Warum die DSGVO entscheidend für den Einsatz von KI ist
Die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) sind unbestreitbar zentrale Aspekte der modernen Technologiebranche. Doch mit dem zunehmenden Datenhunger der KI wird der Datenschutz zu einem unverzichtbaren Mittel, um diesen zu regulieren. Jüngste Entwicklungen bei Meta zeigen, wie entscheidend die Datenschutz-Grundverordnung (DSGVO) zur Regulierung von KI ist.
Der Fall Meta AI: Ein Weckruf für den Datenschutz
Ende Mai 2024 informierte Meta seine Nutzerinnen und Nutzer über die geplante Ausweitung von KI bei Meta. In der Mitteilung hieß es: „Wir bereiten uns darauf vor, KI bei Meta auf deine Region auszuweiten. KI bei Meta bezeichnet alle unsere Features und Erlebnisse, die generative KI nutzen, beispielsweise Meta AI und AI Creative Tools, sowie die Modelle, die diesen zugrunde liegen.“
Meta plante, die Datenschutzrichtlinie zu ändern und sich zukünftig auf das berechtigte Interesse zu berufen, um die Informationen der Nutzer zur Weiterentwicklung der KI zu verwenden. Dies stieß jedoch auf erheblichen Widerstand von Datenschützern. Die Hamburger Datenschutzbehörde und andere europäische Aufsichtsbehörden erhielten zahlreiche Beschwerden gegen die neue Datenschutzrichtlinie von Meta.
Nach einem Treffen mit der irischen Datenschutzbehörde (IDPC) am 13. Juni 2024 beschloss Meta, die Verwendung von Nutzerdaten zum Training der eigenen KI-Anwendungen bis auf Weiteres auszusetzen. Dies zeigt, wie streng die Datenschutzbehörden die Einhaltung der DSGVO überwachen.
Datenschutz als Regulator für KI
Die DSGVO setzt klare Grenzen für die Nutzung personenbezogener Daten, auch wenn es um das Training von KI-Systemen geht. Die sogenannte Hambacher Erklärung der Datenschutzaufsichtsbehörden betont, dass KI-Systeme nur zu verfassungsrechtlich legitimierten Zwecken eingesetzt werden dürfen. Der Grundsatz der Zweckbindung ist entscheidend: Erweiterte Verarbeitungszwecke müssen mit dem ursprünglichen Erhebungszweck vereinbar sein.
Die Aufsichtsbehörden haben in ihrer aktuellen Orientierungshilfe zu KI klargestellt, dass die datenschutzkonforme Auswahl und das Training von KI-Anwendungen entscheidend sind. Es muss eine Rechtsgrundlage für die Nutzung personenbezogener Daten zum Training bestehen, wie beispielsweise eine informierte Einwilligung.
Datenschutzaufsicht als mögliche KI-Aufsicht
Die Datenschutzaufsichtsbehörden empfehlen, als Marktüberwachungsbehörden nach der geplanten KI-Verordnung (AI Act) den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zu benennen. Dies würde eine Beratung und Aufsicht aus einer Hand ermöglichen und die Einhaltung der DSGVO und des AI Acts sicherstellen.
In Niedersachsen beruft der Landesbeauftragte für den Datenschutz ein Expertengremium für Künstliche Intelligenz, das Impulse für den Einsatz von KI in Verwaltung und Wirtschaft geben soll. Die Ergebnisse dieses Gremiums werden dem Niedersächsischen Landtag überreicht.
Fazit: DSGVO und AI Act als Schlüssel zur Minimierung von KI-Risiken
Die DSGVO bleibt neben dem AI Act das zentrale Werkzeug, um die Risiken der Künstlichen Intelligenz zu minimieren. Nutzerdaten können nicht einfach zu Trainingsdaten für KI gemacht werden; es muss immer eine Rechtsgrundlage vorliegen, wie eine informierte Einwilligung. Der Fall Meta zeigt, dass Datenschützer wachsam sind und Unternehmen sich strikt an die gesetzlichen Vorgaben halten müssen.
