KI-Risikoanalyse: Mitarbeiterfotos mit Marvel-Charakteren

Diese Analyse untersucht die Risiken beim Einsatz einer externen KI-Software, die Mitarbeiterfotos mit Marvel-Charakteren kombiniert. Wir betrachten datenschutzrechtliche, ethische und technische Aspekte nach ISO/IEC 42001:2023 und geben konkrete Handlungsempfehlungen.

Einleitung und Zielsetzung
Anwendungsfall

Kombination von Mitarbeiterfotos mit Marvel-Charakteren (Avengers) durch externe KI-Software, ähnlich Deepfakes.

Orientierungsrahmen

ISO/IEC 42001:2023 als Standard für KI-Managementsysteme mit Fokus auf vertrauenswürdige und verantwortungsvolle KI-Nutzung.

Ziel der Analyse

Ganzheitliche Bewertung der geplanten KI-Anwendung und Ableitung geeigneter Maßnahmen zur Risikominimierung.

Bewertungskriterien
1
Auswirkungen auf Mitarbeiter

Bewertung hinsichtlich Privatsphäre, Persönlichkeitsrechten und allgemeinem Wohlbefinden (z.B. ob sich Mitarbeiter durch die Bildmanipulation bloßgestellt fühlen könnten).

2
Rechtliche und ethische Risiken

Identifikation von Risiken bezüglich Datenschutz (DSGVO/BDSG-Konformität), Persönlichkeitsrechten (Recht am eigenen Bild) und Unternehmensethik.

3
Maßnahmen zur Risikominimierung

Definition notwendiger technischer und organisatorischer Maßnahmen, um identifizierte Risiken auf ein akzeptables Maß zu reduzieren.

4
Compliance mit Datenschutzvorschriften

Sicherstellung der Einhaltung der DSGVO, des BDSG sowie relevanter ISO 42001-Prinzipien bei Planung und Betrieb der KI-Anwendung.

Systembeschreibung
1
Technische Funktionsweise

Externe KI-Bildsoftware auf Basis von Deep-Learning-Algorithmen kombiniert Mitarbeiterfotos mit Marvel-Charakteren. Personenbezogene Bilddaten werden an einen externen KI-Dienst übermittelt.

2
Datenverarbeitung

Die KI analysiert Gesichtszüge und passt diese an den Stil oder Körper der Avengers-Figur an. Es werden personenbezogene Daten in Form von Bildern verarbeitet, die als biometrische Daten im weiteren Sinne gelten.

3
Datenkontrolle

Unklar ist, ob die externe Software die Fotos nach Verarbeitung speichert oder weiterverwendet. Es wird angenommen, dass ein Datenabfluss möglich ist, da die Kontrolle bei einem externen Cloud-Service liegt.

Betroffene Gruppen
Mitarbeiter

Hauptbetroffene, deren Fotos verwendet werden. Sie haben ein Recht auf Schutz ihrer personenbezogenen Daten und darauf, dass ihr Bild nur mit ihrer Zustimmung und in angemessener Weise verwendet wird.

Unternehmen

Trägt die rechtliche Verantwortung für die Datenverarbeitung und kann im Falle von Verstößen gegen Datenschutz oder Persönlichkeitsrechte haftbar gemacht werden.

Unternehmensimage

Kann indirekt betroffen sein, falls der KI-Einsatz intern oder extern Kritik hervorruft und zu Reputationsschäden führt.

Kontext des Systems
1
Verwendungszweck

Unternehmensinternes Projekt zur Teambildung oder für eine Marketing-Aktion, bei der Mitarbeiter kreativ als "Avengers-Team" dargestellt werden. Es handelt sich um eine freiwillige Zusatzanwendung mit Unterhaltungswert.

2
Einwilligung

Eine informierte Einwilligung der Mitarbeiter ist notwendig, bevor deren Fotos verwendet werden. Bei Zweckentfremdung bestehender Fotos ist eine neue Zustimmung erforderlich.

