Am 18. Dezember 2024 hat der Europäische Datenschutzausschuss (EDSA) eine umfassende Stellungnahme zur datenschutzkonformen Entwicklung und Nutzung von KI-Modellen veröffentlicht. Die Stellungnahme befasst sich mit den wichtigsten Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten und bietet praxisorientierte Leitlinien für Unternehmen und Organisationen.
Anonymität von KI-Modellen
Ein zentrales Thema der EDSA-Stellungnahme ist die Definition und Sicherstellung der Anonymität von KI-Modellen. Die Anonymität eines Modells ist von entscheidender Bedeutung. Denn sie entscheidet darüber, ob die verarbeiteten Daten noch als personenbezogen gelten und damit den Anforderungen der DSGVO unterliegen. Der EDSA betont, dass ein Modell nur dann als anonym gelten kann, wenn die Identifizierung der betroffenen Personen technisch praktisch ausgeschlossen ist. Auch darf es nicht möglich sein, durch gezielte Abfrage oder Rekonstruktion personenbezogene Daten aus dem Modell zu extrahieren.
Um die Anonymität zu gewährleisten, empfiehlt der Ausschuss den Einsatz spezifischer Verfahren. Die wichtigsten Methoden sind K-Anonymität, Differential Privacy und Pseudonymisierung. K-Anonymität zielt darauf ab, einzelne Datensätze in einer Gruppe so zu verschleiern, dass sie nicht mehr eindeutig einer Person zugeordnet werden können. Differential Privacy geht noch einen Schritt weiter und stellt sicher, dass Änderungen in der Datenbank keinen signifikanten Einfluss auf das Modell haben, wodurch das Risiko einer Re-Identifizierung minimiert wird. Die Pseudonymisierung hingegen ersetzt die identifizierenden Merkmale durch Pseudonyme, bietet aber keinen vollständigen Schutz vor Re-Identifizierung und kann unter bestimmten Bedingungen rückgängig gemacht werden.
Ein weiterer wichtiger Aspekt ist die Durchführung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO, insbesondere wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Unternehmen sollten nicht nur technische, sondern auch organisatorische Maßnahmen ergreifen, um sicherzustellen, dass ihre KI-Modelle datenschutzkonform trainiert und eingesetzt werden. Dazu gehören beispielsweise die regelmäßige Überprüfung der Anonymität der Daten sowie die Implementierung von Kontrollmechanismen, die eine ungewollte Reidentifizierung verhindern.
Berechtigtes Interesse: Dreistufiger Test
Ein wesentlicher Bestandteil der EDSA-Stellungnahme ist die rechtliche Einordnung des berechtigten Interesses als mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Kontext von KI-Modellen. Nach Art. 6 Abs. 1 lit. f DSGVO kann eine Verarbeitung zulässig sein, wenn ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegt, das die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegt. Um diese Abwägung rechtssicher vorzunehmen, schlägt der EDSA einen dreistufigen Test vor, der eine sorgfältige Prüfung und Dokumentation erfordert.
Zunächst muss der Verantwortliche den Zweck der Verarbeitung klar definieren und begründen, warum die Verarbeitung der personenbezogenen Daten zur Verfolgung dieses Interesses erforderlich ist. Ein berechtigtes Interesse kann beispielsweise in der Entwicklung innovativer KI-Technologien oder der Verbesserung von Dienstleistungen durch datengetriebene Analysen liegen. Dabei ist darauf zu achten, dass dieses Interesse nicht vage oder spekulativ ist, sondern auf einer tatsächlichen und nachweisbaren Grundlage beruht.
In einem zweiten Schritt ist zu prüfen, ob die Verarbeitung tatsächlich erforderlich ist, um den festgelegten Zweck zu erreichen. Dies bedeutet, dass der für die Verarbeitung Verantwortliche analysieren muss, ob es alternative Mittel gibt, mit denen derselbe Zweck mit weniger einschneidenden Maßnahmen für die betroffenen Personen erreicht werden könnte. Ist dies der Fall, kann die Verarbeitung als unverhältnismäßig angesehen und somit nicht auf das berechtigte Interesse gestützt werden.
Der dritte und entscheidende Schritt ist die Abwägung zwischen den Interessen des für die Verarbeitung Verantwortlichen und den Grundrechten und Grundfreiheiten der betroffenen Personen. Dabei sind insbesondere die vernünftigen Erwartungen der Betroffenen zu berücksichtigen. Wenn eine betroffene Person vernünftigerweise nicht damit rechnet, dass ihre Daten für einen bestimmten Zweck verarbeitet werden, kann dies ein starkes Indiz für die Unzulässigkeit der Verarbeitung sein. Ebenso müssen besondere Schutzmaßnahmen in Betracht gezogen werden, um das Risiko für die betroffenen Personen zu minimieren. Zum Beispiel durch transparente Kommunikation über die Datenverarbeitung oder zusätzliche technische Sicherheitsmaßnahmen.
