Künstliche Intelligenz und Datenschutz: Innovation im Einklang mit den Grundsätzen der DSGVO

Künstliche Intelligenz (KI) eröffnet in zahlreichen Branchen beispiellose Möglichkeiten für Innovation und Effizienz. Gleichzeitig bietet die Datenschutz-Grundverordnung (DSGVO) einen umfassenden Rechtsrahmen, der sicherstellt, dass KI verantwortungsvoll eingesetzt wird, die Rechte der Betroffenen respektiert und Vertrauen in neue Technologien gefördert wird.

Angesichts der zunehmenden Verbreitung von KI hat der Europäische Datenschutzausschuss (EDPB) am 18. Dezember 2024 auf Anfrage der irischen Datenschutzbehörde eine bedeutende Stellungnahme zur DSGVO-konformen Nutzung personenbezogener Daten bei der Entwicklung und dem Einsatz von KI-Modellen veröffentlicht. Dieses Dokument liefert entscheidende Leitlinien für Entwickler und Datenverantwortliche.

Kernthemen der EDPB-Stellungnahme

Die Stellungnahme behandelt unter anderem:

  • Wann ein KI-Modell als anonym gilt.
  • Unter welchen Bedingungen berechtigte Interessen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei KI-Entwicklung oder -Nutzung herangezogen werden können.
  • Rechtliche Konsequenzen, wenn ein KI-Modell mit rechtswidrig erhobenen personenbezogenen Daten trainiert wurde.
  • Die Nutzung von Daten aus erster und dritter Hand beim Training.

KI-Lebenszyklus und Datenschutzaspekte

Die Stellungnahme unterteilt den Lebenszyklus von KI in zwei Phasen:

  1. Entwicklungsphase – umfasst Erstellung, Entwicklung, Erhebung und Aufbereitung von Trainingsdaten, Modelltraining und Feinabstimmung.
  2. Einsatzphase – Nutzung des KI-Modells und alle Aktivitäten nach der Entwicklungsphase.

Der EDPB betont, dass in jeder Phase personenbezogene Daten verarbeitet werden können, was DSGVO-Pflichten wie die Bestimmung der Rechtsgrundlage, Transparenz und Rechenschaftspflicht auslöst.

Definition der Anonymität von KI-Modellen

Die Feststellung, ob ein KI-Modell anonym ist, erfolgt fallbezogen durch nationale Aufsichtsbehörden. Ein Modell gilt nicht als anonym, wenn:

  • Es zur Analyse personenbezogener Daten oder zur Bereitstellung von Ergebnissen für identifizierbare Personen dient.
  • Es die Stimme oder andere Merkmale einer bestimmten Person nachahmt.
  • Es auf Datensätzen trainiert wurde, die personenbezogene Daten enthalten und nicht ausreichend anonymisiert sind.

Damit ein KI-Modell als anonym gilt, muss die Wahrscheinlichkeit, dass eine natürliche Person direkt oder indirekt identifizierbar ist, minimal sein, und es darf nicht möglich sein, über Abfragen personenbezogene Daten zu extrahieren. Effektive technische Schutzmaßnahmen sind erforderlich, um eine Re-Identifizierung zu verhindern.

Bewertungsfaktoren der Aufsichtsbehörden

Der EDPB nennt exemplarisch, nicht abschließend, folgende Kriterien zur Prüfung von Anonymitätsansprüchen:

  1. Modellgestaltung
    • Einschränkungen bei der Datenerhebung und Auswahl der Quellen.
    • Vorverarbeitung: Anonymisierung, Verschlüsselung, Datenminimierung, Entfernung irrelevanter Informationen.
    • Methodische Maßnahmen zur Reduzierung der Identifizierbarkeit.
  2. Modellanalyse
    • Wahrscheinlichkeit einer Re-Identifizierung.
    • Vorhandensein technischer und organisatorischer Kontrollen.
  3. Testen und Widerstandsfähigkeit
    • Umfang, Häufigkeit und Qualität interner Tests.
    • Überprüfung der Robustheit gegen Angriffe.
  4. Dokumentation und Rechenschaftspflicht
    • Risikobewertungen, Datenschutz-Folgenabschätzungen (DSFA), Stellungnahme des Datenschutzbeauftragten (DSB).
    • Maßnahmen zur Reduzierung der Identifizierbarkeit.
    • Dokumentation der Quellen der Trainingsdaten.

Praktische Bedeutung

Die Stellungnahme bietet praktische Leitlinien für Entwickler und Datenverantwortliche, um die rechtskonforme und verantwortungsvolle Nutzung von KI zu gewährleisten. Sie unterstreicht, dass in allen Phasen eine DSGVO-konforme Rechtsgrundlage erforderlich ist und definiert die Bedingungen für die Anonymität von KI-Modellen sowie technische Möglichkeiten zu deren Nachweis.

Dieses Dokument ist ein entscheidender Schritt, um Innovation und Datenschutz in Einklang zu bringen, und stellt sicher, dass KI-Entwicklungen rechtskonform, ethisch und transparent erfolgen.

Katona & Partners Law Firm
(Katona & Partner Rechtsanwaltssozietät / Attorneys’ Association)
H-106 Budapest, Tündérfürt utca 4.
Tel.: +36 1 225 25 30
Mobile: +36 70 344 0388
Fax: +36 1 700 27 57
g.katona@katonalaw.com
www.katonalaw.com

Segítünk kérdései megválaszolásában!

Ha kérdése merült fel a cikkben olvasottakkal kapcsolatban, ügyvédi irodánk szakértői örömmel segítenek Önnek.
Lépjen velünk kapcsolatba még ma!
  • Katona és Társai Ügyvédi Társulás
  • H-1106 Budapest, Tündérfürt u. 4.
  • +36 1 225 25 30 Fax: +36 1 225 2539
  • info@katonalaw.com

Katona és Társai Ügyvédi Társulás
H-1106 Budapest, Tündérfürt u. 4.
Tel: +36 1 225 25 30 Fax: +36 1 225 2539
central@katonalaw.com

Facebook Twitter Linkedin

© KATONA & PARTNERS – Katona és Társai Ügyvédi Társulás – Minden jog fenntartva!
A honlapon található képi és szöveges tartalmak bármilyen célú felhasználása engedélyhez kötött!