Untersuchung von Googles KI-Training eingeleitet
Die irische Datenschutzbehörde (Irish Data Protection Commission, DPC) hat am 12.09.2024 verkündet, eine grenzüberschreitende Untersuchung gegen Googles Training von Künstlicher Intelligenz (KI) eingeleitet zu haben. Dabei geht es um die Frage, ob Google die Verarbeitung von personenbezogenen Daten von EU-Bürgern für ihr KI-Modell PaLM2 in Übereinstimmung mit den Datenschutzbestimmungen durchführt.
Fokus der DPC: Verarbeitung von Daten für KI-Training
Der Einsatz und die Entwicklung von KI durch große Tech-Konzerne nimmt kontinuierlich zu. Deshalb ist auch der Umgang mit personenbezogenen Daten zur Entwicklung von KI zunehmend in den Fokus der europäischen Datenschutzbehörden gerückt. Da hierbei in aller Regel auch personenbezogene Daten verarbeitet werden, stellt sich immer wieder die Frage, inwieweit die entsprechenden Unternehmen bei der Entwicklung den Datenschutz beachten. Deshalb steht mittlerweile nicht nur Google unter Beobachtung. Erst kürzlich sah sich Meta scharfer Kritik ausgesetzt, da sie ihre KI datenschutzrechtlich fragwürdig trainieren würden. Auf Verlangen der DPC stellte das Social-Media-Unternehmen sein Vorgehen deshalb vorerst im Juni in der EU ein. Auch gegen X wurden in diesem Zusammenhang erst kürzlich Untersuchungen beendet. Anders ging hingegen Apple vor. Das Unternehmen hatte im Juni erklärt seine KI-Funktionen aufgrund der strengen EU-Regularien vorerst in der EU nicht auszuspielen.
Untersuchung der DPC
In einer Pressemitteilung hat die DPC nun erklärt, dass sie auch gegen Google eine grenzüberschreitende Untersuchung nach Section 110 des Data Protection Act 2018 eingeleitet hat. Im Zentrum der Ermittlungen steht die Frage, ob Google vor der Verarbeitung der personenbezogenen Daten im Rahmen ihres KI-Trainings eine Datenschutz-Folgenabschätzung (DSFA) hätte durchführen müssen. Bei dieser grenzüberschreitenden Untersuchung handelt es sich laut der DPC um einen Teil einer größeren Bestrebung in Zusammenarbeit mit „EU/EEA Regulierern“, die Datenverarbeitung im Zusammenhang von KI-Entwicklung stärker zu kontrollieren.
Die Google AI PaLM 2
Konkret geht es bei der von der DPC eingeleiteten Untersuchung um das KI-Modell PaLM 2 (Pathways Manguage Model 2). Die bereits im Mai 2023 vorgestellte Technologie findet mittlerweile in verschiedenen Google-Diensten Anwendung. Von seinem Vorgänger hebt sie sich insbesondere insofern ab, als das sie in deutlich mehr Sprachen trainiert worden sein soll. Für Nutzer hat das Modell im Google Workplace Bedeutung, etwa bei dem E-Mail-Programm Gmail.
Was ist eine DSFA und warum ist sie wichtig?
Bei einer DSFA muss der datenschutzrechtlich Verantwortliche vor der Datenverarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Nach Art. 35 Datenschutzgrundverordnung (DSGVO) ist eine solche Abschätzung erforderlich, wenn die Datenverarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben wird. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. Die DPC betonte in einer Pressemitteilung die Bedeutung der DSA für den Schutz der Grundrechte der Betroffenen.
Stellungnahme von Google
Google erkläre laut Euractiv in einer Stellungnahme, dass man die Vorgaben der DSGVO ernst nehme. Man werde konstruktiv mit der DPC zusammenarbeiten, um die gestellten Fragen zu beantworten.
Fazit
Die aktuelle Untersuchung der DPC gegen Google zeigt erneut, wie wichtig der Datenschutz im Kontext der KI-Entwicklung ist. Es wird immer deutlicher, dass Unternehmen, die KI-Modelle entwickeln oder betreiben, in Zukunft strikter auf die Einhaltung der DSGVO achten müssen. Der Ausgang der Untersuchung könnte hinsichtlich der Pflicht zur Durchführung einer DSFA auch für kleine und mittlere Unternehmen von Bedeutung sein. Wir als Externe Datenschutzbeauftragte unterstützen Sie gerne bei der Implementierung datenschutzkonformer KI-Systeme.