Menu
menu
    Kategorien
    clear
    Schriftzug zur Kampagne des Landes Sachsen-Anhalt – #moderndenken
    Datenschutz in Sachsen-Anhalt

    Infopaket Künstliche Intelligenz

    "Künstliche Intelligenz" gibt es schon lange. Eine ganz neue Dynamik hat die Thematik in 2023 mit der allgegenwärtigen Nutzung von Large Language Models (LLM) wie z. B. "ChatGPT", "Microsoft Copilot" oder "Google Germini" zur KI-Generierung von Texten zu beliebigen Themen bekommen. Solche KI-Systeme können jedoch mit Risiken behaftet sein. Sie können mit personenbezogenen Daten datenschutzwidrig trainiert worden sein. Bei der Nutzung können datenschutzwidrig personenbezogene Daten eingegeben bzw. ausgegeben werden. Durch die Verarbeitung großer Mengen personenbezogener Daten kann dann das Recht auf informationelle Selbstbestimmung Einzelner betroffen sein.   

    Mit dem Einsatz von KI-Systemen können darüber hinaus erhebliche gesamtgesellschaftliche Gefahren einhergehen. Es können massenhaft Desinformationen gezielt ausgespielt werden. Einzelne oder Gruppen von Menschen können Opfer sich verstärkender Diskriminierung mit fatalen persönlichen Folgen werden. Um diese Risiken einzudämmen, wurde die Verordnung über künstliche Intelligenz (KI-VO) erlassen. Sie gilt ab dem 2. August 2026 und tritt sukzessive vorab in Kraft. Nach ihrem Erwägungsgrund 1 soll die KI-VO das Funktionieren des Binnenmarkts verbessern, die Einführung menschenbezogener und vertrauenswürdiger Künstlicher Intelligenz fördern und gleichzeitig ein hohes Niveau des Schutzes der Gesundheit, der Sicherheit, der in der Charta verankerten Grundrechte, einschließlich der Demokratie, der Rechtsstaatlichkeit und des Umweltschutzes, vor den schädlichen Auswirkungen von KI-Systemen in der Europäischen Union gewährleisten und Innovationen unterstützen. Die Europäische Kommission gibt Erklärungen auf ihrer Webseite "Künstliche Intelligenz – Fragen und Antworten".

    Die DS-GVO ist weiterhin neben der KI-VO abwendbar (Art. 2 Abs. 7 S. 2 KI-VO). Unabhängig vom In-Kraft-Treten der KI-VO müssen datenschutzrechtliche Vorgaben von Anbietern und Betreibern (Nutzern) von KI-Anwendungen - schon jetzt - eingehalten werden, wenn sie personenbezogene Daten verarbeiten. Für die ausschließlich private Nutzung von KI-Systemen greift die Haushaltsausnahme nach Art. 2 Abs. 2 lit. c) DS-GVO.

    Die KI-Aufsichts- und Marktüberwachungsbehörden müssen durch nationales Recht bestimmt und nach Art. 70 Abs. 2 KI-VO bis 2. August 2025 an die Europäische Kommission gemeldet werden. Da ein Großteil von KI-Anwendungen in den Phasen des Trainings, Inputs oder Outputs personenbezogene Daten verarbeitet, fällt die Nutzung solcher KI-Systeme gleichsam in die Zuständigkeit der Datenschutzaufsichtsbehörden nach Art. 51 DS-GVO. In dem Positionspapier "Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)" vom 3. Mai 2024 fordert die Datenschutzkonferenz (DSK) behördliche Zuständigkeiten nach der KI-VO den Datenschutzaufsichtsbehörden über die DS-GVO hinaus zu übertragen. Der Europäische Datenschutzausschuss hat sich hier ebenfalls positioniert. Eine gesetzliche Regelung steht noch aus.

    In jeder Phase des Lebenszyklus einer KI-Anwendung - insbesondere aber bei der Nutzung von KI-Anwendungen - können sich Fragen zum Datenschutz ergeben. Die unten aufgeführten Dokumente bieten Hilfestellungen bei der Einordnung:

    Mit der Hambacher Erklärung der DSK zur Künstlichen Intelligenz vom 3. April 2019 positionierte sich die DSK zu den Grundsätzen der Verarbeitung von personenbezogenen Daten in einem KI-System. In dem Positionspapier zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen vom 6. November 2019 werden die Anforderungen der DS-GVO anhand der Lebenszyklen von KI-Systemen erläutert.

    Für öffentliche Verwaltungen und Unternehmen, die LLM nutzen wollen, erweist sich die von der DSK am 6. Mai 2024 veröffentlichte Orientierungshilfe "Künstliche Intelligenz und Datenschutz" als Hilfestellung. Praxisnah adressiert die Orientierungshilfe Fragen, die datenschutzrechtlich Verantwortliche bei der Konzeption des Einsatzes, der Auswahl, der Implementierung und der Nutzung von KI-Anwendungen wie der LLM stellen und beantworten müssen. Ob Zweckbestimmung, Transparenzpflichten, Betroffenenrechte oder Richtigkeit von Ergebnissen: Die Orientierungshilfe erörtert – auch anhand von Beispielen – wichtige Kriterien entlang der Vorgaben der DS-GVO und zeigt Leitlinien für entsprechende Entscheidungen auf. Sie richtet sich mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen, denn sie enthält Hinweise zur Auswahl datenschutzkonformer KI-Anwendungen, die auf die Gestaltung der Produkte zurückwirken. Die Entwicklung von KI-Anwendungen und das Training von KI-Modellen sind allerdings nicht Schwerpunkt dieser Orientierungshilfe.

    Weitere Materialien wurden vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg "Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz" (Version 2.0 vom 17.10.2024) sowie vom Bayerischen Landesamt für Datenschutzaufsicht "Datenschutzkonforme Künstliche Intelligenz - Checkliste mit Prüfkriterien nach DS-GVO" (Stand: 24.01.2024) veröffentlicht.

    Am 17. Dezember 2024 verabschiedete der Europäische Datenschutzausschuss (EDSA) die Opinion 28/2024 on certain data protection aspects relates to the processing of personal data in the context of AI models. Mit dieser Stellungnahme beantwortet der EDSA Fragen der irischen Aufsichtsbehörde (IE SA) in einem formalen Verfahren nach Art. 64 Abs. 2 DS-GVO.

    Zum einen wollte die IE SA wissen, ob das Datenschutzrecht gilt, wenn ein finales KI-Modell mit personenbezogenen Daten trainiert wurde. Der Entwicklungs- und Trainingsprozess eines KI-Modells könne ja eventuell dazu führen, dass personenbezogene Trainingsdaten so zerkleinert werden, dass sie im finalen KI-Modell nicht mehr als personenbeziehbar identifiziert werden können. Der EDSA erläutert, dass solange ein Risiko der (Rest-) Wahrscheinlichkeit der (Re-)Identifizierbarkeit personenbezogener Daten bestehe, unterfalle die Verarbeitungstätigkeit dem Datenschutzrecht. In der Regel gelinge der Ausschluss des Risikos der (Re-)Identifizierbarkeit und somit der Nachweis der Anonymität eines finalen KI-Modells nicht.

    Zum anderen wollte die IE SA wissen, ob und wie sich eine ggf. rechtswidrige Erhebung von personenbezogenen Trainingsdaten auf die weitere Verarbeitung, bspw. durch den Betreiber und Endanwender eines KI-Systems mit dem KI-Modell rechtlich auswirkt. Für die Erhebung personenbezogener Daten bedarf es einer Rechtsgrundlage nach der DS-GVO. Die Datenerhebung kann rechtwidrig sein, wenn personenbezogene Daten aus dem Internet gezogen wurden und die betroffenen Personen nicht mit der Nutzung ihrer Daten zum Zwecke des Trainings eines KI-Modells rechneten. Der EDSA hat festgestellt, dass sich eine rechtswidrige Datenerhebung auf die Rechtmäßigkeit der nachfolgenden Verarbeitungstätigkeiten auswirken kann. Die DS-GVO weist den Verantwortlichen in der Verarbeitungskette Rollen und Pflichten zu. Insofern muss jeder für die Datenverarbeitung Verantwortliche feststellen, welche Verpflichtungen für ihn gelten. Die Betreiber und Endanwender eines KI-Systems mit dem KI-Modell haben bei der Auswahl der von ihnen verwendeten KI-Systeme erhöhte Sorgfaltspflichten. KI-Systeme mit rechtswidrig trainierte KI-Modellen können nicht bedenkenlos verwendet werden.

    Die Thematik ist technisch und rechtlich sehr komplex. Mit der vorliegenden EDSA-Stellungnahme wurden die Fragen der IE SA nicht abschließend beantwortet, was angesichts der kurzen Fristen in diesem formalen Verfahren auch nicht zu erwarten war.

     

     

    Datenschutz in Sachsen-Anhalt