Dass KI-Tools wie ChatGPT mit einer großen Menge an Daten trainiert werden, ist nicht neu. In der EU gibt es aber seit geraumer Zeit Diskussionen, ob die Programme und Unternehmen dahinter gegen den Datenschutz verstoßen könnten. Jetzt hat der Europäischen Datenschutzausschuss eine Stellungnahme dazu veröffentlicht und Rahmenbedingungen geschaffen, die im Einzelfall eine Datenschutzprüfung von KI-Systemen ermöglichen würden.

So heißt es in der Stellungnahme, dass zunächst über ein Drei-Punkte-System festgestellt werden soll, ob die KI-Unternehmen ein berechtigtes Interesse daran haben, die personengebundenen Daten zu nutzen. Das ist auch bei vielen anderen Unternehmen der Fall, die personenbezogene Daten verarbeiten, um ihre Dienste überhaupt anbieten zu können. Der erste Schritt läge laut dem Europäischen Datenschutzausschuss darin, zu prüfen, ob dieser Anspruch besteht. Dafür muss das Interesse klar durch die Unternehmen formuliert werden und darf nicht gegen Landes- oder EU-Recht verstoßen.

Der zweite Schritt beschäftigt sich dann mit der Frage, ob die Verarbeitung von personalisierten Daten wirklich für KI-Systeme notwendig ist. Im Zweifel sollten die KI-Unternehmen Mittel und Wege finden, um ihre Ziele zu erreichen, ohne in die Rechte anderer Individuen einzugreifen. Im dritten Schritt muss abgewogen werden, ob die Interessen des KI-Unternehmens gegen die Grundrechte von Individuen verstoßen oder nicht.

Aber auch wenn die KI-Unternehmen ein berechtigtes Interesse an der Nutzung von Daten vorweisen können, kommt es auch darauf an, dass die verarbeiteten Daten anonym behandelt werden. Um das zu erfüllen, muss es laut EDS „sehr unwahrscheinlich sein“, einzelne Individuen anhand der Daten identifizieren zu können, die zur Erschaffung des Modells genutzt wurden. Zudem muss sichergestellt sein, dass diese Daten nicht über Prompts oder andere Wege aus der KI extrahiert werden können.

In der Stellungnahme betont Anu Talus, Vorsitzende des Europäischen Datenschutzausschusses: „KI-Technologien können viele Möglichkeiten und Vorteile für verschiedene Industriebereiche und Bereiche des Lebens mit sich bringen. Aber wir müssen sicherstellen, dass diese Innovationen ethisch und sicher erreicht werden, sodass jeder davon profitiert. Der EDSA will die verantwortungsvolle KI-Innovation unterstützen, indem sichergestellt wird, dass Daten geschützt werden und KI-Systeme die Datenschutzgrundverordnung respektieren“.

Laut EDSA könnten KI-Systeme wie ChatGPT, wenn sie gegen diese vorgeschlagenen Richtlinien verstoßen, auch verboten werden. Allerdings muss das Verbot nicht direkt auf einen Verstoß folgen. Die Unternehmen könnten auch Zeit bekommen, um die notwendigen Datenschutzmaßnahmen nachträglich zu ergreifen und die Daten von Individuen im KI-Modell zu anonymisieren.

Dadurch gibt es auch kritische Stimmen zu der Stellungnahme. So heißt es von Max Schrems, Gründer der Bürgerrechtsorganisation Noyb (None of your business) via Trending Topics: „Im Wesentlichen sagt der EDSA: Wenn Sie sich an das Gesetz halten, ist alles in Ordnung. Soweit wir wissen, hält sich keiner der großen Akteure der KI-Szene an die DSGVO“.

Wie die Stellungnahme und die vorgeschlagenen Systeme der EDSA in der EU umgesetzt werden, muss sich also noch zeigen. Aktuell arbeitet der EDSA laut Schlusswort der Stellungnahme an weiteren Richtlinien, die spezifischere Fragen des Datenschutzes bei KI-Systemen klären sollen. Als Beispiel nennt der Ausschuss das Web-Scraping, bei großflächig Inhalte aus dem Netz für das KI-Training gesammelt werden.