Zurück zur Übersicht
20.12.2024Fachbeitrag

Update Datenschutz Nr. 196

Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zum Einsatz von KI-Modellen

Der Europäische Datenschutzausschuss (EDSA) hat vor wenigen Tagen eine Stellungnahme zu bestimmten Aspekten bei der Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI Modellen veröffentlicht. Die Stellungnahme behandelt wesentliche Fragen zur Verarbeitung personenbezogener Daten im Kontext von KI-Modellen und bietet Unternehmen generelle Anhaltspunkte zur datenschutzkonformen Entwicklung und Nutzung von KI-Modellen.

Nachstehend haben wir Ihnen wichtige Aspekte der Stellungnahme auf Basis einer ersten Durchsicht einmal zusammengefasst:

Hinweise zur Anonymität von KI-Modellen – Enthalten KI-Modelle personenbezogene Daten?

Ein zentraler Punkt der Stellungnahme betrifft die Frage, wann ein KI-Modell als anonym gelten kann. Der EDSA stellt klar, dass es dazu auf eine Einzelfallbetrachtung ankäme. Nach Ansicht des EDSA können KI-Modelle, die mit personenbezogenen Daten trainiert wurden, nicht als anonym betrachtet werden, wenn personenbezogene Daten aus dem Modell extrahiert werden können. Dies bedeutet, dass sowohl die direkte als auch die indirekte Identifizierbarkeit von Personen, deren Daten für das Training verwendet wurden, nahezu ausgeschlossen (konkret: die Wahrscheinlichkeit muss „unbedeutend“) sein muss. Auch die Wahrscheinlichkeit, solche personenbezogenen Daten absichtlich oder unabsichtlich im Rahmen der Nutzung des KI-Modells zu erhalten, muss unbedeutend sein.  

Die behauptete Anonymität eines KI-Modells muss der Verantwortliche nachweisen können. Andernfalls droht nach dem EDSA ein Verstoß gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Unternehmen müssen daher sicherstellen, dass die Anonymität ihrer Modelle durch geeignete technische und organisatorische Maßnahmen gewährleistet ist und dies belegen können.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) als Rechtsgrundlage

Ein weiterer wichtiger Aspekt der Stellungnahme dreht sich um die Frage, ob das berechtigte Interesse als Rechtsgrundlage in Betracht kommt, um personenbezogene Daten für die Entwicklung und den späteren Einsatz von KI-Modellen zu verarbeiten. Der EDSA erinnert an den Drei-Stufen-Test, mit dem geprüft werden soll, ob ein berechtigtes Interesse gegeben ist. Danach sind die Vorrausetzungen der Rechtsgrundlage gegeben, wenn ein (i) berechtigtes Interesse des Verantwortlichen (oder Dritten) vorliegt, (ii) die Verarbeitung für das berechtigte Interesse (objektiv) erforderlich ist und, (iii) wenn eine sorgfältige Abwägung des berechtigten Interesses mit den entgegenstehenden Rechten der betroffenen Personen zu Gunsten des berechtigten Interesses ausfällt.

Hierzu gibt die Stellungnahme verschiedene Hilfestellungen, auf welche Aspekte bei dieser Prüfung zu achten ist, die von betroffenen Unternehmen im Detail studiert werden sollten.

Diese Interessensabwägung muss dokumentiert und nachvollziehbar sein. Unternehmen müssen nachweisen können, dass die Verarbeitung notwendig ist und keine weniger eingriffsintensiven Alternativen zur Verfügung stehen.

Mögliche Konsequenzen unrechtmäßiger Datenverarbeitung

Die Stellungnahme des EDSA geht auch auf die möglichen Konsequenzen ein, wenn ein KI-Modell mit unrechtmäßig verarbeiteten personenbezogenen Daten trainiert wurde. Konkret geht es um die Frage, ob der Einsatz eines KI-Modells in diesen Fällen rechtmäßig ist.

Hier geht der EDSA auf drei verschiedene Szenarien ein:

In Szenario 1 werden personenbezogene Daten in dem rechtswidrig trainierten KI-Modell gespeichert. Das KI-Modell wird von im Anschluss von demselben Verantwortlichen eingesetzt. In diesen Fällen kann die Rechtmäßigkeit des Einsatzes eines KI-Modells, fraglich sein. Nach Ansicht des EDSA kommt es dabei darauf an, ob das Training  und der spätere Einsatz des Modells ein und denselben Zweck verfolgen. Zu klären ist insbesondere, ob das unrechtmäßige Training des Modells auf die Rechtmäßigkeit der nachfolgenden Verarbeitung von personenbezogenen Daten auswirkt. Auch hier betont der EDSA, dass es dabei auf eine Einzelfallbetrachtung ankommt.

In Szenario 2 werden ebenfalls personenbezogene Daten in dem rechtswidrig trainierten KI-Modell gespeichert. Das KI-Modell wird jedoch von einem anderen Verantwortlichen eingesetzt. Der EDSA betont, dass die Verantwortlichkeiten der beteiligten Verantwortlichen separat bewertet werden müssen. Relevant sei, ob der Verantwortliche, der das KI-Modell einsetzen will, das KI-Modell zuvor ausreichend auf Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten bei der Entwicklung geprüft hat.

In Szenario 3 legt der EDSA dar, dass dies nicht gilt, wenn ein Unternehmen nachweisen kann, dass der anschließende Betrieb des Modells keine personenbezogenen Daten umfasst, d. h. das Modell anonym ist. Die DSGVO gilt dann nicht, so dass sich die unrechtmäßige anfängliche Verarbeitung nicht auf den anschließenden Betrieb des Modells auswirken.

Technische und organisatorische Maßnahmen

Der EDSA hebt hervor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Anonymität von KI-Modellen zu gewährleisten und die Risiken für die Rechte und Freiheiten der betroffenen Personen in allen Lebenszyklen des KI-Modells zu minimieren. Dazu gehören unter anderem die Pseudonymisierung und Maskierung personenbezogener Daten, die Implementierung von Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie regelmäßige Überprüfungen und Tests der Modelle auf ihre Anonymität und Sicherheit.

Transparenz und Informationspflichten

Ein weiterer wichtiger Punkt der Stellungnahme betrifft die Transparenz und die Informationspflichten gegenüber den betroffenen Personen. Unternehmen müssen sicherstellen, dass sie die betroffenen Personen klar und verständlich über die Verarbeitung ihrer Daten informieren. Dies umfasst Informationen über die Zwecke der Verarbeitung, die Rechtsgrundlage, die Kategorien der verarbeiteten Daten, die Empfänger der Daten sowie die Rechte der betroffenen Personen. Insbesondere bei der Nutzung von Daten aus öffentlich zugänglichen Quellen wie dem Internet müssen Unternehmen sicherstellen, dass die betroffenen Personen angemessen informiert werden.

Hier noch einmal die wichtigsten Take Aways aus der Stellungahme:

  1. Idealerweise Anonymität sicherstellen: Überprüfen Sie, ob Ihr KI-Modell personenbezogene Daten enthält, die extrahiert werden können. Soweit es geht, sollten personenbezogene Daten anonymisiert werden.
  2. Berechtigte Interesse dokumentieren: Soll die Datenverarbeitung auf das berechtigte Interesse gestützt werden, ist eine sorgfältige Prüfung im Drei-Stufen-Test und insbesondere eine Abwägung des berechtigten Interesses mit den Interessen und Rechten der betroffenen Personen unerlässlich. Diese muss dokumentiert werden.
  3. Rechtmäßigkeit der Datenverarbeitung: Stellen Sie sicher, dass alle Daten, die für das Training des KI-Modells verwendet werden, rechtmäßig erhoben und verarbeitet wurden. Vermeiden Sie die Nutzung unrechtmäßig verarbeiteter Daten.
  4. Technische und organisatorische Maßnahmen: Es sollten geeignete technische und organisatorische Maßnahmen implementiert werden, um die Anonymität und Sicherheit der Modelle zu gewährleisten. Dazu sollten regelmäßige Überprüfungen und Tests durchgeführt werden.
  5. Transparenz und Informationspflichten: Die betroffenen Personen müssen klar und verständlich über die Verarbeitung ihrer Daten informiert werden.
  6. Datenquellen überprüfen: Die Quellen der Daten, die für das Training des KI-Modells verwendet werden, sollten überprüft werden.
  7. Risiken minimieren: Potenzielle Risiken für die Rechte und Freiheiten der betroffenen Personen müssen identifiziert und durch geeignete Maßnahmen minimiert werden.
  8. Dokumentations- und Rechenschaftspflicht: Die Nachweisbarkeit von getroffenen Maßnahmen zur Einhaltung der DSGVO beim Einsatz von KI-Modellen ist essenziell

