Datenschutzrechtliche Pflichten für Hersteller und Bereitsteller von KI-Systemen

Die rasante Entwicklung und Verbreitung Künstlicher Intelligenz (KI) bringt nicht nur immense Chancen, sondern auch erhebliche rechtliche und ethische Herausforderungen mit sich. Hersteller und Bereitsteller von KI-Systemen stehen dabei vor einer Vielzahl von Pflichten, die sich aus verschiedenen rechtlichen Rahmenbedingungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und der neuen KI-Verordnung (KI-VO) der Europäischen Union ergeben. Dabei bestehen bereits heute für die Hersteller und Bereitsteller von KI-Systemen konkrete Pflichten, um den rechtlichen Anforderungen gerecht zu werden und einen verantwortungsvollen Umgang mit KI-Technologien zu gewährleisten. Ein großer Vorteil für Hersteller in Europa liegt darin, dass sie sich auf bestehende Rechtsgrundlagen einrichten können und damit auch Planungssicherheit haben.

Transparenz und Informationspflichten

Eine der zentralen Pflichten für Hersteller und Bereitsteller von KI-Systemen ist die Gewährleistung von Transparenz. Dies umfasst die Verpflichtung, Nutzer und betroffene Personen umfassend über die Funktionsweise der KI-Systeme, die verarbeiteten Daten und die damit verbundenen Risiken zu informieren. Gemäß Art. 13 und 14 DSGVO müssen Hersteller und Bereitsteller sicherstellen, dass betroffene Personen über die Zwecke der Datenverarbeitung, die Kategorien der verarbeiteten Daten und die Empfänger dieser Daten informiert werden. Darüber hinaus sind sie verpflichtet, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Datenverarbeitung bereitzustellen.

Datenschutz durch Technikgestaltung

Hersteller und Bereitsteller von KI-Systemen sind gemäß Art. 25 DSGVO verpflichtet, Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) zu gewährleisten. Dies bedeutet, dass bereits bei der Entwicklung und Implementierung von KI-Systemen technische und organisatorische Maßnahmen getroffen werden müssen, um den Schutz personenbezogener Daten sicherzustellen. Dazu gehören unter anderem die Pseudonymisierung und Verschlüsselung von Daten sowie die Implementierung von Mechanismen zur Minimierung der Datenerhebung und -verarbeitung.

Risikomanagement und technische Dokumentation

Die KI-VO fordert von Herstellern und Bereitstellern die Einrichtung eines kontinuierlichen Risikomanagementsystems, das die Identifizierung, Bewertung und Minderung von Risiken umfasst, die mit der Nutzung von KI-Systemen verbunden sind. Dieses System muss während des gesamten Lebenszyklus des KI-Systems angewendet und regelmäßig aktualisiert werden. Zudem sind Hersteller und Bereitsteller verpflichtet, eine umfassende technische Dokumentation zu erstellen und auf dem neuesten Stand zu halten. Diese Dokumentation muss detaillierte Informationen über die Entwicklung, die Funktionsweise und die Sicherheitsmaßnahmen des KI-Systems enthalten.

Gewährleistung der menschlichen Aufsicht

Ein weiterer wichtiger Aspekt ist die Gewährleistung der menschlichen Aufsicht über KI-Systeme. Hersteller und Bereitsteller müssen sicherstellen, dass KI-Systeme so konzipiert und entwickelt werden, dass sie während ihrer Nutzung von natürlichen Personen wirksam beaufsichtigt werden können. Dies umfasst die Bereitstellung von Instrumenten und Mechanismen, die es den Nutzern ermöglichen, die Ausgaben des KI-Systems zu interpretieren und gegebenenfalls zu korrigieren. Insbesondere bei Hochrisiko-KI-Systemen ist es erforderlich, dass menschliche Aufsichtspersonen in der Lage sind, in den Betrieb des Systems einzugreifen und es bei Bedarf zu deaktivieren.

Einhaltung von Sicherheits- und Qualitätsstandards

Hersteller und Bereitsteller von KI-Systemen sind verpflichtet, hohe Sicherheits- und Qualitätsstandards einzuhalten. Dies umfasst die Sicherstellung der Genauigkeit, Robustheit und Cybersicherheit der KI-Systeme. Technische Maßnahmen müssen ergriffen werden, um die Systeme gegen Fehler, Störungen und unbefugte Zugriffe zu schützen. Zudem müssen regelmäßige Tests und Validierungen durchgeführt werden, um die Leistungsfähigkeit und Sicherheit der KI-Systeme zu gewährleisten.

Einhaltung der Rechtsgrundlagen für die Datenverarbeitung

Die Verarbeitung personenbezogener Daten durch KI-Systeme muss auf einer geeigneten Rechtsgrundlage basieren. Gemäß Art. 6 und 9 DSGVO können dies beispielsweise die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen sein. Hersteller und Bereitsteller müssen sicherstellen, dass die Datenverarbeitung rechtmäßig erfolgt und die Rechte der betroffenen Personen gewahrt bleiben. Dies umfasst auch die Implementierung von Mechanismen zur Einholung und Verwaltung von Einwilligungen sowie zur Berücksichtigung von Widersprüchen und Löschungsanfragen. Diese GRundsätze müssen auch bereits beim Training von KI-Systemen beachtet werden. Eine Lösung kann hier die Verwendung von anonymisierten oder synthetischen Daten sein. Unternehmen sollten dabei Maßnahmen ergreifen, um die Wahrscheinlichkeit einer Re-Identifizierung zu minimieren, z.B. durch Modell-Analysen, Policies gegen Reverse Engineering und die Implementierung von Alignment-Maßnahmen.

