DSGVO: Können Unternehmen die neuen DSK-Leitlinien zu KI überhaupt umsetzen?
von , veröffentlicht am 06.05.2024Die Deutsche Datenschutzkonferenz DSK, das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, hat heute neue Leitlinien zu KI und Datenschutz veröffentlicht.
Das neue DSK-Papier ist nicht rechtsverbindlich und befasst sich hauptsächlich mit Large Language Models (LLM) und Chatbots. Es bietet nicht mehr als einen groben Überblick über die Anforderungen des Datenschutzes.
Das DSK-Papier ist nicht sehr detailliert und lässt viele Fragen unbeantwortet:
- So heißt es, dass KI-Training immer dann datenschutzkonform sein muss, wenn „personenbezogene Daten für das Training verwendet werden“ und es eine Rechtsgrundlage für die Verwendung der Daten für das Training geben muss. Die DSK stellt fest:“Datenschutzrechtlich vorzugswürdig sind daher Anwendungen, die die Ein‐ und Ausgabedaten nicht zu Trainingszwecken verwenden." - Allerdings erklärt die DSK nicht, ob KI-Training tatsächlich eine „Verarbeitung“ personenbezogener Daten im Sinne der DSGVO ist - ein Thema, das in Deutschland diskutiert wird. Siehe mein neues MMR Editorial hier.
- Die gleiche Malaise besteht für die Transparenzanforderungen der DSGVO: In dem Papier heißt es: „Wird die KI‐Anwendung zum Beispiel als Cloud‐Lösung eingesetzt, ist der Auftragsverarbeiter gemäß Art. 28 Abs. 3 Satz 2 lit. e DS‐GVO verpflichtet, den Verantwortlichen dabei zu unterstützen, den Rechten der betroffenen Person nachzukommen.“ - Leider gibt die DSK keine weiteren Einzelheiten darüber an, was erforderlich ist und was in einer Datenschutzrichtlinie offengelegt werden muss. Es wird auch nicht erklärt, wie die DSGVO mit dem neuen AI-Gesetz zusammenhängt.
- Ein weiteres Manko des DSK-Papiers ist, dass die DSK nicht darauf eingeht, wie die betroffene Person ihre Rechte auf Datenzugang nach der DSGVO ausüben sollte. Zu den anderen Rechten des Einzelnen nach der DSGVO stellt die DSK fest, dass hinsichtlich „personenbezogener Daten besteht bei Unrichtigkeit jedoch ein Recht der betroffenen Personen auf Berichtigung. Diese Berichtigung muss in einer KI‐Anwendung umsetzbar sein, zum Beispiel durch Korrektur von Daten oder durch ein Nachtraining/Fine Tuning. Allerdings ist die „Berichtigung“ oder „Löschung“ personenbezogener Daten aus technischen Gründen in einem LLM-System möglicherweise gar nicht möglich. Was dann?
Das DSK-Papier ist ein weiteres Beispiel dafür, wie schwierig es ist, KI-LLM/GPIA-Anwendungen mit der GDPR in Einklang zu bringen.
Eine zusätzliche Herausforderung besteht darin, dass die Verpflichtungen des neuen KI-Acts zusätzlich zur GDPR gelten werden (vgl. o.g. Editorial). Wie beide Gesetze zusammenwirken werden, bleibt leider unklar.
„Version 1.0“ der Leitlinien ist hoffentlich nicht die letzte Fassung.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenDas hat die DSK davon, dass sie die Unternehmen im Stil eines preußischen Leutnants herumkommandiert - das Wort "muss" /"müssen" kommt auf 15 dürren Seiten 27mal vor. Wie wäre es gewesen, vorab ein transparentes Konsultationsverfahren zu dien Themen mit LLM Experten durchzuführen?? Als Investor würde dreimal überlegen, ob ich in KI in Deutschland investiere. Jede Menge Haftungsrisiken für den Entwickler und den Anwender! Und das sind nur die Pflichten nach der DSGVO - die KI VO mit ihren über 400 Seiten kommt noch drauf, von einer neuen Beschwerde des verehreten Herrn Magisters Schrems gegen OpenAI in Österreich mal abzusehen.