Europäischer Datenschutzausschuss verabschiedet Stellungnahme zu KI-Modellen

Am 17. Dezember 2024 verabschiedete der Europäische Datenschutzausschuss (EDPB) die Stellungnahme 28/2024 des EDSA zur Verwendung personenbezogener Daten für das Training und den Einsatz von KI-Modellen. Die Stellungnahme ist eine Antwort auf eine Anfrage der irischen Datenschutzbehörde (DPA).

Große Modellentwickler, darunter Meta und OpenAI, die KI-Modelle innerhalb der EU bereitstellen, wurden von politischen Entscheidungsträgern und Regulierungsbehörden der EU geprüft. Diese Entwickler, Unternehmen, die ihre Produkte verwenden, und Aufsichtsbehörden in den EU-Ländern haben alle nach klaren Leitlinien gesucht, wie KI-Modelle für personenbezogene Daten trainiert und eingesetzt werden können, ohne gegen die DSGVO zu verstoßen.

Die Stellungnahme 28/2024 des EDSA enthält Leitlinien zu diesen Fragen. Obwohl es für Unternehmen nicht bindend ist, wird sich die Datenschutzbehörde bei der Auslegung der DSGVO und der Priorisierung von Durchsetzungsmaßnahmen wahrscheinlich an ihren Leitlinien orientieren.

Wann gilt ein Modell als anonym — und unterliegt daher nicht der DSGVO?

Obwohl anonyme KI-Modelle nicht der DSGVO unterliegen, waren Analysten bisher unterschiedlicher Meinung darüber, ob ein trainiertes Basis-KI-Modell anonym ist.

In der Stellungnahme 28/2024 des EDSA heißt es, dass ein solches Modell als anonym betrachtet werden kann, wenn die Wahrscheinlichkeit gering ist, „(1) Personen, deren Daten zur Erstellung des Modells verwendet wurden, direkt oder indirekt zu identifizieren und (2) solche personenbezogenen Daten durch Abfragen aus dem Modell zu extrahieren“. In der Stellungnahme wird darauf hingewiesen, dass diese Analyse von Fall zu Fall durchgeführt werden muss und eine nicht präskriptive und nicht ausschließliche Liste von Methoden enthält, die zur Erreichung der Anonymität beitragen können.

Wann kann ein KI-Entwickler personenbezogene Daten verarbeiten?

Gemäß der DSGVO benötigen Unternehmen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Analysten haben festgestellt, dass von den verfügbaren Rechtsgrundlagen nur das „legitime Interesse“ für die Art und Weise relevant zu sein scheint, wie führende Entwickler grundlegende KI-Modelle trainieren. In der Stellungnahme 28/2024 des EDSA wird bestätigt, dass ein Unternehmen das „berechtigte Interesse“ als Grundlage verwenden kann, um KI-Modelle anhand personenbezogener Daten zu trainieren, nachdem drei Faktoren analysiert wurden:

Zweck: ob das Interesse rechtmäßig, klar und präzise artikuliert, real und gegenwärtig ist;

Notwendigkeit: ob personenbezogene Daten zur Erreichung des Zwecks erforderlich sind;

Ausgleichen: auf der Grundlage einer Analyse der Vor- und Nachteile sowie der Erwartungen von Personen, deren Daten verarbeitet werden, ob die Interessen und Rechte dieser Personen das berechtigte Interesse des Unternehmens nicht überwiegen

In der Stellungnahme 28/2024 des EDSA wird auch beschrieben, wie ein KI-Modell, das unter Verstoß gegen die DSGVO unter Verstoß gegen personenbezogene Daten entwickelt wurde, vorbehaltlich von Bewertungen und Schutzmaßnahmen entweder nicht oder nur in begrenztem Umfang eingesetzt werden kann.

Was kommt als Nächstes?

Die EU wird weiterhin Interpretationen und Leitlinien dazu bereitstellen, wie die DSGVO, der EU AI Act (AIA) und andere EU-Gesetze auf KI-Modelle von Fundamentalsystemen angewendet werden, auch wenn große Modellentwickler weiterhin beeindruckende neue Modelle veröffentlichen.

Die Stellungnahme 28/2024 des EDSA bietet keine Klarheit über viele andere Schnittstellen zwischen Datenschutz und KI, einschließlich Datenschutz durch Technikgestaltung oder die Verarbeitung anderer sensibler Informationen (wie Geisteszustand oder politische Ansichten des Nutzers).

Unternehmen, die KI-Systeme einsetzen, sollten die regulatorischen Entwicklungen in der EU und auf der ganzen Welt sorgfältig verfolgen und entsprechende Interpretationen und Leitlinien in ihre KI-Governance-Programme einbeziehen.

Enzai ist hier um zu helfen

Die KI-GRC-Plattform von Enzai kann Ihrem Unternehmen helfen, KI gemäß Best Practices und neuen Vorschriften, Standards und Rahmenbedingungen wie dem EU AI Act, dem Colorado AI Act, dem NIST AI RMF und ISO/IEC 42001 einzusetzen. Um mehr zu erfahren, melde dich hier.