Datenschutz ermöglicht verantwortungsvolle KI: Ein juristischer Blick auf die EDSA-Stellungnahme

Die Europäische Datenschutzaufsichtsbehörde (EDSA) hat in ihrer Stellungnahme vom Oktober 2024 zentrale Fragestellungen zur datenschutzrechtlichen Regulierung von Künstlicher Intelligenz (KI) beleuchtet. In einer Zeit, in der KI-Technologien immer mehr Einfluss auf Gesellschaft, Wirtschaft und Innovation gewinnen, stellt sich die Frage, wie diese Entwicklung rechtlich begleitet und verantwortungsvoll gestaltet werden kann. Die Stellungnahme schafft wichtige Leitlinien für den Umgang mit personenbezogenen Daten in KI-Systemen und zeigt, dass Datenschutz nicht nur ein regulatorisches Hindernis, sondern auch ein Innovationsmotor sein kann.

Das Wichtigste in Kürze

• Die DSGVO definiert klare Anforderungen für die Verarbeitung personenbezogener Daten durch KI. Eine zentrale Rolle spielt das berechtigte Interesse gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO.
• Ein strukturierter Ansatz anhand des Drei-Stufen-Tests hilft, die Rechtmäßigkeit der Datenverarbeitung zu bewerten und eine Abwägung zwischen berechtigtem Interesse und Betroffenenrechten vorzunehmen....
• Rechtswidrig erlangte Daten dürfen nicht für KI-Modelle verwendet werden. Transparenz und präventive Maßnahmen sind entscheidend.

Hintergrund 

Die Stellungnahme der EDSA wurde auf Anfrage der irischen Datenschutzbehörde verfasst, um wesentliche Grundfragen der Anwendung der DSGVO auf KI zu klären. Dabei richtet sich der Fokus nicht auf die Zulässigkeit spezifischer KI-Modelle, sondern auf die Schaffung eines Rahmens, der eine einzelfallbezogene Prüfung ermöglicht. Die Landesdatenschutzbeauftragten von Rheinland-Pfalz und Baden-Württemberg begrüßten die Stellungnahme als wichtigen Schritt hin zu mehr Rechtssicherheit für Entwickler, Anwender und betroffene Personen.

Kernaussagen der Stellungnahme 

Der EDSA hat in seiner Stellungnahme drei zentrale Fragen identifiziert, die bei der Entwicklung und Nutzung von KI-Modellen berücksichtigt werden müssen:

1. Wann gilt ein KI-Modell als anonym? 

Die DSGVO findet keine Anwendung auf vollständig anonymisierte Daten, bei denen jeglicher Personenbezug ausgeschlossen ist. Allerdings gelten pseudonymisierte Daten weiterhin als personenbezogen und fallen somit unter die DSGVO. Die rechtliche Herausforderung liegt darin, sicherzustellen, dass eine Re-Identifikation der betroffenen Personen ausgeschlossen bleibt, auch unter Einsatz moderner Analysetechniken.

2. Darf KI-Training auf berechtigtes Interesse gestützt werden? 

Die EDSA-Stellungnahme betont die Bedeutung eines strukturierten Ansatzes bei der Bewertung der Rechtmäßigkeit der Datenverarbeitung gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO. Die Nutzung des berechtigten Interesses als Rechtsgrundlage erfordert eine detaillierte Prüfung anhand eines dreistufigen Tests:

• Identifikation eines legitimen Interesses: Unternehmen müssen klar darlegen, warum die Verarbeitung personenbezogener Daten notwendig ist. Beispiele für legitime Interessen sind die Verbesserung von Algorithmen, die Betrugsprävention oder die Gewährleistung von Netzwerksicherheit. Diese Ziele müssen jedoch gesetzeskonform sein und dürfen keine übermäßigen Risiken bergen.

• Nachweis der Notwendigkeit

Gibt es keine Alternativen wie anonymisierte oder synthetische Daten, die weniger in die Rechte der Betroffenen eingreifen?

