EU-Datenschutzbehörde lockert Datenschutz für KI-Training

Nach weniger als zwei Monaten und begrenzten Möglichkeiten für Beiträge von Interessengruppen, veröffentlichte der Europäische Datenschutzausschuss am Mittwoch (18. Dezember) seine Stellungnahme zu diesem komplexen Thema. [Photo Illustration by Pavlo Gonchar/SOPA Images/LightRocket via Getty Images]

Der Europäische Datenschutzausschuss (EDSA) hat mit einer neuen Stellungnahme Klarheit für die KI-Branche geschaffen. Laut der Behörde kann beim Training von KI-Modellen unter bestimmten Voraussetzungen die Datenschutz-Grundverordnung flexibler ausgelegt werden.

Die irische Datenschutzkommission (Irish Data Protection Commission, IDPC) bat den Europäischen Datenschutzausschuss (European Data Protection Board, EDSA) Anfang des Jahres um „dringend benötigte Klarheit“ im Bereich des KI-Trainings. Zuvor waren mehrere Fragen im Zusammenhang mit dem Konflikt mit der Social-Media-Plattform X über die Verwendung von Nutzerbeiträgen im KI-Training offen geblieben.

Nach weniger als zwei Monaten und begrenzten Möglichkeiten für Beiträge von Interessengruppen, veröffentlichte der Europäische Datenschutzausschuss am Mittwoch (18. Dezember) seine Stellungnahme zu diesem komplexen Thema. Darin legte er Richtlinien fest, die sich für eine datenhungrige KI-Branche, die bereits mit der Datenschutz-Grundverordnung (DSGVO) zu kämpfen hat, als entscheidend erweisen könnten.

„[Berechtigte] Interessen können beispielsweise […] die Entwicklung eines Dienstes, eines Gesprächsagenten zur Unterstützung der Nutzer umfassen“, heißt es in der Stellungnahme.

Das berechtigte Interesse ist die flexibelste Ausnahme in der Datenschutz-Grundverordnung, die die Verarbeitung personenbezogener Daten erlaubt. Die Branche hatte gehofft, dass sie genutzt werden kann, um grünes Licht für das Training von künstlicher Intelligenz mit personenbezogenen Daten zu geben.

„Die Bestätigung des EDSA, dass das ‚berechtigte Interesse‘ eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Entwicklung und dem Einsatz von KI-Modellen darstellt, ist ein wichtiger Schritt in Richtung mehr Rechtssicherheit“, sagte Claudia Canelles Quaroni, Experte bei dem IT-Lobbyverband CCIA, gegenüber Euractiv.

Dies bestätigt zwar die Möglichkeit der Einhaltung von Vorschriften durch ein berechtigtes Interesse, bedeutet aber nicht, dass KI-Unternehmen tun können, was sie wollen.

„[Berechtigtes Interesse] ist kein Freibrief“, betonte Gabriela Zanfir-Fortuna, Vizepräsidentin für globalen Datenschutz beim Future of Privacy Forum.

Es impliziere, dass die Rechte des Datenverarbeiters und die Rechte der betroffenen Personen im Hinblick auf die getroffenen Schutzmaßnahmen abgewogen werden müssten, fuhr sie fort.

In der Stellungnahme des Europäischen Datenschutzausschusses werden eine Reihe von Überlegungen für diese Abwägung angestellt. Besonders hervorgehoben wird, dass die Verarbeitung personenbezogener Daten den „angemessenen Erwartungen“ der betroffenen Personen entsprechen sollte.

Einige sagen, dass die Stellungnahme keine sinnvolle Klarheit bietet.

„Im Wesentlichen sagt der EDSA: Wenn Sie sich an das Gesetz halten, ist alles in Ordnung“, so ein Sprecher der NGO noyb gegenüber Euractiv.

„Aber soweit wir wissen, hält sich keiner der großen Akteure in der KI-Szene an die DSGVO“, fügte der Sprecher hinzu.

Schlupflöcher und Lieferketten

KI-Modelle, die mit personenbezogenen Daten trainiert wurden, könnten als personenbezogene Daten betrachte betrachtet werden und diese ausgeben.

Damit eine KI anonym ist, muss die Wahrscheinlichkeit, personenbezogene Daten direkt oder durch Eingaben zu extrahieren, „unbedeutend sein, unter Berücksichtigung aller ‚vernünftigerweise einsetzbaren Mittel‘ des Verantwortlichen oder anderer Personen“.

Auch nachgelagerte Anwender sind nicht von Überlegungen zur Ausbildung von KI-Modellen ausgenommen.

„[Datenschutzbehörden (DSB)] sollten berücksichtigen, ob der Verantwortliche, der das Modell einsetzt, eine angemessene Bewertung im Rahmen seiner Rechenschaftspflichten durchgeführt hat“, heißt es in der Stellungnahme.

Auf der anderen Seite können selbst unrechtmäßig erlangte Daten rechtmäßig verwendet werden, wenn sie zuerst anonymisiert wurden, da das Training dann keine Verarbeitung personenbezogener Daten umfasst, so der Europäischer Datenschutzausschuss (EDSA).

„Der EDSA scheint zu sagen, dass die Entwicklung eines [anonymen] Modells zwar illegal sein könnte, die anschließende Nutzung des Modells jedoch nicht“, sagte ein Sprecher von noyb.

Allerdings sehen nicht alle darin ein großes Problem. „Die Schwelle, damit pseudonymisierte Daten als anonym gelten, ist extrem hoch“, erklärte Zanfir-Fortuna.

Offene Fragen

Der EDSA benannte mehrere wichtige Fragen, die außerhalb des Geltungsbereichs der Stellungnahme liegen.

Erstens umfasst sie ausdrücklich nicht die besonders sensiblen „Sonderkategorien personenbezogener Daten“, deren Verarbeitung nicht durch berechtigte Interessen gerechtfertigt werden kann.

Dies ist besonders relevant für KI-Modelle, die Sonderkategorien von Daten ableiten könnten, selbst wenn sie nur mit nicht-sensiblen Daten trainiert wurden.

Zweitens könnten viele Anwendungsfälle von künstlicher Intelligenz als automatisierte Entscheidungsfindung eingestuft werden, die nach der Datenschutz-Grundverordnung verboten ist, sofern keine spezifischen Kriterien erfüllt werden.

Da vieles offenbleibt, werden die Ergebnisse von den Auslegungen der Datenschutzbehörden abhängen.

Die Branche hofft vermutlich auf eine minimalistische Durchsetzung.

„Die DSBs müssen nun schnell einen pro-innovativen Ansatz bei der Anwendung der Stellungnahme verfolgen – um Unternehmen dringend benötigte Rechtssicherheit zu geben und unnötige Verzögerungen bei der Einführung wichtiger KI-Innovationen zu vermeiden“, äußerte Marco Leto Barone, Policy Director des Information Technology Industry Council, gegenüber Euractiv.

[Bearbeitet von Chris Powers/Martina Monti/Kjeld Neubert]

Abonnieren Sie unsere Newsletter

Abonnieren
  翻译: