Die italienische Datenschutzbehörde hat gegen eine forschendes Life-Science-Unternehmen ein Bußgeld in Höhe von 21.000 EUR verhängt, da es in seinen Richtlinien eine exzessive Speicherdauer für personenbezogene Gesundheitsdaten, die zum KI-Training eines Algorithmus verwendet wurden, festgelegt hatte.
Sachverhalt
Gegenstand des Verfahrens der Garante per la protezione dei dati personali war das von Menarini Silicon Biosystem S.p.a. (MSB) entwickelte Software-Tool „CellFind“, ein auf Deep Learning basierendes System zur automatisierten Analyse und Klassifizierung von Tumorzellen in Blutproben. Die erhobenen Daten, welche Bilder von Blutzellen von Krebspatienten (insbesondere Multiples Myelom) und gesunden Kontrollpersonen umfassten, wurden für das Training des KI-gestützten Algorithmus eingesetzt. Dabei hatte das Unternehmen die Absicht erklärt, die gesammelten personenbezogenen Daten für einen maximalen Zeitraum von 25 Jahren aufzubewahren.
Speicherung für den gesamten Produktlebenszyklus
MSB begründete diese lange Frist mit dem gesamten erwarteten Produktlebenszyklus von CellFind. Dieser Zyklus setzte sich zusammen aus 5 Jahren für die Entwicklung, 15 Jahren für die Kommerzialisierung und weiteren 5 Jahren für die Außerbetriebnahme oder Entsorgung des Produkts. Zusätzlich sollte der Zeitraum zur Einhaltung zukünftiger regulatorischer Pflichten, beispielsweise der 10-jährigen Aufbewahrungsfrist für Akten im Rahmen der EU-Verordnung 2017/746 für Medizinprodukte, dienen.
Prinzip der Speicherbegrenzung verletzt
Die Garante sah in der geplanten 25-jährigen Aufbewahrungsfrist einen klaren Verstoß gegen das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Die Aufsichtsbehörde argumentierte, dass die Speicherung der identifizierbaren Daten nicht erforderlich sei, um den gesamten Lebenszyklus des Tools zu unterstützen. Entscheidend war dabei die technische Eigenschaft des Tools. MSB hatte selbst angegeben, dass der CellFind-Algorithmus „locked“ (gesperrt) sei, was bedeutet, dass Käufer oder Endnutzer den neuronalen Algorithmus nach seiner Bereitstellung weder weiter trainieren noch seine Parameter ändern können. Die personenbezogenen Daten wurden somit ausschließlich für das anfängliche Training des Algorithmus benötigt. Hingegen nicht für die spätere Nutzung, Unterstützung oder Entsorgung. Daher stufte die Garante die Einbeziehung von Vermarktungs- und Entsorgungszwecken in die Speicherbegründung als unverhältnismäßig und fehlerhaft ein.
Verstoß gegen das Transparenzprinzip
Darüber hinaus stellte die Garante eine Verletzung des Transparenzprinzips (Art. 5 Abs. 1 lit. a und Art. 13 DSGVO) fest, da die Informationen zur Speicherdauer irreführend platziert waren. In diesem Zusammenhang bezog sich die Garante in ihren Ausführungen auf die EDPB Opinion 28/2024 zur Verarbeitung personenbezogener Daten im Kontext von KI-Modellen. Demnach ist beim Verarbeitungszweck in der Entwicklungsphase eines KI-Modells ein „gewisses Maß an Detailgenauigkeit“ erforderlich. Verantwortliche müssen erklären, wie der bekannte Kontext der späteren Bereitstellung den Zweck der Entwicklung beeinflusst. Beispielsweise, ob das Modell für Forschungs- oder kommerzielle Zwecke eingesetzt werden soll oder ob ein Verkauf an Dritte beabsichtigt ist. Die unklare Darstellung, welche die Dauer für den primären Forschungszweck mit möglichen „zusätzlichen Forschungsprojekten“ vermischte, wurde daher von der Garante als intransparent gerügt.
Sanktion und Milderungsgründe
Das festgesetzte Bußgeld belief sich auf 21.000 Euro. Die Garante berücksichtigte bei der Bemessung der Strafe mildernde Umstände. Insbesondere wurde gewürdigt, dass das Unternehmen während der Inspektion kooperativ war. Ebenso berücksichtigte Sie, dass die beanstandete exzessive Speicherdauer lediglich geplant war und die Daten noch nicht tatsächlich über den notwendigen Zeitraum hinaus gespeichert wurden. Die Behörde stellte fest, dass die Verstöße in guter Absicht erfolgten.
Lektionen für Unternehmen
Diese Entscheidung verdeutlicht Unternehmen, die KI-Systeme entwickeln, die Wichtigkeit einer präzisen Zweckbindung und Speicherbegrenzung. Wird der Algorithmus — wie CellFind — nach dem Training nicht mehr mit diesen spezifischen personenbezogenen Daten weiterentwickelt, dürfen die Trainingsdaten nicht über den Zeitpunkt hinaus gespeichert werden. Der gesamte Produktlebenszyklus, einschließlich regulatorischer Anforderungen für Medizinprodukte (MD/IVD), kann die Speicherdauer nur dann rechtfertigen, wenn die Daten tatsächlich für diese späteren Phasen erforderlich sind.
Darüber hinaus müssen Unternehmen in ihrer Datenschutzerklärung die Verarbeitungszwecke und die daraus abgeleiteten Speicherfristen klar und spezifisch kommunizieren. Die Garante erwartet, dass der Zweck des Trainings so detailliert beschrieben wird, dass die Betroffenen die Auswirkungen der Verarbeitung verstehen können.
Fazit
Die italienische Garante setzt ein wichtiges Zeichen, dass bei der Entwicklung innovativer KI-Tools, insbesondere im sensiblen Gesundheitsbereich, Datenschutzgrundsätze wie der Löschfrist nicht hinter technischen oder kommerziellen Überlegungen zurücktreten dürfen. Die Speicherbegrenzung nach der DSGVO ist strikt nach der Notwendigkeit des ursprünglichen Verarbeitungszwecks zu bemessen. Der potenziell lange Lebenszyklus des Endprodukts ist nicht relevant. Unternehmen sind in der Pflicht, ihre Datenaufbewahrungsrichtlinien detailliert zu begründen und diese Begründung technisch-wissenschaftlich zu belegen und transparent zu kommunizieren.
Sie möchten wissen, wie Sie Ihre KI-Projekte datenschutzkonform gestalten können?
Unsere spezialisierten Datenschutz– und KI-Beauftragten beraten Sie gerne zu praxisnahen Lösungen und begleiten Sie bei der Umsetzung Ihrer Compliance-Strategie.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
