Investment Fonds: Gefahren im Portfolio minimieren durch Datenschutz- und KI-Due-Diligence

Nicht nur über eigene Datenverarbeitungen und Nutzung von Künstlicher Intelligenz müssen sich Investment Fonds Gedanken machen oder über jene der von ihnen beauftragten Dienstleister. Auch im Investment-Portfolio lauern mitunter unberücksichtigte Risiken. Diese können nicht nur zu finanziellen Einbußen beim Investment führen, durch Massenschadenersatzklagen etwa oder hohe Bußgelder. Im schlimmsten Fall sorgen sie für Reputationsverluste, wenn die Investoren in jedem Medienbericht zu einem Datenschutzvorfall beim Portfoliounternehmen mitgenannt werden. Wie zuletzt geschehen bei Urban Sports Club. Auch können unerkannte Datenschutz- oder Künstliche-Intelligenz-Risiken Markteintritte verzögern oder ganz verhindern und ein Investment somit gesamtheitlich gefährden.

.

Wer sind die Risikoträger?

Mindestens wer prominent, mehrheitlich oder gar gesamtheitlich investiert, sollte sich daher im Rahmen der Investment Due Diligence neben der Einhaltung von anderen rechtlichen Verpflichtungen, wie ESG oder Geldwäsche, auch intensiv mit den Datenschutz- und KI-Risiken im Portfolio auseinandersetzen.

Speziell solche Fonds, die einen strategischen Schwerpunkt auf digitale Anwendungen legen, in welchen personenbezogene Daten verarbeitet werden, sollten daher ihre Zielunternehmen bzw. deren Produkte und Dienstleistungen genauer unter die Lupe nehmen.

Wo liegen die Risiken?

Insbesondere dann, wenn besondere Kategorien personenbezogener Daten im Produkt, z. B. einem Online-Tool oder einer App, verarbeitet werden sollen. Dazu gehören Daten zum Gesundheitszustand, biometrische Daten, politische, religiöse oder sexuelle Orientierung oder ethnische Zugehörigkeit. Aber auch bei Produkten mit KI oder Anteilen von KI, die erhebliche u. a. datenschutzrechtliche Risiken bergen können, ist regelmäßig von erhöhten Risiken auszugehen. Speziell z. B. bei KI-unterstützen Anwendungen im Personal- oder Gesundheitswesen oder bei KI-Komponenten für regulierte technische Produkte oder Dienstleistungen. Geringere Risiken können angenommen werden bei Portfolio- oder Zielunternehmen, welche nicht-digitale Waren, wie z. B. vegane Lebensmittel oder Textilien, herstellen.

Auch die Frage danach, wessen Daten mit dem Produkt verarbeitet werden sollen, ist risikoentscheidend: Handelt es sich bspw. um eine App für das Kindergartenmanagement oder für vulnerable Zielgruppen, z. B. Menschen mit psychischen Beeinträchtigungen, ist die besondere Schutzwürdigkeit der Anspruchsgruppen zu berücksichtigen.

Je mehr dieser besonderen Kategorien von personenbezogenen Daten und/oder Daten von besonders schutzwürdigen Personengruppen also vom Portfoliounternehmen durch deren Angebote verarbeitet werden, desto größer auch die Gefahr für den investierenden Fonds, dass Datenschutzverletzungen besonders kritische Folgen haben können, die auf den Fonds durchschlagen könnten. Dabei ist es unerheblich, ob die Datenpanne ihren Ursprung in interner Fahrlässigkeit oder krimineller Energie von extern, Stichwort Cyber Crime, hat.

Im Hinblick auf KI ist zudem zu überprüfen, ob die eingesetzte KI überhaupt erlaubt oder etwa ein Hochrisiko-KI-System nach der EU KI-Verordnung ist (die ca. Mai 2024 in Kraft treten soll). Letztere unterliegen unter Umständen umfangreichen Anforderungen, die investitionsentscheidend sein können.

Wie minimiert man die Risiken?

Daher sollte im Rahmen einer Investment Due Diligence geprüft werden  

• welche datenschutzrechtlichen Risiken dem Zielunternehmen strukturell inhärent sind, z. B. wenn viele Dienstleister im nicht EU-Drittland eingebunden sind oder in solchen Ländern Niederlassungen bestehen
• welche datenschutz- und/oder KI-rechtlichen Risiken das Produkt / die Dienstleistung und die Zielgruppe des Zielunternehmens gegebenenfalls birgt und ob aufgrund erhöhter Risiken eventuell sogar Abstimmungen mit der zuständigen Datenschutzaufsicht oder KI-Zertifizierungen erforderlich sein könnten (die ggfs. auch Auswirkungen auf Product-Launch-Deadlines haben)
• ob ein betrieblicher Datenschutzbeauftragter ernannt wurde, sofern erforderlich, und ob es eine zentrale Stelle für das KI-Management gibt
• ob ein Datenschutz- und KI-Managementsystem (auch in integrierter Form) vorhanden ist, das den gesetzlichen Vorgaben und ermittelten Risiken gerecht wird und diese so minimieren hilft.

Im Idealfall hat das Zielunternehmen diese Punkte selbst erwogen und danach gehandelt. Oft aber und in Abhängigkeit von der Einbindung und Steuerungsmöglichkeit durch den investierenden Fonds wird es nötig sein, nach erfolgtem Investment solche Impulse erst ins Unternehmen zu geben.

Fazit

Fonds sollten ihre eigene Investmentstrategie daraufhin untersuchen, ob bereits hier Datenschutz- oder KI-Risiken, die vom Portfolio ausgehen könnten, erkennbar sind.  Insbesondere wenn der Investitionsschwerpunkt in Richtung digitale Anwendungen, vulnerable Zielgruppen oder Hochrisiko-KI-Systeme geht, sollten Fonds ihre Investment Due Diligence um Prüfungen zu Datenschutz und Künstlicher Intelligenz erweitern. Soweit möglich, sollten sie auch während der Haltephase als Investor risikoorientiert auf Datenschutz, Datensicherheit und KI-Sicherheit beim Portfoliounternehmen Einfluss nehmen.

Ideale Helfer, wie aus der allgemeinen Investment Due Diligence bekannt, sind hierbei Checklisten. Kontaktieren Sie uns gern, wenn wir Sie mit einer Muster-Checkliste zur Datenschutz- und/oder KI-Due-Diligence, die sich leicht in vorhandene Checklisten integrieren lässt, unterstützen können.

Möchten Sie über die neusten Entwicklungen bei Datenschutz und KI-Compliance auf dem Laufenden bleiben? Dann abonnieren Sie einfach unseren Newsletter.