Die Datenschutzbehörde der Europäischen Union äußerte sich zu den aufkommenden Fragen hinsichtlich der Rechtmäßigkeit von GenAI. Die Behörde untersuchte Schlupflöcher, die KI-Entwickler möglicherweise ausnutzen, um personenbezogene Daten zu verarbeiten, ohne gegen geltendes Recht zu verstoßen.
Der Europäische Datenschutzausschuss hat Fragen zur Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Nutzern durch KI-Entwickler aufgeworfen. In einer veröffentlichten befasste sich der Ausschuss mit verschiedenen allgemein relevanten Fragen im Einklang mit Artikel 64 Absatz 2 der DSGVO.
Der Datenschutzrat der Europäischen Union äußert sich zu Fragen des Datenschutzes und des KI-Einsatzes
Der Europäische Datenschutzausschuss (EDPB) gab die Stellungnahme auf Antrag der irischen Aufsichtsbehörde ab. Der Ausschuss wies darauf hin, dass er gemäß der Datenschutz-Grundverordnung (DSGVO) , Stellungnahmen zu Angelegenheiten abzugeben, die mehr als einen Mitgliedstaat der Europäischen Union betreffen.
Die Behörde wies auf die von der irischen Stelle vorgebrachten Anfragen bezüglich der Verarbeitung personenbezogener Daten während der Entwicklungs- und Einsatzphasen künstlicher Intelligenz (KI) hin. Sie beschränkte ihre Stellungnahme auf vier Fragen zum Datenschutz innerhalb der Europäischen Union.
Zu den behandelten Themen gehörten die Fragestellungen, wann und wie ein KI-Modell als anonym gelten kann und wie Verantwortliche die Notwendigkeit eines berechtigten Interesses an dessen Einsatz nachweisen können. Der Ausschuss untersuchte außerdem die Folgen einer rechtswidrigen Datenverarbeitung während der Entwicklungsphase eines KI-Modells für dessen späteren Betrieb.
Hinsichtlich der Frage, wann und wie die Anonymität eines KI-Modells festgestellt werden kann, erklärte die Behörde, dass die zuständige lokale Behörde dies im Einzelfall entscheiden sollte. Der Vorstand stellte klar , dass er nicht alle mit personenbezogenen Daten trainierten KI-Modelle als anonym betrachtet.
Die Behörde empfahl den nationalen Aufsichtsbehörden, die vom Verantwortlichen bereitgestellten relevanten Unterlagen zur Feststellung der Anonymität eines Modells zu prüfen. Sie fügte hinzu, dass Verantwortliche auch geeignete Maßnahmen ergreifen sollten, um die Erhebung personenbezogener Daten während Schulungen einzuschränken und potenzielle Angriffe abzuwehren.
Hinsichtlich der Frage, ob ein berechtigtes Interesse eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten während des Einsatzes von KI-Modellen darstellt, überließ der Vorstand es den Verantwortlichen, die geeignete Rechtsgrundlage für die Verarbeitung dieser Daten zu bestimmen.
Der Europäische Datenschutzausschuss (EDSA) betonte die dreistufige Prüfung zur Feststellung berechtigter Interessen durch Aufsichtsbehörden. Die Schrittedentdie Ermittlung des tatsächlichen berechtigten Interesses und die Prüfung seiner Notwendigkeit. Verantwortliche müssen zudem beurteilen, ob das berechtigte Interesse mit den Rechten und Freiheiten der betroffenen Personen vereinbar ist.
Bei der Beurteilung der Folgen überließ die Stelle den Ermessensspielraum den Aufsichtsbehörden der jeweiligen Staaten. Sie fügte hinzu, dass die Aufsichtsbehörden je nach den Gegebenheiten des jeweiligen Szenarios die angemessenen Konsequenzen wählen sollten.
Stellungnahme der irischen Datenschutzkommission zur Stellungnahme des Europäischen Datenschutzausschusses (EDPB) zur Regulierung von KI-Modellen
Die irische Datenschutzkommission reagierte mit einer Stellungnahme, in der sie feststellte, dass die Stellungnahme eine effektive und einheitliche Regulierung von KI-Modellen in der EU fördern würde. Kommissar Dale Sunderland kommentierte:
Es wird auch die Zusammenarbeit der DPC mit Unternehmen unterstützen, die neue KI-Modelle entwickeln, bevor diese auf dem EU-Markt eingeführt werden, sowie die Bearbeitung der zahlreichen KI-bezogenen Beschwerden, die bei der DPC eingegangen sind.
Dale Sunderland
In den vergangenen Monaten wurden Berichten zufolge Beschwerden gegen OpenAI, den Hersteller von ChatGPTs, laut. Die polnische Datenschutzbehörde äußerte letztes Jahr Bedenken hinsichtlich der Einhaltung der DSGVO durch den KI-Entwickler.
Die Behörde warf OpenAI vor, Anforderungen wie die vorherige Konsultation von Aufsichtsbehörden bei der Gefahr eines Datenschutzverstoßes missachtet zu haben. Die Aufsichtsbehörde stellte fest, dass OpenAI ChatGPT ohne Rücksprache mit den lokalen Aufsichtsbehörden eingeführt und damit gegen die DSGVO verstoßen habe.
Die italienische Datenschutzbehörde Garante ordnete OpenAI zudem an, die Verarbeitung personenbezogener Daten ab 2023 einzustellen, bevor die festgestellten Mängeldent. Sie hob hervor, dass dem in San Francisco ansässigen Unternehmen die gesetzlich vorgeschriebenen Maßnahmen zum Schutz Minderjähriger vor dem Zugriff auf die Technologie fehlten.
Die Aufsichtsbehörde warnte, dass die Nichteinhaltung der Richtlinien Strafen nachtracziehen würde, darunter eine Abzüge in Höhe von vier Prozent des Jahresumsatzes oder zwanzig Millionen Euro, je nachdem, welcher Betrag höher ist.
