Die Einführung der neuesten Version von ChatGPT hat die Diskussion um datenschutzrechtliche Risiken beim Einsatz Künstlicher Intelligenz (KI) im Unternehmensumfeld weiter befeuert. Der Europäische Datenschutzausschuss (EDSA), das höchste Gremium der europäischen Datenschutzaufsichtsbehörden, hat eine Stellungnahme zur Verarbeitung personenbezogener Daten in KI-Modellen veröffentlicht. Ziel ist es, Unternehmen dabei zu unterstützen, datenschutzkonforme Prozesse beim Einsatz von KI zu gewährleisten. Anlass der Stellungnahme war eine Anfrage der irischen Datenschutzbehörde zur Klärung zentraler Fragen. Die Stellungnahme verdeutlicht, KI datenschutzkonform betrieben bzw. eingesetzt werden kann.
Der EDSA behandelt in seiner Stellungnahme drei Kernfragen:
- Können die Ausgaben eines KI-Modells, das mit personenbezogenen Daten trainiert wurde, anonym sein?
- Ist die Verarbeitung personenbezogener Daten durch ein KI-Modell auf Grundlage eines berechtigten Interesses zulässig?
- Welche Konsequenzen folgen aus einer unrechtmäßigen Verarbeitung personenbezogener Daten durch ein KI-Modell?
Sind Ausgaben von KI-Modellen in jedem Fall als anonym zu betrachten?
Der EDSA betont zunächst, dass KI-Modelle, die mit personenbezogenen Daten trainiert wurden und Ergebnisse zu natürlichen Personen liefern sollen, zwangsläufig personenbezogene Daten verarbeiten. Spannender wird es bei KI-Modellen, die zwar mit personenbezogenen Daten trainiert wurden, deren Zweck aber nicht die Erzeugung von Informationen über natürliche Personen ist. Der EDSA vertritt die Auffassung, dass solche Modelle Informationen zu natürlichen Personen „absorbieren“ können. Diese Informationen könnten sich zwar von den ursprünglichen Trainingsdaten unterscheiden, jedoch weiterhin personenbezogene Elemente enthalten, die das Modell ausgibt.
Der EDSA folgert daraus, dass ein KI-Modell nicht automatisch anonyme Ergebnisse liefert, nur weil es nicht dafür konzipiert ist, personenbezogene Daten auszugeben.
Ein KI-Modell kann nach dem EDSA aber unter folgenden Annahmen als anonym angesehen werden:
- Es wird sichergestellt, dass personenbezogene Daten, die sich auf die Trainingsdaten beziehen, nicht aus dem Modell extrahiert werden können.
- Es wird gewährleistet, dass alle bei der Abfrage des Modells erzeugten Ergebnisse keinen Bezug zu den betroffenen Personen aufweisen, deren personenbezogene Daten zum Training des Modells verwendet wurden.
Um zu beurteilen, ob dies wirklich der Fall ist, seien drei Fragen zu klären:
- Wurde mit Anonymisierungstechniken das Ziel erreicht, dass Daten als anonym betrachtet werden können (ist also keine Ableitung personenbezogener Informationen möglich)?
- Zu den relevanten Faktoren zählen die Art der Trainingsdaten, der Verwendungszweck des KI-Modells, Zusatzinformationen, die eine Identifizierung ermöglichen, sowie Kosten und Aufwand der Informationsbeschaffung, die verfügbaren Technologien und mögliche zukünftige Entwicklungen. Entscheidend ist, dass das Unternehmen Maßnahmen zur Sicherstellung der Anonymisierung ergriffen hat. Dazu gehören Schutzmechanismen gegen Angriffe wie Poisoning, Evasion oder Exploratory Attacks.
- Wurden Risiken identifiziert, die zum Zugriff durch unberechtigte Personen auf das KI-Modell führen?
Können personenbezogene Daten auf Grundlage des berechtigten Interesses verarbeitet werden?
Der EDSA erkennt die Möglichkeit an, ein KI-Modell auf der Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO zu betreiben. Dabei stützt er sich auf die klassische Prüfung der Voraussetzungen aus Art. 6 Abs. 1 lit. f DSGVO:
- Es muss ein berechtigtes Interesse des Verantwortlichen bestehen.
- Die Datenverarbeitung ist zur Umsetzung des berechtigten Interesses erforderlich und
- entgegenstehende Rechte betroffener Personen wiegen nicht schwerer als das berechtigte Interesse des Verantwortlichen.
Das berechtigte Interesse kann jedes rechtmäßige wirtschaftliche oder ideelle Interesse sein. Nach dem EDSA muss es jedoch klar und präzise formuliert, real und gegenwärtig sein.
