Der EDPB hat am 17. Dezember 2024 eine Stellungnahme veröffentlicht, die sich mit zentralen Datenschutzfragen im Kontext der Entwicklung und dem Einsatz von KI-Modellen beschäftigt. Die Ausführungen richten sich an Fachleute und Unternehmen, die KI-Technologien einsetzen, und bieten wichtige Klarstellungen und praktische Hinweise für die Einhaltung der DSGVO.
Anonymität von KI-Modellen: Strengere Anforderungen
Ein wesentlicher Punkt der Stellungnahme ist die Klärung, wann ein KI-Modell als anonym gilt. Der EDPB betont, dass Modelle, die mit personenbezogenen Daten trainiert wurden, nicht automatisch als anonym betrachtet werden können. Für eine solche Einstufung muss die Wahrscheinlichkeit, dass personenbezogene Daten aus dem Modell extrahiert werden können – ob absichtlich oder unbeabsichtigt – vernachlässigbar sein. Aufsichtsbehörden sollen dies im Einzelfall prüfen. Der EDPB empfiehlt Maßnahmen wie die Minimierung der erhobenen Daten, die Begrenzung der Identifizierbarkeit und den Einsatz modernster Schutztechnologien, um Anonymität sicherzustellen.
Legitimes Interesse als Rechtsgrundlage: Konkretisierung des dreistufigen Tests
Die Stellungnahme liefert detaillierte Hinweise zur Nutzung des „legitimen Interesses“ als Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei der Entwicklung und dem Einsatz von KI. Neben der Definition legitimer Interessen – sie müssen rechtmäßig, präzise formuliert und real sein – betont der EDPB die Bedeutung einer sorgfältigen Abwägung der Interessen von Verantwortlichen und Betroffenen.
Besonders wichtig ist hierbei die Einhaltung des Grundsatzes der Datenminimierung: Nur die für den Zweck unbedingt erforderlichen Daten dürfen verarbeitet werden.
Erwartungen der Betroffenen stärker im Fokus
Ein weiterer zentraler Punkt der Stellungnahme ist die Berücksichtigung der Erwartungen der betroffenen Personen. Diese müssen nicht nur transparent informiert werden, sondern auch in der Lage sein, die Verarbeitung und die potenziellen Folgen zu verstehen. Besonders bei komplexen KI-Technologien ist dies eine Herausforderung.
Zu den relevanten Faktoren zählen die Herkunft der Daten, die Beziehung zwischen Betroffenen und Verantwortlichen sowie die Frage, ob die Daten öffentlich zugänglich sind. Der EDPB hebt hervor, dass die Verarbeitung nicht gegen die berechtigten Erwartungen der Betroffenen verstoßen darf.
Folgen rechtswidriger Datenverarbeitung in der Entwicklungsphase
Der Umgang mit rechtswidrig verarbeiteten Daten in der Entwicklungsphase eines KI-Modells wird differenziert betrachtet:
- Wenn die Daten weiterhin im Modell enthalten sind, können daraus resultierende Folgeprozesse rechtswidrig sein.
- Bei einer Weitergabe des Modells an Dritte müssen sie prüfen, ob die ursprüngliche Verarbeitung rechtmäßig war.
- Wird das Modell anonymisiert, endet die Anwendbarkeit der DSGVO. Nachfolgende Verarbeitungen, die erneut personenbezogene Daten betreffen, sind jedoch eigenständig zu bewerten.
Maßnahmen zur Risikominderung
Die Stellungnahme des EDPB liefert konkrete Beispiele für Schutzmaßnahmen, die negative Auswirkungen auf Betroffene minimieren können. Dazu gehört etwa die Begrenzung der Datenverarbeitung auf das Nötigste, transparente Informationen über die Nutzung und den Einsatz moderner Sicherheitsmaßnahmen. Dabei wird betont, dass solche Maßnahmen an den spezifischen Kontext des KI-Modells angepasst werden müssen.
Fazit
Die Stellungnahme bietet wertvolle Einblicke und präzisiert die Anwendung der DSGVO im Bereich KI. Besonders hervorzuheben sind die strengen Anforderungen an die Anonymität von Modellen, die detaillierte Betrachtung legitimer Interessen und die verstärkte Berücksichtigung der Perspektive der Betroffenen.