LLMs speichern keine personenbezogenen Daten direkt, sondern arbeiten mit Wahrscheinlichkeiten und abstrakten Mustern. Das Training von KI-Systemen stellt aber eine besondere Herausforderung dar, da hierbei regelmäßig große Mengen personenbezogener Daten verarbeitet werden. Ein direkter Personenbezug ist in der Regel nicht gegeben, da die Vektoren keine eindeutige Rückführung auf eine Person erlauben. Gemäß Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten jedoch rechtmäßig verarbeitet werden, was bedeutet, dass eine geeignete Rechtsgrundlage erforderlich ist. Die Rechtsfrage, ob das Training eines LLMs mit personenbezogenen Daten eine Verarbeitung i.S.d. DSGVO darstellt, ist noch nicht beantwortet. Gleichwohl kann man das Risiko einer Rechtsverletzung dadurch minimieren, indem man bereits bei der Auswahl des KI-Systems die konkrete Modelarchitektur und die unternommenen Alignment-Maßnahmen auf datenschutzrechtliche Anforderungen überprüft. Dies kann eine Einwilligung der betroffenen Person oder eine andere einschlägige Rechtsgrundlage sein.

Ein zentrales Prinzip der DSGVO ist die Zweckbindung, wonach personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden dürfen. Eine Zweckänderung ist nur unter den Bedingungen des Art. 6 Abs. 4 DSGVO zulässig. Dies bedeutet, dass eine Weiterverarbeitung der Daten zu einem anderen Zweck nur dann erlaubt ist, wenn dieser Zweck mit dem ursprünglichen Zweck vereinbar ist oder eine neue Rechtsgrundlage vorliegt.

Dabei stellt die Einwilligung der betroffenen Person eine wichtige Rechtsgrundlage für die Datenverarbeitung dar. Allerdings kann die Einwilligung jederzeit widerrufen werden, was die Rechtmäßigkeit der bisherigen Verarbeitung nicht berührt, jedoch die weitere Nutzung der Daten einschränken kann. Dies stellt insbesondere beim Training von KI-Systemen eine Herausforderung dar, da die betroffenen Daten möglicherweise nicht mehr verwendet werden dürfen.

Eine weitere mögliche Rechtsgrundlage ist das berechtigte Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO. Hierbei muss jedoch eine Abwägung zwischen den Interessen des Verantwortlichen und den Rechten und Freiheiten der betroffenen Personen vorgenommen werden. Diese Abwägung kann komplex sein und erfordert eine sorgfältige Dokumentation.

Ausschlaggebend ist dabei eben auch die Qualität der Trainingsdaten. Diese ist entscheidend für die Leistungsfähigkeit und Genauigkeit von KI-Systemen. Hersteller und Bereitsteller müssen sicherstellen, dass die verwendeten Daten korrekt, vollständig und repräsentativ sind. Fehlerhafte oder unzureichende Daten können zu fehlerhaften Ergebnissen und Entscheidungen führen, die später nur noch schwer einzufangen sind.

Zusammenarbeit mit Aufsichtsbehörden und Betroffenen

Die Datenschutzbeauftragen der Länder als Aufsichtsbehörden haben sich zur Frage des Personenbezugs von LLMs bisher nicht eindeutig geäußert. Sie deuten lediglich an, dass sie nicht notwendigerweise von einem Personenbezug eines KI-Modells bzw. eines LLM an sich ausgehen. Hersteller und Bereitsteller von KI-Systemen sind jedoch in jedem Fall verpflichtet, mit den zuständigen Aufsichtsbehörden zusammenzuarbeiten und ihnen auf Anfrage alle erforderlichen Informationen und Dokumentationen zur Verfügung zu stellen. Darüber hinaus müssen sie sicherstellen, dass betroffene Personen ihre Datenschutzrechte wahrnehmen können. Dies umfasst das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit und Widerspruch.

Haftung und Sanktionen

Verstöße gegen die Datenschutzbestimmungen und die Anforderungen der KI-VO können erhebliche rechtliche Konsequenzen nach sich ziehen. Hersteller und Bereitsteller von KI-Systemen haften für Schäden, die durch die Verarbeitung personenbezogener Daten verursacht werden. Zudem können sie mit hohen Geldbußen belegt werden, die bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes betragen können. Es ist daher von entscheidender Bedeutung, dass Hersteller und Bereitsteller alle rechtlichen Anforderungen sorgfältig einhalten und geeignete Maßnahmen zur Risikominimierung ergreifen.

Die Pflichten für Hersteller und Bereitsteller von KI-Systemen umfassen also die Gewährleistung von Transparenz, den Schutz personenbezogener Daten bereits durch Technikgestaltung, die Einrichtung eines umfassenden Risikomanagements, die Sicherstellung der menschlichen Aufsicht, die Einhaltung hoher Sicherheits- und Qualitätsstandards sowie die rechtmäßige Verarbeitung personenbezogener Daten. Durch die sorgfältige Einhaltung dieser Pflichten können Hersteller und Bereitsteller nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen der Nutzer und der Öffentlichkeit in KI-Technologien stärken.

Das könnte dich auch interessieren …