Zudem darf keine Alternative verfügbar sein, die die Rechte betroffener Personen weniger beeinträchtigt und den Zweck des KI-Modells ebenso gut erfüllt.
Unternehmen müssen prüfen, ob eine solche Alternative existiert. Falls nicht, sind weitere Möglichkeiten zu evaluieren, um die Datenverarbeitung zu minimieren. Dies betrifft sowohl den Umfang der zu verarbeitenden personenbezogenen Daten als auch die Möglichkeit, pseudonymisierte Daten zu nutzen.
Schließlich ist eine Abwägung zwischen den Interessen des Unternehmens und den Interessen der betroffenen Personen erforderlich. Das Interesse der betroffenen Personen kann insbesondere in der Kontrolle über ihre Daten und deren Nichtverarbeitung liegen. Der EDSA hebt jedoch hervor, dass die Datenverarbeitung auch Vorteile für betroffene Personen bieten kann, beispielsweise:
- Finanzielle, persönliche oder sozioökonomische Vorteile,
- Erhöhung von Einnahmen,
- verbesserte Gesundheitsversorgung,
- leichterer Zugang zu Bildung.
Der EDSA sieht Risiken insbesondere dann, wenn personenbezogene Daten ohne Wissen oder gegen den Willen der betroffenen Personen abgegriffen werden. Dies könnte beispielsweise durch unberechtigte Zugriffe oder Angriffe auf die Trainingsdaten eines KI-Modells geschehen. Die Folgen solcher Vorfälle könnten Rufschädigung, Identitätsdiebstahl oder Betrug sein.
Ein weiteres Risiko erkennt der EDSA in der Verarbeitung groß angelegter, öffentlich abrufbarer Datenmengen. Betroffene Personen könnten ein Gefühl der Überwachung entwickeln und sich deshalb selbst zensieren. Ein Beispiel hierfür ist die Ankündigung von Facebook, Nutzerdaten zum Training eigener KI-Modelle zu verwenden.
Praktische Probleme ergeben sich auch bei der Verarbeitung von Bewerberdaten, wenn Merkmale wie Nationalität oder Geschlecht zu Diskriminierungen im Bewerbungsverfahren führen.
Zusammenfassend betont der EDSA, dass bei der Abwägung von Risiken und Vorteilen auch die Interessen der betroffenen Personen berücksichtigt werden müssen. Die Risiken steigen, wenn besonders umfangreiche oder sensible Daten verarbeitet werden. Dazu gehören nicht nur Gesundheitsdaten oder andere Daten gemäß Art. 9 und 10 DSGVO, sondern auch Finanzdaten, deren Verarbeitung ein erhöhtes Risiko bergen kann.
Zur Abwägung fordert der EDSA, die Wahrscheinlichkeit negativer Folgen für betroffene Personen einzubeziehen. Unternehmen sind danach verpflichtet, alle technischen und organisatorischen Maßnahmen zu ergreifen, um diese Wahrscheinlichkeit zu minimieren. Dies schließt Maßnahmen gegen Privacy Attacks, Deepfakes, Chatbots, Desinformation, Phishing und manipulative KI-Agenten ein.
Außerdem ist zu berücksichtigen, inwieweit die betroffenen Personen erwarten konnten, dass deren personenbezogenen Daten in einem KI-Modell verarbeitet werden. Dabei ist Dreh- und Angelpunkt die Information über den Einsatz des KI-Modells, die auf jeden Fall zur Verfügung gestellt werden muss. Dabei können weitere Aspekte hinzutreten:
- Öffentliche Verfügbarkeit der Daten,
- Datenbereitstellung durch Dritte,
- Erlangung der Daten durch Scraping.
Nach Ansicht des EDSA muss Transparenz für die betroffenen Personen auf allen Ebenen der Datenverarbeitung gewährleistet sein.
Zuletzt macht der EDSA Vorschläge zu Maßnahmen, die ergriffen werden sollten, um datenschutzrechtliche Risiken zu mindern. Dazu gehören folgende Maßnahmen:
Technische Maßnahmen
- Wann immer möglich, anonymisierte oder pseudonymisierte Daten verwenden. Gründe dokumentieren, falls dies nicht umsetzbar ist.
- Daten auf das Nötigste beschränken.
- Daten filtern, um irrelevante personenbezogene Informationen zu entfernen.
- Personenbezogene Daten maskieren, etwa durch Ersetzung von Namen und E-Mail-Adressen mit Aliasdaten.
Maßnahmen zur Erleichterung der Ausübung von Rechten
- Angemessenen Zeitraum zwischen Datenerhebung und -nutzung sicherstellen.
- Bedingungsloses ‚Opt-out‘ von Beginn an garantieren.
- Uneingeschränktes Löschrecht für persönliche Daten gewährleisten.
