Fotos verwendet werden. Sie haben ein Recht auf Schutz ihrer personenbezogenen Daten und darauf, dass ihr Bild nur mit ihrer Zustimmung und in angemessener Weise verwendet wird.
Unternehmen
Trägt die rechtliche Verantwortung für die Datenverarbeitung und kann im Falle von Verstößen gegen Datenschutz oder Persönlichkeitsrechte haftbar gemacht werden.
Unternehmensimage
Kann indirekt betroffen sein, falls der KI-Einsatz intern oder extern Kritik hervorruft und zu Reputationsschäden führt.
Kontext des Systems
1
Verwendungszweck
Unternehmensinternes Projekt zur Teambildung oder für eine Marketing-Aktion, bei der Mitarbeiter kreativ als "Avengers-Team" dargestellt werden. Es handelt sich um eine freiwillige Zusatzanwendung mit Unterhaltungswert.
2
Einwilligung
Eine informierte Einwilligung der Mitarbeiter ist notwendig, bevor deren Fotos verwendet werden. Bei Zweckentfremdung bestehender Fotos ist eine neue Zustimmung erforderlich.
3
Nutzung
Die erzeugten Bilder sollen voraussichtlich intern (Intranet, Präsentationen, Aushang) genutzt werden. Eine externe Veröffentlichung würde das Risiko und die rechtlichen Anforderungen weiter erhöhen.
Datenschutzrisiken
Unkontrollierte Datenverarbeitung
Personenbezogene Bilddaten werden an einen Dritten übermittelt, was ohne angemessene Vorkehrungen das Recht auf informationelle Selbstbestimmung der Mitarbeiter verletzen kann.
Speicherung und Weiterverwendung
Risiko der unkontrollierten Speicherung oder Weiterverwendung der Fotos durch den Anbieter, z.B. zu KI-Trainingszwecken, wodurch die Kontrolle über die Daten verloren gehen könnte.
Datenabfluss
Jedes übermittelte Foto stellt einen Datenabfluss dar, der im Falle eines unsicheren Dienstes zu Privacy Leaks führen könnte – etwa wenn der Anbieter kompromittiert wird.
Rechtsgrundlage
Ohne gültige Einwilligung oder eine andere Erlaubnis nach Art. 6 DSGVO wäre die Verarbeitung unrechtmäßig. Im Beschäftigungskontext reicht ein pauschales "berechtigtes Interesse" nicht aus.
Ethische Risiken
1
1
Persönlichkeitsrechte
Wahrung der Persönlichkeitsrechte und Würde der Mitarbeiter. Manche könnten sich unwohl fühlen, als Superhelden dargestellt zu werden.
2
2
Missbrauchspotenzial
Bilder könnten in falsche Hände geraten oder in einem nicht zugestimmten Kontext verwendet werden.
3
3
Unternehmensimage
Risiko negativer PR, falls das Unternehmen als datenschutzignorant wahrgenommen wird.
4
4
Kontrolle und Fairness
Mensch muss letzte Instanz bleiben. Diversität und Fairness bei Charakterzuordnungen beachten.
Bias & Diskriminierungsrisiken
KI-Verzerrungen
KI-Systeme sind nur so objektiv wie ihre Trainingsdaten. Es besteht die Gefahr von Bias in den Ergebnissen, wobei bestimmte Stereotype reproduziert werden können.
Ungleiche Darstellung
Die KI könnte mit manchen Gesichtern besser funktionieren als mit anderen. Mitarbeiter, die vom Trainingsdatensatz abweichen (ältere Personen, andere Ethnizität, Geschlecht), könnten weniger akkurate oder unvorteilhafte Ergebnisse erhalten.
Geschlechtsspezifische Verzerrungen
Weibliche Mitarbeiter könnten sexualisierter oder "verschönert" dargestellt werden, während männliche Mitarbeiter heroischer aussehen – ein im Arbeitskontext höchst problematischer Effekt.
