Der Datenschutz bei Künstlicher Intelligenz (KI) stellt für viele Unternehmen eine besondere Herausforderung dar. Die Definition, wann Daten als personenbezogen gelten, ist nicht eindeutig geklärt und variiert zwischen den einzelnen Datenschutzaufsichtsbehörden. So können personenbezogene Daten in verschiedenen Phasen eines KI-Systems auftreten – von der Erstellung der Trainingsdatensätze bis hin zu den von der KI generierten Outputs. Die baden-württembergische Datenschutzbehörde betont, dass die Identifizierbarkeit einer natürlichen Person auch durch pseudonyme Daten gegeben sein kann, wenn auf ergänzende Informationen zugegriffen werden kann. Im Kontrast dazu steht das Diskussionspapier der Hamburger Datenschutzaufsicht, das Large Language Models (LLMs) als nicht personenbezogen ansieht.
Datenschutzgrundsätze für KI-Anwendungen
Ungeachtet der Frage des Personenbezugs betonen alle Aufsichtsbehörden die Notwendigkeit der Einhaltung der Datenschutzgrundsätze gemäß Art. 5 DSGVO. Drei dieser Grundsätze sind besonders hervorzuheben:
Datenminimierung: Unternehmen müssen sich auf das notwendige Minimum beschränken, wenn es um die Verarbeitung personenbezogener Daten geht. KI-Systeme sollten daher regelmäßig überprüft und angepasst werden, um sicherzustellen, dass nur notwendige Daten verarbeitet werden. Eine wahllose Verarbeitung muss vermieden werden.
Datenrichtigkeit: Nur sachlich richtige und aktuelle Daten dürfen verarbeitet werden. Da KI-Systeme anfällig für Fehler und sogenannte “KI-Halluzinationen” sind, ist besondere Sorgfalt geboten. Dies schließt die Überprüfung und Validierung der Trainingsdatensätze sowie die ständige Überwachung des KI-Outputs ein.
Transparenz: Der Grundsatz der Transparenz fordert, dass die Verarbeitung personenbezogener Daten für die betroffene Person nachvollziehbar ist. Insbesondere bei der Verwendung von künstlichen neuronalen Netzen, die oft als “Blackbox” wahrgenommen werden, ist dies eine Herausforderung. Unternehmen müssen ihre Informationspflichten ernst nehmen und sicherstellen, dass auch komplexe Systeme verständlich erklärt werden.
Betroffenenrechte wahren
Die Rechte der betroffenen Personen – wie Auskunft, Berichtigung und Löschung – müssen auch bei der Nutzung von KI-Anwendungen gewahrt werden. Insbesondere die Löschung personenbezogener Daten kann technisch komplex sein, da KI-Systeme oft auf numerische Vektoren und nicht auf einfache Zeichenfolgen zurückgreifen. Verantwortliche müssen daher frühzeitig Maßnahmen ergreifen, um die Ausübung dieser Rechte zu ermöglichen.
Der Europäische Datenschutzbeauftragte empfiehlt unter anderem technische und organisatorische Maßnahmen zur Aufzeichnung und Rückverfolgbarkeit von Datensätzen. Damit stehen Verantwortliche oft vor der Mammutaufgabe, diese Empfehlungen in der Praxis umzusetzen, insbesondere wenn die KI-Modelle von Drittanbietern stammen.
Fazit
Der Datenschutz bei KI-Anwendungen bleibt ein komplexes und sich ständig weiterentwickelndes Thema. Die Aufsichtsbehörden legen klare Anforderungen fest, lassen jedoch oft konkrete Hinweise zur praktischen Umsetzung vermissen. Unternehmen sind daher gefordert, die Einhaltung der Datenschutzgrundsätze und die Wahrung der Betroffenenrechte mit großer Sorgfalt zu gewährleisten. Eine proaktive und informierte Herangehensweise ist der Schlüssel, um den Anforderungen der DSGVO gerecht zu werden und das Vertrauen der Kunden zu gewinnen.