Maßnahmen zur Herstellung der Transparenz
Neben den gesetzlichen Pflichten zur Information über die Datenverarbeitung nach Art. 13 und 14 DSGVO schlägt der EDSA weitere Maßnahmen vor, um die Transparenz sicherzustellen. So sollten Unternehmen:
- Angaben zu den Erfassungskriterien und allen verwendeten Datensätzen bereitstellen, wobei der besondere Schutz von Kindern und schutzbedürftigen Personen berücksichtigt werden muss.
- Alternative Formen der Information der betroffenen Personen nutzen, wie Medienkampagnen oder Informationskampagnen per E-Mail.
Darüber hinaus fordert der EDSA, die Speicherung, Wiederverwendung oder Generierung personenbezogener Daten zu verhindern, insbesondere bei generativen KI-Modellen. Dies könnte durch Output-Filter erreicht werden. Zudem sollten digitale Wasserzeichen in KI-generierten Outputs das Risiko einer unrechtmäßigen Wiederverwendung durch KI-Modelle verringern.
Der EDSA empfiehlt auch Maßnahmen, die die Rechte des Einzelnen während der Einführungsphase eines KI-Modells erleichtern oder beschleunigen und über die gesetzlichen Anforderungen hinausgehen. Dazu zählen insbesondere:
- Die Ausübung des Rechts auf Löschung personenbezogener Daten aus den Modellausgabedaten,
- die Löschung doppelter Datensätze (Deduplizierung) und
- Nachschulungstechniken, die darauf abzielen, personenbezogene Daten zu entfernen oder zu unterdrücken.
Welche Auswirkung hat die rechtswidrige Datenverarbeitung für ein KI-Modell?
Abschließend befasste sich der EDSA mit den möglichen Auswirkungen einer rechtswidrigen Datenverarbeitung.
Nach dem EDSA muss die jeweilige Datenverarbeitung bei der Entwicklung (Erhebung und Verarbeitung von Daten zu Trainingszwecken) und bei Nutzung eines KI-Modells separat betrachtet und auch separat geprüft werden. Eine unrechtmäßige Datenverarbeitung beim Training des KI-Modells führt nach dem EDSA nicht automatisch zur unrechtmäßigen Datenverarbeitung bei der Nutzung des KI-Modells.
Allerdings muss eine rechtswidrige Erhebung und Verarbeitung von Trainingsdaten bei der Nutzung des KI-Modells im Rahmen des berechtigten Interesses und der Abwägung mit den Rechten der betroffenen Person berücksichtigt werden. Dies könne eher dazu führen, dass die Abwägung dazu führt, dass die Nutzung ebenfalls rechtswidrig ist.
Sollten mehrere Verantwortliche an dem KI-Modell beteiligt sein, muss genau geschaut werden, welcher Verantwortliche welche Rolle hat und ob er die entsprechenden datenschutzrechtlichen Regelungen einhält. Der EDSA weist darauf hin, dass die KI-VO nach Art. 47 in Verbindung mit Anhang V Nr. 5 von Anbietern von KI-Systemen mit hohem Risiko eine EU-Konformitätserklärung verlangt, die besagt, dass der Einsatz des KI-Systems mit EU-Datenschutzgesetzen übereinstimmt. Dazu sagt der EDSA, dass eine solche Selbsterklärung keine abschließende Feststellung der Einhaltung der Datenschutzgrundverordnung darstellen könne. Sie könne jedoch von den Aufsichtsbehörden bei der Untersuchung eines bestimmten KI-Modells berücksichtigt werden.
Sofern ein Verantwortlicher für die Entwicklung des KI-Modells unrechtmäßig personenbezogene Daten im Rahmen des Trainings verarbeitet, dann aber vor der weiteren Verwendung eine Anonymisierung der Daten vornimmt, dann ist nach Ansicht des EDSA die DSGVO bei der weiteren Verwendung nicht anwendbar. Eine Rechtswidrigkeit kann sich in diesem Fall nur auf das Training beziehen.
Fazit
Der EDSA macht in seiner Stellungnahme deutlich, dass der Einsatz von KI datenschutzrechtlich möglich ist. Eine Rechtsgrundlage ist das berechtigte Interesse. Wenig überraschend legt der EDSA einen Schwerpunkt auf den Schutz der Rechte der betroffenen Personen.
So sind die Maßnahmen, die die Unternehmen zum Schutz vor Angriffen treffen müssen, nicht unerheblich. Aber auch die Vorschläge zur Sicherstellung der Transparenz sind sehr weitgehend und gehen auch über das gesetzlich geforderte hinaus.
Wenn Unternehmen sich allerdings an den Leitfaden der EDSA streng orientieren, steht dem Einsatz von KI aus datenschutzrechtlicher Sicht nicht viel im Wege.