Die irische Datenschutzbehörde DPC hat eine Untersuchung gegen den Onlinedienst X eingeleitet. Der Grund für diese umfassende Untersuchung ist die Verwendung personenbezogener Daten zum Trainieren von KI-Modellen. Die DPC prüft insbesondere, ob X Daten europäischer Nutzer aus „öffentlich zugänglichen Beiträgen“ unrechtmäßig verwendet hat. Diese Daten wurden vor allem für das Training des Chatbots Grok eingesetzt.
Im vergangenen Sommer kündigte X an, bestimmte Daten europäischer Nutzer nicht mehr für die KI-Entwicklung zu verwenden. Dennoch will die DPC nun feststellen, ob X gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Diese Thematik ist besonders relevant, da viele große US-Tech-Unternehmen, darunter auch X, ihren EU-Sitz aus steuerlichen Gründen in Irland haben.
Relevante Vorgänge und rechtliche Rahmenbedingungen
Im September 2022 hatte die DPC bereits eine Untersuchung gegen Google wegen der Verwendung personenbezogener Daten zum Trainieren seines Chatbots „Pathways Language Model 2“ (PaLM2) eingeleitet. Solche Vorfälle zeigen, wie ernsthaft die Behörden in Europa das Thema Datenschutz im Kontext der KI-Nutzung angehen.
Eine detaillierte Betrachtung der rechtlichen Grundlagen zeigt, dass Unternehmen beim Einsatz von Künstlicher Intelligenz strengen Vorschriften unterliegen. Viele Unternehmen nutzen inzwischen cloudbasierte KI-Dienste, bekannt als KI-as-a-Service. Diese Nutzung erfolgt typischerweise im Rahmen einer Auftragsverarbeitung gemäß Art. 28 der DSGVO.
- Anbieter dürfen Daten nicht eigenständig für ihre Zwecke verwenden, einschließlich des Trainings ihrer KI.
- Es ist wichtig, dass nur Dienstleister mit gesetzlich geforderten Auftragsverarbeitungsverträgen eingesetzt werden.
- Diese Verträge müssen vor der Datenverarbeitung sorgfältig geprüft und unterzeichnet werden.
Die Datenschutzvorgaben umfassen auch technische und organisatorische Maßnahmen (TOM), um die personenbezogenen Daten zu schützen. Besonderes Augenmerk gilt dem Zugang zu diesen Daten: Es ist entscheidend, dass Beschränkungen nach dem Need-to-Know-Prinzip definiert und durchgesetzt werden.
Wichtige Prinzipien und Schulungsbedarf
Darüber hinaus muss jede Verarbeitungstätigkeit, auch solche, die KI betreffen, im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Dies umfasst auch eine Datenschutz-Folgenabschätzung (DSFA), die erforderlich ist, wenn die Verarbeitung ein hohes Risiko für die Rechte betroffener Personen darstellt.
- Viele KI-Anwendungen gelten als hochrisikobehaftet, was eine DSFA verpflichtend macht.
- Darüber hinaus müssen Unternehmen ihre betroffenen Personen über die Verarbeitung ihrer Daten informieren.
- Klare und verständliche Datenschutzerklärungen sind unerlässlich.
Die Schulung der Beschäftigten ist ein weiterer wesentlicher Aspekt der Einhaltung der Datenschutzvorgaben. Unternehmen sollten interne Richtlinien für einen datenschutzkonformen Einsatz von KI aufstellen und Sensibilisierungsmaßnahmen durchführen, um einen verantwortungsbewussten Umgang mit KI sicherzustellen.
In einer Zeit, in der der technologische Fortschritt rapide voranschreitet, bleibt die Herausforderung für Unternehmen, datenschutzkonform zu agieren und gleichzeitig die Vorteile der Künstlichen Intelligenz zu nutzen. Die laufende Untersuchung von X ist ein weiterer Hinweis auf die Notwendigkeit, den Datenschutz in der Arbeitsweise von KI ein zentraler Bestandteil zu sein.
Für weitere Informationen über die rechtlichen Grundlagen des Datenschutzes im Zusammenhang mit Künstlicher Intelligenz können Sie die entsprechenden Seiten von Baden-Württemberg und Datenschutzkanzlei besuchen.