Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat eine öffentliche Konsultation zum datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Modellen gestartet. Diese Initiative zielt darauf ab praxisnahe Ansätze für den Schutz von Grundrechten im Kontext Künstlicher Intelligenz (KI)zu entwickeln.
KI und der Schutz personenbezogener Daten
Künstliche Intelligenz-Modelle, insbesondere große Sprachmodelle (LLMs), werden mit enormen Datenmengen trainiert, die oft auch personenbezogene Daten enthalten. Der Europäische Datenschutzausschuss (EDSA) hat in seiner Stellungnahme 28/2024 festgestellt, dass KI-Modelle personenbezogene Daten speichern können, wenn sie damit trainiert wurden. Dieses Phänomen wird häufig als „Memorisierung“ bezeichnet. Dies umfasst nicht nur wortwörtlich reproduzierte Trainingsdaten, sondern auch sinngemäße Reproduktionen, sofern sie zur Identifizierung einer Person beitragen können.
Diese Erkenntnis wirft bedeutende Fragen bezüglich des Schutzes personenbezogener Daten auf. Sie erfordert auch, die datenschutzrechtlichen Herausforderungen bei der Planung, dem Training und der Nutzung solcher Modelle systematisch anzugehen. Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, betont, dass Ergebnisse aus KI-Systemen Rückschlüsse auf bestimmte Personen zulassen können, ein Problem, das Aufsichtsbehörden weltweit seit der massiven Verfügbarkeit neuer KI-Angebote beschäftigt.
Ziel der Konsultation
Ziel der Konsultation ist es, konkrete praktische Erfahrungen, technische Einschätzungen und normative Überlegungen von Akteuren aus Wissenschaft, Wirtschaft und Zivilgesellschaft einzuholen. Die gesammelten Erkenntnisse sollen zur Entwicklung datenschutzkonformer Ansätze im Umgang mit memorisierten Daten beitragen. Die Ergebnisse werden in einem Konsultationsbericht auf der Website der BfDI veröffentlicht. Prof. Dr. Louisa Specht-Riemenschneider unterstreicht die Notwendigkeit, praktisches Wissen für die aufsichtsrechtliche Bewertung zugänglich zu machen und durch Transparenz und Dialog Rechtssicherheit zu gewährleisten.
Die zentralen Fragen der Konsultation
Die Konsultation stellt eine Reihe von Fragen, die Unternehmen und Entwickler direkt betreffen.
Anonymität des Modells
Ein zentraler Punkt ist die Anonymität des KI-Modells. Angesichts der zum Training verwendeten Datenmengen ist eine vollständige Anonymisierung in der Regel nicht zuverlässig möglich. Die BfDI fragt, unter welchen Umständen ein LLM als anonym erachtet werden könnte. Dabei werden insbesondere die Kriterien des Erwägungsgrundes 26 Satz 3 DSGVO und der EDSA-Stellungnahme 28/2024 berücksichtigt. Des Weiteren werden Unternehmen nach den technischen Maßnahmen und deren Erfahrungen befragt, die sie bereits einsetzen oder planen, um die Memorisierung von Daten zu verhindern. Zu den Maßnahmen können Deduplikation, Verwendung anonymer oder anonymisierter Trainingsdaten, Fine-Tuning oder Differential Privacy zählen.
Extraktion personenbezogener Daten
Ein weiterer Fokus liegt auf dem Risiko der Extraktion personenbezogener Daten aus LLMs und der Einschätzung der Menge memorisierter Daten. Die Konsultation thematisiert auch die Frage, ob jede Berechnung im KI-Modell, die durch einen Prompt ausgelöst wird und bei der personenbezogene Daten Einfluss auf das Ergebnis nehmen, eine Verarbeitung im Sinne von Artikel 4 Nr. 2 DSGVO darstellt, selbst wenn das Berechnungsergebnis nicht personenbezogen ist.
Umsetzung von Betroffenenrechten
Besondere Herausforderungen ergeben sich bei den Betroffenenrechten. Denn die Black-Box-Architektur von KI-Modellen erschwert die wirksame Gewährleistung von Auskunfts-, Berichtigungs- und Löschungsansprüchen (Artikel 15-17 DSGVO). Unternehmen sind aufgefordert darzulegen, wie sie vorgehen, wenn Personen diese Rechte bezüglich ihrer im KI-Modell enthaltenen personenbezogenen Daten geltend machen.
Fazit
Die öffentliche Konsultation der BfDI ist ein wichtiges Signal für alle Unternehmen, die KI-Modelle entwickeln oder nutzen. Sie unterstreicht die dringende Notwendigkeit, den Schutz personenbezogener Daten von Anfang an in KI-Projekte zu integrieren. Dies ist ein Prinzip, das auch in den Diskussionen anderer Datenschutzbehörden wie der CNIL und dem LfD Niedersachsen betont wird. Mit Konsultationsprozessen erhalten Unternehmen die Möglichkeit, ihre praktischen Erfahrungen und Herausforderungen direkt in den Gesetzgebungsprozess einzubringen und somit die Entwicklung praktikabler und erfolgversprechender datenschutzrechtlicher Ansätze mitzugestalten.
Die Auseinandersetzung mit den Konsultationsfragen – insbesondere zu Anonymisierung, Datenminimierung und der Gewährleistung von Betroffenenrechten – bietet eine wertvolle Gelegenheit, die eigene Datenschutzstrategie im Umgang mit KI zu überprüfen und zukunftsfähig aufzustellen. Zudem ist es auch eine proaktive Maßnahme, um sich auf die künftigen regulatorischen Anforderungen, wie der europäischen KI-Verordnung, vorzubereiten. Die Ergebnisse werden eine wichtige Orientierung für eine informierte Regulierung auf nationaler Ebene bieten.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
