Training von Künstlicher Intelligenz und die Grenzen des Datenschutzes
03.09.2024
Zusammenfassung
Die deutschen Datenschutz-Aufsichtsbehörden rücken in einer Pressemitteilung vom Thesenpapier der Hamburger Datenschutz-Aufsichtsbehörde zum Thema KI ab.
7 Minuten Lesezeit
Mit Einführung der KI werden Schwierigkeiten erkennbar, datenschutzrechtliche Rahmenbedingungen für komplexe KI-Lösungen vorgeben zu können. Die Datenschutzkonferenz DSK hat sich in ihrer letzten Strategieklausur mit der generativen KI und LLMs unter den Vorgaben des Datenschutzes auseinandergesetzt. Darüber liegt eine Pressemitteilung vom 2. September 2024 vor.
Einige Auszüge:
Unabhängig von der anstehenden Entscheidungen des Bundesgesetzgebers über neue Zuständigkeiten für die Durchsetzung der seit 2. August 2024 geltenden KI-Verordnung betrifft die Nutzung Künstlicher Intelligenz in der Mehrzahl der Fälle die Anforderungen der Datenschutz-Grundverordnung.
Die Datenschutzaufsichtsbehörden sind einhellig der Auffassung, dass es ihre Aufgabe ist, Behörden und Unternehmen, die KI einsetzen, mit ihrer Expertise für den Schutz personenbezogener Daten zu begleiten.
Wer die Funktionsbedingungen (von generativer KI) genauer analysiert, wird feststellen, dass schon hier in den allermeisten Fällen eine Verarbeitung personenbezogene Daten nicht auszuschließen ist. Daran schließen sich eine Vielzahl datenschutzrechtlicher Fragen an.
Weiterhin werden Sorgen geäußert, dass sich aus der Nutzung künstlicher Intelligenz grundlegende Veränderungen der Durchsetzungsfähigkeit für die Rechte und Freiheiten der Bürger ergeben, der Datenschutz in der beginnenden Legislaturperiode zudem ohnehin ins Hintertreffen zu geraten droht.
Für ein kohärentes europäisches Daten-, Digital- und KI-Recht bedarf es der sorgfältigen Analyse sowie Diskussion über passgenau spezifische datenschutzrechtliche Anforderungen, die beim Ringen um die KI-Verordnung bisher ausgeblendet blieben.
+++
Welche Optionen kommen in Betracht?
Als erste Möglichkeit bietet sich an, diesen Bereich nicht dem Datenschutzrecht zuzuschlagen.
Eine weitere Variante bestünde darin, von der Formulierung präziser Rahmenbedingungen Abstand zu nehmen, einen bedeutenden Teil des Rechtgebiets also teilweise sich selber zu überlassen.
Schließlich die Überlegung, aus Datenschutzgründen auf die Nutzung derartiger Techniken zu verzichten.
Die Hamburger Datenschutzbehörde schlugt vor, ein ruhendes Large-Language-Modell zunächst als datenschutzrechtlich nicht relevant zu betrachten (Quelle).
Wir fügen einen weiteren Ansatz hinzu.
Wer immer auf welche Weise an personenbeziehbare Daten gelangt ist soll diese Daten nicht verwenden dürfen.
Hierbei handelt es sich um den Ansatz der IITR Datenschutz GmbH, den wir vor drei Jahren auf den Gerichtsweg gegeben haben und der sich derzeit auf dem Schreibtisch des OVG Münster befindet. Grundlage ist unser geführter Nachweis, wonach Daten materiell sind, sein müssen, um verarbeitet, versendet, gespeichert werden zu können. Eine materiefreie Verarbeitung existiert in unserem Universum nicht (weitere Informationen hier).
Daraus ergibt sich eine Eigentumsfähigkeit an Daten. Hier insbesondere all jener Daten, die personenbezogen sind und sich nach Art. 4 DSGVO auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Derartige Daten sollten der beschriebenen Person zugehörig sein mit dem Zusatz, auch die Nutzung dieser Daten nicht vermarkten zu dürfen. Die Analogie dazu besteht in EU Charta Art 5 (Verbot der Sklaverei) wonach man seinen Körper nicht verkaufen kann.
Es böte sich an, diesen Schutz-Ansatz auch auf eine Beschreibung einer Person auszuweiten, die einschlägigen Daten unveräußerlich dieser Person zuzuweisen.
Wer an personenbeziehbare Daten auf welche Weise auch immer gelangt sein sollte, oder diese errechnen könnte: er darf diese Daten nicht verwenden.
Damit wäre nicht nur das Problem der Kombinationsfähigkeit von LLMs entschärft. Derartige Daten auf außereuropäischen Servern wäre ebenfalls einige Brisanz genommen hinsichtlich einer Erstellung individuell zugeschnittener Beeinflussungsansätze, oder auf die Persönlichkeit zugeschnittene Werbezuspielungen etc.
Mit der digitalen Verarbeitung von Daten bestand zunehmend die Gefahr, durch die Zusammenführung eigentlich völlig banaler Daten (drei Angaben sollten bereits genügen) eine Person identifizierbar, sowie Persönlichkeitsmerkmale erkennbar zu machen. Durch die Nutzung von KI ist diese Gefahr zur Realität geworden.
Es ist nicht erkennbar, wie man technisch die Fähigkeiten der KI begrenzen könnte. Eher im Gegenteil weiten sich die Möglichkeiten rasant aus, noch bevor wir in das Zeitalter der Quantenrechner eintreten.
Daher der Versuch, die Einhegung durch eine Vielzahl rechtlicher Vorgaben vorzunehmen.
Das Eigentum an personenbeziehbaren Daten ausschließlich und exklusiv an die beschriebene Person zu binden, diesen Schutzansatz womöglich in der Nähe der EU Charta zu verankern könnte ein Ansatz sein, auch der voranschreitenden Technologie ihren Entfaltungsrahmen zu erhalten.
Autor: Eckehard Kraska