Die Datenschutz-Grundverordnung (DSGVO) prägt den rechtlichen Rahmen für den Einsatz und die Entwicklung von KI-Modellen innerhalb der EU. Der Europäische Datenschutzausschuss (EDSA) hat nun eine gemeinsame Linie veröffentlicht, um die DSGVO-konforme Verarbeitung personenbezogener Daten für KI zu regeln. Dabei liegt der Fokus auf der Vereinbarkeit innovativer Technologien mit Datenschutzstandards.
Berechtigtes Interesse als GrundlageDie neue Position der EU-Datenschützer erlaubt es Unternehmen wie Google, Meta oder OpenAI, personenbezogene Daten auf Basis eines „berechtigten Interesses" zu verarbeiten. Diese Rechtsgrundlage bietet Flexibilität, ist jedoch an strenge Bedingungen geknüpft. Der EDSA betont, dass die Verarbeitung nicht uneingeschränkt erfolgen darf. Vielmehr müssen Unternehmen nachweisen, dass ihre Datenverarbeitung legitime Zwecke verfolgt und keine unverhältnismäßigen Risiken für die Rechte und Freiheiten der Betroffenen mit sich bringt.
Der 3-Stufen-TestZur Beurteilung des berechtigten Interesses soll ein dreistufiges Verfahren angewandt werden:
- Legitimitätsprüfung: Zunächst wird geprüft, ob die Verarbeitung rechtlich gerechtfertigt ist. Dabei geht es um den Zweck der Datenverarbeitung und die Frage, ob dieser mit den Grundprinzipien der DSGVO vereinbar ist.
- Erforderlichkeitsprüfung: Die Verarbeitung muss notwendig sein, um das angestrebte Ziel zu erreichen. Es dürfen keine alternativen, weniger eingriffsintensiven Methoden verfügbar sein.
- Abwägung der Interessen: Schließlich erfolgt eine Bewertung der Interessen der KI-Anbieter im Verhältnis zu den Grundrechten der betroffenen Personen. Besonders berücksichtigt werden dabei spezifische Risiken für Bürgerrechte, die mit der Datenverarbeitung durch KI einhergehen könnten.
Der EDSA hebt hervor, dass jeder Fall individuell zu beurteilen ist. Kontext, Art der Daten und mögliche Auswirkungen auf die Betroffenen spielen dabei eine zentrale Rolle.
Beispiel für zulässige VerarbeitungAls praktisches Beispiel nennt der EDSA Sprachassistenten, die Nutzern bei Cybersicherheitsfragen helfen. In solchen Fällen könnten berechtigte Interessen vorliegen, wenn die Verarbeitung absolut notwendig ist und eine Balance zwischen den Rechten der Betroffenen und den Vorteilen für die Allgemeinheit gewahrt wird.
Bedeutung der AnonymisierungDie Anonymisierung personenbezogener Daten ist ein Schlüsselpunkt der DSGVO. Laut EDSA darf es praktisch unmöglich sein, eine Person direkt oder indirekt zu identifizieren. Weiterhin müssen Daten so verarbeitet werden, dass keine persönlichen Informationen durch Abfragen oder Rückschlüsse extrahiert werden können. Diese Anforderungen sollen verhindern, dass rechtswidrig erhobene Daten in KI-Modellen verwendet werden.
Falls ein Modell auf solchen unrechtmäßig verarbeiteten Daten basiert, könnte es zu einem Verbot des Modells führen. Eine Ausnahme gilt nur, wenn die betreffenden Daten vollständig und nachweislich anonymisiert wurden.
Einheitliche Umsetzung in der EUDie Stellungnahme des EDSA zielt darauf ab, eine einheitliche Regulierung und Durchsetzung der DSGVO in der EU sicherzustellen. Die nationale Aufsicht, wie etwa die irische Datenschutzbehörde (DPC), wird dabei unterstützt. Diese hatte bereits eine zentrale Rolle in der Taskforce rund um ChatGPT gespielt, die im Jahr 2023 gegründet wurde. Der Fokus lag auf datenschutzrechtlichen Bedenken, die durch den Einsatz von generativen KI-Modellen aufkamen.
Auswirkungen auf Unternehmen und InnovationDie gemeinsamen Leitlinien bieten Unternehmen eine gewisse Rechtssicherheit, wie sie KI-Modelle im Einklang mit der DSGVO entwickeln und betreiben können. Gleichzeitig setzt der EDSA klare Grenzen, um den Schutz der Privatsphäre zu gewährleisten. Unternehmen müssen ihre Datenverarbeitung transparent gestalten und sicherstellen, dass sie den Anforderungen der DSGVO entsprechen.
Der IT-Verband CCIA begrüßte die Stellungnahme des EDSA als wichtigen Schritt für die Rechtssicherheit in der Branche. Innovation und Datenschutz sollen miteinander in Einklang gebracht werden, ohne dass die Entwicklung neuer Technologien ausgebremst wird.
Die Stellungnahme des EDSA verdeutlicht, wie die EU einen Balanceakt zwischen technologischer Innovation und Datenschutz vollziehen möchte. Während KI-Anwendungen auf ein berechtigtes Interesse als Grundlage zurückgreifen können, bleibt die Einhaltung strenger Datenschutzstandards unabdingbar. Der 3-Stufen-Test und die Betonung der Anonymisierung zeigen, dass die DSGVO sowohl Innovationen fördert als auch die Rechte der Betroffenen schützt. Dies unterstreicht die Bedeutung eines ethischen und sicheren Umgangs mit personenbezogenen Daten im Zeitalter der Künstlichen Intelligenz.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz