Am 17. Dezember 2024 hat der Europäische Datenschutzausschuss (EDSA) die EDSA-Stellungnahme 28/2024 zur Verwendung personenbezogener Daten für das Trainieren und Bereitstellen von KI-Modellen angenommen. Die Stellungnahme erfolgte als Reaktion auf eine Anfrage der irischen Datenschutzbehörde (DPA). 

Entwickler großer Modelle, darunter Meta und OpenAI, die KI-Modelle innerhalb der EU bereitstellen, standen unter der Beobachtung von politischen Entscheidungsträgern und Regulierungsbehörden der EU. Diese Entwickler, Unternehmen, die ihre Produkte nutzen, sowie Aufsichtsbehörden in EU-Ländern haben sich gleichermaßen um klare Leitlinien dazu bemüht, wie KI-Modelle auf personenbezogenen Daten trainiert und bereitgestellt werden können, ohne gegen die DSGVO zu verstoßen.

EDPB Opinion 28/2024 bietet hierzu Orientierung. Obwohl sie für Unternehmen nicht bindend ist, werden sich die Datenschutzbehörden bei der Auslegung der DSGVO und bei der Priorisierung von Durchsetzungsmaßnahmen voraussichtlich an ihrer Orientierung ausrichten. 

Wann gilt ein Modell als anonym – und unterliegt damit nicht der DSGVO?

Obwohl anonyme KI-Modelle nicht der DSGVO unterliegen, sind sich Analysten bislang uneinig, ob ein trainiertes Foundation-KI-Modell anonym ist.

EDPB Opinion 28/2024 stellt fest, dass ein solches Modell als anonym gelten kann, wenn eine geringe Wahrscheinlichkeit besteht, „(1) Personen, deren Daten zur Erstellung des Modells verwendet wurden, direkt oder indirekt zu identifizieren und (2) diese personenbezogenen Daten durch Anfragen aus dem Modell zu extrahieren.“ Die Stellungnahme weist darauf hin, dass diese Analyse im Einzelfall durchgeführt werden muss und eine nicht präskriptive sowie nicht abschließende Liste von Methoden umfasst, die zur Erreichung von Anonymität beitragen können.

Wann darf ein KI-Entwickler personenbezogene Daten verarbeiten?

Nach der DSGVO benötigen Unternehmen eine Rechtsgrundlage, um personenbezogene Daten zu verarbeiten. Analysten haben darauf hingewiesen, dass von den verfügbaren Rechtsgrundlagen nur das „berechtigte Interesse“ für die Art und Weise relevant erscheint, wie führende Entwickler Foundation-KI-Modelle trainieren. EDPB Opinion 28/2024 bestätigt, dass ein Unternehmen „berechtigtes Interesse“ als Grundlage für das Training von KI-Modellen unter Verwendung personenbezogener Daten heranziehen kann, nachdem drei Faktoren analysiert wurden: 

Zweck: ob das Interesse rechtmäßig ist, klar und präzise formuliert sowie real und gegenwärtig ist;

Erforderlichkeit: ob personenbezogene Daten erforderlich sind, um den Zweck zu erreichen;

Abwägung: auf Grundlage einer Analyse der Vorteile, Nachteile und Erwartungen der Personen, deren Daten verarbeitet werden, ob die Interessen und Rechte dieser Personen das berechtigte Interesse des Unternehmens nicht überwiegen

EDPB Opinion 28/2024 beschreibt außerdem, wie ein auf personenbezogenen Daten unter Verstoß gegen die DSGVO entwickeltes KI-Modell entweder nicht bereitgestellt oder nur eingeschränkt unter Vorbehalt von Bewertungen und Schutzmaßnahmen bereitgestellt werden kann.

Wie geht es weiter?

Die EU wird weiterhin Auslegung und Orientierung dazu bereitstellen, wie die DSGVO, der EU AI Act (AIA) und andere EU-Gesetze auf Foundation-KI-Modelle anzuwenden sind, auch wenn große Modellentwickler weiterhin beeindruckende neue Modelle veröffentlichen.

EDPB Opinion 28/2024 schafft keine Klarheit hinsichtlich vieler weiterer Schnittstellen zwischen Datenschutz und KI, einschließlich Datenschutz durch Technikgestaltung oder der Verarbeitung anderer sensibler Informationen (wie des Gemütszustands des Nutzers oder politischer Ansichten).

Unternehmen, die KI-Systeme einsetzen, sollten regulatorische Entwicklungen in der EU und weltweit sorgfältig verfolgen und relevante Auslegung und Orientierung in ihre KI-Governance-Programme integrieren.

Enzai unterstützt Sie dabei

Die AI-GRC-Plattform von Enzai kann Ihrem Unternehmen dabei helfen, KI im Einklang mit bewährten Verfahren sowie aufkommenden Vorschriften, Standards und Frameworks wie dem EU AI Act, dem Colorado AI Act, dem NIST AI RMF und ISO/IEC 42001 einzusetzen. Erfahren Sie mehr, kontaktieren Sie uns hier.

Enzai ist die führende Enterprise-KI-Governance-Plattform, die speziell dafür entwickelt wurde, Organisationen vom abstrakten Richtlinienrahmen zur operativen Aufsicht zu begleiten. Unsere Plattform für KI-Risikomanagement bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu pflegen und die Konformität mit dem EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows ermöglicht Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST zu wahren.