Entwickelt für regulierte Branchen

Artikel 5 der GDPR verlangt, dass personenbezogene Daten rechtmäßig und mit geeigneten technischen Maßnahmen verarbeitet werden. Die Übermittlung von Kunden-PII an öffentliche AI-Tools ohne Datenverarbeitungsvertrag kann einen Verstoß darstellen.

• Artikel 5: Datenminimierung — nur verarbeiten, was notwendig ist
• Artikel 25: Datenschutz durch Design und durch Voreinstellungen
• Artikel 28: Anforderungen an Datenverarbeiter (einschließlich AI-Anbieter)
• Artikel 32: Technische und organisatorische Sicherheitsmaßnahmen

Nach dem Brexit spiegelt die UK GDPR die Anforderungen der EU GDPR wider, wird jedoch von der ICO durchgesetzt. Organisationen müssen Rechenschaftspflicht für alle Datenverarbeitungsaktivitäten nachweisen, einschließlich der an AI-Tools übermittelten Daten.

• Gleiche Datenminimierungs- und Sicherheitsprinzipien wie EU GDPR
• ICO-Leitlinien behandeln speziell AI und automatisierte Entscheidungsfindung
• DPIAs erforderlich, wenn die Verarbeitung ein hohes Risiko darstellt
• Verzeichnis der Verarbeitungstätigkeiten muss die Nutzung von AI-Tools umfassen

Die Datenschutz- und Sicherheitsregeln von HIPAA verbieten die Weitergabe von geschützten Gesundheitsinformationen (PHI) an unbefugte Dritte. AI-Tools, die ohne BAAs verwendet werden, sind keine HIPAA-konformen Verarbeiter.

• Business Associate Agreement erforderlich für alle Verarbeiter von PHI
• Mindestnotwendigkeitsstandard: Zugriff auf PHI auf das erforderliche Maß beschränken
• Technische Schutzmaßnahmen müssen unbefugten Zugriff verhindern
• Verpflichtungen zur Benachrichtigung über Verstöße innerhalb von 60 Tagen

ISO 27001 Anhang A Kontrollen erfordern, dass Organisationen das Risiko bewerten, dass Informationen über jeden Kanal die Organisation verlassen — einschließlich AI-Tools, die von Mitarbeitern verwendet werden.

• A.8.1: Asset-Management und Klassifizierung von Informationen
• A.9.4: Kontrollen zur Beschränkung des Informationszugriffs
• A.12.4: Protokollierung und Überwachung von Systemereignissen
• A.18.1: Einhaltung gesetzlicher und vertraglicher Anforderungen

PIPEDA verlangt, dass Organisationen eine sinnvolle Zustimmung einholen, bevor sie persönliche Informationen an Dritte weitergeben. Die Übermittlung von Kundendaten an öffentliche AI-Tools stellt wahrscheinlich eine unbefugte Offenlegung dar.

• Prinzip 4: Begrenzung der Erhebung und Nutzung persönlicher Informationen
• Prinzip 7: Schutzmaßnahmen, die der Sensibilität der Informationen angemessen sind
• Prinzip 8: Offenheit über Datenverarbeitungsrichtlinien
• Verpflichtungen zur Meldung von Verstößen an die OPC

Die australischen Datenschutzgrundsätze verlangen, dass APP-Entitäten persönliche Informationen verantwortungsvoll verwalten. Die Nutzung von AI-Tools, die zu einer Offshore-Datenspeicherung führt, löst grenzüberschreitende Offenlegungspflichten aus.

• APP 6: Nutzung oder Offenlegung persönlicher Informationen
• APP 8: Grenzüberschreitende Offenlegungspflichten
• APP 11: Sicherheit persönlicher Informationen
• Anforderungen des Notifiable Data Breaches-Schemas