NEWS

Die Europäische Datenschutzbehörde (European Data Protection Supervisor (EDPS)) hat am 3. Juni 2024 eine Leitlinie zu generativer KI und zum Schutz personenbezogener Daten veröffentlicht. In dieser fasst der EDPS praktische Ratschläge und Anweisungen für die Organe, Einrichtungen und sonstigen Stellen der EU (EU-Institutionen (EUIs)) zusammen, damit diese Institutionen die Anforderungen der EU-Verordnung 2018/1725 („EU-DSVO“) erfüllen können.

Dabei wird auch klargestellt, dass die Richtlinie nur in der Funktion als Datenschutzbehörde veröffentlicht wird, nicht in seiner neuen Rolle als KI-Aufsichtsbehörde gemäß der KI-Verordnung.

Die EU-DSVO sollte nicht mit der DS-GVO verwechselt werden, auch wenn sie in weiten Teilen identisch sind.

Was ist Generative KI?

Generative KI nutzt spezialisierte Modelle, um Inhalte wie Text, Bilder oder Audio zu erzeugen. Diese Modelle basieren auf „Foundation Models“, die durch große Datensätze trainiert werden. Der Entwicklungsprozess umfasst die Definition des Anwendungsfalls, das Training mit relevanten Daten, die Feinabstimmung und die laufende Überwachung. Obwohl generative KI viele Anwendungsmöglichkeiten bietet, gibt es Bedenken hinsichtlich des Datenschutzes, da oft öffentlich zugängliche Daten verwendet werden. Menschliches Feedback hilft, die Modelle weiter zu verbessern.

Kernpunkte

Die EU-DSGVO ist unabhängig von der verwendeten Technologie anwendbar und gilt für jede Verarbeitung personenbezogener Daten, einschließlich der Verarbeitung durch KI-Systeme. Die Verarbeitung personenbezogener Daten in generativen KI-Systemen ist nur dann zulässig, wenn eine rechtliche Grundlage gemäß der EU-Datenschutzverordnung (EUDPR) vorhanden ist, z.B. durch Erfüllung einer rechtlichen Verpflichtung oder durch Einwilligung.

Generative KI kann in verschiedenen Phasen der Entwicklung und Nutzung personenbezogene Daten verarbeiten. EU-Institutionen müssen sicherstellen, dass alle relevanten rechtlichen Anforderungen eingehalten werden, insbesondere wenn es um die Verarbeitung sensibler Daten geht. Beim Einsatz von generativer KI sollten daher folgende datenschutzrechtliche Aspekte beachtet werden:

• Rechenschaftspflicht: Es muss gewährleistet werden, dass alle Prozesse zur Entwicklung und Nutzung von generativen KI-Systemen dokumentiert und überprüft werden, um die Einhaltung der Datenschutzvorgaben nachzuweisen. Zur Rechenschaftspflicht gehört es, eindeutig festzulegen, welche Verantwortlichkeiten und Pflichten jedem beteiligten Akteur zukommen, besonders bei der Nutzung von KI-Systemen von Drittanbietern.
• Rolle des Datenschutzbeauftragten (DPO): Der DPO muss ein tiefgehendes Verständnis des generativen KI-Systems entwickeln, insbesondere in Bezug auf die Verarbeitung personenbezogener Daten, die Funktionsweise der Ein- und Ausgabemechanismen sowie die Entscheidungsprozesse im System. Er ist verantwortlich für die kontinuierliche Überwachung der Einhaltung der Datenschutzvorschriften.
• Durchführung einer Datenschutz-Folgenabschätzung (DPIA): Eine DPIA ist zwingend durchzuführen, wenn das generative KI-System potenziell ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Diese Bewertung muss regelmäßig aktualisiert und überprüft werden, um neue Risiken zu identifizieren und zu mitigieren.
• Rechtmäßigkeit der Verarbeitung: Die Verarbeitung personenbezogener Daten durch generative KI-Systeme muss auf einer rechtlichen Grundlage erfolgen, wie z.B. Einwilligung, Vertragserfüllung oder berechtigtes Interesse. Es ist wichtig, dass die Rechtsgrundlage klar dokumentiert und kommuniziert wird.
• Datenminimierung: Es dürfen nur die für den jeweiligen Zweck notwendigen personenbezogenen Daten verarbeitet werden. Übermäßige Datenmengen sind zu vermeiden, und die Datenqualität sollte durch den Einsatz gut strukturierter und regelmäßig überprüfter Datensätze gewährleistet werden.
• Datenrichtigkeit: Die Genauigkeit der verarbeiteten Daten muss während des gesamten Entwicklungs- und Einsatzprozesses eines generativen KI-Systems sichergestellt werden. Dies beinhaltet regelmäßige Überprüfungen und menschliche Aufsicht, um ungenaue oder falsche Informationen zu vermeiden.
• Bias und faire Verarbeitung: Generative KI-Systeme müssen so konzipiert und trainiert werden, dass sie keine Vorurteile verstärken oder neue schaffen. Eine kontinuierliche Überwachung der Datensätze und Algorithmen ist erforderlich, um eine faire und diskriminierungsfreie Verarbeitung sicherzustellen.
• Transparenz und Informationspflichten: Betroffene Personen müssen darüber informiert werden, wie, wann und warum ihre personenbezogenen Daten in generativen KI-Systemen verarbeitet werden. Dies umfasst detaillierte Informationen über die Datensätze und die Funktionsweise der Algorithmen. Wenn generative KI für automatisierte Entscheidungsfindung eingesetzt wird, müssen besondere Vorkehrungen getroffen werden, um sicherzustellen, dass betroffene Personen ihre Rechte wahrnehmen können, einschließlich des Rechts auf menschliches Eingreifen und die Anfechtung der Entscheidung.
• Datensicherheit: Generative KI-Systeme erfordern spezifische Sicherheitsvorkehrungen, um potenzielle Risiken zu minimieren. Dazu gehören technische und organisatorische Maßnahmen sowie regelmäßige Schulungen und Überprüfungen der Sicherheitspraktiken.

Diese Richtlinie ist ein erster Schritt, um detaillierte Leitlinien zu entwickeln, die mit der Weiterentwicklung von KI-Technologien fortlaufend angepasst werden sollen. Sie zeigt auf, dass KI auch im Bereich Datenschutz eine Herausforderung darstellen und es zukünftig klare Regularien in dem Bereich bedarf.

Die vollständige Richtlinie finden Sie hier.