EDSA-Stellungnahme zu KI-Modellen
In einer Stellungnahme vom 18.12.2024 hat der Europäische Datenschutzausschuss (EDSA) die Anforderungen an den Umgang mit personenbezogenen Daten in der Entwicklung und Nutzung von KI-Modellen präzisiert. Dabei stehen Fragen zur Anonymität von KI-Modellen, zur Anwendung des berechtigten Interesses als Rechtsgrundlage für die Datenverarbeitung sowie zur Nutzung unrechtmäßig erhobener Daten im Fokus. Ziel ist es, Innovationen in der KI-Entwicklung zu fördern, ohne die Prinzipien der Datenschutzgrundverordnung (DSGVO) zu gefährden. Die Stellungnahme, die auf Anfrage der irischen Datenschutzbehörde (DPA) erstellt und unter Einbeziehung von wesentlichen Interessenträgern, wie etwa dem stellvertretenden Bundesdatenschutzbeauftragten (BfDI), ausgearbeitet wurde, zielt auf eine europaweite Vereinheitlichung der Rechtsvorschriften ab.
Anonymität von KI-Modellen
Ein zentraler Punkt der Stellungnahme ist die Frage, wann ein KI-Modell als anonym gilt. Nach Auffassung des EDSA ist Anonymität nur dann gegeben, wenn die Identifizierung betroffener Personen oder die Rückgewinnung personenbezogener Daten aus dem Modell sehr unwahrscheinlich ist. Hierfür bietet die Stellungnahme eine Liste von Methoden zur Feststellung der Anonymität, die nicht abschließend ist und je nach Einzelfall zu prüfen ist.
Berechtigtes Interesse als Rechtsgrundlage
Ein weiterer Schwerpunkt liegt auf der Nutzung des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Der Digitalverband Bitkom hatte hier in einem Positionspapier bereits befürchtet, dass der EDSA durch Einengung des Anwendungsbereichs dieser Rechtsgrundlage ein enormes Hemmnis für das KI-Training erzeugen könnte.
Der EDSA schlägt nun einen dreistufigen Test vor, um zu beurteilen, ob diese Grundlage die Datenverarbeitung rechtfertigen kann. Die Datenverarbeitung müsse zunächst unbedingt notwendig sein, um das berechtigte Interesse zu erfüllen.
Eine Interessenabwägung müsse dann ergeben, dass die Rechte und Interessen der betroffenen Personen nicht überwiegen. Hierbei könne der Verantwortliche besondere Abhilfemaßnahmen ergreifen, um negative Auswirkungen für Individuen abzumildern. Exemplarisch listet der EDSA verschiedene technische Maßnahmen und Mittel zur Ausübung von Betroffenenrechten und Erhöhung der Transparenz auf.
Außerdem müssen Personen laut der Pressemitteilung des EDSA vernünftigerweise mit der Verarbeitung rechnen können. Zur Feststellung verweist der EDSA auf verschiedene nicht abschließende Kriterien. Hierzu zähle etwa die Öffentlichkeit der Daten und die Kenntnis der Betroffenen hierüber, die Form der Beziehung zwischen Betroffenen und Verantwortlichem und die Art des Dienstes und der Datenverarbeitung.
Umgang mit rechtswidrig verarbeiteten Daten
Die Stellungnahme (abrufbar hier) geht auch auf die rechtlichen Konsequenzen ein, wenn KI-Modelle mit rechtswidrig erhobenen personenbezogenen Daten trainiert wurden. In solchen Fällen könnte die Nutzung des Modells unzulässig sein, außer es habe eine ordnungsgemäße Anonymisierung stattgefunden.
Positive Rückmeldung von Datenschutzbehörden
In einer Pressemitteilung begrüßt zunächst die BfDI, Louis Specht-Riemenschneider, die Stellungnahme. Diese trage einen wichtigen Schritt zur Schaffung von Rechtssicherheit bei, sagte der stellvertretende BfDI, Andreas Hartl. Nun würden noch passende gesetzliche Regelungen zur Datenverarbeitung bei KI-Training fehlen. Auch die irische Datenschutzbehörde (DPC) meint, dass so im EU-weiten Kontext eine Rechtsvereinheitlichung erzielt werden könnte. In einer gemeinsamen Mitteilung bewerten zudem die Datenschutzbeauftragte für Rheinland-Pfalz und Baden-Württemberg die Stellungnahme „als hilfreiche Orientierungspunkte für die Ausübung der aufsichtsrechtlichen Befugnisse der Datenschutzbehörden“. Tobias Keber, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, fügt dem hinzu, dass „ein klar aufgestellter Datenschutz […] dafür [sorgt], dass die KI den Bürgerinnen und Bürgern dient und nicht umgekehrt.“
Datenschutzorganisationen fordern mehr
Die Freude der Datenschutzbehörden spiegelt sich nicht bei den zivilgesellschaftlichen Organisationen wider. Sie kritisieren, dass die Stellungnahme an vielen Stellen zu unpräzise ist. Die Bürgerrechtsorganisation noyb meint gegenüber Euractive zudem, dass der EDSA nicht mehr sagt, als dass wenn man die gesetzlichen Vorgaben beachte, alles gut sei. Problematisch hieran sei jedoch, dass dies keins der großen KI-Unternehmen tue.
Fazit
Die Stellungnahme des EDSA zu KI-Modellen und die Reaktionen hierauf zeigt den Balanceakt zwischen Datenschutz und Innovation. Während die DSGVO eine solide Grundlage für den Schutz personenbezogener Daten bietet, können die Anforderungen Unternehmen vor Herausforderungen. Nichtsdestotrotz ist es wichtig, ein ausgewogenes Verhältnis zwischen Datenschutz und technologischer Innovation zu wahren. Andernfalls kommt zwar der gewünschte KI-Aufschwung, aber nicht zugunsten der Bürger, sondern lediglich zugunsten großer Wirtschaftsunternehmen und einiger weniger individueller Akteure.