Suche 
Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein.
Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die DS-GVO ganz allgemein die Verarbeitung personenbezogener Daten regelt. Inhaltlich sind die beiden Regelungswerke aber weitestgehend identisch, die Richtlinie damit auf die DS-GVO übertragbar. Die Richtlinie sollte für Unternehmen, die generative KI-Systeme entwickeln oder einsetzen, daher als Leitlinie dienen.
Datenschutz und KI – ein Überblick
Sowohl die EU-DSVO als auch die DS-GVO sind technologieneutral ausgestaltet. Das heißt, diese beiden Regelungswerke sind anwendbar, solange und soweit personenbezogene Daten verarbeitet werden unabhängig auf welchem Weg. Auch beim Einsatz von generativer KI können personenbezogene Daten verarbeitet werden, zum Beispiel während der Trainings-, der Input oder auch der Outputphase. Datenschutzrechtlich verantwortlich ist und bleibt aber der Anwender des KI-Systems. Wann und wie Daten durch intelligente Algorithmen verarbeitet werden, ist nicht immer leicht zu erkennen. Die Richtlinie bietet daher eine Hilfestellung, was Anwender beim Einsatz von KI-Systemen im Hinblick auf den Datenschutz alles beachten müssen.
Datenrichtigkeit und Datenminimierung auch beim Einsatz von KI
Die Grundsätze der Datenrichtigkeit und Datenminimierung gelten auch beim Einsatz generativer KI. Die Verarbeitung personenbezogener Daten muss angemessen, sachdienlich und auf das für den jeweiligen Zweck erforderliche Maß beschränkt sein. Diese Verpflichtung gilt für den gesamten Lebenszyklus des Systems, einschließlich der Test-, Abnahme- und Produktionsphase.
Die Qualität sollte vor Quantität der Datensätze Vorrang haben. Gut strukturierte Datensätze und die Überwachung des Trainingsprozesses sind entscheidend. Zur Sicherstellung der Datenrichtigkeit müssen qualitativ hochwertige Trainingsdatensätze verwendet und während des gesamten Lebenszyklus der KI, einschließlich der Test-, Abnahme- und Produktionsphase, regelmäßige Kontrollen durchgeführt werden, um ungenaue Informationen und Diskriminierung zu vermeiden. Die Ausgabedaten, einschließlich der vom Modell gezogenen Schlüsse müssen regelmäßig von menschlicher Aufsicht überwacht werden. Die Entwickler sollten während des Trainings Validierungssets verwenden und separate Testsätze für die abschließende Bewertung verwenden, um eine Einschätzung der Systemleistung vornehmen zu können.
Rechenschaftspflicht und Rechtmäßigkeit der Verarbeitung
Um der Rechenschaftspflicht zu genügen, ist es wichtig, die Rollenverteilung (Verantwortlicher, Auftragsverarbeiter usw.) bei den unterschiedlichen Datenverarbeitungsvorgängen klar zu definieren. Das gilt insbesondere bei der Nutzung generativer KI-Systeme von Drittanbietern. Die Rechtmäßigkeit der Datenverarbeitung kann mit einem überwiegenden berechtigten Interesse des Verantwortlichen oder eines Dritten begründet werden. Beim Einsatz generativer KI wird für die Bejahung des überwiegenden berechtigten Interesses aber eine komplexere Abwägung erforderlich sein. Rechtsunsicherheiten sind damit vorprogrammiert. Nutzt die Institution KI-Systeme eines Drittanbieters, muss die Institution sicherstellen, dass der Drittanbieter diese Anforderungen erfüllt.
Datensicherheit und Datenschutzfolgeabschätzung
Bei der Datenschutzfolgenabschätzung für generative KI-Systeme ist es entscheidend, Datenschutzrisiken von erstem Tag an zu lokalisieren. Dies erfordert eine kontinuierliche Überwachung und Risikobewertung, gerade vor dem Hintergrund, dass sich die KI auch kontinuierlich weiterentwickelt. Datenschutzrisiken müssen schnellstmöglich identifiziert und behoben werden. Den Anwendern generativer KI wird empfohlen, nur Datensätze zu verwenden, die von vertrauenswürdigen Quellen stammen, und regelmäßig Überprüfungs- und Validierungsverfahren durchzuführen, auch für interne Datensätze. Die herkömmlichen IT-Sicherheitsmechanismen dürften hier an ihre Grenzen kommen, sodass ggf. spezielle Sicherheitsvorkehrungen implementiert werden müssen. Spezifische Sicherheitsrisiken, die sich aus der Nutzung von generativer KI ergeben sind unzuverlässige Trainingsdaten, die Komplexität der Systeme, Undurchsichtigkeit, Probleme bei der Durchführung angemessener Test sowie Schwachstellen in den Sicherheitsvorkehrungen des Systems. Der Anwender generativer KI ist bei der Datenverarbeitung verpflichtet, den Rat des Datenschutzbeauftragten einzuholen, wenn er eine Datenschutzfolgenabschätzung vornimmt. Aufgrund dessen Bewertung müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die ermittelten Risiken unter Berücksichtigung der Verantwortlichkeiten zu mindern.
Rechte der Betroffenen und des Datenschutzbeauftragten
Generative KI-Systeme stellen besondere Anforderung an die Durchsetzung von Betroffenenrechten. Damit der Auskunfts-, Berichtigungs- und Löschungsanspruch oder auch das Widerspruchsrecht ordnungsgemäß erfüllt werden können, muss das KI-System zunächst verstanden werden. Dies erfordert detaillierte Informationen über die Funktionsweise der Algorithmen und die verarbeiteten Datensätze, insbesondere muss nachvollziehbar sein, wie personenbezogene Daten aufgezeichnet werden. Zu bedenken ist ferne, dass die Ausübung bestimmter Rechte, wie beispielsweise des Löschungsanspruchs, Auswirkungen auf die Wirksamkeit der generativen KI haben kann. Fehlen Datensätze, kann die Ergebnisqualität der generativen KI nachlassen. Auch der Datenschutzbeauftragte muss die technischen Mechanismen verstehen, um mögliche datenschutzrechtliche Schwachstellen identifizieren zu können. Das beinhaltet insbesondere Informationen darüber, wie und wann die generative KI personenbezogene Daten verarbeitet und wie die Eingabe-, Ausgabe- und Entscheidungsprozesse durch die KI funktionieren. Das dürfte bei unbeaufsichtigtem Training der Systeme und einer automatisierten Entscheidungsfindung schwierig werden.
Ausblick
Früher oder später werden Unternehmen nicht mehr an künstlicher Intelligenz vorbeikommen. Die KI-Technologien entwickeln sich kontinuierlich weiter und lernen jeden Tag dazu. Dass die rechtlichen Rahmenbedingungen (insbesondere der AI Act und die KI-Verordnung) mit der Schnelllebigkeit der KI nicht Schritt halten können, stellt Arbeitgeber vor eine besondere Herausforderung. Eine gut etablierte KI-Regulierung und ein KI-Compliance Management sind daher entscheidend. Die Anwender von generativen KI-Systemen sollten nachvollziehen können, wie die KI-Systeme arbeiten und personenbezogene Daten verarbeitet werden. So können Arbeitgeber gewährleisten, dass KI-Technologien verantwortungsvoll und rechtskonform eingesetzt werden können.
