ChatGPT & Co.: EU-Datenschützer verteidigt Datenminimierung

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat am Montag Leitlinien zu generativer Künstlicher Intelligenz (KI) und personenbezogenen Daten für die EU-Verwaltung veröffentlicht. Darin geht er auf die Frage der Privatsphäre in Zeiten von Chatbots und Sprachmodellen ebenso ein wie auf den Konflikt mit dem Prinzip der Datenminimierung aus der Datenschutz-Grundverordnung (DSGVO).

Es sei eine falsche Vorstellung, dass sich der Grundsatz der Datenminimierung im Zeitalter der KI überlebt habe, erklärt Wiewiórowski. Letztlich gehe es darum sicherzustellen, dass die verarbeiteten personenbezogenen Daten "angemessen und relevant sind" und sich auf das für die verfolgten Zwecke "erforderliche Maß beschränken".

Qualität vs. Quantität

"Die Verwendung großer Datenmengen zum Trainieren eines generativen KI-Systems bedeutet nicht unbedingt eine höhere Effektivität oder bessere Ergebnisse", schreibt Wiewiórowski in dem Papier. Entscheidend seien vielmehr "die sorgfältige Gestaltung gut strukturierter Datensätze", das Prinzip Qualität vor Quantität, ein gut überwachter Trainingsprozess und eine regelmäßige Kontrolle der Resultate.

Die Verantwortlichen seien daher verpflichtet, die Erhebung und sonstige Verarbeitung personenbezogener Daten auf das erforderliche Maß zu beschränken und nicht wahllos zu agieren. EU-Einrichtungen müssen dem Kontrolleur zufolge sicherstellen, dass bei der Entwicklung und Nutzung generativer KI-Modelle die verfügbaren Verfahren zur Minimierung der Verwendung personenbezogener Daten berücksichtigt werden.

Die Verarbeitung persönlicher Informationen im Rahmen generativer KI-Systeme "erfordert eine Rechtsgrundlage" im Einklang mit der DSGVO, betont Wiewiórowski. Gehe es um die Umsetzung einer rechtlichen Verpflichtung, müsse deren Grundlage im EU-Recht klar und präzise festgelegt sein. Die Verwendung der Einwilligung als Rechtsgrundlage sei sorgfältig zu prüfen, da alle Anforderungen der DSGVO erfüllt werden müssten.

Die Verordnung schreibe zudem eine Datenschutz-Folgenabschätzung vor jedem Verarbeitungsvorgang vor, "der wahrscheinlich ein hohes Risiko für die Grundrechte und Freiheiten des Einzelnen mit sich bringt". Einschlägige Gefahren müssten "während des gesamten Lebenszyklus des generativen KI-Systems identifiziert und angegangen werden", insbesondere bei Weiterentwicklungen und Updates.

KI-Halluzinationen nicht mit DSGVO vereinbar

Trotz großer Eindämmungsbemühungen der Betreiber "neigen generative KI-Systeme immer noch dazu, ungenaue Ergebnisse zu liefern", schreibt Wiewiórowski. Das könnte sich ebenfalls negativ auf die Grundrechte auswirken und gegen die DSGVO-Auflage zur Datengenauigkeit verstoßen. Auch mit diesem Fokus müssten EU-Einrichtungen KI-Systeme ständig kontrollieren.

Sollte die Technik zur Unterstützung von Entscheidungsprozessen vorgesehen sein, müssten EU-Institutionen Rechtmäßigkeit, Fairness und das Risiko der Diskriminierung beachten. Gemäß dem Auskunftsrecht müssten Betroffene im Falle von Profiling und automatisierten Entscheidungen aussagekräftige Informationen über deren Logik sowie Bedeutung und mögliche Folgen erhalten.

(vbr)