Der Europäische Datenschutzausschuss (EDSA) hat mit einer neuen Stellungnahme Klarheit für die KI-Branche geschaffen. Laut der Behörde kann beim Training von KI-Modellen unter bestimmten Voraussetzungen die Datenschutz-Grundverordnung flexibler ausgelegt werden.
Die irische Datenschutzkommission (Irish Data Protection Commission, IDPC) bat den Europäischen Datenschutzausschuss (European Data Protection Board, EDSA) Anfang des Jahres um „dringend benötigte Klarheit“ im Bereich des KI-Trainings. Zuvor waren mehrere Fragen im Zusammenhang mit dem Konflikt mit der Social-Media-Plattform X über die Verwendung von Nutzerbeiträgen im KI-Training offen geblieben.
Nach weniger als zwei Monaten und begrenzten Möglichkeiten für Beiträge von Interessengruppen, veröffentlichte der Europäische Datenschutzausschuss am Mittwoch (18. Dezember) seine Stellungnahme zu diesem komplexen Thema. Darin legte er Richtlinien fest, die sich für eine datenhungrige KI-Branche, die bereits mit der Datenschutz-Grundverordnung (DSGVO) zu kämpfen hat, als entscheidend erweisen könnten.
„[Berechtigte] Interessen können beispielsweise […] die Entwicklung eines Dienstes, eines Gesprächsagenten zur Unterstützung der Nutzer umfassen“, heißt es in der Stellungnahme.
Das berechtigte Interesse ist die flexibelste Ausnahme in der Datenschutz-Grundverordnung, die die Verarbeitung personenbezogener Daten erlaubt. Die Branche hatte gehofft, dass sie genutzt werden kann, um grünes Licht für das Training von künstlicher Intelligenz mit personenbezogenen Daten zu geben.
„Die Bestätigung des EDSA, dass das ‚berechtigte Interesse‘ eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Entwicklung und dem Einsatz von KI-Modellen darstellt, ist ein wichtiger Schritt in Richtung mehr Rechtssicherheit“, sagte Claudia Canelles Quaroni, Experte bei dem IT-Lobbyverband CCIA, gegenüber Euractiv.
Dies bestätigt zwar die Möglichkeit der Einhaltung von Vorschriften durch ein berechtigtes Interesse, bedeutet aber nicht, dass KI-Unternehmen tun können, was sie wollen.
„[Berechtigtes Interesse] ist kein Freibrief“, betonte Gabriela Zanfir-Fortuna, Vizepräsidentin für globalen Datenschutz beim Future of Privacy Forum.
Es impliziere, dass die Rechte des Datenverarbeiters und die Rechte der betroffenen Personen im Hinblick auf die getroffenen Schutzmaßnahmen abgewogen werden müssten, fuhr sie fort.
In der Stellungnahme des Europäischen Datenschutzausschusses werden eine Reihe von Überlegungen für diese Abwägung angestellt. Besonders hervorgehoben wird, dass die Verarbeitung personenbezogener Daten den „angemessenen Erwartungen“ der betroffenen Personen entsprechen sollte.
Einige sagen, dass die Stellungnahme keine sinnvolle Klarheit bietet.
„Im Wesentlichen sagt der EDSA: Wenn Sie sich an das Gesetz halten, ist alles in Ordnung“, so ein Sprecher der NGO noyb gegenüber Euractiv.
„Aber soweit wir wissen, hält sich keiner der großen Akteure in der KI-Szene an die DSGVO“, fügte der Sprecher hinzu.
Schlupflöcher und Lieferketten
Offene Fragen
Der EDSA benannte mehrere wichtige Fragen, die außerhalb des Geltungsbereichs der Stellungnahme liegen.
Erstens umfasst sie ausdrücklich nicht die besonders sensiblen „Sonderkategorien personenbezogener Daten“, deren Verarbeitung nicht durch berechtigte Interessen gerechtfertigt werden kann.
Dies ist besonders relevant für KI-Modelle, die Sonderkategorien von Daten ableiten könnten, selbst wenn sie nur mit nicht-sensiblen Daten trainiert wurden.
Zweitens könnten viele Anwendungsfälle von künstlicher Intelligenz als automatisierte Entscheidungsfindung eingestuft werden, die nach der Datenschutz-Grundverordnung verboten ist, sofern keine spezifischen Kriterien erfüllt werden.
Da vieles offenbleibt, werden die Ergebnisse von den Auslegungen der Datenschutzbehörden abhängen.
Die Branche hofft vermutlich auf eine minimalistische Durchsetzung.
„Die DSBs müssen nun schnell einen pro-innovativen Ansatz bei der Anwendung der Stellungnahme verfolgen – um Unternehmen dringend benötigte Rechtssicherheit zu geben und unnötige Verzögerungen bei der Einführung wichtiger KI-Innovationen zu vermeiden“, äußerte Marco Leto Barone, Policy Director des Information Technology Industry Council, gegenüber Euractiv.
[Bearbeitet von Chris Powers/Martina Monti/Kjeld Neubert]