Der Europäische Datenschutzausschuss (EDSA) hat am 17. Dezember eine Stellungnahme zur Verwendung personenbezogener Daten bei der Entwicklung und Implementierung von KI-Modellen veröffentlicht. Diese befasst sich mit drei zentralen Fragen:
- Wann kann ein KI-Modell als anonym betrachtet werden?
- Kann das berechtigte Interesse als Rechtsgrundlage für den Einsatz von KI herangezogen werden?
- Welche Konsequenzen hat es, wenn eine KI mit unrechtmäßig verarbeiteten Daten entwickelt wurde?
Besonders relevant ist die Bewertung der Anonymität: Ein Modell kann nur dann als anonym betrachtet werden, wenn die Wahrscheinlichkeit der direkten Extraktion personenbezogener Daten und die Wahrscheinlichkeit, solche personenbezogenen Daten durch Abfragen zu erhalten, vernachlässigbar gering ist. Die Stellungnahme nennt eine Reihe von Kriterien, die Unternehmen beachten sollten, um eine valide Anonymitätsbewertung vornehmen zu können.
Zentral ist auch die Frage des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung. Hier empfiehlt die Stellungnahme einen dreistufigen Test und betont, dass die Erwartungen der betroffenen Personen an die Datenverarbeitung eine wesentliche Rolle spielen, wobei sowohl die bereitgestellten Informationen als auch der Kontext der Verarbeitung entscheidend sind.
Wenn ein KI-Modell mit unrechtmäßig verarbeiteten personenbezogenen Daten entwickelt wurde, kann dies erhebliche Auswirkungen auf seinen Einsatz haben. Auch Anbietern von KI-Modellen, die von anderen Herstellern entwickelt wurden, ist eine sorgfältige Prüfung anzuraten. Nur wenn eine ordnungsgemäße Anonymisierung nachgewiesen werden kann, müssen die bei der Entwicklung verwendeten Daten nicht mehr berücksichtigt werden.
Für Unternehmen bedeutet dies eine verstärkte Notwendigkeit, Datenschutzfragen frühzeitig in ihre Prozesse zu integrieren und den Einsatz interner wie externen KI-Lösungen rechtlich zu prüfen.