EU-Datenschutzlinie zu KI: Verbot ChatGPTs nicht vom Tisch
Auf Datenschutzbehörden kommt durch KI-Modelle viel Arbeit zu. Aktivisten machen Druck: Keiner der großen KI-Akteure halte sich an die DSGVO.
(Bild: peterschreiber.media/Shutterstock.com)
Große KI-Modelle sind mit Massen persönlicher Informationen trainiert, ohne dass die Betroffenen eingewilligt hätten. Das ist ein großes datenschutzrechtliches Problem. Der Europäische Datenschutzausschuss (EDSA) hat zu Modellen für Künstliche Intelligenz (KI) im Lichte der Datenschutz-Grundverordnung (DSGVO) eine Stellungnahme abgegeben. Damit geht die eigentliche Prüfarbeit der nationalen Aufsichtsbehörden erst los.
Die EU-Datenschutzbeauftragten haben zwar einen Rahmen abgesteckt und einen 3-Stufen-Test für legitime KI-Lösungen entwickelt. Dieser Rahmen lässt zivilgesellschaftliche Organisationen und diverse Verbände rätseln, wie es im Europäischen Wirtschaftsraum weitergeht mit großen, mit Massen persönlicher Informationen trainierten Sprachmodellen sowie darauf basierenden Assistenten und Bots. Wie die Entscheidungen der Datenschutzbehörden ausfallen, ist angesichts vieler vager Stellen in dem Papier offen. Verbote rechtswidrig zustande gekommener KI-Modelle oder -Anwendungen schließt der EDSA nicht aus. Zugleich hat aber Abhilfemaßnahmen für deren Anwendung ins Spiel gebracht, die technischer oder organisatorischer Art sein könnten.
Datenschutzaktivisten erhöhen jetzt den Druck auf die Aufsichtsstellen. "Im Wesentlichen sagt der EDSA: Wenn Sie sich an das Gesetz halten, ist alles in Ordnung", hat die von Max Schrems gegründete Bürgerrechtsorganisation Noyb (none of your business) gegenüber Euractiv erklärt. "Aber soweit wir wissen, hält sich keiner der großen Akteure in der KI-Szene an die DSGVO." Privacy International hat vorige Woche eine Eingabe an den EDSA gemacht, wonach Modelle wie GPT, Gemini oder Claude mithilfe persönlicher Informationen "ohne ausreichende Rechtsgrundlage trainiert" worden und nicht in der Lage seien, die Betroffenenrechte zu wahren.
Die italienische Datenschutzaufsicht Garante hat ChatGPT schon einmal temporär sperren lassen. Sie begründete dies unter anderem damit, dass die massenhafte Speicherung und Nutzung personenbezogener Daten zu "Trainingszwecken" intransparent sei und nicht im Einklang mit der DSGVO stehe. Die Garante dürfte den Fall nun neu aufrollen, entlang der ESDA-Vorgaben. Ihr französisches Pendant CNIL zeigt sich bereits bestrebt, die EDSA-Empfehlungen "zu finalisieren und die Kohärenz ihrer Arbeiten mit dieser ersten harmonisierten europäischen Position sicherzustellen". Dabei soll vor allem Web-Scraping im Fokus stehen, also das massenhafte Auslesen von Daten aus mehr oder weniger offenen Online-Quellen. An diesem Punkt will der EDSA auch selbst noch weiterarbeiten.
Zuckerberg ist traurig über KI-Rückstand der EU
Die Datenschutzbeauftragten von Baden-Württemberg und Rheinland-Pfalz, Tobias Keber und Dieter Kugelmann, konstatieren in einer ersten Reaktion auf den EDSA-Beschluss: "Die Stellungnahme trifft keine Aussagen zur Zulässigkeit konkreter KI-Modelle, die bereits auf dem Markt sind." Vielmehr habe der Ausschuss "Leitplanken für eine datenschutzrechtliche Prüfung von KI-Systemen im Einzelfall und für deren Gestaltung" errichtet. Grundsätzlich sei dies ein wichtiger "Schritt in Richtung Rechtssicherheit sowohl für Entwickler und Anwender von KI-Systemen als auch für Personen, deren Daten in diesem Zusammenhang verarbeitet werden".
Der stellvertretende Bundesdatenschutzbeauftragte Andreas Hartl hob hervor, dass der ESDA "verantwortungsvolle KI" ermögliche. Zusätzlich sei Politik gefragt: "Wir wünschen uns darüber hinaus möglichst klare gesetzliche Regelungen, wann Trainingsdaten verarbeitet werden dürfen". Kaum begeistert zeigte sich der Bundesverband Digitale Wirtschaft (BVDW): Der EDSA habe "wenig Klarheit und Orientierung" geschaffen. Auslegung und Abgrenzung der Linie seien komplex und schwierig. "Auf über 36 Seiten bleiben wesentliche Fragen unbeantwortet, was bei Entwicklern und Anwendern von KI für mehr Rechtsunsicherheit sorgt." Es fehlten angemessene und technisch-umsetzbare Maßnahmen.
Meta-Chef Mark Zuckerberg stimmt es "traurig, dass ich unseren Teams an diesem Punkt im Grunde sagen muss, dass sie unsere neuen KI-Fortschritte überall außer in der EU einführen sollen". Er reagierte damit auf einen Kommentar der Meta-Cheflobbyisten Nick Clegg, wonach die Arbeit der EU-Aufseher "frustrierend" langsam erfolge. Clegg appellierte an die nationalen Prüfer, die neuen Prinzipien "rasch, pragmatisch und transparent anzuwenden" Sonst werde es nichts mit dem geforderten KI-Aufschwung in der EU.
(ds)
