10. Januar 2025
Künstliche Intelligenz

Datenschutz und KI: Datenschutzbehörden beantworten wichtige Fragen 

Die europäischen Datenschutzbehörden haben sich in einer aktuellen Stellungnahme zu zentralen datenschutzrechtlichen Fragen im Zusammenhang mit der Entwicklung und der Nutzung von KI-Modellen geäußert.

Der Europäische Datenschutzausschuss (EDSA) hat am 18. Dezember 2024 eine Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen der Entwicklung und Nutzung von KI-Modellen veröffentlicht (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models). Die Stellungnahme geht auf einen Antrag der irischen Data Protection Commission (DPC) gem. Art. 64 Abs. 2 DSGVO im Zusammenhang mit zwei Verfahren zurück, welche die DPC wegen der Verwendung personenbezogener Daten zur Entwicklung und Nutzung von KI-Modellen gegen Meta und X führt. Ziel des Antrags war es, die rechtliche Bewertung von Datenverarbeitungen im Rahmen von KI‑Modellen durch die Datenschutzbehörden europaweit stärker zu harmonisieren.

Die Stellungnahme ist eine „Segelanweisung“ an die europäischen Datenschutzbehörden (der EDSA spricht auf Englisch von einem „Framework“) und wird deren weiteres Vorgehen mit Blick auf KI-Modelle prägen. Dem Antrag der DPC folgend ist die Stellungnahme des EDSA in ihrem inhaltlichen Umfang beschränkt und befasst sich ausschließlich mit den folgenden vier Fragen: 

  1. Unter welchen Voraussetzungen können KI-Modelle als anonym angesehen werden?
  2. Unter welchen Voraussetzungen kann die Entwicklung von KI-Modellen auf die Rechtsgrundlage des berechtigten Interesses gestützt werden?
  3. Unter welchen Voraussetzungen kann die Nutzung von KI-Modellen auf die Rechtsgrundlage des berechtigten Interesses gestützt werden?
  4. Welche Folgen haben datenschutzrechtliche Verstöße bei der Entwicklung eines KI-Modells für dessen spätere Nutzung? 

Die wichtigsten Aussagen des EDSA im Überblick

Angesichts der erheblichen Komplexität der Materie – der EDSA verweist zurecht auf die große Vielfalt an KI-Modellen und deren rasante Entwicklung –, tut sich der EDSA in seiner Stellungnahme schwer damit, pauschale und allgemeingültige Aussagen zu konkreten Fragen zu treffen. Vielmehr findet sich dort wiederholt die Aussage, dass die Aufsichtsbehörden bei der Bewertung von Verarbeitungstätigkeiten im Zusammenhang mit KI-Modellen stets die Umstände des Einzelfalls berücksichtigen müssten. Der Mehrwert der Stellungnahme besteht vor allem darin, dass der EDSA den Verantwortlichen aufzeigt, welche datenschutzrechtlichen Fragen sich im Zusammenhang mit der Entwicklung und der Nutzung von KI-Modellen im Anwendungsbereich der DSGVO unter anderen stellen.

Die von der DPC aufgeworfenen Fragen beantwortet der EDSA wie folgt: 

1. Unter welchen Voraussetzungen können KI-Modelle als anonym angesehen werden?

Laut EDSA sollen KI-Modelle nur dann als anonym anzusehen sein, wenn es sehr unwahrscheinlich ist, dass sich aus ihnen personenbezogene Daten extrahieren lassen. Neben dieser abstrakten Feststellung, die sich an Erwägungsgrund 26 Satz 4 DSGVO orientiert, enthält die Stellungnahme auch konkrete Vorgaben an die nationalen Aufsichtsbehörden, um die vom Verantwortlichen behauptete Anonymität eines KI-Modells zu überprüfen.   

Will sich der Verantwortliche auf die Anonymität seines KI-Modells berufen, liegt die „Beweislast“ bei ihm: Er muss die Aufsichtsbehörde auf Basis der von ihm durchgeführten Tests und der von ihm erstellten Dokumentation davon überzeugen, dass sich aus seinem KI-Modell keine personenbezogenen Daten extrahieren lassen. Zu der vom Verantwortlichen zu erstellenden Dokumentation enthält die Stellungnahme ebenso Vorgaben wie zu den durchzuführenden Tests.  

2. Unter welchen Voraussetzungen kann die Entwicklung und Nutzung von KI-Modellen auf die Rechtsgrundlage des berechtigten Interesses gestützt werden?

Die zweite und die dritte Frage werden vom EDSA gemeinsam abgehandelt. Der Stellungnahme ist die Aussage zu entnehmen, dass die Entwicklung und Nutzung von KI-Modellen grundsätzlich auf die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden kann. Allerdings zeigen die weiteren Ausführungen, dass die diesbezüglichen Hürden nicht unbedingt gering sind. Die Stellungnahme listet eine Vielzahl unterschiedlicher Faktoren auf, die im Rahmen des Prüfschemas nach Art. 6 Abs. 1 lit. f DSGVO – je nach Einzelfall – zu berücksichtigen sind. Beispielhaft sei hier das Erfordernis genannt, den Umfang der Trainingsdaten strikt auf das erforderliche Maß zu beschränken (Grundsatz der Datenminimierung). 

Interessant ist auch die Frage nach der Herkunft der Trainingsdaten: Insbesondere die niederländische Datenschutzbehörde hat sich in der Vergangenheit sehr kritisch gegenüber der Praxis gezeigt, Daten zu KI-Trainingszwecken aus dem Internet zu scrapen. Der EuGH ist diesem Pauschalvorbehalt in seiner Entscheidung vom 4. Oktober 2024 zum Aktenzeichen C‑621/22 entgegengetreten und auch der EDSA steht dem Webscraping nicht grundsätzlich ablehnend gegenüber. Gleichwohl ergibt sich aus der Stellungnahme, dass der Verantwortliche sehr genau zu prüfen hat, ob die betroffenen Personen vernünftigerweise mit einem Webscraping ihrer Daten zur Entwicklung von KI-Modellen rechnen mussten. Auch wird daran erinnert, dass gegenüber den Betroffenen grundsätzlich Informationspflichten bestehen und diese der Verarbeitung ihrer Daten widersprechen können müssen. 

Schließlich soll der Verantwortliche im Rahmen seiner Interessenabwägung insbesondere auch das Missbrauchspotenzial des KI-Modells (z.B. die Erstellung von Deepfakes bei generativer KI) berücksichtigen. Der EDSA nennt beispielhaft verschiedene Maßnahmen, die Verantwortliche ergreifen können, um die bestehenden Risiken zu minimieren und die Interessenabwägung zu ihren Gunsten zu beeinflussen.   

Einer Pressemitteilung des EDSA zur Folge arbeitet dieser an Leitlinien, die sich auch näher mit Fragen des Webscrapings im KI-Kontext befassen sollen. Es bleibt abzuwarten, ob diese Leitlinien für zusätzliche Klarheit sorgen werden. 

3. Welche Folgen haben datenschutzrechtliche Verstöße bei der Entwicklung eines KI-Modells für dessen spätere Nutzung?

Schließlich befasst sich der EDSA mit der äußerst praxisrelevanten Frage, welche Konsequenzen es für die Nutzung eines KI-Modells hat, dass dieses unter Verstoß gegen datenschutzrechtliche Bestimmungen entwickelt wurde. 

Die Behörden stellen fest, dass jedenfalls dann keine negativen Folgen drohen, wenn das KI-Modell selbst als anonym anzusehen ist. Ist dies nicht der Fall, sollen die Behörden laut EDSA unter Berücksichtigung der Umstände des Einzelfalls die angemessenen Rechtsfolgen prüfen. Im Klartext bedeutet dies, dass Rechtsverstöße während der Entwicklungsphase im schlimmsten Fall dazu führen können, dass das Modell nicht eingesetzt werden darf. Insoweit soll es aber auch darauf ankommen, welche Sorgfalt der vom Entwickler personenverschiedene Betreiber des KI-Modells bei der Überprüfung der Rechtmäßigkeit des Modells an den Tag gelegt hat. Es scheint so, als wolle der EDSA dann Nachsicht walten lassen, wenn der Betreiber alles in seiner Macht Stehende getan hat, um sich von der datenschutzkonformen Entwicklung des Modells durch einen personenverschiedenen Dritten zu überzeugen.     

Fazit

Die Stellungnahme des EDSA ist ein guter erster Versuch ist, sich einigen besonders relevanten datenschutzrechtlichen Fragen im Zusammenhang mit der Entwicklung und Nutzung von KI-Modellen zu nähern

Die Stellungnahme stärkt Datenschutzabteilungen und Datenschutzbeauftragten den Rücken, die sich innerhalb ihrer Unternehmen gegenüber anderen Abteilungen behaupten müssen, wenn es um die Abwägung der Chancen und Risiken der Entwicklung und des Einsatzes von KI innerhalb des Anwendungsbereichs der DSGVO geht. Es wird deutlich, dass die Verarbeitung personenbezogener Daten im Zusammenhang mit KI – unabhängig von deren grundsätzlicher Zulässigkeit im Einzelfall – jedenfalls einen nicht unerheblichen Prüf- und Dokumentationsaufwand bedeutet.

Positiv festzuhalten ist der Umstand, dass berechtigte Interessen nach Art. 6 Abs. lit. f DSGVO laut EDSA grundsätzlich als Rechtsgrundlage in Betracht kommen. Denn anders wäre insbesondere die Entwicklung von KI-Modellen im Anwendungsbereich der DSGVO kaum denkbar. Rechtssicherheit schafft weiter auch die Feststellung, dass Datenschutzverstöße bei der Entwicklung eines KI-Modells dessen spätere Verwendung jedenfalls dann nicht in Frage stellen, wenn dieses als anonym anzusehen ist. Diese Feststellung verringert das Risiko, dass einzelne datenschutzrechtliche Verstöße in der Entwicklungsphase das gesamte Vorhaben und die wirtschaftliche Verwertbarkeit des jeweiligen Modells gefährden.

This article is also available in English.

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: Viel hilft viel (?): Die KI-Governance Struktur nach der KI-VODurchsetzung der KI-VO auf europäischer Ebene: EU AI OfficeMithilfe Künstlicher Intelligenz plötzlich Urheber?Robo Advisor als Zukunft der GeldanlageKünstliche Intelligenz und der Journalismus der ZukunftWettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Tags: Datenschutzrecht EDSA künstliche Intelligenz