Integration von Künstlicher Intelligenz ins Requirements Engineering: Ein Praxisbeispiel mit ChatGPT

Teil 1 der Blog-Serie

In der heutigen schnelllebigen und immer komplexer werdenden Technologiewelt ist die Integration von Künstlicher Intelligenz (KI) in den Entwicklungsprozess von Systemen ein strategischer Schritt, der viele Ressourcen sparen kann.
So könnten sich auch im Requirements Engineering potenziell bedeutende Möglichkeiten für den Einsatz von KI ergeben. Das KI-Team von SOPHIST fokussiert sich explizit auf den Einsatz von KI im Systems Engineering und Requirements Engineering und präsentiert in dieser Blog-Serie ein praxisnahes Szenario.

KI und die DSGVO: Ein denkbares Anwendungsbeispiel 

Im Kontext der Fahrzeugentwicklung stehen Ingenieure und Entwickler regelmäßig vor der Herausforderung, sich mit ständig wandelnden gesetzlichen Vorschriften auseinanderzusetzen und diese dann präzise in technische Anforderungen für neue Systeme innerhalb des Fahrzeugs zu übersetzen. Diese Aufgabe erfordert nicht nur ein tiefes Verständnis der Gesetzgebung, sondern auch eine präzise Übertragung in die technische Sprache inklusive deren Nachverfolgbarkeit zu deren Ursprung im Gesetz. Hier tritt die Künstliche Intelligenz (KI) auf den Plan – ein Instrument mit dem Potenzial den gesamten Prozess des Requirements Engineering zu revolutionieren. In diesem Szenario wird beleuchtet, wie KI genutzt werden kann, um aus komplexen Gesetzestexten, insbesondere Anhand der DSGVO, klare und umsetzbare Anforderungen zu generieren. Anhand eines Beispiels wollen wir den iterativen Prozess der Anforderungsgenerierung mithilfe einer KI (ChatGPT 4) darstellen, um aufzuzeigen, wie sich dieser Ansatz in der Praxis bewähren könnte. Begleiten Sie uns auf einer Reise in die faszinierende Welt des Requirements Engineering, in der juristische Präzision und technische Innovation aufeinandertreffen. 

Der Ausgangspunkt:
Unser Ausgangspunkt war die Entwicklung eines Multimediasystems für PKWs, das unter anderem ein Benutzerprofil mit sensiblen Daten wie GPS-Koordinaten und Kontaktdaten speichert. Wir versetzten uns in die Rolle eines Requirements Engineer, dessen Ziel es ist, durch den Einsatz von KI seine Aufgaben effizienter abzuarbeiten. Die Herausforderung bestand darin, die relevanten DSGVO-Artikel zu identifizieren und daraufhin in spezifische Systemanforderungen umzuwandeln.  

Wir überlegten uns nun die einzelnen Schritte, die wohl nötig sind, um relevante Artikel der DSGVO zu identifizieren, attribuieren und in einem Artefakt zusammenzufassen. Anschließend standen wir vor der Aufgabe aus diesem Ergebnis Anforderungen an das Multimediasystem abzuleiten. 

Erster Schritt: Identifikation relevanter DSGVO-Artikel 

In einem ersten Schritt wollten wir herausfinden, inwiefern die KI einem Requirements Engineer bei der Identifikation der relevanten DSGVO-Artikel helfen kann. Wir formulierten einen Prompt, in dem wir der KI kurz unser zu entwickelndes System beschrieben. Daraufhin identifizierte ChatGPT relevante DSGVO-Artikel wie Art. 6 (Rechtsgrundlage), Art. 5 (Datensparsamkeit), Art. 15 (Recht auf Auskunft) usw. Dies war ein erster, grundlegender Schritt, um ein Bewusstsein für die gesetzlichen Anforderungen zu schaffen. 

