Können Unternehmen personenbezogene Daten bei Entwicklung und Nutzung von KI-Modellen auf Basis der Rechtsgrundlage des berechtigten Interesses verarbeiten? Der Europäische Datenschutzausschuss (EDSA) beantwortet dies zumindest teilweise und gibt Verantwortlichen gleich noch weitere Tipps zur Vereinbarkeit von künstlicher Intelligenz (KI) und DSGVO (Datenschutz-Grundverordnung).
Die EDSA-Stellungnahme zum Datenschutz bei KI
Der EDSA spricht in seiner Stellungnahme zur Verarbeitung personenbezogener Daten bei KI-Modellen vom 18. Dezember 2024 umfassende Empfehlungen aus, die Unternehmen dabei helfen sollen, die Nutzung von KI mit der Datenschutz-Grundverordnung (DSGVO) in Einklang zu bringen.
Mit Blick auf die fortschreitende Verbreitung und Nutzung von KI-Systemen hält der EDSA eine klare Einhaltung der Datenschutzprinzipien für unerlässlich. Diese Prinzipien betreffen unter anderem die Rechtmäßigkeit der Verarbeitung, die Transparenz gegenüber den Betroffenen sowie die Begrenzung der verarbeiteten Daten auf das Notwendige. Schwerpunkt der Leitlinien ist eine Abhandlung zum berechtigten Interesse als Rechtsgrundlage für die Datenverarbeitung.
Datenschutzgrundsätze bei KI-Modellen
Ein wesentliches Anliegen des EDSA ist die Sicherstellung der DSGVO-Konformität in allen Phasen der KI-Entwicklung und -Nutzung. Diesbezüglich geht der EDSA zunächst auf die Rechenschaftspflicht ein, die Unternehmen verpflichtet, nachweisen zu können, dass sie die Anforderungen der DSGVO erfüllen. Hierfür ist es insbesondere notwendig, bereits vor Beginn der Verarbeitung die Rollen der involvierten Parteien festzulegen. Denn davon, ob ein Unternehmen ein Verantwortlicher – ggf. auch gemeinsam mit anderen Unternehmen – oder ein Auftragsverarbeiter ist, hängen auch die Pflichten des jeweiligen Unternehmens ab.
Des Weiteren hebt der Ausschuss hervor, dass die Verarbeitung personenbezogener Daten stets rechtmäßig und transparent erfolgen muss. Verantwortliche sind verpflichtet, die betroffenen Personen unter anderem über Art und Umfang der Datenverarbeitung zu informieren. Transparenz bedeutet dabei nicht nur die Bereitstellung von Informationen, sondern auch deren Verständlichkeit und Zugänglichkeit für alle Betroffenen. Besonders bei komplexen Technologien wie KI ist es entscheidend, die Funktionsweise sowie die potenziellen Auswirkungen der Datenverarbeitung nachvollziehbar zu machen.
Schließlich unterstreicht der EDSA die Bedeutung der Zweckbindung und Datenminimierung. Verantwortliche müssen den Verwendungszweck personenbezogener Daten klar und rechtmäßig definieren. Dabei sind nur solche Daten zu verarbeiten, die für den jeweiligen Zweck unbedingt erforderlich sind.
Das berechtigte Interesse als Rechtsgrundlage bei der Entwicklung oder Nutzung von KI-Modellen
Das Herzstück der EDSA-Stellungnahme ist die Abhandlung der Frage, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten bei der Entwicklung oder Nutzung von KI-Modellen auf das berechtigte Interesse des Unternehmens gem. Art. 6 Abs. 1 lit. f) DSGVO gestützt werden kann. Für viele Unternehmen ist dies eine entscheidende Frage, denn andere Rechtsgrundlagen sind
- in der Regel nicht einschlägig (bspw. Verarbeitung für lebenswichtige Interessen und Verarbeitung zum Zwecke der Vertragserfüllung, wenn die Verarbeitung durch KI gerade nicht Teil der Vertragsleistung ist)
- oder nicht praktikabel (Einwilligung).
Der EDSA erinnert daran, dass das Vorliegen eines berechtigten Interesses als Rechtsgrundlage in drei Schritten geprüft wird:
Vorliegen eines berechtigten Interesses
Das Interesse des Verantwortlichen muss rechtmäßig, klar festgelegt, echt und gegenwärtig sein. Beispiele hierfür können Betrugserkennung oder die Verbesserung der Sicherheit eines IT-Systems sein. Aber auch das Training von KI-Modellen, etwa zur Verbesserung von Dienstleistungsangeboten oder zur Optimierung von Betriebsprozessen, kann ein berechtigtes Interesse darstellen.
Erforderlichkeit der Verarbeitung
In einem zweiten Schritt muss geprüft werden, ob die Verarbeitung für die Verfolgung des berechtigten Interesses erforderlich ist. Alternativen, die die Rechte und Freiheiten der betroffenen Personen weniger beeinträchtigen, sind stets zu bevorzugen. Bei dem Training von KI-Modellen bedeutet dies, dass geprüft werden muss, ob nicht-personenbezogene Daten (etwa anonymisierte oder synthetische Daten) anstelle von personenbezogenen Daten genutzt werden können.
Auch technische Maßnahmen können dazu beitragen, dass der Test der Erforderlichkeit bestanden wird. Dies ist etwa der Fall, wenn durch zusätzliche Maßnahmen zwar keine Anonymisierung erreicht, die Re-Identifizierung der Betroffenen aber dadurch dennoch erschwert wird.
Abwägung der Interessen
Im letzten Schritt wird das berechtigte Interesse des Verantwortlichen gegen die relevanten Grundrechte und Freiheiten der betroffenen Personen abgewogen. Letztere können zunächst auf den in der EU-Grundrechtecharta verankerten Grundrechten auf Privatsphäre und den Datenschutz beruhen. Die Verarbeitung stellt etwa dann ein Risiko für den Betroffenen dar und ist somit nicht in seinem Interesse, wenn bei einem KI-Modell die vollständige Geltendmachung von Betroffenenrechten nicht möglich ist oder wenn Unbefugte in Erfahrung bringen können, welche personenbezogenen Daten in der Trainingsdatenbank enthalten sind.
Der EDSA zählt zudem beispielhaft eine Reihe von weiteren zu berücksichtigenden Risiken auf, die über den reinen Datenschutz hinausgehen. Hierzu zählen Risiken bezüglich der Diskriminierung (Bias in KI), der Entstehung eines Überwachungsdrucks, außerdem Risiken für die freie Meinungsäußerung, die geistige Gesundheit oder Sicherheit eines Individuums etc.
Es obliegt dem jeweiligen Verantwortlichen, je nach Anwendungsfall die relevanten Risiken bzw. Interessen zu identifizieren und zu evaluieren. Dabei betont der EDSA interessanterweise, dass ein KI-Tool sich auch positiv auf die Interessen von Betroffenen auswirken könne. Dies ist etwa der Fall, wenn mithilfe von KI-Tools Hassinhalte aus dem Internet entfernt werden.
Die bei der Abwägung zu berücksichtigende Auswirkungen der Datenverarbeitung auf Betroffene hängen von verschiedenen Faktoren ab. Es ist naheliegend, dass die Art der Daten hierauf einen wesentlichen Einfluss hat: Bei der Verarbeitung sensibler Daten nach Art. 9 DSGVO, aber auch bestimmter anderer Datenkategorien wie etwa Finanzdaten sind die Auswirkungen auf Betroffene tendenziell höher. Der EDSA führt weitere Kriterien an, die zu einem höheren Risiko führen können. Diese sind ähnlich wie die Kriterien für die Beurteilung der Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA), bspw. Zusammenführen von Daten aus verschiedenen Quellen, Daten von besonders schutzbedürftigen Betroffenen (bspw. Patienten, Kinder) etc.
Schließlich betont der EDSA, dass bei der Risikobeurteilung auch die Wahrscheinlichkeit der Materialisierung des jeweiligen Risikos berücksichtigt werden soll, wobei die eingesetzten technischen und organisatorischen Maßnahmen und die konkreten Umstände der Verarbeitung berücksichtigt werden sollen.
Neben den Auswirkungen der Verarbeitung auf Betroffene muss im Rahmen der Abwägung auch geprüft werden, ob Betroffene die Verarbeitung vernünftigerweise erwarten müssten. Diesbezüglich ist etwa die Quelle der Daten relevant (Hat der Betroffene die Daten selbst zur Verfügung gestellt oder hat das Unternehmen diese von einem Dritten oder aus dem Internet erhalten?); ebenso muss die Natur der Beziehung zwischen dem Unternehmen und dem Betroffenen berücksichtigt werden.
Abhilfemaßnahmen und Transparenz
Wenn es im Rahmen der Abwägung scheint, dass die Interessen der Betroffenen überwiegen werden, kann das Unternehmen mit sogenannten Abhilfemaßnahmen gegensteuern. Diese sind jedoch nicht mit Maßnahmen zu verwechseln, welche der Verantwortliche nach der DSGVO ohnehin implementieren muss (etwa Datenminimierung).
Welche Maßnahmen im konkreten Fall geeignet sind, die Risiken für die Betroffenen erfolgreich zu reduzieren, hängt von dem konkreten Fall ab. Beispielhaft listet der EDSA eine Reihe von Maßnahmen auf, die sowohl technische als auch organisatorische Aspekte abdecken:
- Verantwortliche könnten beim KI-Training technische Verfahren wie Pseudonymisierung oder Maskierung personenbezogener Daten einsetzen, um das Risiko für Betroffene zu minimieren.
- In der Phase der Nutzung des KI-Systems könnten ggf. Filter eingesetzt werden, die sicherstellen, dass KI-Outputs keine personenbezogenen Daten beinhalten.
- Des Weiteren könnte der Verantwortliche Maßnahmen implementieren, die die Betroffenenrechte stärken. Ein Beispiel hierfür wäre die Gewährung des Rechts auf Löschung über das gesetzliche Mindestmaß hinaus.
- Außerdem könnte das Unternehmen nach der Erhebung der Daten nicht sofort mit dem Training des Algorithmus beginnen, sondern eine gewisse Zeit die Daten nicht verarbeiten, um so Betroffenen vor dem Training ein effektives Opt-out zu ermöglichen.
- Im Bereich der Transparenz könnte der Verantwortliche über die gesetzlichen Pflichten nach Art. 12-14 DSGVO hinausgehen und etwa zusätzliche Informationen bereitstellen oder Informationen in gängigen Medien veröffentlichen. Diese Maßnahmen könnten dazu beitragen, die Informationsasymmetrie zwischen dem Verantwortlichen und den Betroffenen zu verringern und ein besseres Verständnis für den Umgang mit personenbezogenen Daten zu schaffen.
Fazit: Einzelfallprüfung bleibt entscheidend
Die Stellungnahme des EDSA verdeutlicht, dass die Verarbeitung personenbezogener Daten bei KI-Modellen sowohl Chancen als auch Risiken mit sich bringt. Die Einhaltung der DSGVO erfordert dabei nicht nur geeignete technische Lösungen, sondern auch ein Bewusstsein für die Auswirkungen von KI-Systemen auf die Rechte und Freiheiten der Individuen.
Der EDSA hat zwar die Frage nicht konkret beantwortet, ob Unternehmen die mit dem KI-Training bzw. der KI-Nutzung verbundene Verarbeitung auf ihr berechtigtes Interesse stützen können, dies aber auch nicht verneint. Eine Festlegung war aber auch nicht zu erwarten, denn die Breite der unterschiedlichen Szenarien ist schlichtweg zu groß, um eine allgemein gültige Antwort geben zu können.
Mit der Stellungnahme des EDSA steht Unternehmen nunmehr ein klarer Rahmen zur Verfügung, mithilfe dessen Unternehmen selbstständig prüfen können, ob und inwieweit die Verarbeitung auf ihr berechtigtes Interesse gestützt werden kann. Die Stellungnahme ist aber auch darüber hinaus relevant, denn unabhängig von der anwendbaren Rechtsgrundlage bietet sie eine gute Übersicht der möglichen Abhilfemaßnahmen im KI-Bereich, mit welchen sich das Datenschutzniveau erhöhen lässt.
