KI & DSGVO: Betroffenenrechte und Informationspflichten richtig umsetzen

3. April 2025

KI & DSGVO: Betroffenenrechte und Informationspflichten richtig umsetzenDie französische Datenschutzbehörde CNIL hat neue Empfehlungen zum datenschutzgerechten Umgang mit künstlicher Intelligenz (KI) vorgelegt. Sie zielen darauf ab, Wege aufzuzeigen, wie die Betroffenenrechte und Informationspflichten  im Einklang mit der DSGVO gewahrt werden können, ohne die Innovationsfähigkeit von Unternehmen einzuschränken. Die CNIL versteht die Datenschutz-Grundverordnung (DSGVO) dabei ausdrücklich nicht als Innovationshindernis, sondern als Rahmen für verantwortungsvolle Technologieentwicklung.

Anwendbarkeit der DSGVO auf KI-Systeme

KI-Modelle können so konzipiert sein, dass sie keine personenbezogenen Daten verarbeiten und damit nicht in den Anwendungsbereich der DSGVO fallen. Andere Modelle – insbesondere große Sprachmodelle (Large Language Models, LLM) – können hingegen personenbezogene Daten enthalten oder diese im Rahmen ihrer Nutzung verarbeiten. Der Europäische Datenschutzausschuss (EDSA) hatte im Dezember 2024 die Anforderungen an den Umgang mit personenbezogenen Daten in der Entwicklung und Nutzung von KI-Modellen in einer Stellungnahme präzisiert. Sobald ein KI-System personenbezogene Daten verarbeitet – sei es in den Trainingsdaten oder bei der Eingabe durch Nutzer (Prompts) – greift die DSGVO. Die betroffenen Daten sind dann gemäß den Grundsätzen der Verordnung zu schützen.

Zwei neue Empfehlungen der CNIL

Die CNIL betont, dass die datenschutzrechtlichen Grundprinzipien an die spezifischen Anforderungen von KI-Systemen angepasst und im Kontext gesehen werden müssen. Die veröffentlichten Empfehlungen widmen sich speziell der Ausübung von Betroffenenrechten und den Informationspflichten gegenüber den Betroffenen nach der DSGVO im Rahmen von KI. Die Empfehlungen sollen Betreibern und Anbietern konkrete und verhältnismäßige Lösungen bieten, um die Betroffenen zu informieren und ihnen die Ausübung ihrer Rechte zu erleichtern.

Informationspflichten im KI-Kontext

Werden personenbezogene Daten zum Training eines KI-Modells verwendet und potenziell gespeichert, sind die betroffenen Personen hierüber transparent zu informieren, so die CNIL. Die Art der Information könne sich je aber nach Risikolage und organisatorischen Gegebenheiten unterscheiden. Die DSGVO erlaube in bestimmten Konstellationen – insbesondere bei Daten aus Drittquellen und wenn eine individuelle Information unverhältnismäßig wäre – eine allgemeine Information, etwa über die Website des Anbieters. Bei einer Vielzahl verwendeter Quellen könne die Angabe von Kategorien oder exemplarischer Hauptquellen ausreichend sein.

Ausübung der Betroffenenrechte bei KI-Systemen

Die zweite Empfehlung der CNIL widmet sich der Achtung und Erleichterung der Ausübung der Rechte der betroffenen Personen. Betroffene Personen haben auch im Kontext von KI-Systemen nach der DSGVO Anspruch auf Zugang, Berichtigung, Löschung sowie Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten. Es liegt in der Verantwortung des für die Datenverarbeitung Verantwortlichen, diese einzuhalten und ihre Ausübung zu erleichtern.

Die Umsetzung dieser Rechte kann jedoch im Zusammenhang mit KI-Modellen besonders schwierig sein. In einem vom EDSA beauftragten Bericht ging zuletzt Dr. Shrishak auf die Herausforderungen bei der Umsetzung von Betroffenenrechten nach der DSGVO ein. Die CNIL fordert die Anbieter und Betreiber daher auf, alle Anstrengungen zu unternehmen, um den Schutz der Privatsphäre bereits in der Entwurfsphase des Modells zu berücksichtigen (Privacy by Design). Sie fordert die Akteure insbesondere dazu auf, sich um die Anonymisierung der Modelle bemühen und innovative Lösungen zu entwickeln, um die Offenlegung vertraulicher persönlicher Daten durch das Modell zu verhindern.

Die CNIL räumt ein, dass unter bestimmten Umständen – etwa aufgrund technischer oder wirtschaftlicher Unzumutbarkeit – die Ausübung von Rechten eingeschränkt sein kann. Methoden wie Re-Training, Machine Unlearning oder die Anwendung von Filtern liefern aktuell noch nicht immer eine sinnvolle Lösung. Auch eine Anpassung der Fristen zieht die CNIL in Betracht, um dennoch eine Ausübung der Rechte zu ermöglichen. Die CNIL betont, dass die KI-Branche einer rasanten wissenschaftliche Forschung und Weiterentwicklung unterliegt. Die CNIL sieht daher Betreiber und Anbieter in der Pflicht sich über den Stand der Technik auf dem Laufenden zu halten, um die Rechte der Personen bestmöglich zu schützen.

Fazit

Die aktuellen Veröffentlichungen der CNIL stellen eine wichtige Orientierungshilfe für Unternehmen dar, die im Bereich der KI tätig sind. Sie unterstreichen die Notwendigkeit, die Grundsätze der DSGVO konsequent anzuwenden und bieten konkrete Empfehlungen für die Umsetzung der Informationspflichten und die Gewährleistung der Betroffenenrechte bei KI-Systemen. Unternehmen sind gut beraten, sich intensiv mit diesen Leitlinien auseinanderzusetzen und ihre Datenschutzpraktiken entsprechend anzupassen, um rechtliche Risiken zu minimieren und das Vertrauen ihrer Nutzer zu stärken. Die CNIL betont, dass die Vereinbarkeit von Innovation und Datenschutz möglich ist und unterstützt Unternehmen dabei, diesen Weg verantwortungsvoll zu gestalten.

Kategorien: DSGVO · Informationspflichten · KI-Verordnung · Künstliche Intelligenz · Privacy by Design · Verantwortliche