Konsequenzen unrechtmäßiger Datenverarbeitung
Ein weiteres Anliegen des EDSA ist der Umgang mit unrechtmäßig verarbeiteten personenbezogenen Daten in KI-Modellen. In der Stellungnahme wird klargestellt, dass eine nachträgliche Legitimierung einer unzulässigen Datenverarbeitung nicht möglich ist. Verantwortliche sind verpflichtet, geeignete Maßnahmen zu ergreifen, um die Auswirkungen einer unrechtmäßigen Verarbeitung zu minimieren und die datenschutzrechtlichen Anforderungen zu erfüllen.
Zu diesen Maßnahmen gehört vorrangig die vollständige Löschung der unrechtmäßig erhobenen Daten aus dem KI-Modell und den zugehörigen Datenbanken. Sollte eine Löschung technisch nicht durchführbar sein, etwa weil das Modell bereits mit den betreffenden Daten trainiert wurde und eine Extraktion nicht mehr möglich ist, empfiehlt der EDSA alternative Lösungen. Eine dieser Alternativen besteht darin, das Modell mit einer neuen, rechtmäßigen Datenbasis neu zu trainieren (Modell-Retraining mit rechtmäßig erhobenen Daten). In Fällen, in denen dies nicht praktikabel ist, kann es erforderlich sein, die Nutzung des betroffenen Modells einzuschränken.
Darüber hinaus betont die EDSA, dass Unternehmen verpflichtet sind, bestehende Datenschutzverstöße zu dokumentieren und geeignete interne Maßnahmen zu ergreifen, um zukünftige unrechtmäßige Datenverarbeitungen zu verhindern. Hierzu zählen die regelmäßige Durchführung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO sowie die Einrichtung von Mechanismen zur laufenden Kontrolle der Datenverarbeitungsvorgänge.
Lese-Tipp: KI-Verordnung (KI-VO) – Das gilt ab Februar 2025 für Unternehmen
Praktische Konsequenzen für Unternehmen
Die EDSA-Stellungnahme gibt praktische Hinweise für Unternehmen, die KI-Technologien entwickeln oder einsetzen. Daraus lassen sich folgende Empfehlungen ableiten:
Der EDSA stellt klar, dass die Anonymität von KI-Modellen nicht allein von der Absicht des Verantwortlichen abhängt, sondern durch geeignete technische Maßnahmen und regelmäßige Überprüfungsprozesse sichergestellt werden muss. Unternehmen, die KI-Technologien einsetzen, müssen sicherstellen, dass sie angemessene Datenschutzmaßnahmen ergreifen und ihre Modelle kontinuierlich auf mögliche Datenschutzrisiken überprüfen.
Die Anwendung des dreistufigen Tests zur Beurteilung des Vorliegens eines berechtigten Interesses ist nicht nur eine formale Anforderung. Sie erfordert eine inhaltliche Auseinandersetzung mit den Auswirkungen der Datenverarbeitung auf die Betroffenen. Unternehmen sollten daher Transparenzmaßnahmen (gemäß Art. 12 DSGVO) umsetzen und ausführlich dokumentieren, aus welchen Gründen ihr berechtigtes Interesse überwiegt. Dies kann durch Datenschutz-Folgenabschätzungen oder eine ausführliche interne Risikoanalyse erfolgen.
In Zweifelsfällen empfiehlt sich eine Abstimmung mit den Datenschutzbehörden, um Rechtsunsicherheiten zu vermeiden und die DSGVO-Konformität sicherzustellen.
Fazit: EDSA nimmt Unternehmen bei KI in die Pflicht
Die Stellungnahme des EDSA liefert wichtige Leitlinien für den datenschutzkonformen Einsatz von KI-Technologien. Sie macht deutlich, dass die Entwicklung und Nutzung von KI-Modellen strengen Anforderungen an Anonymität, Rechtsgrundlage und Datenverarbeitung unterliegt. Unternehmen sollten daher geeignete Maßnahmen umsetzen, um die DSGVO-Konformität sicherzustellen und Haftungsrisiken zu vermeiden. Durch einen transparenten und verantwortungsvollen Umgang mit personenbezogenen Daten kann die Innovationskraft von KI mit den Datenschutzrechten der Nutzer in Einklang gebracht werden.
Sie wollen Ihr Unternehmen fit für den Einsatz von KI machen? Wir packen es gemeinsam an! Unsere Experten beraten Sie gerne. Rufen Sie uns an oder schreiben Sie uns:
Fon: +49 (228) 926165-100
E-Mail: info@2b-advice.com
German 
English 
Italian 
French