Die Europäische Datenschutzbehörde (EDPB) hat ihre mit Spannung erwartete Stellungnahme zur Verarbeitung personenbezogener Daten im Kontext von KI-Modellen veröffentlicht. Der Bericht beleuchtet zentrale Fragen des Datenschutzes bei der Entwicklung und Nutzung von KI und liefert eine wichtige Orientierungshilfe für Organisationen, die KI-Technologien einsetzen möchten. Die Stellungnahme ist besonders relevant angesichts der zunehmenden Verbreitung von KI-Modellen, die riesige Datenmengen verarbeiten.
Diese Stellungnahme ist die erste offizielle Interpretation der Datenschutzfragen im Zusammenhang mit dem kürzlich verabschiedeten EU AI Act und markiert einen bedeutenden Meilenstein. Einerseits schafft sie mehr Klarheit über die regulatorischen Anforderungen, andererseits bringt sie neue Hürden und Herausforderungen für Unternehmen mit sich. Insbesondere deutsche Unternehmen, die oft als zurückhaltend in der Umsetzung neuer Technologien gelten, könnten nun vor der Frage stehen, ob und wie KI-Systeme überhaupt noch eingesetzt werden können – insbesondere solche, die nicht vollständig im eigenen Haus betrieben werden. Dies betrifft vor allem die Sicherstellung, dass keine sensiblen Daten das Unternehmen verlassen und alle Vorgaben der DSGVO eingehalten werden.
Das musst Du wissen: EDPB Opinion 28/2024
- Schlüsselthemen: Der Bericht behandelt vier Kernfragen, darunter die Anonymität von KI-Modellen, die Rechtfertigung berechtigter Interessen und die Auswirkungen rechtswidriger Datenverarbeitung.
- Anonymität: Ein KI-Modell gilt als anonym, wenn die Wahrscheinlichkeit, personenbezogene Daten direkt oder indirekt aus dem Modell zu extrahieren, als „unbedeutend“ eingestuft wird.
- Berechtigte Interessen: Organisationen müssen ein dreistufiges Testverfahren durchlaufen, um berechtigte Interessen als rechtliche Grundlage für die Datenverarbeitung zu verwenden.
- Rechtswidrige Verarbeitung: Die Unrechtmäßigkeit in der Entwicklungsphase kann die spätere Nutzung eines KI-Modells beeinflussen, insbesondere wenn personenbezogene Daten weiterhin verarbeitet werden.
Herausforderungen und Empfehlungen
Die EDPB erkennt die wachsende Bedeutung von KI-Technologien an, betont jedoch, dass Datenschutzvorgaben nicht zugunsten der Innovation vernachlässigt werden dürfen. Eine der Hauptaufgaben des Berichts ist es, Leitlinien für die Anonymität von KI-Modellen zu entwickeln. Die EDPB betont, dass jede Bewertung der Anonymität auf einer gründlichen Einzelfallprüfung beruhen sollte. Die Stellungnahme könnte dazu führen, dass viele Unternehmen ihre KI-Strategien überdenken müssen.
Besonders problematisch wird die Nutzung externer KI-Dienste, bei denen nicht gewährleistet ist, dass Unternehmensdaten vollständig innerhalb der DSGVO-konformen Infrastruktur bleiben. Diese Unsicherheit könnte Innovationen weiter ausbremsen, insbesondere in Deutschland, wo regulatorische Hürden oft langsame Entscheidungsprozesse verstärken. Die Frage, wie Unternehmen datenschutzkonforme KI-Lösungen effektiv und schnell umsetzen können, wird damit drängender denn je.
Im Kontext berechtigter Interessen müssen Datenverarbeiter nachweisen, dass ihre Interessen die Rechte und Freiheiten der betroffenen Personen nicht überwiegen. Hierbei sind unter anderem die Art der gesammelten Daten, deren Verarbeitungszweck und die Transparenz gegenüber den Betroffenen entscheidend.
Auswirkungen auf die Praxis
Die Stellungnahme legt nahe, dass Unternehmen strikte Bewertungs- und Nachweispflichten erfüllen müssen, insbesondere wenn sie auf personenbezogene Daten zurückgreifen. Dies betrifft sowohl die Entwicklungs- als auch die Einsatzphase von KI-Modellen. Organisationen, die KI-Systeme implementieren, müssen sicherstellen, dass alle genutzten Modelle den Vorgaben der DSGVO entsprechen. Insbesondere für Daten, die über Drittanbieter oder durch Web-Scraping bezogen wurden, gelten strenge Anforderungen an die Transparenz und den Schutz der Betroffenen.
Zusätzlich arbeitet die EDPB derzeit an spezifischen Leitlinien zu Themen wie Web-Scraping, um den Umgang mit personenbezogenen Daten aus öffentlich zugänglichen Quellen klarer zu regeln.
Darf ich noch ChatGPT benutzen?
Ja, die Nutzung von ChatGPT und ähnlichen KI-Modellen ist weiterhin möglich, aber nur unter bestimmten Voraussetzungen, die sich aus der EDPB Opinion 28/2024 und den Vorgaben der DSGVO ableiten. Entscheidend ist, wie die Daten verarbeitet und geschützt werden. Hier sind die Kernpunkte:
1. Datenschutzanforderungen bei der Nutzung
- Anonymität der Modelle: Die KI-Modelle dürfen keine personenbezogenen Daten enthalten oder ausgeben, wenn diese ursprünglich während des Trainings verwendet wurden. Es muss nachgewiesen werden, dass die Wahrscheinlichkeit einer Extraktion personenbezogener Daten „unbedeutend“ ist. ChatGPT darf also nicht auf personenbezogene Daten zurückgreifen, die aus dem Training stammen könnten.
- Transparenz: Nutzer müssen über die Funktionsweise und die potenziellen Risiken der Datenverarbeitung durch die KI informiert werden.
2. Berechtigte Interessen
- Wenn personenbezogene Daten während des Betriebs verwendet werden (z. B. Benutzereingaben in ChatGPT), muss ein berechtigtes Interesse nach Artikel 6(1)(f) DSGVO vorliegen. Dabei muss sichergestellt werden, dass die Verarbeitung notwendig ist und die Rechte und Freiheiten der Nutzer nicht überwiegt.
Die Stellungnahme nennt außerdem konkrete Kriterien, die dabei helfen, festzustellen, ob eine Verarbeitung im berechtigten Interesse der Betroffenen liegen kann. Dazu gehören: - Ob die personenbezogenen Daten öffentlich verfügbar waren,
- die Art der Beziehung zwischen den Betroffenen und dem Verantwortlichen,
- der Kontext der Datenerhebung und die Quelle der Daten,
- sowie die potenziellen weiteren Nutzungen des Modells.
Wichtig ist auch, ob die Betroffenen tatsächlich wissen, dass ihre Daten online verfügbar sind.
3. Keine unrechtmäßige Datenverarbeitung
- Wenn ein KI-Modell auf unrechtmäßig verarbeiteten Daten trainiert wurde (z. B. ohne gültige Einwilligung oder Rechtsgrundlage), könnte dies die Rechtmäßigkeit der späteren Nutzung beeinträchtigen. Organisationen, die ChatGPT einsetzen, müssen sicherstellen, dass das Modell DSGVO-konform trainiert wurde.
4. Datenminimierung und Zweckbindung
- Alle Eingaben und Ergebnisse sollten den Prinzipien der Datenminimierung und Zweckbindung entsprechen. Das bedeutet, dass nur notwendige Daten verarbeitet und nicht für unvereinbare Zwecke genutzt werden dürfen.
Die EDPB empfiehlt zudem, mitigierende Maßnahmen zu ergreifen, falls der Verarbeitung ein negatives Risiko für die Betroffenen gegenübersteht. Diese Maßnahmen können technischer Natur sein, wie das Implementieren von zusätzlichen Verschlüsselungstechniken, oder organisatorisch, indem etwa die Transparenz erhöht und Rechte der Betroffenen leichter durchsetzbar gemacht werden.
ChatGPT kann legal genutzt werden, wenn:
- Das Modell DSGVO-konform trainiert wurde.
- Nutzer transparent informiert werden.
- Personendaten nur unter strengen Voraussetzungen verarbeitet werden.
Organisationen, die ChatGPT einsetzen, sollten regelmäßig prüfen, ob die Nutzung der DSGVO entspricht, insbesondere bei der Verarbeitung sensibler oder personenbezogener Daten.
Fazit EDPB Opinion 28/2024: Wegweiser für KI und Datenschutz
Die EDPB Opinion 28/2024 zeigt, dass die Balance zwischen Datenschutz und Innovation komplex ist, aber machbar sein muss. Die europäischen Datenschutzbehörden fordern eine rigorose Einhaltung der Datenschutzgrundsätze und sehen gleichzeitig die Notwendigkeit für praktikable Leitlinien, die Innovationen nicht unnötig einschränken.