Berlin: Heute halte ich meinen Vortrag zum Thema: Aus Artikel 35 DSGVO und der ISO 42005: Datenschutz- und KI-Folgenabschätzung: Unterschiede und Gemeinsamkeiten in der Risikoanalyse. Es ist der zweite Tag der BvD-Verbandstag in Berlin 2025. Mein Vortrag beginnt direkt als erstes und reiht sich in viele weitere Vorträge ein, die parallel angeboten werden. Die Hitze macht mir etwas zu schaffen, aber Kühlung naht.
Bei einem Vortrag geht zuerst um das Vorstellen der unterschiedlichen Vorgehensweise bei der Risikoanalyse: Beim Datenschutz, sowie bei der Künstlichen Intelligenz, KI. Nach meiner Vorstellung tauche ich direkt in die Geschichte der KI ein, um dann den Aufbau der ISO 42001, dem KI-Managementsystem näher zu erläutern. Der Raum ist fast voll. Alle, die zu so früher Stunde sich einen Vortrag antun, müssen wirklich echtes Interesse an KI haben. Es folgt die Erklärung der ISO 42005, die einige Tage später veröffentlicht wird. Ich informiere lediglich aus dem Entwurf. Auch das Datenschutzmanagementsystem (DSMS) nach ISO 27701 findet Erwähnung, da die neue eigenständige Version in wenigen Monaten veröffentlicht wird. Endlich können Unternehmen ein DSMS ohne die ISO 27001 aufbauen, und bei Bedarf zertifizieren lassen.
Im weiteren Verlauf des Vortrags geht um die Unterschiede und Gemeinsamkeiten der Folgenabschätzung: Zum einen, die Datenschutzfolgenabschätzung (DSFA), zum anderen die KI-Folgenabschätzung (KIFA). Beispiele aus der Praxis erläutern Anwendungsfälle. Damit jeder Teilnehmer versteht, wie eine KIFA aussieht, zeige ich diese anhand eines Musters. Nun werden Fragen aus dem Publikum gestellt und es geht auch um die ethische Verantwortung bei der KI. Es folgen sehr interessante Gespräche darüber, wo die Reise mit der KI hingeht und inwieweit Kündigungen aufgrund von Bevorzugungen der KI gerechtfertigt sein dürfen. Alle Zuschauer im Publikum hatten bereits mindestens eine KI-Schulung und keinem ist das Thema KI fremd. Am Ende gibt noch Schokolade. Vielen Dank für die rege Teilnahme. Auf wenn mir sehr heiß war, hat es viel Spaß gemacht.
Below you will see English 🇬🇧:
Presentation: From Article 35 GDPR and ISO 42005 – Data Protection and AI Impact Assessment: Differences and Similarities in Risk Analysis
Today, I am giving my presentation on the topic: From Article 35 GDPR and ISO 42005 – Data Protection and AI Impact Assessment: Differences and Similarities in Risk Analysis. It is the second day of the BvD Association Conference in Berlin 2025. My talk is scheduled first and is part of many parallel presentations. The heat is bothering me a bit, but relief is in sight.
The presentation begins with an introduction to the different approaches in risk analysis: one for data protection and the other for artificial intelligence (AI). After my personal introduction, I dive into the history of AI, followed by an explanation of the structure of ISO 42001, the AI Management System. The room is almost full. Everyone attending such an early talk must have a genuine interest in AI. I then explain ISO 42005, which is to be published a few days later. I only present information based on the draft. The Data Privacy Management System (DSMS) according to ISO 27701 is also mentioned, especially since a new standalone version will be released within a few months. This will allow companies to build a DSMS independently of ISO 27001 and, if desired, certify it.
The second part of the presentation focuses on the differences and similarities between the two types of impact assessments: the Data Protection Impact Assessment (DPIA) and the AI Impact Assessment (AI-IA). Practical examples illustrate real-life use cases. To ensure everyone understands what an AI-IA looks like, I present a sample template. Now, questions from the audience arise, including ethical responsibilities in AI. Fascinating conversations follow about where AI is heading and whether dismissals due to AI-based preferences can be justified. Every attendee had already received at least one AI training course, and none were new to the topic. At the end, there is some chocolate. Many thanks for the lively participation. Even though it was very hot, I enjoyed it thoroughly.
