Die DSGVO ermöglicht die Entwicklung innovativer und verantwortungsvoller KI in Europa. Die beiden neuen Empfehlungen der CNIL veranschaulichen dies anhand konkreter Lösungen, um die Personen zu informieren, deren Daten verwendet werden, und ihnen die Ausübung ihrer Rechte zu erleichtern.
DSGVO ermöglicht innovative KI, die personenbezogene Daten respektiert
Auf dem von Frankreich vom 6. bis 11. Februar 2025 organisierten Artificial Intelligence Action Summit werden zahlreiche Veranstaltungen stattfinden , die bestätigen, dass KI in den kommenden Jahren Innovations- und Wettbewerbsfähigkeitspotenzial birgt.
Seit 1978 gibt es in Frankreich Regeln zur Nutzung personenbezogener Daten durch digitale Technologien. In Europa wurden diese Regeln durch die Datenschutz-Grundverordnung (DSGVO) harmonisiert, deren Grundsätze vielen Ländern auf der ganzen Welt als Vorbild dienen.
Die CNIL ist sich der Herausforderungen bewusst, die mit der Klärung des Rechtsrahmens verbunden sind. Sie arbeitet mit allen ihren Maßnahmen daran, die Interessenträger zu gewinnen, um Innovationen im Bereich der KI zu fördern und gleichzeitig die Achtung der Grundrechte der Europäer zu gewährleisten . Seit der Einführung ihres Aktionsplans zur KI im Mai 2023 hat die CNIL insbesondere eine Reihe von Empfehlungen zur Entwicklung von KI-Systemen verabschiedet . So beleuchtet und verdeutlicht, ist die Anwendung der DSGVO ein Vertrauensfaktor für die Menschen und ein Faktor der Rechtssicherheit für Unternehmen.
Eine notwendige Anpassung der DSGVO-Grundsätze an die Besonderheiten der KI
Einige KI-Modelle sind anonym: Sie müssen die DSGVO nicht anwenden. Andere Modelle, wie etwa das Language Model (LLM), können jedoch personenbezogene Daten enthalten. Der Europäische Datenschutzausschuss hat kürzlich relevante Kriterien zur Anwendung der DSGVO auf ein KI-Modell vorgelegt.
Wo die DSGVO anwendbar ist, müssen die Daten der Personen geschützt werden, sei es durch Schulungsunterlagen, innerhalb der Modelle, die sie möglicherweise gespeichert haben, oder bei der Verwendung der Modelle mittels Eingabeaufforderungen. Allerdings müssen die Grundprinzipien dieses Schutzes, die weiterhin gültig bleiben, im spezifischen Kontext der KI angewendet werden.
Die CNIL war daher der Ansicht, dass:
- Der Grundsatz der Endgültigkeit lässt sich in entsprechender Weise auf KI-Systeme allgemeiner Art anwenden : Ein Betreiber, der nicht alle seine künftigen Anwendungsgebiete bereits in der Schulungsphase genau definieren kann, kann sich darauf beschränken, den Typ des entwickelten Systems zu beschreiben und die wichtigsten möglichen Funktionalitäten darzustellen.
- Das Minimierungsprinzip verhindert nicht die Verwendung großer Trainingsdatenbanken . Die verwendeten Daten sollten grundsätzlich ausgewählt und bereinigt werden, um das Training des Algorithmus zu optimieren und gleichzeitig die Nutzung unnötiger personenbezogener Daten zu vermeiden.
- Die Aufbewahrungsfrist für Trainingsdaten kann lang sein, wenn dies gerechtfertigt ist und die Datenbank entsprechenden Sicherheitsmaßnahmen unterliegt . Dies gilt insbesondere für Datenbanken, die erhebliche wissenschaftliche und finanzielle Investitionen erfordern und manchmal zu anerkannten Standards werden. von der wissenschaftlichen Gemeinschaft.
- Die Wiederverwendung von Datenbanken, insbesondere der online zugänglichen, ist in vielen Fällen möglich , nachdem überprüft wurde, dass die Daten nicht auf offensichtlich rechtswidrige Weise erhoben wurden und die Wiederverwendung mit der ursprünglichen Erhebung vereinbar ist.
