News

KI und Daten­schutz: Erste Leitlinie zu "Genera­tiver KI und der EU-DSVO" des European Data Protection Supervisor (EDPS)

05.06.2024

Einführung

Der European Data Protection Supervisor (EDPS) hat am 03.06.2024 in seiner Rolle als europäische Datenschutzbehörde eine Leitlinie zu "Generativer KI und der EU-DSVO" veröffentlicht. Die Leitlinie adressiert primär EU-Institutionen und soll diesen als Orientierungshilfe für die Einhaltung der Verordnung (EU) 2018/1725 („EU-DSVO“) beim Einsatz von generativen KI-Systemen dienen. Der EDPS betont den Überblickscharakter der Leitlinie, die zukünftig konkretisiert und erweitert werden soll. Außerdem wird klargestellt, dass er die Leitlinie in seiner Rolle als Datenschutzbehörde und nicht als KI-Aufsichtsbehörde nach der KI-Verordnung veröffentlicht hat.

Die ist nicht mit der DS-GVO zu verwechseln und regelt die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union welche vom Anwendungsbereich der DS-GVO ausgenommen ist (Art. 2 Abs. 3 DSGVO). Die EU-DSVO und die DS-GVO sind jedoch in weiten Teilen inhaltlich identisch, sodass sich viele der in den Leitlinien aufgestellten Orientierungshilfen auch auf Unternehmen, die generative KI entwickeln oder anwenden, übertragen lassen.

Inhaltliche Zusammenfassung

Die EU-DSVO ist (ebenso wie die DS-GVO) technologieneutral ausgestaltet und greift bei jeder Verarbeitung personenbezogener Daten, also auch in Bezug auf KI. Der EDPS betont, dass es im Kontext von generativer KI in allen Phasen (u.a. Training, Input, Output) zur Verarbeitung personenbezogener Daten kommen kann, ohne dass dies auf den ersten Blick offensichtlich sei. Folgende datenschutzrechtliche Aspekte seien deshalb beim Einsatz von generativer KI insbesondere zu beachten:

