Bundesdatenschutzbeauftragte veröffentlicht Handreichung für KI und Datenschutz
Der Einsatz von KI führt bei öffentlichen Stellen oft zu Unsicherheiten. Hier soll die jüngste Publikation der Bundesdatenschutzbeauftragen Abhilfe schaffen.
Mit der Handreichung "KI in Behörden – Datenschutz von Anfang an mitdenken" will die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, öffentliche Stellen des Bundes beim datenschutzkonformen KI-Einsatz unterstützen. Zu Unsicherheiten führt insbesondere der Umgang mit personenbezogenen Daten beim Training und bei der Nutzung von Large Language Models (LLMs). Im Fokus der Handreichung stehen außerdem Herausforderungen mit in LLMs memorisierten Daten sowie die Anforderungen an Rechtmäßigkeit und Transparenz. Die Publikation soll dabei helfen, eine strukturierte, lösungsorientierte Herangehensweise an KI-Projekte zu entwickeln.
Große Sprachmodelle bilden die Grundlage für Chatbots und werden zur Bewältigung etlicher Aufgaben im Arbeitsalltag eingesetzt. Rechtlich relevant für den Umgang mit ihnen ist die KI-Verordnung, die das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen regelt. Maßgeblich sind des Weiteren datenschutzrechtliche Bestimmungen. So regelt die DSGVO die Rechtmäßigkeit und Grenzen der Verarbeitung personenbezogener Daten. KI-Verordnung und DSGVO "ergänzen sich zu einem kohärenten unionsrechtlichen Regelungsrahmen für KI-Systeme", erklärt die Handreichung.
Datenschutzrechtliche Herausforderungen gibt es beim LLM-Einsatz viele. Die Handreichung nennt unter anderem den Blackbox-Charakter, der das Nachvollziehen der Datenverarbeitung aufgrund der technischen Beschaffenheit der Systeme verhindert, das Halluzinieren, das eine Herausforderung für den Grundsatz der Datenrichtigkeit darstellt, die Memorisierung (Einprägen) personenbezogener Daten in der KI, die unabsichtlich oder durch gezielte Attacken zur Datenausgabe führen kann, und den Aspekt der (mangelnden) Fairness/Bias, der aufgrund einer Über- oder Unterrepräsentation in den Trainingsdaten entsteht.
Maßnahmen gegen zu starke Eingriffe
Die nachfolgenden Kapitel analysieren die rechtlichen Grundlagen im Detail und nennen konkrete Maßnahmen, mit denen sich die Auswirkungen der beschriebenen Herausforderungen abschwächen lassen – sie reichen von organisatorischen Maßnahmen wie Zugriffs- und Rechtekonzepten bis zu technischen Maßnahmen. Um die Eingriffstiefe beim Verarbeiten personenbezogener Daten zu reduzieren, nennt die Handreichung beispielsweise die Pseudonymisierung der Trainingsdaten, bestmögliches Entfernen personenbezogener Daten wie Namen, Telefon- und Steuernummern, Differential Privacy, anhand derer der Datensatz möglichst anonymisiert wird oder das Nutzen von Filtern im KI-System, die eine Extraktion personenbezogener Daten aus dem KI-Modell möglichst mindern – jeweils vor dem Training.
"Gerade beim Einsatz von Large Language Models bestehen für öffentliche Stellen erhebliche Unsicherheiten", resümiert die Bundesdatenschutzbeauftragte. "Mit dieser Handreichung will ich zur Rechtssicherheit beitragen und aufzeigen, an welche datenschutzrechtlichen Aspekte man beim Einsatz von Künstlicher Intelligenz in den meiner Aufsicht unterliegenden Behörden denken sollte." Auch stünde ihre Behörde für die weitere Prüfung konkreter Vorhaben beratend zur Seite. Die vollständige Veröffentlichung steht auf der Website der BfDI zur Verfügung (PDF, 46 Seiten).
Videos by heise
(ur)
