Mit der zunehmenden Verbreitung mächtiger KI-Modelle wächst auch das Risiko ihrer unkontrollierten und zweckentfremdeten Nutzung. Die geltenden Regelwerke wie DSGVO und EU-KI-Verordnung greifen hier bislang zu kurz. Einen Vorschlag zur Schließung dieser Regulierungslücke legen Rainer Mühlhoff (Universität Osnabrück) und Hannah Ruschemeier (FernUniversität in Hagen) vor. In ihrer gemeinsamen Arbeit – veröffentlicht im International Journal of Law and Information Technology und vorgestellt unter purposelimitation.ai – plädieren sie für eine modellbezogene Zweckbindung, die über den klassischen Datenschutz hinausgeht und KI-Systeme selbst als Regulierungsobjekte versteht.
Das Problem der unkontrollierten Nutzung von Künstlicher Intelligenz
Die unkontrollierte Nachnutzung trainierter KI-Modelle und anonymisierter Trainingsdaten stellt eine zentrale und bislang unzureichend adressierte Herausforderung der aktuellen KI-Regulierung dar. Weder die DSGVO noch die KI-Verordnung erfassen die systemischen Risiken, die sich aus der Zweckentfremdung solcher Modelle ergeben. Insbesondere in Open-Source-Kontexten droht eine beliebige Weiterverwendung für Anwendungen, die weit über den ursprünglichen Rahmen hinausgehen. Dadurch können sensible Informationen in neue, potenziell schädliche Kontexte gelangen, etwa in der Versicherungs- oder Personalbranche. Damit entstehen nicht nur neue Formen informationeller Machtasymmetrie, sondern auch kollektive Risiken, die das Vertrauen in Forschung und öffentliche Institutionen gefährden.
Zweckbindung für KI-Modelle und Trainingsdatensätze
Hier setzt der Vorschlag einer erweiterten Zweckbindung für KI-Modelle und Trainingsdatensätze an, der von Mühlhoff und Ruschemeier entwickelt wurde. Während die traditionelle Zweckbindung der DSGVO primär auf personenbezogene Daten und individuelle Datenschutzrechte fokussiert, geht ihr Ansatz einen entscheidenden Schritt weiter: Sie schlagen vor, das trainierte Modell selbst und die zugrunde liegenden (auch anonymisierten) Datensätze als eigenständige Regulierungsobjekte zu behandeln. Ziel ist es, die Nutzung dieser Modelle auf den ursprünglich definierten Zweck zu beschränken.
Ein zentrales Element ihres Konzepts ist die sogenannte „modellbezogene Zweckbindung“, ergänzt durch eine rückwirkende Rechenschaftspflicht („backward accountability“) für die Nachnutzung von anonymisierten Trainingsdaten. Dies bedeutet, dass Akteure, die KI-Modelle trainieren oder weitergeben, nachweisen müssen, dass die Nutzung des Modells oder der Daten mit dem ursprünglichen Zweck vereinbar ist. Die Autoren verdeutlichen dies anhand von Fallstudien, etwa der Zweckentfremdung eines in der medizinischen Forschung entwickelten Modells in der Personalauswahl.
Vorteile einer Zweckbindung
Die Implementierung einer solchen Zweckbindung für KI-Modelle und Trainingsdatensätze könnte vielfältige Vorteile mit sich bringen. So würde sie die missbräuchliche Nachnutzung von Modellen oder anonymisierten Daten unterbinden. Etwa wenn ursprünglich für medizinische Forschung, zur Einschätzung von Versicherungsrisiken oder zur automatisierten Bewerberauswahl entwickelte Systeme zweckentfremdet würden. Der Fokus läge dabei auf dem trainierten Modell als eigenständigem Regulierungsobjekt, wodurch sich der rechtliche Blickwinkel von einzelnen Verarbeitungsschritten hin zur Kontrolle aggregierter Risiken verschöbe. Auf diese Weise ließen sich nicht nur individuelle, sondern auch kollektive und systemische Gefahren wie Diskriminierung oder neuartige Datenschutzverletzungen erfassen, so die Forscher. Darüber hinaus könnte eine solche Zweckbindung Informationsmacht begrenzen, Rechenschaftspflichten stärken, das Vertrauen der Öffentlichkeit sichern und sogar eine ethisch vertretbare Nutzung von Open Source-Modellen ermöglichen, sofern klare Zweckdefinitionen vorab festgelegt würden.
Herausforderungen einer Zweckbindung
Trotz der potenziellen Vorteile einer erweiterten Zweckbindung könnten sich bei ihrer Umsetzung auch Herausforderungen ergeben. So zeigte bereits die traditionelle Zweckbindung der DSGVO Schwächen in datenintensiven Szenarien. Das Kompatibilitätskriterium bliebe vage, Anonymisierung entzöge viele Daten dem Anwendungsbereich, und eine effektive Übertragung auf KI-Anwendungen gestaltete sich als schwierig. Auch die Integration in die bestehende EU-Gesetzeslandschaft müsste sorgfältig erfolgen, so die Autoren. Insbesondere im Hinblick auf die KI-VO, die bislang Sekundärnutzung unzureichend erfasse und mit Ausnahmen für Open Source-Modelle sogar neue Risiken berge. Zudem stellten sich zahlreiche offene Fragen hinsichtlich der konkreten Umsetzung. Welche Behörden wären zuständig? Wann und wie genau müssten Zwecke dokumentiert werden? Und bräuchte es verbindliche Zwecklisten oder klare Definitionen zur Kompatibilität, um die bekannten Auslegungsprobleme der DSGVO zu vermeiden? Ohne die Klärung dieser Punkte könnte eine solche Zweckbindung in der Praxis schwer umsetzbar sein.
Fazit
Zusammenfassend lässt sich sagen, dass die vorgeschlagene Zweckbindung für KI-Modelle und Trainingsdatensätze das große Potenzial hat, eine Regulierungslücke zu schließen. Ebenso systemische Risiken sowie Machtasymmetrien zu adressieren, die von der aktuellen Gesetzgebung nicht ausreichend erfasst werden. Sie bietet einen präventiven Ansatz, der über individuelle Datenschutzrechte hinausgeht und kollektive Interessen schützt. Die große Herausforderung liegt jedoch in der sorgfältigen Ausgestaltung und nahtlosen Integration eines solchen Prinzips in das bestehende Rechtssystem, wobei die Fallstricke der Vergangenheit vermieden werden müssen.
