Der EDPB (European Data Protection Board oder Europäischer Datenschutzausschuss) hat eine Stellungnahme zur Verwendung personenbezogener Daten bei der Entwicklung und dem Einsatz von Modellen der künstlichen Intelligenz (KI) angenommen. Die CNPD empfiehlt dringend, sich mit diesem Dokument vertraut zu machen und es zu lesen.
Diese Stellungnahme präsentiert die ersten Leitlinien der europäischen Datenschutzbehörden zur Einhaltung der Vorschriften für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Entwicklung und dem Einsatz von KI-Systemen.
Ein erster Schritt wird für eine harmonisierte Anwendung der Datenschutzvorschriften im Kontext der Datenverarbeitung und der künstlichen Intelligenz gesetzt.
In dieser Stellungnahme wird untersucht,
- wann und wie KI-Modelle als anonym angesehen werden können,
- ob und wie berechtigtes Interesse als Rechtsgrundlage für die Entwicklung oder Nutzung von KI-Modellen verwendet werden kann und
- was passiert, wenn ein KI-Modell unter Verwendung unrechtmäßig verarbeiteter personenbezogener Daten entwickelt wird.
Sie berücksichtigt auch die Verwendung von Erst- und Drittdaten.
Die Stellungnahme wurde von der irischen Datenschutzbehörde (DPA) eingeholt, um eine europaweite Harmonisierung der Rechtsvorschriften anzustreben. Um Beiträge zu dieser Stellungnahme einzuholen, die sich mit schnelllebigen Technologien befasst, die wichtige Auswirkungen auf die Gesellschaft haben, organisierte der EDSA eine Veranstaltung für Interessenträger und tauschte sich mit dem EU-Amt für künstliche Intelligenz aus.
Die Vorsitzende des EDPB, Anu Talus, erklärte: „KI-Technologien können viele Chancen und Vorteile für verschiedene Branchen und Lebensbereiche mit sich bringen. Wir müssen sicherstellen, dass diese Innovationen ethisch, sicher und in einer Weise durchgeführt werden, die allen zugute kommt. Der EDSA möchte verantwortungsvolle KI-Innovationen unterstützen, indem er sicherstellt, dass personenbezogene Daten geschützt werden und die Datenschutz-Grundverordnung (DSGVO) uneingeschränkt eingehalten wird.“
In Bezug auf die Anonymität heißt es in der Stellungnahme, dass die Datenschutzbehörden von Fall zu Fall prüfen sollten, ob ein KI-Modell anonym ist. Damit ein Modell anonym ist, sollte es sehr unwahrscheinlich sein, (1) Personen, deren Daten zur Erstellung des Modells verwendet wurden, direkt oder indirekt zu identifizieren und (2) solche personenbezogenen Daten durch Abfragen aus dem Modell zu extrahieren. Die Stellungnahme enthält eine nicht verschreibungspflichtige und nicht erschöpfende Liste von Methoden zum Nachweis der Anonymität.
In Bezug auf das berechtigte Interesse enthält die Stellungnahme allgemeine Erwägungen, die die Datenschutzbehörden berücksichtigen sollten, wenn sie beurteilen, ob das berechtigte Interesse eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten für die Entwicklung und den Einsatz von KI-Modellen ist. Ein dreistufiger Test hilft dabei, die Nutzung berechtigter Interessen als Rechtsgrundlage zu beurteilen. Der EDSA nennt Beispiele für einen Konversationsagenten zur Unterstützung der Nutzer und den Einsatz von KI zur Verbesserung der Cybersicherheit. Diese Dienste können für Einzelpersonen von Vorteil sein und sich auf ein berechtigtes Interesse als Rechtsgrundlage stützen, jedoch nur, wenn sich die Verarbeitung als unbedingt erforderlich erweist und die Abwägung der Rechte gewahrt wird.
Die Stellungnahme enthält auch eine Reihe von Kriterien, anhand derer die Datenschutzbehörden beurteilen können, ob Einzelpersonen eine bestimmte Verwendung ihrer personenbezogenen Daten vernünftigerweise erwarten können. Zu diesen Kriterien gehören: ob die personenbezogenen Daten öffentlich zugänglich waren, die Art der Beziehung zwischen der Person und dem Verantwortlichen, die Art des Dienstes, der Kontext, in dem die personenbezogenen Daten erhoben wurden,die Quelle,aus der die Daten erhoben wurden, die möglichen weiteren Verwendungen des Modells und ob Einzelpersonen tatsächlich wissen, dass ihre personenbezogenen Daten online sind.
Ergibt der Abwägungstest, dass die Verarbeitung wegen der negativen Auswirkungen auf den Einzelnen nicht erfolgen sollte, können Abhilfemaßnahmen diese negativen Auswirkungen begrenzen. Die Stellungnahme enthält eine nicht erschöpfende Liste von Beispielen für solche Abhilfemaßnahmen, die technischer Natur sein oder Einzelpersonen die Ausübung ihrer Rechte erleichtern oder die Transparenz erhöhen können.
Wenn schließlich ein KI-Modell mit unrechtmäßig verarbeiteten personenbezogenen Daten entwickelt wurde, könnte sich dies auf die Rechtmäßigkeit seines Einsatzes auswirken, es sei denn, das Modell wurde ordnungsgemäß anonymisiert.
Angesichts des Umfangs des Antrags der irischen Datenschutzbehörde, der großen Vielfalt der KI-Modelle und ihrer raschen Entwicklung soll in der Stellungnahme eine Orientierungshilfe zu verschiedenen Elementen gegeben werden, die für die Durchführung einer Einzelfallanalyse verwendet werden können.
Darüber hinaus arbeitet der EDPB derzeit Leitlinien aus, die spezifischere Fragen wie das Web Scraping abdecken.