CNIL veröffentlicht Handreichung für Entwickler und Betreiber von KI
Die Europäische Union (EU) bereitet derzeit eine KI-Verordnung und eine KI-Haftungsrichtlinie vor. Doch bereits jetzt gibt es eine Vielzahl rechtlicher Vorgaben, die bei der Entwicklung oder dem Einsatz von KI zu beachten sind – nicht zuletzt aufgrund der Verarbeitung von Trainingsdaten. Während für nicht personenbezogene Daten zukünftig unter anderem die Vorgaben des Data Act maßgeblich sein werden, ist für personenbezogene Daten die Datenschutz-Grundverordnung (DSGVO) zu beachten. Vor diesem Hintergrund hat die französische Datenschutzaufsichtsbehörde CNIL unlängst eine Handreichung zum datenschutzkonformen Einsatz von KI veröffentlicht, deren zentrale Inhalte wir im Folgenden vorstellen und bewerten.
Festlegung des Einsatzzwecks
Nach Auffassung der CNIL ist bei der Entwicklung und Verwendung von KI-Systemen die Festlegung eines klaren Einsatzzwecks wesentlich. Bereits vor Verarbeitung personenbezogener Daten sollte klar festgelegt sein, was genau der Zweck der Verarbeitung sein soll. Denn nur anhand dieses Zwecks lässt sich bemessen, ob etwa der Grundsatz der Datenminimierung eingehalten wird. Auch die Bestimmung der Rechtsgrundlage für die Verarbeitung setzt die Festlegung eines Verarbeitungszwecks voraus.
Einsatz und Entwicklung
Die CNIL unterscheidet in ihrer Handreichung zwei Phasen: die Entwicklungsphase, in der ein KI-System mit Daten trainiert wird, und die Einsatzphase, in welcher der Algorithmus verwendet wird. Beide Phasen sind datenschutzrechtlich zu trennen, auch wenn sie in der Praxis häufig miteinander verwoben sind, da KI-Systeme auch in der Einsatzphase die verarbeiteten Daten zur weiteren Verbesserung des Algorithmus verwenden. Nach Auffassung der CNIL sollen für die Entwicklungsphase insgesamt niedrigere datenschutzrechtliche Anforderungen gelten als für die Einsatzphase. In der Einsatzphase soll ein KI-System nur noch Daten verarbeiten, die sich in der Entwicklungsphase als effektiv für die Erreichung des vorab festgelegten Zwecks erwiesen haben.
Die Datensätze
Die zur Entwicklung bzw. zum Training der KI erforderlichen Daten können Entwickler entweder selbst generieren oder sie können bereits bestehende Daten einer neuen Verwendung zuführen. Dabei müssen sie dafür Sorge tragen, dass die Zusammenstellung der Datensätze rechtskonform erfolgt. Eine besondere Herausforderung stellt daher die Zusammenführung von Daten aus verschiedenen Quellen dar. Ein KI-System, das mittels einer unrechtmäßigen Verarbeitung personenbezogener Daten entwickelt wurde, darf nach Auffassung der CNIL nicht eingesetzt werden.
Betroffenenrechte
Bei der Verarbeitung personenbezogener Daten mittels KI-Systemen hat der Verantwortliche grundsätzlich die Rechte von Betroffenen zu wahren. Erfreulich für Unternehmen ist, dass die CNIL bei KI-Systemen Ausnahmen von den Informationspflichten nach der DSGVO sieht. So kann beispielswiese auf eine Information der Betroffenen verzichtet werden, wenn Daten nicht direkt bei den Betroffenen erhoben wurden und der Verantwortliche nachweisen kann, dass eine Information der Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert.
Fazit
Die Handreichung stellt eine praktische Hilfestellung für Verantwortliche dar. Zugleich zeigt die ausführliche Befassung der CNIL mit KI, dass datenschutzrechtliche Vorgaben bei der Entwicklung und beim Einsatz von KI eine zentrale Rolle spielen und im Fokus der Datenschutzaufsichtsbehörden stehen. Unabhängig davon, ob die Datenschutzaufsichtsbehörden zusätzlich mit der Überwachung von KI-Systemen nach der geplanten europäischen KI-Verordnung betraut werden, sollten Entwickler und Betreiber von KI-Systemen daher die geltenden datenschutzrechtlichen Anforderungen berücksichtigen und über ein Compliance-Management-System deren Einhaltung sicherstellen.
zurück