Sicherheitsrisiken
1
2
3
4
5
1
Datenlecks
Risiko von Datenlecks oder Hackerangriffen auf den KI-Anbieter
2
Zugriffskontrolle
Unzureichende Kontrolle des internen Zugriffs auf die Ergebnisse
3
Authentizität
Missbrauch für falsche Identitäten oder unautorisierte Darstellungen
4
Übertragungssicherheit
Angriffsflächen bei der Datenübertragung an externe Dienste
5
Systemausfall
Nichtverfügbarkeit des externen Dienstes oder Datenverlust
Technische Schutzmaßnahmen
Anbieterauswahl
Kritische Auswahl eines Dienstes, der Datenschutz durch Technik unterstützt – idealerweise ein europäischer Anbieter mit DSGVO-Konformität oder ein Dienst mit lokaler Installation.
Verschlüsselung
Einsatz starker Verschlüsselungsverfahren für die Übertragung (HTTPS/TLS) und etwaige Zwischenlagerung der Bilder auf Servern.
Pseudonymisierung
Pseudonymisierung der Fotos durch Zuweisung eines anonymen Identifikators anstelle des Namens, um den Personenbezug für den Dienstleister zu erschweren.
Zugriffskontrolle
Begrenzung des Zugriffs auf Originalfotos und generierte Bilder auf einen eng begrenzten Personenkreis durch Berechtigungsmanagement.
Weitere technische Maßnahmen
1
Opt-out für Training
Prüfung, ob der Anbieter eine Opt-out-Möglichkeit für die Nutzung der Daten zu Trainingszwecken bietet, damit Mitarbeiterfotos nicht ungewollt in den Trainingspool der KI einfließen.
2
Temporäre Datenhaltung
Nach Verarbeitung und Nutzung für den definierten Zweck sind die Fotos sowohl beim Anbieter als auch intern wieder zu löschen, um unnötige Kopien zu vermeiden.
3
Kennzeichnung
Versehen der Ergebnisbilder mit einem Wasserzeichen oder Vermerk (z.B. "internes KI-Generat"), damit bei unbeabsichtigter Weitergabe erkennbar ist, dass es sich um ein KI-erzeugtes Bild handelt.
4
Monitoring
Protokollierung, wer wann welche Daten an den Dienst sendet, um im Nachhinein Unregelmäßigkeiten nachvollziehen zu können.
Organisatorische Maßnahmen
1
2
3
4
1
Einwilligung
Transparenter, dokumentierter Einwilligungsprozess
2
Auftragsverarbeitung
Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter
3
Richtlinien
Interne Nutzungsrichtlinien für den Umgang mit den Bildern
4
Schulung
Sensibilisierung der beteiligten Mitarbeiter
Jeder betroffene Mitarbeiter muss vorab und freiwillig zustimmen, dass sein Foto für den beschriebenen Zweck verwendet wird. Diese Einwilligung sollte schriftlich oder elektronisch eingeholt und protokolliert werden. Wichtig ist der Hinweis, dass die Teilnahme völlig freiwillig ist und eine Verweigerung keinerlei negative Konsequenzen hat.
Einwilligungsgestaltung
Was muss in der Einwilligungserklärung stehen?
In der Einwilligungserklärung müssen der Zweck (Kombination mit Marvel-Charakteren zur internen Verwendung), der Umfang der Verarbeitung, der eingesetzte externe Dienstleister (mit Kontakt/Datenschutzinfos) sowie die vorgesehenen Verwendungsorte der Bilder klar benannt werden.
Wie wird die Freiwilligkeit sichergestellt?
Freiwilligkeit bedeutet, dass Alternativen angeboten werden können: Beispielsweise könnte man vorschlagen, dass wer nicht abgebildet werden möchte, stattdessen einen generischen Avatar bekommt, damit kein Gruppenzwang entsteht.
Was passiert bei Widerruf der Einwilligung?
Es muss darauf hingewiesen werden, dass eine einmal erteilte Einwilligung jederzeit widerrufen werden kann – in der Praxis müsste man dann das entsprechende Foto aus dem KI-System entfernen und keine weiteren Verwendungen des erstellten Bildes vornehmen.
Datenschutzrechtliche Absicherung
1
Auftragsverarbeitungsvertrag
Mit dem KI-Anbieter sollte ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Darin wird festgelegt, wie lange die Bilder gespeichert werden, dass sie nur für den definierten Zweck genutzt und anschließend gelöscht werden.
2
Datenschutzinformationen
Die Datenschutzinformationen für Mitarbeiter müssen aktualisiert oder ergänzt werden, um diese spezifische Verarbeitungstätigkeit abzudecken (Art. 13 DSGVO Informationspflicht).
