Baris Cem Batur, Rechtsanwalt bei der AWADO Rechtsanwaltsgesellschaft mbH mit Beratungsschwerpunkt im Datenschutz- und IT-Recht sowie dem Recht der neuen Technologien
Die Veröffentlichung des Large-Language-Models „ChatGPT“ des amerikanischen Technologieunternehmens Open AI Inc. im November 2022 versteht sich als ein erheblicher Meilenstein einer bereits seit langen Jahren andauernden Entwicklung der Technologie der Künstlichen Intelligenz, die bis in die 1950er Jahre zurückgeht.
Unter dem Sammel- und Oberbegriff der „Künstlichen Intelligenz“ haben diverse Technologien seither eine dynamische und rasante Entwicklung genommen, sodass mittlerweile eine sehr vielfältige Landschaft an Produkten der Künstlichen Intelligenz und insbesondere der Large-Language-Models existiert.
Die KI-Technologie wird auf europäischer Ebene nunmehr durch das neue europäische Recht der Künstlichen Intelligenz, welches in der KI-Verordnung Gestalt gefunden hat (lediglich die Verkündung im europäischen Gesetzesblatt steht bei Redaktionsschluss aus), reguliert.
Die KI-Verordnung enthält keine KI-spezifischen Datenschutzvorschriften, sodass bezüglich des Datenschutzes die allgemeinen Regeln, d. h. die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG) Anwendung finden.
Die Anforderungen dieser Gesetze und allen voran der DSGVO sind technikneutral ausgestaltet und beziehen sich daher nicht auf eine besondere Technologie. Wenig überraschend stehen daher die allgemeinen Grundsätze der Verarbeitung von personenbezogenen Daten nach Art. 5 DSGVO in einem starken Spannungsverhältnis zur KI-Technologie und werfen in diesem Zusammenhang diverse Fragen auf.
Beispielsweise stehen die Grundsätze der Datenminimierung und der Speicherbegrenzung konträr zur Grundvoraussetzung der Entwicklung bzw. Weiterentwicklung von KI-Systemen, dem sog. KI‑Training, wonach grundsätzlich große Mengen von Daten, darunter in der Regel auch zwangsläufig personenbezogene Daten erforderlich sind. Insbesondere maschinelles und tiefes Lernen funktioniert grundsätzlich nur anhand von Big-Data-Verarbeitungen.
Die Grundsätze der Transparenz sowie der Zweckbindung stehen hingegen im Spannungsverhältnis zum Umstand, dass die KI-Technologie – sofern sie überhaupt verallgemeinert werden kann – einer besonders dynamischen Entwicklung unterliegt. Etwaige Nutzungsmöglichkeiten stehen bei der Entwicklung größtenteils nicht fest bzw. sind nach ihrer Art und ihrem Umfang nur schwer einzugrenzen, was zwangsläufig dazu führt, dass die Einhaltung von Informationspflichten zur transparenten Verarbeitung, aber auch die antizipierende Zweckbestimmung, besonders herausfordernd sind.
Die Produkte von KI-Systemen können darüber hinaus speziell bei generativen KI‑Sprachmodellen, die Texte basierend auf dem Zufalls-/Wahrscheinlichkeitsprinzip und nicht im Rahmen einer algorithmischen Lösung (Wenn-Dann-Prinzip) generieren, zu Missverhältnissen in Bezug auf den Grundsatz der Richtigkeit stehen. Darüber hinaus ist die Generierung von diskriminierenden Ergebnissen aufgrund des Zufalls‑/Wahrscheinlichkeitsprinzips nicht unwahrscheinlich und auch durch Risikominimierungsmaßnahmen nur schwer gänzlich auszuschließen, ohne die Funktionalität und den Mehrwert des Sprachmodells empfindlich zu drosseln.
Aber nicht nur das KI-Training selbst, sondern auch andere Verarbeitungsstadien, wie die Erhebung von Daten für das KI-Training, die Bereitstellung des KI-Systems durch den KI-Anbieter oder auch die Nutzung von KI-Ergebnissen durch KI-Betreiber bringen besonders komplexe datenschutzrechtliche Herausforderungen mit sich.
Über die allgemeinen Grundsätze der Verarbeitung von personenbezogen Daten nach Art. 5 DSGVO hinaus bestehen interessante datenschutzrechtliche Fragestellungen im Zusammenhang mit dem Einsatz von KI-Systemen, u. a. (1) ob eine Anonymisierung von personenbezogenen Daten im konkreten Fall möglich ist, um gar nicht erst dem sachlichen Anwendungsbereich der DSGVO zu unterfallen, (2) den einschlägigen Rechtsgrundlagen (berechtigtes überwiegendes Interesse des Verantwortlichen, Einwilligung, Erforderlichkeit zur Erfüllung von Vertragspflichten), (3) die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung oder (4) der Abgrenzung zwischen der (privilegierten) Auftragsverarbeitung nach Art. 28 DSGVO und der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, sofern man sich eines Dienstleisters (in der Regel KI-Anbieter) bedient.
Die Landesdatenschutzbehörden und die Datenschutzkonferenz als Zusammenschluss jener Behörden setzen sich bereits maßgeblich mit diesen datenschutzrechtlichen Fragestellungen und Herausforderungen hinsichtlich des Einsatzes von KI-Systemen auseinander. Sie veröffentlichten bereits Diskussions- und Positionspapiere, Orientierungshilfen und Checklisten, die einen guten Anfang für den juristischen Diskurs bedeuten, allerdings wenig praktische Lösungsansätze u. a. für die Finanz- und Bankindustrie liefern.
Mithin bleibt es spannend die Entwicklung von neuen datenschutzrechtlichen Grundsätzen und Beurteilungsparametern für den Einsatz von KI-Systemen zu verfolgen, da insbesondere die DSGVO auf die wenigsten Fragen im Zusammenhang mit der KI-Technologie Antworten liefert.
PRAXISTIPPS
- Das Datenschutzrecht wird durch Gerichte, Behörden und auch möglicherweise durch den EU-Gesetzgeber in Bezug auf die KI-Technologie mangels konkreter Vorgaben fortentwickelt werden müssen.
- Bleiben Sie daher auf dem aktuellen Stand und führen Sie Know-how-Träger, die sich mit beiden Regelungsregimen operativ beschäftigen, sprich KI-Verordnung und Datenschutz, proaktiv zusammen bzw. bilden Sie derartiges Personal aus.
- Nutzen Sie die Konvergenzen und Synergien zwischen dem Datenschutz und dem neuen Recht der Künstlichen Intelligenz, z. B. in Sachen Risikomanagement und -analyse, um eine angemessene KI-Governance aufzubauen.
Beitragsnummer: 22648