3
Nutzung

Die erzeugten Bilder sollen voraussichtlich intern (Intranet, Präsentationen, Aushang) genutzt werden. Eine externe Veröffentlichung würde das Risiko und die rechtlichen Anforderungen weiter erhöhen.

Datenschutzrisiken
Unkontrollierte Datenverarbeitung

Personenbezogene Bilddaten werden an einen Dritten übermittelt, was ohne angemessene Vorkehrungen das Recht auf informationelle Selbstbestimmung der Mitarbeiter verletzen kann.

Speicherung und Weiterverwendung

Risiko der unkontrollierten Speicherung oder Weiterverwendung der Fotos durch den Anbieter, z.B. zu KI-Trainingszwecken, wodurch die Kontrolle über die Daten verloren gehen könnte.

Datenabfluss

Jedes übermittelte Foto stellt einen Datenabfluss dar, der im Falle eines unsicheren Dienstes zu Privacy Leaks führen könnte – etwa wenn der Anbieter kompromittiert wird.

Rechtsgrundlage

Ohne gültige Einwilligung oder eine andere Erlaubnis nach Art. 6 DSGVO wäre die Verarbeitung unrechtmäßig. Im Beschäftigungskontext reicht ein pauschales "berechtigtes Interesse" nicht aus.

Ethische Risiken
1
1
Persönlichkeitsrechte

Wahrung der Persönlichkeitsrechte und Würde der Mitarbeiter. Manche könnten sich unwohl fühlen, als Superhelden dargestellt zu werden.

2
2
Missbrauchspotenzial

Bilder könnten in falsche Hände geraten oder in einem nicht zugestimmten Kontext verwendet werden.

3
3
Unternehmensimage

Risiko negativer PR, falls das Unternehmen als datenschutzignorant wahrgenommen wird.

4
4
Kontrolle und Fairness

Mensch muss letzte Instanz bleiben. Diversität und Fairness bei Charakterzuordnungen beachten.

Bias & Diskriminierungsrisiken
KI-Verzerrungen

KI-Systeme sind nur so objektiv wie ihre Trainingsdaten. Es besteht die Gefahr von Bias in den Ergebnissen, wobei bestimmte Stereotype reproduziert werden können.

Ungleiche Darstellung

Die KI könnte mit manchen Gesichtern besser funktionieren als mit anderen. Mitarbeiter, die vom Trainingsdatensatz abweichen (ältere Personen, andere Ethnizität, Geschlecht), könnten weniger akkurate oder unvorteilhafte Ergebnisse erhalten.

Geschlechtsspezifische Verzerrungen

Weibliche Mitarbeiter könnten sexualisierter oder "verschönert" dargestellt werden, während männliche Mitarbeiter heroischer aussehen – ein im Arbeitskontext höchst problematischer Effekt.

Sicherheitsrisiken
1
2
3
4
5
1
Datenlecks

Risiko von Datenlecks oder Hackerangriffen auf den KI-Anbieter

2
Zugriffskontrolle

Unzureichende Kontrolle des internen Zugriffs auf die Ergebnisse

3
Authentizität

Missbrauch für falsche Identitäten oder unautorisierte Darstellungen

4
Übertragungssicherheit

Angriffsflächen bei der Datenübertragung an externe Dienste

5
Systemausfall

Nichtverfügbarkeit des externen Dienstes oder Datenverlust

Technische Schutzmaßnahmen
Anbieterauswahl

Kritische Auswahl eines Dienstes, der Datenschutz durch Technik unterstützt – idealerweise ein europäischer Anbieter mit DSGVO-Konformität oder ein Dienst mit lokaler Installation.

Verschlüsselung

Einsatz starker Verschlüsselungsverfahren für die Übertragung (HTTPS/TLS) und etwaige Zwischenlagerung der Bilder auf Servern.