Die neuen Empfehlungen der CNIL
Die CNIL veröffentlicht heute zwei neue Empfehlungen für den Einsatz von KI unter Achtung personenbezogener Daten, die bestätigen, dass die Anforderungen der DSGVO ausgewogen genug sind, um den Besonderheiten der KI gerecht zu werden. Die folgenden Empfehlungen schlagen konkrete und angemessene Lösungen vor, um die Ausübung der Rechte der Menschen zu erleichtern und sie darüber zu informieren:
- Wenn personenbezogene Daten zum Trainieren eines KI-Modells verwendet und dabei möglicherweise gespeichert werden, müssen die betroffenen Personen informiert werden.
Die Informationsmethoden können entsprechend den Risiken für Menschen und betrieblichen Einschränkungen angepasst werden. Die DSGVO erlaubt es in bestimmten Fällen, insbesondere wenn die KI-Modelle aus Drittquellen ( Drittanbieterdaten ) erstellt werden und der Anbieter nicht in der Lage ist, Personen einzeln zu kontaktieren, sich auf allgemeine Informationen zu beschränken (beispielsweise auf der Website der Organisation). Werden viele Quellen verwendet, wie dies beispielsweise bei allgemeinen KI-Modellen der Fall ist, sind allgemeine Informationen, beispielsweise die Angabe von Quellenkategorien oder auch nur die Namen einiger weniger Hauptquellen, in der Regel ausreichend.
Siehe die CNIL-Empfehlungen zur Information von Einzelpersonen
- Die europäischen Vorschriften sehen das Recht auf Zugriff, Berichtigung, Widerspruch und Löschung personenbezogener Daten vor.
Allerdings kann die Umsetzung dieser Rechte im Kontext von KI-Modellen besonders schwierig sein, sei es zur Identifizierung von Personen innerhalb des Modells oder zur Änderung des Modells. Die CNIL fordert die Beteiligten auf, bereits bei der Modellgestaltung alle Anstrengungen zu unternehmen, um den Datenschutz zu berücksichtigen. Insbesondere werden die Beteiligten aufgefordert, den in den Schulungsunterlagen enthaltenen personenbezogenen Daten besondere Aufmerksamkeit zu schenken:- indem eine Anonymisierung der Modelle angestrebt wird, sofern dies dem verfolgten Ziel nicht zuwiderläuft; Und
- indem wir innovative Lösungen entwickeln, um die Offenlegung vertraulicher personenbezogener Daten durch das Modell zu verhindern.
- indem eine Anonymisierung der Modelle angestrebt wird, sofern dies dem verfolgten Ziel nicht zuwiderläuft; Und
Kosten, Unmöglichkeit oder praktische Schwierigkeiten können manchmal eine Ablehnung der Ausübung von Rechten rechtfertigen; Wenn das Recht gewahrt werden muss, berücksichtigt die CNIL die dem Ersteller des Modells zur Verfügung stehenden angemessenen Lösungen und passt die Fristbedingungen gegebenenfalls an. Die CNIL betont, dass sich die wissenschaftliche Forschung in diesem Bereich rasch weiterentwickelt, und fordert die Beteiligten auf, sich über die Entwicklungen auf dem neuesten Stand der Technik auf dem Laufenden zu halten, um die Rechte des Einzelnen bestmöglich zu schützen.
Siehe die Empfehlungen der CNIL zu den Rechten des Einzelnen
► Alle Empfehlungen der CNIL zu KI anzeigen
Konsultation mit KI-Akteuren und der Zivilgesellschaft
Alle diese Empfehlungen wurden im Anschluss an eine öffentliche Konsultation entwickelt. Die Beteiligten (Unternehmen, Forscher, Akademiker, Vereine, juristische und technische Berater, Gewerkschaften, Verbände usw.) konnten sich äußern und der CNIL die Möglichkeit geben, Empfehlungen vorzuschlagen, die ihren Fragen und der Realität der KI-Anwendungen möglichst nahe kommen.
Zur Zusammenfassung der Beiträge
Die Arbeit der CNIL zur Gewährleistung einer vollständigen und pragmatischen Anwendung der DSGVO im Bereich der KI wird in den kommenden Monaten mit neuen Empfehlungen und Unterstützung für Organisationen fortgesetzt. Darüber hinaus verfolgt die CNIL die Arbeit des KI-Büros der Europäischen Kommission zur Entwicklung eines Verhaltenskodex für allgemeine KI und koordiniert die auf europäischer Ebene durchgeführten Arbeiten zur Klärung des Rechtsrahmens.