Europäische Datenschutzaufsicht gibt Orientierungspunkte für Künstliche Intelligenz: Der Weg für eine mit dem Datenschutzrecht vereinbare KI in Europa ist offen

Gemeinsame Presseerklärung der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und Baden-Württemberg vom 18.12.2024

Der Europäische Datenschutzausschuss (EDSA) hat heute eine Stellungnahme veröffentlicht, die wesentliche Grundfragen der Anwendung des Datenschutzrechts auf Künstliche Intelligenz behandelt. Anlass für die Befassung mit dem Thema war ein Stellungnahmeersuchen der irischen Datenschutzbehörde an den EDSA.

Die Stellungnahme trifft keine Aussagen zur Zulässigkeit konkreter KI-Modelle, die bereits auf dem Markt sind, sondern errichtet Leitplanken für eine datenschutzrechtliche Prüfung von KI-Systemen im Einzelfall und für deren Gestaltung. Die Stellungnahme bringt damit die datenschutzrechtliche Diskussion um KI in der EU/EWR deutlich voran. Die Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und Baden-Württemberg begrüßen die Stellungnahme des EDSA grundsätzlich als wichtigen Schritt in Richtung Rechtssicherheit sowohl für Entwickler und Anwender von KI-Systemen als auch für Personen, deren Daten in diesem Zusammenhang verarbeitet werden. Sie betrachten die Stellungnahme außerdem als hilfreiche Orientierungspunkte für die Ausübung der aufsichtsrechtlichen Befugnisse der Datenschutzbehörden in Deutschland.

Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, hält fest: „Der weitere Weg zu zukunftsträchtiger und zugleich datenschutzgerechter KI ist damit offen. Für Europa ist es eine große Chance, anwendungsorientierte KI-Systeme zu entwickeln, bei denen vielleicht nicht immer die grundlegenden Modelle den Standards des EU-Datenschutzrechts entsprechen, aber die darauf aufbauenden Anwendungen sehr wohl.“

Prof. Dr. Tobias Keber, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, sagt: „Die Stellungnahme des EDSA trägt zu mehr Klarheit in einem komplizierten und sich dynamisch entwickelnden Technologiesektor bei. Ein klar aufgestellter Datenschutz ist gerade kein Hemmnis für die Entwicklung von KI, sondern vielmehr ein Garant dafür, dass die KI den Bürgerinnen und Bürgern dient und nicht umgekehrt.“

Einzelheiten zur EDSA-Stellungnahme:

Die irische Datenschutzbehörde hat den EDSA gemäß Artikel 64 Abs. 2 DSGVO um eine Stellungnahme zu Fragen von allgemeiner Geltung bzw. mit Auswirkungen in mehr als einem Mitgliedstaat ersucht:

• Können KI-Modelle, die mit personenbezogenen Daten trainiert wurden, auch als personenbezogen einzustufen sein? Oder sind sie in jedem Fall als anonym zu behandeln?
  – Praxisrelevant ist diese Frage, weil von der Antwort abhängt, ob die KI-Modelle dem Datenschutzrecht unterliegen.
• Unter welchen Umständen können sich Entwickler und Anbieter von KI-Modellen auf Art. 6 Abs. 1 lit. f DS-GVO (Verarbeitung aufgrund berechtigter Interessen) als datenschutzrechtliche Rechtsgrundlage für das Training und die Anwendung von KI-Modellen beziehen, soweit hierbei personenbezogene Daten verarbeitet werden?
  – Dies spielt vor allem dann eine Rolle, wenn personenbezogene Daten als Trainingsdaten für KI-Modelle aus dem freien Internet gesammelt werden oder wenn die Betreiber von Social-Media-Plattformen die Daten ihrer Nutzer und Nutzerinnen für das Training von KI-Modellen weiterverwenden möchten. Soweit die Datenverarbeitung sich tatsächlich auf ein berechtigtes Interesse stützen ließe, wäre dies ohne die Einwilligung der betroffenen Personen möglich.
• Welche Auswirkungen auf den Einsatz eines KI-Modells als Teil eines KI-Systems hat es, falls festgestellt wird, dass ein KI-Modell datenschutzwidrig trainiert wurde? Kann zum Beispiel ein Unternehmen oder eine Behörde ein KI-Modell einsetzen, obwohl dieses unrechtmäßig trainiert wurde, wenn der spätere Einsatz selbst nicht gegen datenschutzrechtliche Vorschriften verstößt?
  – Die Frage trägt dem Umstand Rechnung, dass KI-Technologie entlang einer komplexen Wertschöpfungskette verlaufen kann, auf der in unterschiedlichen Verarbeitungsphasen verschiedene Akteure wirken können.

Der EDSA hält fest, dass KI-Modelle regelmäßig personenbezogene Daten enthalten. Vollständig anonyme KI-Modelle sind denkbar. Sofern sie jedoch mit personenbezogenen Daten trainiert wurden, lässt sich der notwendige Nachweis der Anonymität nur schwer führen. Damit ist das Datenschutzrecht regelmäßig auf KI-Modelle anwendbar, die mit personenbezogenen Daten trainiert wurden.

Im Hinblick auf das berechtigte Interesse als Rechtsgrundlage betont die Stellungnahme, dass unterschiedliche Szenarien zu unterschiedlichen Bewertungen führen können. Allerdings können die Rechte und Freiheiten der betroffenen Personen einer Verarbeitung zu Zwecken des Trainings von KI-Modellen oder der Verarbeitung bei der späteren Anwendung der Modelle im Rahmen von KI-Systemen durchaus entgegenstehen. Dies ist insbesondere dann der Fall, wenn die Verwendung der personenbezogenen Daten zu KI-Zwecken für die betroffenen Personen nicht vorhersehbar war oder wenn die Verarbeitung nicht als angemessen erscheint. Bürgerinnen und Bürger müssen nicht grundsätzlich damit rechnen und es auch nicht generell akzeptieren, dass alle über sie im Internet verfügbaren Daten frei zum Training von KI eingesetzt werden.

Der Einsatz eines KI-Modells, das unter Verstoß gegen Datenschutzrecht trainiert wurde, in einem KI-System durch Dritte wird von der Stellungnahme des EDSA nicht in jedem Fall kategorisch ausgeschlossen. Jedoch treffen die Endanwender im Rahmen der Auswahl der von ihnen verwendeten KI-Modelle in einem solchen Fall erhöhte Sorgfaltspflichten. Rechtswidrig trainierte KI-Modelle können nicht bedenkenlos verwendet werden.

Zusammenfassend lässt sich festhalten, dass nicht alle datenschutzbezogenen Rechtsfragen im Hinblick auf KI von der EDSA-Stellungnahme abschließend beantwortet werden. Angesichts der Komplexität und Dynamik der Debatte war eine abschließende Befassung in der Kürze der im Verfahren vorgesehenen Zeit aber auch nicht zu erwarten. Auf der Grundlage der gesetzlichen Regelungen und der durch die EDSA-Stellungnahme vorliegenden Weichenstellungen ist es nun Aufgabe der Datenschutzaufsichtsbehörden, die verbleibenden Fragen weiter zu bearbeiten und auf eine koordinierte Rechtsanwendung in Deutschland und Europa hinzuwirken.

Weitere Informationen:

• EDSA-Stellungnahme „Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models“ vom 17. Dezember 2024
• Pressemitteilung des EDSA vom 18. Dezember 2024

Die Pressemitteilung ist eine gemeinsame Presseerklärung der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und Baden-Württemberg.