KI und die DSGVO: EU-Datenschützer einigen sich auf gemeinsame Linie
Die EU-Datenschutzbeauftragten haben ihre lange erwartete Linie zur Verwendung persönlicher Daten für Entwicklung und Einsatz von KI-Modellen veröffentlicht.
(Bild: StudioProX/Shutterstock.com)
Der Europäische Datenschutzausschuss (EDSA) legt der Entwicklung und dem Einsatz von Modellen für Künstliche Intelligenz (KI) keine großen Steine in den Weg. Das geht aus einer am Mittwoch veröffentlichten Stellungnahme der europäischen Datenschutzbeauftragten zur Regulierung von KI im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) hervor.
Nach Einschätzung der Datenschützer können sich Meta, Google, OpenAI & Co. prinzipiell auf ein "berechtigtes Interesse" als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch KI-Modelle berufen. Der EDSA knüpft diese Freigabe aber an eine Reihe von Bedingungen.
3-Stufen-Test
So sollen die nationalen Datenschutzbehörden mithilfe eines 3-Stufen-Tests beurteilen, ob ein berechtigtes Interesse vorliegt. Zuerst soll geprüft werden, ob der Anspruch auf Datenverarbeitung legitim ist. Dann folgt ein "Erforderlichkeitsprüfung", ob die Datenverarbeitung notwendig ist. Schließlich gilt die Grundrechte der betroffenen Personen und das Interesse der KI-Anbieter abzuwägen.
Mit Blick auf die Grundrechteabwägung betont der EDSA, dass "spezifische Risiken" für die Bürgerrechte in der Entwicklungs- oder Einsatzphase von KI-Modellen auftreten könnten. Um solche Auswirkungen zu beurteilen, sollen Aufsichtsbehörden "die Art der von den Modellen verarbeiteten Daten", den Kontext und "die möglichen weiteren berücksichtigen. Grundsätzlich müssten "die besonderen Umstände des Einzelfalls" beachtet werden.
Als Beispiel führt der Ausschuss in der Stellungnahme einen Sprachassistenten an, der Nutzer beim Verbessern der Cybersicherheit unterstützen soll. Solche Dienste könnten für Einzelpersonen von Vorteil sein und sich auf ein berechtigtes Interesse stützen. Dies gelte allerdings nur, wenn die Verarbeitung unbedingt erforderlich sei und eine Balance aller einzubeziehenden Rechte gewahrt werde.
Klarstellungen zur Anonymisierung
Wenn bei der Entwicklung eines KI-Modells rechtswidrig verarbeitete personenbezogene Informationen verwendet wurden, könnte dem EDSA zufolge dessen Einsatz insgesamt verboten werden. Ausnahme: alles ist ordnungsgemäß anonymisiert. Auch dafür finden sich Messlatten: So muss es bei einer Anonymisierung sehr unwahrscheinlich sein, dass Personen "direkt oder indirekt identifiziert werden können". Zudem ist sicherzustellen, dass solche persönlichen Informationen nicht durch Abfragen aus dem Modell extrahiert werden können.
Videos by heise
Der EDSA gründete Mitte 2023 auf Drängen der irischen Aufsicht (DPC) eine Taskforce rund um ChatGPT. Er reagierte so auf ein kurzzeitig ausgesprochenes Verbot für das System durch die italienische Datenschutzbehörde. Mit der gemeinsamen Stellungnahme wollen die Datenschützer eine einheitliche Rechtsdurchsetzung in der EU gewährleisten.
"Wir müssen sicherstellen, dass diese Innovationen ethisch und sicher durchgeführt werden und dabei allen ein Nutzen entsteht", hob die EDSA-Vorsitzende Anu Talus hervor. Der IT-Verband CCIA begrüßte die Erläuterungen zum berechtigten Interesse. Sie seien "ein wichtiger Schritt hin zu mehr Rechtssicherheit".
(vbr)
