EDSB: KI-Richtlinie für den Datenschutz
Die Europäische Datenschutzbehörde (EDSB) hat am 03.06.2024 eine neue Richtlinie veröffentlicht, um EU-Institutionen, -Organe und -Ämter (EUI) bei der Einhaltung der Datenschutzanforderungen zu unterstützen. Die KI-Richtlinie für den Datenschutz des EDSB soll sicherstellen, dass die Nutzung generativer KI nicht nur innovativ, sondern auch datenschutzkonform erfolgt. Dabei geht es insbesondere auch um die Wahrung des Grundsatzes der Datenminimierung.
Hintergrund der Richtlinie
Generative KI, die Texte, Bilder und Musik erstellen kann, bietet erhebliches Potenzial für Innovation und Effizienzsteigerungen in verschiedenen Bereichen. Gleichzeitig birgt sie jedoch auch Risiken für den Datenschutz und die Privatsphäre der Nutzer. Um möglichst umfassend diese Risiken einzudämmen und gleichzeitig Innovation zu fördern, hat die EU im letzten Monat die KI-Verordnung verabschiedet. Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski erklärt in einer Pressemitteilung, dass die neue Richtlinie sich nun konkret mit der Einhaltung des Datenschutzes bei der Anwendung von KI befasst.
Aufbau der Richtlinie
Die Richtlinie arbeitet vorrangig mit den Kernprinzipien des Datenschutzes. Zur einfachen Umsetzung für Institutionen bietet sie konkrete Beispiele. Dies soll es Organisationen erleichtern, Risiken, Herausforderungen und Chancen besser zu bewerten. Die Richtlinie hat der EDSB in seiner Rolle als Europäische Datenschutzbehörde erlassen. Für seine Aufgabe als Europäischer KI-Beauftragter soll eine weitere Richtlinie folgen.
Kernpunkte der Richtlinie
Zunächst wird festgestellt, dass auch EU-Institutionen generative KI entwickeln und verwenden dürfen. Im Weiteren bietet die Richtlinie Hilfestellung bei der Feststellung, ob mit der KI-Verwendung eine Datenverarbeitung erfolgt. Im Anschluss folgen Erläuterungen über die Einbeziehung der Datenschutzbehörden in den Entwicklungs- und Anwendungsprozess. Daneben erklärt sie auch, wann eine Datenschutzfolgenabschätzung durchzuführen ist. Dazu ist festzustellen, wann die Nutzung generativer KI erhebliche Risiken für die Rechte der betroffenen Personen mit sich bringt. Schließlich folgen Erläuterungen darüber, wann die jeweilige Datenverarbeitung rechtmäßig ist. Zuletzt geht das Papier auf verschiedene Pflichten ein, die Datenverarbeiter beachten müssen. Dazu gehört der Grundsatz der Datengenauigkeit, der Datenminimierung, Transparenzpflichten, die Wahrung von Fairness, die Ermöglichung der Durchsetzung von Betroffenenrechten und die Schaffung von Schutzmechanismen.
Vereinbarkeit von KI und Datenminimierung
Nach dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c Datenschutzgrundverordnung müssen Verantwortliche bei der Verarbeitung von Daten darauf achten, nur Daten zu verarbeiten, die für den konkret verfolgten Zweck auch zwingend erforderlich sind. Einige vertreten die Meinung, dass aufgrund der großen Menge an Daten, die generative KI zum Training benötigt, mittlerweile dieser Grundsatz nicht mehr zeitgerecht ist. Dem schloss sich zum Beispiel die Ethikrat-Vorsitzende Alena Buyx in einer Diskussionsrunde auf der re:publica am 28.05.2024 an, als sie Datensparksamkeit in der heutigen Zeit als „eine irrsinnige Idee“ bezeichnete.
Anders sah dies der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber. Vielmehr verwende man zwar neuste Computer, nutze jedoch „Schutztechnologien der 80er-Jahre“. Wer behauptet, dass der Datenschutz Innovation hindere, habe lediglich den Anschluss in der Digitalisierung verpasst. Auch der EDSB stellt in der neuen Richtlinie klar, dass auch bei den „large language models“ der Datenminimierungsgrundsatz weiterhin beachtet werden muss. Insgesamt ist er auch der Meinung, dass ohnehin auch bei großen KI-Modellen es – ganz nach dem Grundsatz „Qualität vor Quantität“ – vielmehr darauf ankommt, dass das System mit geeigneten statt mit besonders vielen Informationen gefüttert wird.
Fazit
Die Veröffentlichung KI-Richtlinie für den Datenschutz durch den EDSB kann eine wertvolle Hilfestellung für EU-Institutionen sein, die KI-Systeme einsetzen wollen. Die Beachtung der Vorgaben ermöglicht einen verantwortungsvollen und datenschutzkonformen Umgang mit dieser innovativen Technologie. Im Übrigen kann der Inhalt der Richtlinie auch zu großen Teilen auf private Organisationen übertragen werden.