A continuación, lea español 🇪🇸:
Conferencia: Del artículo 35 del RGPD y la ISO 42005 – Evaluación de impacto en protección de datos e IA: Diferencias y similitudes en el análisis de riesgos
Hoy doy mi conferencia sobre el tema: Del artículo 35 del RGPD y la ISO 42005 – Evaluación de impacto en protección de datos e IA: Diferencias y similitudes en el análisis de riesgos. Es el segundo día del Congreso de la Asociación BvD en Berlín 2025. Mi conferencia es la primera del día y forma parte de un programa con muchas ponencias paralelas. El calor me afecta un poco, pero se avecina el frescor.
La conferencia comienza con la presentación de los diferentes enfoques del análisis de riesgos: por un lado en protección de datos, y por otro en inteligencia artificial (IA). Tras presentarme, hago un repaso a la historia de la IA, seguido de una explicación sobre la estructura de la norma ISO 42001, el sistema de gestión de IA. La sala está casi llena. Todos los que acuden a una charla tan temprano deben tener un verdadero interés por la IA. Luego explico la ISO 42005, que se publicará unos días más tarde. Presento solo información del borrador. También menciono el sistema de gestión de privacidad de los datos (DSMS) según la ISO 27701, ya que en unos meses se publicará una nueva versión independiente. Esto permitirá a las empresas establecer un DSMS sin depender de la ISO 27001 y, si lo desean, certificarlo.
En la segunda parte de la conferencia se abordan las diferencias y similitudes entre dos tipos de evaluaciones de impacto: la Evaluación de Impacto en la Protección de Datos (EIPD) y la Evaluación de Impacto de la IA (EI-IA). Ejemplos prácticos ilustran los casos de uso. Para que todos comprendan cómo se ve una EI-IA, presento una plantilla modelo. A continuación, surgen preguntas del público, también sobre la responsabilidad ética en la IA. Se desarrollan conversaciones muy interesantes sobre hacia dónde se dirige la IA y hasta qué punto pueden justificarse los despidos por preferencia hacia la IA. Todos los asistentes ya habían recibido al menos una formación sobre IA y el tema no les era ajeno. Al final, hay chocolate. Muchas gracias por la activa participación. A pesar del calor, fue un placer.
Ci-dessous, lisez français 🇫🇷:
Conférence : De l’article 35 du RGPD et de la norme ISO 42005 – Analyse d’impact en matière de protection des données et d’IA : différences et similitudes dans l’analyse des risques
Aujourd’hui, je tiens ma conférence sur le thème : De l’article 35 du RGPD et de la norme ISO 42005 – Analyse d’impact en matière de protection des données et d’IA : différences et similitudes dans l’analyse des risques. C’est le deuxième jour du congrès de l’association BvD à Berlin en 2025. Ma conférence ouvre la journée et fait partie d’un ensemble d’interventions organisées en parallèle. La chaleur est difficile à supporter, mais la climatisation arrive.
La conférence débute par la présentation des différentes approches de l’analyse des risques : l’une pour la protection des données, l’autre pour l’intelligence artificielle (IA). Après m’être présenté, je plonge dans l’histoire de l’IA, puis j’explique la structure de la norme ISO 42001, le système de management de l’IA. La salle est presque pleine. Tous ceux qui assistent à une conférence aussi tôt doivent avoir un réel intérêt pour l’IA. Ensuite, je présente la norme ISO 42005, qui sera publiée quelques jours plus tard. Je m’appuie uniquement sur le projet. J’évoque également le système de management de la confidentialité des données (DSMS) selon la norme ISO 27701, car une nouvelle version autonome sera publiée dans quelques mois. Les entreprises pourront ainsi mettre en place un DSMS sans dépendre de l’ISO 27001 et, si elles le souhaitent, le faire certifier.
La seconde partie de la conférence est consacrée aux différences et similitudes entre les deux types d’analyses d’impact : l’Analyse d’Impact relative à la Protection des Données (AIPD) et l’Analyse d’Impact de l’IA (AIIA). Des exemples concrets illustrent des cas d’usage. Pour que chacun comprenne à quoi ressemble une AIIA, je présente un modèle. Ensuite, des questions du public sont posées, notamment sur la responsabilité éthique de l’IA. Des discussions passionnantes suivent sur l’avenir de l’IA et sur la question de savoir si des licenciements dus à une préférence pour l’IA peuvent être justifiés. Tous les participants avaient déjà suivi au moins une formation sur l’IA, et le sujet ne leur était pas inconnu. À la fin, il y a du chocolat. Merci beaucoup pour votre participation active. Malgré la chaleur, ce fut un grand plaisir.
#vortrag #ki #datenschutz #folgenabschätzung #risiko #dsfa #kifa #aiia