Am 17. Dezember 2024 hat der Europäische Datenschutzausschuss (EDPB) die EDPB-Stellungnahme 28/2024 bezüglich der Nutzung personenbezogener Daten zur Ausbildung und Implementierung von KI-Modellen angenommen. Die Stellungnahme wurde als Antwort auf eine Anfrage der irischen Datenschutzbehörde (DPA) erstellt. 

Große Modellentwickler, darunter Meta und OpenAI, die KI-Modelle innerhalb der EU bereitstellen, stehen unter Beobachtung von EU-Gesetzgebern und Regulierungsbehörden. Diese Entwickler, Unternehmen, die ihre Produkte nutzen, und Aufsichtsbehörden in EU-Ländern suchen alle nach klaren Richtlinien, wie KI-Modelle auf personenbezogenen Daten trainiert und implementiert werden können, ohne gegen die DSGVO zu verstoßen.

Die EDPB-Stellungnahme 28/2024 bietet Leitlinien zu diesen Themen. Obwohl sie für Unternehmen nicht verbindlich ist, werden sich DPAs wahrscheinlich an ihren Richtlinien orientieren, wenn sie die DSGVO interpretieren und Durchsetzungsmaßnahmen priorisieren. 

Wann gilt ein Modell als anonym – und ist daher nicht der DSGVO unterworfen?

Obwohl anonyme KI-Modelle nicht der DSGVO unterworfen sind, hatten Analysten bisher unterschiedliche Meinungen darüber, ob ein trainiertes Basis-KI-Modell anonym ist.

Die EDPB-Stellungnahme 28/2024 führt aus, dass ein solches Modell als anonym angesehen werden kann, wenn die Wahrscheinlichkeit gering ist, „(1) direkt oder indirekt Personen zu identifizieren, deren Daten zur Erstellung des Modells verwendet wurden, und (2) solche personenbezogenen Daten aus dem Modell durch Abfragen zu extrahieren.“ Die Stellungnahme merkt an, dass diese Analyse fallweise durchgeführt werden muss und beinhaltet eine nicht-vorschriftsmäßige und nicht-exklusive Liste von Methoden, die helfen können, Anonymität zu erreichen.

Wann kann ein KI-Entwickler personenbezogene Daten verarbeiten?

Gemäß der DSGVO benötigen Unternehmen eine rechtliche Grundlage zur Verarbeitung personenbezogener Daten. Analysten haben festgestellt, dass von den verfügbaren rechtlichen Grundlagen nur das „berechtigte Interesse“ relevant zu sein scheint, wie führende Entwickler Basis-KI-Modelle trainieren. Die EDPB-Stellungnahme 28/2024 bestätigt, dass ein Unternehmen das „berechtigte Interesse“ als Grundlage nutzen kann, um KI-Modelle mit personenbezogenen Daten zu trainieren, nach einer Analyse von drei Faktoren: 

Zweck: ob das Interesse rechtmäßig, klar und präzise formuliert und real und gegenwärtig ist;

Notwendigkeit: ob personenbezogene Daten notwendig sind, um den Zweck zu erreichen;

Ausgleich: basierend auf einer Analyse der Vorteile, Nachteile und Erwartungen der Personen, deren Daten verarbeitet werden, ob die Interessen und Rechte dieser Personen die berechtigten Interessen des Unternehmens nicht überwiegen

Die EDPB-Stellungnahme 28/2024 beschreibt auch, wie ein KI-Modell, das auf personenbezogenen Daten in Verletzung der DSGVO entwickelt wurde, entweder nicht implementiert oder in begrenzter Weise implementiert werden kann, unter Vorbehalt von Bewertungen und Schutzmaßnahmen.

Wie geht es weiter?

Die EU wird weiterhin Auslegungen und Leitlinien dazu liefern, wie die DSGVO, das EU-KI-Gesetz (AIA) und andere EU-Gesetze auf Basis-KI-Modelle angewendet werden, auch wenn große Modellentwickler weiterhin beeindruckende neue Modelle veröffentlichen.

Die EDPB-Stellungnahme 28/2024 bietet keine Klarheit über viele andere Schnittstellen von Datenschutz und KI, einschließlich des Datenschutzes durch Gestaltung oder der Verarbeitung anderer sensibler Informationen (wie der Geisteszustand des Nutzers oder politische Ansichten).

Unternehmen, die KI-Systeme nutzen, sollten die regulatorischen Entwicklungen in der EU und weltweit genau beobachten und relevante Interpretationen und Richtlinien in ihre KI-Governance-Programme integrieren.

Enzai ist hier, um zu helfen

Die AI GRC-Plattform von Enzai kann Ihrem Unternehmen helfen, KI in Übereinstimmung mit Best Practices und neuen Vorschriften, Standards und Rahmenwerken zu implementieren, wie dem EU AI Act, dem Colorado AI Act, dem NIST AI RMF und ISO/IEC 42001. Um mehr zu erfahren, kontaktieren Sie uns hier.