AI-Governance: Praktische Anleitung des Hongkonger Datenschutzbeauftragten für persönliche Daten
Einführung
Künstliche Intelligenz (AI)-Tools werden mittlerweile in verschiedenen Branchen in Hongkong weit verbreitet eingesetzt. Das Büro des Datenschutzbeauftragten für persönliche Daten (PCPD) führte im Mai 2025 eine Reihe von Compliance-Prüfungen durch und stellte fest, dass 80 % der Organisationen (48 von 60) berichteten, AI in ihren täglichen Abläufen zu verwenden.
Angesichts der breiten Anwendung von AI in Hongkong hat der PCPD eine neue praktische Anleitung zur Einführung von AI herausgegeben, die Organisationen ermutigt, sich auf die Checkliste für Richtlinien zur Nutzung von generativer AI zu beziehen, die Anfang dieses Jahres veröffentlicht wurde. Diese soll ihnen helfen, interne Richtlinien zu entwickeln, die die einzigartigen Risiken und Herausforderungen, die mit AI einhergehen, adressieren.
Wesentliche Bereiche für interne AI-Richtlinien
Insbesondere empfiehlt der PCPD, dass Organisationen die folgenden Schlüsselbereiche bei der Entwicklung interner AI-Richtlinien berücksichtigen:
Umfang der zulässigen Nutzung
Organisationen sollten klar definieren, welche generativen AI-Tools genehmigt sind und die zulässigen Anwendungsfälle (wie das Verfassen von Dokumenten, das Erstellen von Zusammenfassungen oder das Generieren von Inhalten) festlegen. Die interne Richtlinie sollte auch klarstellen, für wen sie gilt, ob also alle Mitarbeiter oder nur bestimmte Abteilungen oder Rollen betroffen sind.
Schutz der Privatsphäre personenbezogener Daten
Die interne AI-Richtlinie muss klare Vorgaben zu den Eingaben und Ausgaben von generativen AI-Tools enthalten. Dazu gehört die Angabe der Arten und Mengen von Informationen, die eingegeben werden dürfen, sowie die zulässigen Anwendungsfälle für AI-generierte Ausgaben und Regeln zur Speicherung und Aufbewahrung dieser Informationen, um die Anforderungen an den Datenschutz einzuhalten.
Gesetzliche und ethische Nutzung sowie Verhinderung von Vorurteilen
Die interne AI-Richtlinie sollte die Nutzung von AI für illegale oder schädliche Aktivitäten untersagen. Zudem sollte sie verlangen, dass alle AI-generierten Ausgaben einer menschlichen Überprüfung unterzogen werden, um die Genauigkeit zu überprüfen und potenzielle Vorurteile oder Diskriminierungen zu identifizieren und anzugehen. Anweisungen zum Wasserzeichen oder zur Kennzeichnung von AI-generierten Materialien sollten ebenfalls bereitgestellt werden.
Datensicherheit
Organisationen sollten definieren, welche Kategorien von Mitarbeitern berechtigt sind, generative AI-Tools zu verwenden, und die Arten von Geräten angeben, auf denen diese Tools zugänglich sind. Der Einsatz von starken Benutzeranmeldungen und Sicherheitseinstellungen sollte obligatorisch sein. Mitarbeiter müssen auch verpflichtet werden, etwaige AI-bezogene Vorfälle umgehend gemäß dem Notfallplan der Organisation zu melden.
Verstöße gegen die AI-Richtlinie
Organisationen sollten die Konsequenzen für die Nichteinhaltung der internen AI-Richtlinie klar darlegen. Für eine umfassendere AI-Governance können Organisationen auf den „Modellrahmen zum Schutz personenbezogener Daten bei AI“ zurückgreifen, der 2024 herausgegeben wurde.
Unterstützung verantwortungsvoller Nutzung: Praktische Maßnahmen
Der PCPD schlägt praktische Unterstützungsmaßnahmen vor, einschließlich regelmäßiger Kommunikation mit den Mitarbeitern über interne Richtlinien und Updates, gezielter Schulungen für Mitarbeiter, einem benannten Unterstützungsteam in der Organisation sowie einem Feedbackmechanismus zur kontinuierlichen Verbesserung.
Schlussfolgerungen
Um die Erwartungen des PCPD zu erfüllen und AI-bezogene Risiken zu mindern, sollten Organisationen in Betracht ziehen:
- Eine umfassende Überprüfung aller AI-Tools und Anwendungsfälle innerhalb der Organisation durchzuführen, insbesondere im Hinblick darauf, ob personenbezogene Daten verarbeitet werden.
- Deutlich anzugeben, welche AI-Tools genehmigt sind, zulässige Anwendungsfälle und Benutzergruppen zu umreißen und eine Genehmigung für die Einführung neuer Tools zu verlangen.
- Die Eingabe sensibler oder vertraulicher Informationen in öffentliche AI-Tools zu untersagen und sicherzustellen, dass die Eingabe personenbezogener Daten in AI-Systeme sorgfältig auf die Einhaltung der Datenschutzgesetze und bestehenden Datenschutzrichtlinien bewertet wird.
- Klare Regeln für die Speicherung, Aufbewahrung und Kennzeichnung von AI-generierten Ausgaben festzulegen.
- Beauftragte Prüfer für risikobehaftete Anwendungsfälle zu benennen und eine gründliche Faktenprüfung sowie eine Bias-Bewertung zu verlangen, bevor AI-generierte Inhalte extern verwendet werden.
- Starke Authentifizierung, Verschlüsselung und sichere Konfigurationsstandards umzusetzen und die Nutzung von AI auf genehmigte Geräte zu beschränken.
- Rollenspezifische Schulungen durchzuführen und zugängliche Unterstützungskanäle für Mitarbeiter bereitzustellen.
- Regelmäßige Audits der AI-Nutzung durchzuführen, Mitarbeiterfeedback zu sammeln und interne Richtlinien anzupassen, während sich die Anwendungsfälle oder das regulatorische Umfeld entwickeln.
- Die Einhaltung der Datenschutzgesetze, einschließlich des Gesetzes über den Datenschutz (PDPO), durch interne AI-Richtlinien und -praktiken zu gewährleisten.
Da AI weiterhin die Geschäftslandschaft in Hongkong transformiert, hat der PCPD die Organisationen aufgefordert, einen proaktiven und strukturierten Ansatz zur AI-Governance zu verfolgen und umfassende AI-Richtlinien zu etablieren, die die gesetzmäßige, ethische und verantwortungsvolle Nutzung von AI-Technologien fördern.
Die bisherigen Richtlinien und Leitfäden zur Einführung und Nutzung von AI, die vom PCPD herausgegeben wurden, verdeutlichen den Fokus des PCPD auf diese Themen im Falle einer Untersuchung und die Notwendigkeit für Organisationen, die AI-Tools einsetzen, jetzt Maßnahmen zu ergreifen, um sicherzustellen, dass die vom Datenschutzregulator bereitgestellten Leitlinien in ihre Praktiken integriert werden.
