Datenpannen bei KI-Systemen: Meldepflichten und Reaktionsprozesse

Typische Datenpannen-Szenarien bei KI-Systemen: Membership Inference Attacks: Angreifer können ermitteln, ob eine bestimmte Person in den Trainingsdaten war. Model Inversion: Aus Modell-Ausgaben können Rückschlüsse auf Trainingsdaten gezogen werden. Data Exfiltration: Unautorisierter Zugriff auf Trainingsdaten oder KI-generierte Datensätze. Unbeabsichtigte Offenlegung: KI generiert Ausgaben, die sensible Informationen aus Trainingsdaten enthalten (besonders bei LLMs). Für all diese Szenarien gelten die DSGVO-Meldepflichten.

Art. 33 DSGVO: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden, wenn die Verletzung voraussichtlich Risiken für betroffene Personen verursacht. Art. 34 DSGVO: Benachrichtigung der betroffenen Personen, wenn hohe Risiken für Grundrechte und Freiheiten bestehen. Die 72-Stunden-Frist beginnt, wenn das Unternehmen Kenntnis von der Panne erlangt – nicht erst wenn alle Details bekannt sind. Melden Sie daher auch bei unvollständiger Information.

Zusätzlich zu DSGVO-Meldepflichten können EU AI Act-Incident-Reporting-Pflichten greifen, wenn: das betroffene KI-System ein Hochrisiko-System ist, der Datenpannen-Vorfall die Sicherheit oder Leistung des Systems beeinträchtigt, Grundrechte von Personen direkt betroffen sind. Melden Sie in diesem Fall sowohl an die Datenschutzbehörde (Art. 33 DSGVO) als auch an die Marktüberwachungsbehörde (Art. 73 EU AI Act). Koordinieren Sie beide Meldeprozesse intern – widersprüchliche Meldungen an verschiedene Behörden können problematisch sein.