3
Vorab-Prüfung
Eine Vorab-Prüfung durch den Datenschutzbeauftragten oder die Rechtsabteilung sollte durchgeführt werden, um alle Compliance-Aspekte zu bewerten.
4
Datenschutz-Folgenabschätzung
Gegebenenfalls ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen, da neuartige Technologien in Verbindung mit personenbezogenen Daten zum Einsatz kommen.
Kommunikation und Reporting
Interne Information
Frühzeitig vor Projektstart sollten alle potenziell beteiligten Mitarbeiter über das Vorhaben informiert werden. Dies beinhaltet eine leicht verständliche Erklärung des Zwecks, den Ablauf sowie die freiwillige Natur der Teilnahme.
Dokumentation
Jede Verarbeitung personenbezogener Daten muss im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden, einschließlich aller relevanten Details wie Zweck, Kategorie der Daten und Rechtsgrundlage.
Ansprechstelle
Eine klare Anlaufstelle für Datenschutzfragen muss benannt werden, an die sich Mitarbeiter bei Fragen oder zur Ausübung ihrer Rechte wenden können – in der Regel der betriebliche Datenschutzbeauftragte.
Risikobewertung: Bias und Diskriminierung
Risikobewertung: Datenschutz und Sicherheit
Die Risikobewertung auf einer Skala von 1-10 (10 = höchstes Risiko) zeigt, dass durch die vorgeschlagenen technischen und organisatorischen Maßnahmen die Risiken deutlich reduziert werden können, bleiben aber teilweise bestehen.
Datenschutzverletzung
Ohne Maßnahmen: 8/10
Mit Maßnahmen: 3/10
Mit Maßnahmen: 3/10
Kontrollverlust über Daten
Ohne Maßnahmen: 9/10
Mit Maßnahmen: 4/10
Mit Maßnahmen: 4/10
Ethische Bedenken
Ohne Maßnahmen: 6/10
Mit Maßnahmen: 2/10
Mit Maßnahmen: 2/10
Bias/Diskriminierung
Ohne Maßnahmen: 7/10
Mit Maßnahmen: 3/10
Mit Maßnahmen: 3/10
IT-Sicherheit
Ohne Maßnahmen: 8/10
Mit Maßnahmen: 3/10
Mit Maßnahmen: 3/10
Fazit der Risikoanalyse
Risikobewertung
Die geplante Nutzung einer externen KI zur Kombination von Mitarbeiterfotos mit Marvel-Charakteren ist technisch machbar, geht aber mit erheblichen Risiken einher, insbesondere im Bereich Datenschutz, Ethik, Bias/Diskriminierung und Sicherheit.
Maßnahmeneffektivität
Durch die identifizierten technischen und organisatorischen Gegenmaßnahmen lassen sich die Risiken auf ein akzeptables Maß reduzieren. Wichtig ist, dass alle vorgeschlagenen Maßnahmen konsequent umgesetzt werden.
Voraussetzungen
Entscheidend ist, dass die Mitarbeiter das Projekt freiwillig unterstützen und der Anbieter vertrauenswürdig agiert – unter diesen Voraussetzungen bleiben die möglichen negativen Folgen begrenzt und beherrschbar.
Empfehlung
1
Durchführung unter Auflagen
Aus Sicht der ISO/IEC 42001-konformen KI-Risikobetrachtung wird empfohlen, das Vorhaben nur unter strengen Auflagen durchzuführen. Zunächst muss ein rechtskonformer Rahmen geschaffen werden.
2
Vorbereitende Tests
Vor dem Live-Einsatz sind Tests angebracht, um die KI-Ergebnisse auf Qualität und etwaige Bias zu prüfen. Bei Bedarf muss manuell nachgebessert oder im Zweifel auf die Darstellung einzelner Personen verzichtet werden.
3
Anbieterprüfung
Sollte sich herausstellen, dass der gewählte KI-Dienst die Datenschutzanforderungen nicht erfüllt, wäre vom Einsatz abzuraten, bis ein alternativer, konformer Dienst gefunden wird.
4
Pilotphase und Evaluation
Es empfiehlt sich, die Aktion im kleinen Rahmen (Pilot) zu starten und bei Erfolg und Einhaltung aller Compliance-Vorgaben auszubauen. Nach Durchführung sollte eine Nachbetrachtung erfolgen.