Der EDSA antwortete der irischen Behörde und stellte die Anonymität von KI-Modellen sowie die Legitimität der Verwendung personenbezogener Daten für ihre Entwicklung klar, ließ aber den nationalen Datenschutzbehörden Spielraum.
Die Datenschutzbehörde der EU hat in einer Stellungnahme klargestellt, unter welchen Umständen bei der Entwicklung von KI-Modellen auf personenbezogene Daten zugegriffen werden darf. Darin wird eine dreistufige Prüfung des berechtigten Interesses an einer solchen Nutzung festgelegt.
Die diese Woche vom Europäischen Datenschutzausschuss (EDPB) – dem Koordinierungsgremium der nationalen Datenschutzbehörden in der gesamten EU – veröffentlichte Stellungnahme folgte einer Anfrage der irischen Datenschutzbehörde im November und suchte nach Klärung, ob personenbezogene Daten in der KI-Schulung verwendet werden könnten ohne gegen EU-Recht zu verstoßen. Die irische Datenschutzbehörde DPA fungiert als Aufsichtsbehörde für viele der größten US-amerikanischen Technologieunternehmen mit Hauptsitz in Dublin.
Bekräftigung der Anonymität und des „berechtigten Interesses“ der Models
In der Stellungnahme wird dargelegt, dass die Wahrscheinlichkeit, Personen anhand der Daten zu identifizieren, „unbedeutend“ sein muss, damit ein KI-Modell als wirklich anonym gilt.
Der EDSA hat außerdem einen Rahmen geschaffen, um zu bestimmen, wann ein Unternehmen davon ausgehen kann, dass es ein „berechtigtes Interesse“ hat, was ihm eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten zur Entwicklung und Bereitstellung von KI-Modellen ohne Einholung der ausdrücklichen Zustimmung von Einzelpersonen gibt.
Der dreistufige Test zur Beurteilung des berechtigten Interesses erfordert die Identifizierung des Interesses, die Bewertung, ob die Verarbeitung zur Erreichung dieses Interesses erforderlich ist, und die Sicherstellung, dass das Interesse nicht die Grundrechte des Einzelnen außer Kraft setzt. Der EDSA betonte außerdem die Bedeutung von Transparenz, um sicherzustellen, dass Einzelpersonen darüber informiert werden, wie ihre Daten erfasst und verwendet werden.
Der EDSA betonte in der Stellungnahme, dass es letztlich in der Verantwortung der nationalen Datenschutzbehörden liege, im Einzelfall zu beurteilen, ob bei der Verarbeitung personenbezogener Daten für die KI-Entwicklung ein Verstoß gegen die DSGVO vorliegt.
Modelle, die mit illegal extrahierten und verarbeiteten Daten entwickelt wurden, dürften nicht eingesetzt werden, heißt es in der Stellungnahme.
Reaktionen aus Zivilgesellschaft und Industrie
Das Urteil wurde von der Computer & Communications Industry Association (CCIA) begrüßt, die große Technologieunternehmen vertritt, darunter auch solche, die KI-Modelle entwickeln. „Das bedeutet, dass KI-Modelle anhand personenbezogener Daten richtig trainiert werden können. Tatsächlich ist der Zugriff auf hochwertige Daten notwendig, um sicherzustellen, dass die KI-Ausgaben korrekt sind, um Vorurteile abzumildern und die Vielfalt der europäischen Gesellschaft widerzuspiegeln“, sagte Claudia Canelles Quaroni, Senior Policy Managerin bei CCIA Europe. Allerdings forderte die CCIA auch mehr rechtliche Klarheit, um künftige Unsicherheiten zu vermeiden.
Befürworter digitaler Rechte äußerten jedoch Bedenken, insbesondere hinsichtlich der Anonymität von KI-Modellen. „Obwohl dies theoretisch plausibel erscheinen mag, ist es unrealistisch, eine solche Unterscheidung genau auf den zuvor festgelegten Schwellenwert abzustimmen, was zu erheblichen Herausforderungen bei der Gewährleistung eines wirksamen Datenschutzes führt“, sagte Itxaso Dominguez de Olazabal, Politikberater bei EDRi.
Dominguez de Olazabal betonte außerdem den großen Ermessensspielraum der nationalen Behörden und warnte davor, dass dies zu einer uneinheitlichen Durchsetzung führen könnte. „Diese mangelnde Angleichung hat sich bereits im Rahmen der DSGVO als problematisch erwiesen und gefährdet den wirksamen Schutz der Grundrechte. Harmonisierung ist der Schlüssel zur Gewährleistung der weltweiten Wahrung digitaler Rechte.“
Ausblick: Web-Scraping-Richtlinien
Vom EDPB werden weitere Richtlinien erwartet, um aufkommende Probleme anzugehen, wie zum Beispiel Web Scraping – die automatisierte Extraktion von Daten von Websites, einschließlich Text, Bildern und Links, um KI-Modelle zu trainieren und ihre Fähigkeiten zu verbessern. Diese zusätzlichen Klarstellungen werden von entscheidender Bedeutung sein, da die KI-Entwicklung weiterhin stark auf riesigen Datenmengen basiert.