Pseudonymisierung

Pseudonymisierung der Fotos durch Zuweisung eines anonymen Identifikators anstelle des Namens, um den Personenbezug für den Dienstleister zu erschweren.

Zugriffskontrolle

Begrenzung des Zugriffs auf Originalfotos und generierte Bilder auf einen eng begrenzten Personenkreis durch Berechtigungsmanagement.

Weitere technische Maßnahmen
1
Opt-out für Training

Prüfung, ob der Anbieter eine Opt-out-Möglichkeit für die Nutzung der Daten zu Trainingszwecken bietet, damit Mitarbeiterfotos nicht ungewollt in den Trainingspool der KI einfließen.

2
Temporäre Datenhaltung

Nach Verarbeitung und Nutzung für den definierten Zweck sind die Fotos sowohl beim Anbieter als auch intern wieder zu löschen, um unnötige Kopien zu vermeiden.

3
Kennzeichnung

Versehen der Ergebnisbilder mit einem Wasserzeichen oder Vermerk (z.B. "internes KI-Generat"), damit bei unbeabsichtigter Weitergabe erkennbar ist, dass es sich um ein KI-erzeugtes Bild handelt.

4
Monitoring

Protokollierung, wer wann welche Daten an den Dienst sendet, um im Nachhinein Unregelmäßigkeiten nachvollziehen zu können.

Organisatorische Maßnahmen
1
2
3
4
1
Einwilligung

Transparenter, dokumentierter Einwilligungsprozess

2
Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter

3
Richtlinien

Interne Nutzungsrichtlinien für den Umgang mit den Bildern

4
Schulung

Sensibilisierung der beteiligten Mitarbeiter

Jeder betroffene Mitarbeiter muss vorab und freiwillig zustimmen, dass sein Foto für den beschriebenen Zweck verwendet wird. Diese Einwilligung sollte schriftlich oder elektronisch eingeholt und protokolliert werden. Wichtig ist der Hinweis, dass die Teilnahme völlig freiwillig ist und eine Verweigerung keinerlei negative Konsequenzen hat.

Einwilligungsgestaltung
Was muss in der Einwilligungserklärung stehen?

In der Einwilligungserklärung müssen der Zweck (Kombination mit Marvel-Charakteren zur internen Verwendung), der Umfang der Verarbeitung, der eingesetzte externe Dienstleister (mit Kontakt/Datenschutzinfos) sowie die vorgesehenen Verwendungsorte der Bilder klar benannt werden.

Wie wird die Freiwilligkeit sichergestellt?

Freiwilligkeit bedeutet, dass Alternativen angeboten werden können: Beispielsweise könnte man vorschlagen, dass wer nicht abgebildet werden möchte, stattdessen einen generischen Avatar bekommt, damit kein Gruppenzwang entsteht.

Was passiert bei Widerruf der Einwilligung?

Es muss darauf hingewiesen werden, dass eine einmal erteilte Einwilligung jederzeit widerrufen werden kann – in der Praxis müsste man dann das entsprechende Foto aus dem KI-System entfernen und keine weiteren Verwendungen des erstellten Bildes vornehmen.

Datenschutzrechtliche Absicherung
1
Auftragsverarbeitungsvertrag

Mit dem KI-Anbieter sollte ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Darin wird festgelegt, wie lange die Bilder gespeichert werden, dass sie nur für den definierten Zweck genutzt und anschließend gelöscht werden.

2
Datenschutzinformationen

Die Datenschutzinformationen für Mitarbeiter müssen aktualisiert oder ergänzt werden, um diese spezifische Verarbeitungstätigkeit abzudecken (Art. 13 DSGVO Informationspflicht).

3
Vorab-Prüfung

Eine Vorab-Prüfung durch den Datenschutzbeauftragten oder die Rechtsabteilung sollte durchgeführt werden, um alle Compliance-Aspekte zu bewerten.

4
Datenschutz-Folgenabschätzung

Gegebenenfalls ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen, da neuartige Technologien in Verbindung mit personenbezogenen Daten zum Einsatz kommen.

Kommunikation und Reporting
Interne Information

Frühzeitig vor Projektstart sollten alle potenziell beteiligten Mitarbeiter über das Vorhaben informiert werden. Dies beinhaltet eine leicht verständliche Erklärung des Zwecks, den Ablauf sowie die freiwillige Natur der Teilnahme.

Dokumentation

Jede Verarbeitung personenbezogener Daten muss im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden, einschließlich aller relevanten Details wie Zweck, Kategorie der Daten und Rechtsgrundlage.

Ansprechstelle

Eine klare Anlaufstelle für Datenschutzfragen muss benannt werden, an die sich Mitarbeiter bei Fragen oder zur Ausübung ihrer Rechte wenden können – in der Regel der betriebliche Datenschutzbeauftragte.

Risikobewertung: Bias und Diskriminierung
Risikobewertung: Datenschutz und Sicherheit

Die Risikobewertung auf einer Skala von 1-10 (10 = höchstes Risiko) zeigt, dass durch die vorgeschlagenen technischen und organisatorischen Maßnahmen die Risiken deutlich reduziert werden können, bleiben aber teilweise bestehen.

Datenschutzverletzung

Ohne Maßnahmen: 8/10
Mit Maßnahmen: 3/10

Kontrollverlust über Daten

Ohne Maßnahmen: 9/10
Mit Maßnahmen: 4/10

Ethische Bedenken

Ohne Maßnahmen: 6/10
Mit Maßnahmen: 2/10

Bias/Diskriminierung

Ohne Maßnahmen: 7/10
Mit Maßnahmen: 3/10

IT-Sicherheit

Ohne Maßnahmen: 8/10
Mit Maßnahmen: 3/10

Fazit der Risikoanalyse
Risikobewertung

Die geplante Nutzung einer externen KI zur Kombination von Mitarbeiterfotos mit Marvel-Charakteren ist technisch machbar, geht aber mit erheblichen Risiken einher, insbesondere im Bereich Datenschutz, Ethik, Bias/Diskriminierung und Sicherheit.

Maßnahmeneffektivität

Durch die identifizierten technischen und organisatorischen Gegenmaßnahmen lassen sich die Risiken auf ein akzeptables Maß reduzieren. Wichtig ist, dass alle vorgeschlagenen Maßnahmen konsequent umgesetzt werden.

Voraussetzungen

Entscheidend ist, dass die Mitarbeiter das Projekt freiwillig unterstützen und der Anbieter vertrauenswürdig agiert – unter diesen Voraussetzungen bleiben die möglichen negativen Folgen begrenzt und beherrschbar.

Empfehlung
1
Durchführung unter Auflagen

Aus Sicht der ISO/IEC 42001-konformen KI-Risikobetrachtung wird empfohlen, das Vorhaben nur unter strengen Auflagen durchzuführen. Zunächst muss ein rechtskonformer Rahmen geschaffen werden.

2
Vorbereitende Tests

Vor dem Live-Einsatz sind Tests angebracht, um die KI-Ergebnisse auf Qualität und etwaige Bias zu prüfen. Bei Bedarf muss manuell nachgebessert oder im Zweifel auf die Darstellung einzelner Personen verzichtet werden.

3
Anbieterprüfung

Sollte sich herausstellen, dass der gewählte KI-Dienst die Datenschutzanforderungen nicht erfüllt, wäre vom Einsatz abzuraten, bis ein alternativer, konformer Dienst gefunden wird.

4
Pilotphase und Evaluation

Es empfiehlt sich, die Aktion im kleinen Rahmen (Pilot) zu starten und bei Erfolg und Einhaltung aller Compliance-Vorgaben auszubauen. Nach Durchführung sollte eine Nachbetrachtung erfolgen.