Daten­schutz­auf­sichts­be­hör­de zum Ein­satz von künst­li­cher Intel­li­genz (KI)

CNIL ver­öf­fent­licht Hand­rei­chung für Ent­wick­ler und Betrei­ber von KI

Die Euro­päi­sche Uni­on (EU) berei­tet der­zeit eine KI-Verordnung und eine KI-Haftungsrichtlinie vor. Doch bereits jetzt gibt es eine Viel­zahl recht­li­cher Vor­ga­ben, die bei der Ent­wick­lung oder dem Ein­satz von KI zu beach­ten sind – nicht zuletzt auf­grund der Ver­ar­bei­tung von Trai­nings­da­ten. Wäh­rend für nicht per­so­nen­be­zo­ge­ne Daten zukünf­tig unter ande­rem die Vor­ga­ben des Data Act maß­geb­lich sein wer­den, ist für per­so­nen­be­zo­ge­ne Daten die Datenschutz-Grundverordnung (DSGVO) zu beach­ten. Vor die­sem Hin­ter­grund hat die fran­zö­si­sche Daten­schutz­auf­sichts­be­hör­de CNIL unlängst eine Hand­rei­chung zum daten­schutz­kon­for­men Ein­satz von KI ver­öf­fent­licht, deren zen­tra­le Inhal­te wir im Fol­gen­den vor­stel­len und bewerten.

Fest­le­gung des Einsatzzwecks

Nach Auf­fas­sung der CNIL ist bei der Ent­wick­lung und Ver­wen­dung von KI-Systemen die Fest­le­gung eines kla­ren Ein­satz­zwecks wesent­lich. Bereits vor Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te klar fest­ge­legt sein, was genau der Zweck der Ver­ar­bei­tung sein soll. Denn nur anhand die­ses Zwecks lässt sich bemes­sen, ob etwa der Grund­satz der Daten­mi­ni­mie­rung ein­ge­hal­ten wird. Auch die Bestim­mung der Rechts­grund­la­ge für die Ver­ar­bei­tung setzt die Fest­le­gung eines Ver­ar­bei­tungs­zwecks voraus.

Ein­satz und Entwicklung

Die CNIL unter­schei­det in ihrer Hand­rei­chung zwei Pha­sen: die Ent­wick­lungs­pha­se, in der ein KI-System mit Daten trai­niert wird, und die Ein­satz­pha­se, in wel­cher der Algo­rith­mus ver­wen­det wird. Bei­de Pha­sen sind daten­schutz­recht­lich zu tren­nen, auch wenn sie in der Pra­xis häu­fig mit­ein­an­der ver­wo­ben sind, da KI-Systeme auch in der Ein­satz­pha­se die ver­ar­bei­te­ten Daten zur wei­te­ren Ver­bes­se­rung des Algo­rith­mus ver­wen­den. Nach Auf­fas­sung der CNIL sol­len für die Ent­wick­lungs­pha­se ins­ge­samt nied­ri­ge­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten als für die Ein­satz­pha­se. In der Ein­satz­pha­se soll ein KI-System nur noch Daten ver­ar­bei­ten, die sich in der Ent­wick­lungs­pha­se als effek­tiv für die Errei­chung des vor­ab fest­ge­leg­ten Zwecks erwie­sen haben.

Die Daten­sät­ze

Die zur Ent­wick­lung bzw. zum Trai­ning der KI erfor­der­li­chen Daten kön­nen Ent­wick­ler ent­we­der selbst gene­rie­ren oder sie kön­nen bereits bestehen­de Daten einer neu­en Ver­wen­dung zufüh­ren. Dabei müs­sen sie dafür Sor­ge tra­gen, dass die Zusam­men­stel­lung der Daten­sät­ze rechts­kon­form erfolgt. Eine beson­de­re Her­aus­for­de­rung stellt daher die Zusam­men­füh­rung von Daten aus ver­schie­de­nen Quel­len dar. Ein KI-System, das mit­tels einer unrecht­mä­ßi­gen Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ent­wi­ckelt wur­de, darf nach Auf­fas­sung der CNIL nicht ein­ge­setzt werden.

Betrof­fe­nen­rech­te

Bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mit­tels KI-Systemen hat der Ver­ant­wort­li­che grund­sätz­lich die Rech­te von Betrof­fe­nen zu wah­ren. Erfreu­lich für Unter­neh­men ist, dass die CNIL bei KI-Systemen Aus­nah­men von den Infor­ma­ti­ons­pflich­ten nach der DSGVO sieht. So kann bei­spiels­wie­se auf eine Infor­ma­ti­on der Betrof­fe­nen ver­zich­tet wer­den, wenn Daten nicht direkt bei den Betrof­fe­nen erho­ben wur­den und der Ver­ant­wort­li­che nach­wei­sen kann, dass eine Infor­ma­ti­on der Betrof­fe­nen unmög­lich ist oder einen unver­hält­nis­mä­ßi­gen Auf­wand erfordert.

Fazit

Die Hand­rei­chung stellt eine prak­ti­sche Hil­fe­stel­lung für Ver­ant­wort­li­che dar. Zugleich zeigt die aus­führ­li­che Befas­sung der CNIL mit KI, dass daten­schutz­recht­li­che Vor­ga­ben bei der Ent­wick­lung und beim Ein­satz von KI eine zen­tra­le Rol­le spie­len und im Fokus der Daten­schutz­auf­sichts­be­hör­den ste­hen. Unab­hän­gig davon, ob die Daten­schutz­auf­sichts­be­hör­den zusätz­lich mit der Über­wa­chung von KI-Systemen nach der geplan­ten euro­päi­schen KI-Verordnung betraut wer­den, soll­ten Ent­wick­ler und Betrei­ber von KI-Systemen daher die gel­ten­den daten­schutz­recht­li­chen Anfor­de­run­gen berück­sich­ti­gen und über ein Compliance-Management-System deren Ein­hal­tung sicherstellen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.