Unser erster Prompt lautet folgendermaßen: 
„Ich möchte ein Multimediasystem für einen PKW entwickeln. Das Multimediasystem gibt dem Benutzer die Möglichkeit, ein persönliches Benutzerprofil zu erstellen, in welchem die Bewegungsdaten (GPS-Koordinaten), Wohnadresse, Kontaktdaten etc. gespeichert werden. Welche DSGVO-Gesetze muss ich für die Entwicklung des Systems beachten? Nenne mir sämtliche Normen.“ 
Antwort von ChatGPT: 
Ich bin kein Rechtsanwalt, aber es gibt mehrere Aspekte der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die für die Entwicklung eines solchen Multimediasystems für PKWs relevant sind. Hier sind einige der Normen und Prinzipien, die Sie beachten sollten:  
Rechtsgrundlage (Art. 6 DSGVO) 
Bevor personenbezogene Daten verarbeitet werden, muss eine Rechtsgrundlage vorhanden sein. Dies könnte die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder ein berechtigtes Interesse sein.  
Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) 
Nur die Daten, die für den vorgesehenen Zweck unbedingt notwendig sind, dürfen erfasst werden.  
Transparenz (Art. 5 Abs. 1 lit. a, Art. 12–14 DSGVO) 
Die Nutzer müssen informiert werden, welche Daten zu welchem Zweck gesammelt werden.  
Informationspflichten (Art. 13, 14 DSGVO) 
Der Verantwortliche hat die betroffene Person zu informieren, bevor Daten erhoben werden.  
Recht auf Auskunft (Art. 15 DSGVO) 
Die Nutzer haben das Recht, Auskunft darüber zu verlangen, welche Daten gespeichert sind, und wie diese verarbeitet werden.  
Recht auf Vergessenwerden (Art. 17 DSGVO) 
Unter bestimmten Voraussetzungen haben Nutzer das Recht, dass ihre Daten gelöscht werden.  
Datenportabilität (Art. 20 DSGVO) 
Die Nutzer müssen die Möglichkeit haben, ihre Daten in einem gängigen, maschinenlesbaren Format zu erhalten.  
Sicherheit der Verarbeitung (Art. 32 DSGVO) 
Es müssen angemessene technische und organisatorische Maßnahmen getroffen werden, um die Sicherheit der Daten zu gewährleisten.  
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) 
Datenschutzfreundliche Voreinstellungen sollten von Anfang an integriert sein („Privacy by Design“ und „Privacy by Default“).  
Datenschutz-Folgenabschätzung (Art. 35 DSGVO) 
Für Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, ist im Vorfeld eine Datenschutz-Folgenabschätzung durchzuführen.  
Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO) 
Je nach Umfang der Datenverarbeitung kann die Bestellung eines Datenschutzbeauftragten erforderlich sein.  
Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO) 
Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen unter Umständen sowohl die Aufsichtsbehörde als auch die betroffenen Personen informiert werden.  

Dies ist keine abschließende Liste und es ist ratsam, einen Rechtsanwalt zu konsultieren, um sicherzustellen, dass alle Aspekte der DSGVO und andere relevante Gesetze eingehalten  werden. 

Wie gut finden wir dieses Ergebnis?

Die Antwort von ChatGPT bietet eine umfassende Übersicht über verschiedene DSGVO-Artikel und Prinzipien, die bei der Entwicklung des Multimediasystems berücksichtigt werden sollten. Es wurden sogar kurze inhaltliche Zusammenfassungen der Artikel hinzugefügt. Grundsätzlich stellt ein solches Ergebnis für uns als Requirements Engineer einen vielversprechenden Startpunkt für unserer weitere Arbeit dar. Dennoch ist es wichtig zu betonen, dass die KI in diesem Stadium nicht die Rolle des Requirements Engineers ersetzen kann. Das Ergebnis muss kritisch auf verschiedene Aspekte hin überprüft werden: 

  • Kein Ersatz für rechtliche Beratung:
    Ein wichtiger Punkt, den auch ChatGPT in der Antwort betont: Eine KI ist kein Rechtsanwalt! Dies unterstreicht die Wichtigkeit, die erhaltenen Informationen als Orientierungshilfe zu betrachten und keinesfalls als rechtliche Beratung. Ein Requirements Engineer sollte das Ergebnis mit Sachverstand und grundlegendem Wissen über rechtliche Konzepte überprüfen, um sicherzustellen, dass alle rechtlichen Anforderungen korrekt verstanden und umgesetzt werden können. Außerdem ist die von der KI generierte Antwort keinesfalls eine abschließende Liste, sondern eher ein Ausgangspunkt, von dem aus der Requirements Engineer gegebenenfalls in Zusammenarbeit mit weiteren Rechtsexperten seine Arbeit beginnen kann. 
  • Individuelle Kontextualisierung:
    Die generierten Informationen sind allgemein formuliert und beziehen sich nicht spezifisch auf die Details des Multimediasystems. Ein Requirements Engineer muss sicherstellen, dass die rechtlichen Prinzipien korrekt auf den individuellen Kontext des Projekts angewendet werden, um daraus später präzise Anforderungen abzuleiten. 

Zwischenfazit:
Der Requirements Engineer kann das von ChatGPT gelieferte Ergebnis als Ausgangspunkt nutzen, um die DSGVO-Artikel zu verstehen. Die erhaltenen Informationen dienen als Grundlage für weitere Schritte im Requirements Engineering-Prozess, wobei jedoch eine enge Zusammenarbeit mit Rechtsanwälten und eine individuelle Anpassung an den Kontext des Projekts unerlässlich sind. Es ist wichtig, dass die KI als unterstützendes Instrument betrachtet wird und die finale Verantwortung für die rechtliche Konformität beim rechtlichen Fachpersonal liegt. 

Ausblick auf den nächsten Teil der Blogserie 

Ein erster wichtiger Schritt ist nun geschafft. Mithilfe der KI haben wir eine Basis geschaffen, auf der wir nun weiter aufbauen können. Im kommenden Teil dieser Serie wollen wir diese Ergebnisse für das eigentliche Ableiten der Systemanforderungen aufbereiten. Hierbei werden wir uns damit beschäftigen, wie durch die Integration von KI-ergänzten Informationen eine optimale Vorbereitung für beispielsweise die Einbindung in eine Datenbank erfolgen kann.
Bleiben Sie dran!  

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert