mich würde eure Einschätzung zu nachfolgendem Thema interessieren.
Ein Unternehmen betreibt Systeme die das Monitoring von Events ermöglicht. Es werden durch den Algorithmus “potenziell schadhafte” Events herausgepickt und müssen manuell von den Security Kollgen begutachtet werden.
Um die Anzahl dieser manuell zu prüfenden Events zu reduzieren soll nun eine KI zu Anomalienerkennung mit Hilfe der Logfiles trainiert werden.
Nun ist hiervon natürlich auch der web traffic betroffen und es ist zudem die private Nutzung des Internets in Pausen erlaubt, wenn eine Einwilligung/Zustimmung zu der Teilnahme an der betrieblichen Regelung zur Nutzung des Internets erteilt wurde. In den Dokumenten ist die Rede von Monitoring und Analyse der Logfiles zu Zwecken der Systemsicherheit.
Denkt ihr die Einwilligung muss hier erneuert werden, und dass hier explizit was von “Nutzung der Daten zu Trainingszwecken einer KI” oder reicht eine aktualisierte Information für Beschäftigte? Schließlich passiert ja nichts anderes, statt Algorithmus erledigt die effektivere KI den Job.
Es ist in dem Zusammenhang möglich zu argumentieren, dass Risiken für Betroffene sogar vermindert werden. Schließlich werden dadurch weniger Logfiles durch Kollegen manuell ausgewertet, also verringert sich das Risiko für Betroffene. Die Logs werden ansonsten ja nur bei Vorfällen angerührt.
Wenn es schon Einwilligungen und ausreichende Informationen (Transparenz) gibt, sehe ich das auch als unkritisch an, da sich qualitativ nichts ändert.
Mich würde dann noch interessieren:
Wird denn auch TLS-Kommunikation “aufgebrochen”? Schaut die KI z. B. in Bank-Transaktionen?
Wie geht man mit denjenigen um, die keine Einwilligung geben? Werden hier Stichproben gemacht, ob die trotzdem “privat” surfen? Und wenn ja: wie könnte man das machen? (Problem ist ja, zu entscheiden, was privat ist und was nicht - heute verschwimmt das ja zunehmend)
TLS wird aufgebrochen, jedoch werden z.B. Banking Seiten ausgenommen
Der Prozess zur Einholung der Einwilligung ist derart gestaltet, dass eine Entscheidung seitens Beschäftigten getroffen werden muss, Teilnahme oder Nichtteilnahme. Bei der Nichtteilnahme wird klar kommuniziert, dass die Privatnutzung verboten ist. Es ist mehr eine Willenserklärung an der Regelung / Angebot teilzunehmen als eine Art. 7 Einwilligung. In der Folge, geht das Unternehmen davon aus, dass der Beschäftigte sich daran hält. Eine Überprüfung ob sich alle daran halten findet nur anlassbezogen statt (keine Routineprüfungen).
Ich würde bei künsticher Intelligenz in die Einwilligung bzw. Transparenzinfos noch die Informationen zur Logik von automatischen Entscheidungen (Art 22 DSGVO) packen.
Zwar hat es hier keine rechtliche Wirkung (naja im ersten Schritt nicht), aber so ist allen Mitarbeitern klar wie die KI entscheidet.