Auswirkungen

Die Stellungnahme des EDSA bietet Unternehmen zwar nun erste Orientierungspunkte für den datenschutzkonformen Einsatz von KI-Modellen. Die Hilfestellung gibt jedoch an wenigen Stellen eindeutige und klare Antworten. Größtenteils enthält das Dokument allgemeine Beobachtungen. Allerdings wird auch daraus ersichtlich: Die faktischen Anforderungen für Training und Einsatz von KI-Modellen erscheinen hoch.

Bemerkenswert sind die detaillierten Ausführungen zum berechtigten Interesse als Rechtsgrundlage für das Training von KI-Modellen. Diese sollten Unternehmen bei Prüfung einer Rechtsgrundlage für das Training von KI-Modellen studieren.

Leider befasst sich die Stellungnahme nicht mit in der Praxis sehr wichtigen Aspekten, wie z.B. der automatisierten Entscheidungsfindung (Art. 22 DSGVO). Hier verweist der EDSA auf die Leitlinien der Art. 29 Working Party „zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679“ (WP251rev.01).

Zu beachten ist zudem, dass alle Anbieter und auch Anwender von KI-Modellen bis Februar 2025 die notwendige KI-Kompetenz sichergestellt haben müssen (siehe unseren Beitrag hierzu), insbesondere durch a) Entwicklung einer individuellen, auf das Unternehmen zugeschnittenen KI-Richtlinie, b) Erstellung eines KI-Schulungskonzeptes unter Beachtung der unterschiedlichen Rollen  und c) Durchführung von Mitarbeiterschulungen zum KI-Einsatz.

Wir können Sie bei allen dieser Bereiche unterstützen und haben entsprechende Pakete entwickelt – sprechen Sie uns gern an!

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Julian Rosenfeld
Düsseldorf

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Julian Rosenfeld
Düsseldorf

Weitere Artikel

11.12.2024
Wonach haften Plattformbetreiber? – Das Verhältnis zwischen Art. 17 DSM-RL, UrhDaG und DSA
06.12.2024
Neues vom Bundesgerichtshof zum Schadensersatz beim sog. Scraping – eine Lose/Lose-Situation für Unternehmen und Verbraucher?
02.12.2024
Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken
27.11.2024
Neue Vorgaben zur Barrierefreiheit: Betroffene Unternehmen müssen bis Juni ihren Webauftritt überarbeiten
15.11.2024
Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000
04.11.2024
BGH urteilt zur Panoramafreiheit bei Drohnenaufnahmen
04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis
31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
29.10.2024
Der Referentenentwurf für das Beschäftigtendatengesetz (BeschDG) – Fundament für den rechtssicheren Umgang mit Beschäftigtendaten in der digitalen Arbeitswelt?
17.10.2024
Europäische Kommission veröffentlicht FAQ zum Data Act
15.10.2024
Urteil des OLG München: DSGVO-Verstoß führt zur fristlosen Kündigung eines Vorstandsmitglieds
30.09.2024
Künstliche Intelligenz: Diese gesetzlichen Pflichten greifen bereits ab Februar 2025

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.