  • Rechenschaftspflicht: Zur Rechenschaftspflicht (Art. 4 Abs. 2 EU-DSVO/vgl. Art. 5 Abs. 2 DS-GVO) gehöre es, dass klar geregelt wird, welchen Akteur welche Pflichten treffen. Insbesondere wenn EU-Institutionen generative KI-Systeme von Drittanbietern nutzen, müsse die datenschutzrechtliche Rollenverteilung (Verantwortlicher, Auftragsverarbeiter, gemeinsame Verantwortliche) daher klar für die spezifischen Verarbeitungsvorgänge festgelegt werden.
  • Datenschutzbeauftragter: Es sei sicherzustellen, dass der Datenschutzbeauftragte (Art. 43 ff. EU-DSVO/vgl. Art. 37 ff. DS-GVO) das generative KI-System angemessen versteht. Dafür müsse er Informationen einholen, wann und wie das KI-System personenbezogene Daten verarbeitet, wie die Input- und Output-Mechanismen funktionieren und welche Entscheidungsprozesse implementiert wurden.
  • Datenschutzfolgeabschätzung: Im Kontext einer Datenschutzfolgeabschätzung (Art. 39 EU-DSVO/vgl. Art. 35 DS-GVO) müssten Datenschutzrisiken während des gesamten Lebenszyklus des generativen KI-Systems beachtet werden. Dazu gehöre eine regelmäßige und systematische Überwachung, um im Laufe der Weiterentwicklung des Systems festzustellen, ob sich bereits identifizierte Risiken verschärfen oder ob neue Risiken auftreten.
  • Rechtmäßigkeit der Verarbeitung: Natürlich benötige auch die Verarbeitung personenbezogener Daten im Rahmen generativer KI einer Rechtsgrundlage (Art. 5 EU-DSVO/vgl. Art. 6 DS-GVO). Wenn sich Anbieter von generativer KI gem. Art. 6 Abs. 1 lit. f DS-GVO auf das überwiegende Interesse berufen, sei zu beachten, dass bei generativer KI eine Vielzahl an Umständen den Abwägungsprozess beeinflussen und dies zu Rechtsunsicherheit für den Verantwortlichen führt. Die EU-Institutionen treffe in dieser Hinsicht eine besondere Verantwortung zu überprüfen, ob die Anbieter die Voraussetzungen der Rechtsgrundlage eingehalten haben.
  • Datenminimierung: Die weit verbreitete Vorstellung, dass der Grundsatz der Datenminimisierung (Art. 4 Abs. 1 lit. c EU-DSVO/vgl. Art. 5 Abs. 1 lit. c DS-GVO) im Zusammenhang mit KI keine Relevanz habe, sei nicht zutreffend. Denn die Verwendung großer Datenmengen zum Trainieren eines generativen KI-Systems sorge nicht unbedingt für bessere Ergebnisse. Die Verwendung gut strukturierter Datensätze, bei denen Qualität Vorrang vor Quantität hat, und die ordnungsgemäße Überwachung des Trainingsprozesses sei in Bezug auf den Grundsatz der Datenminimierung unerlässlich.
  • Datenrichtigkeit: Zur Sicherstellung der Datenrichtigkeit (Art. 4 Abs. 1 lit. d EU-DSVO/vgl. Art. 5 Abs. 1 lit. d DS-GVO) müsse die Qualität der Trainingsdatensätze sichergestellt werden. Zudem sollten während des gesamten Lebenszyklus der generativen KI regelmäßig angemessene Kontrollen der Datenrichtigkeit durchgeführt werden. Dies sei umso wichtiger, da selbst KI-Systeme, die mit repräsentativen, qualitativ hochwertigen Datensätzen trainiert wurden, ungenaue oder falschen Informationen generieren könnten (sogenannten „Halluzinationen“). Außerdem diene eine derartige Kontrolle auch zur Verhinderung von Diskriminierung („Bias“) durch generative KI.
  • Auskunftsrecht: Da das Auskunftsrecht bei automatisierten Entscheidungsfindungen auch aussagekräftige Informationen über die involvierte Logik beinhalten (Art. 17 Abs. 1 lit. h EU-DSVO/vgl. Art.15 Abs. 2 lit. h DS-GVO) sei es ggf. erforderlich aktuelle Informationen über die Funktionsweise der verwendeten Algorithmen und die verarbeiteten Datensätze bereitzuhalten. Daneben sei insbes. Art. 24 EU-DSVO (vgl. Art. 22 DS-GVO) und die besonderen Risiken und potenziellen Schäden, die generative KI-Systeme im Rahmen der automatisierten Entscheidungsfindung mit sich bringen, zu beachten.
  • Durchsetzung von Betroffenenrechten: Aufgrund der besonderen Merkmale der generativen KI-Systeme könne die Ausübung der Betroffenenrechte spezifische Herausforderungen mit sich bringen. Dies gelte nicht nur für das Auskunftsrecht, sondern auch in Bezug auf das Rechte auf Berichtigung und Löschung sowie das Widerspruchsrecht. Bei Large Language Models sei z.B. der Zugriff auf die in diesen Modellen gespeicherten Daten, deren Aktualisierung oder Löschung nur sehr schwierig möglich. Diesbezüglich könne eine ordnungsgemäße Verwaltung der Datensätze den Zugang zu Informationen erleichtern. Dies sei jedoch im Fall von unbeaufsichtigtem Training schwierig.
  • Datensicherheit: Neben den herkömmlichen Sicherheitsmaßnahmen im IT-Bereich sollten Verantwortliche außerdem spezifische Sicherheitsvorrichtung in Bezug auf die bekannten Schwachstellen von generativen KI-Systemen (z.B. „prompt injection“) einführen.

Ausblick

Die Leitlinie des EDPS verdeutlicht, dass der Einsatz von generativen KI-Systemen datenschutzrechtlich höchst relevant ist. De facto stellt nicht die KI-Verordnung, sondern die DS-GVO den relevantesten Teil der europäischen KI-Regulierung dar. Zuvor hatte deshalb auch bereits die Konferenz der unabhängigen Datenschutzbehörden (DSK) eine generelle Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ veröffentlicht.

Allgemein wird zukünftig mit Blick auf die weitere europäische Digitalregulierung (KI-Verordnung, Data Act, etc.) eine robuste und effiziente KI Compliance Governance unerlässlich sein. Wir unterstützen Sie gerne bei dem datenrechtskonformen Einsatz von generativen KI-Systemen und allen weiteren Fragen der Datenregulierung. Weitere Informationen finden Sie in unserem Fact Sheet & Capability Statement.