Die Verarbeitung muss strikt erforderlich sein. Hierbei ist zu prüfen, ob weniger eingriffsintensive Alternativen verfügbar sind. Technologien wie synthetische Daten oder föderiertes Lernen können helfen, den Datenbezug zu minimieren.

• Abwägung der Interessen: 

Die Rechte und Erwartungen der betroffenen Personen stehen im Mittelpunkt. Unternehmen sollten transparente Informationen bereitstellen und Maßnahmen wie Datenminimierung, technische Sicherheitsvorkehrungen und klare Löschkonzepte umsetzen.

3. Welche Folgen hat unrechtmäßige Datenverarbeitung im KI-Kontext? 

Daten, die unrechtmäßig verarbeitet wurden, können nicht für die Entwicklung oder Anwendung von KI-Modellen genutzt werden. Dies gilt unabhängig davon, ob die Modelle bereits Ergebnisse liefern. Unternehmen müssen daher auf Transparenz und rechtzeitige Maßnahmen setzen, um Rechtsverstöße zu vermeiden.

Die Praxis: Datenschutz als Innovationsmotor

Datenschutz ist weit mehr als nur eine gesetzliche Verpflichtung – er bietet Unternehmen konkrete Vorteile, insbesondere im Kontext von KI. Verantwortungsbewusste Unternehmen können datenschutzfreundliche Technologien als Wettbewerbsvorteil nutzen, um Vertrauen bei Kunden, Partnern und Aufsichtsbehörden aufzubauen.

1. Privacy-by-Design und Privacy-by-Default Bereits in der Entwicklungsphase von KI-Systemen sollten Datenschutzmechanismen fest integriert werden. Die Einhaltung von Prinzipien wie Datenminimierung, Zweckbindung und Transparenz gewährleistet, dass KI-Systeme von Anfang an den Anforderungen der DSGVO entsprechen. Hierzu gehören:

• Frühzeitige Risikobewertung: Durchführung von Datenschutz-Folgenabschätzungen (DPIAs) bei sensiblen Projekten.
• Eindeutige Löschkonzepte: Daten sollten nur so lange gespeichert werden, wie sie tatsächlich benötigt werden.

2. Technologische Innovationen zum Schutz personenbezogener Daten Der Einsatz modernster Technologien kann den Datenschutz weiter stärken und gleichzeitig Innovation ermöglichen:

• Differential Privacy: Diese Technik fügt gezielt "Rauschen" zu Daten hinzu, um Rückschlüsse auf Einzelpersonen zu verhindern, ohne den analytischen Wert der Daten zu beeinträchtigen.
• Federated Learning: Ermöglicht KI-Modelle, ohne Daten zentral zu speichern. Daten bleiben lokal auf Geräten, und nur aggregierte Modelle werden geteilt.
• Synthetische Daten: Hierbei werden künstliche Datensätze erstellt, die keine realen Personen referenzieren, aber ähnliche Eigenschaften wie echte Daten aufweisen.

3. Transparenz als Schlüssel Unternehmen sollten darauf achten, die Verarbeitung personenbezogener Daten klar zu kommunizieren. Transparenz ist nicht nur eine gesetzliche Anforderung, sondern auch entscheidend für den Aufbau von Vertrauen. Dies umfasst:

• Verständliche Datenschutzhinweise.
• Offene Kommunikation zu eingesetzten Technologien und deren Auswirkungen.

Fazit

Die Stellungnahme der EDSA verdeutlicht, dass datenschutzkonforme KI nicht nur eine regulatorische Notwendigkeit ist, sondern auch als Wegbereiter für vertrauenswürdige und ethische Technologien dient. Europa hat mit der DSGVO bereits weltweit anerkannte Standards gesetzt. Die Leitlinien der EDSA stärken diese Position, indem sie Entwicklern und Anwendern gleichermaßen Orientierung bieten.