Suche

Datenschutzrechtliche Regulierung generativer KI (BfDI-Stellungnahme)

Venushon Thadchanamoorthy

Venushon Thadchanamoorthy

Gastautor von der activeMind AG

Die regulatorischen Herausforderungen im Zusammenhang mit generativer künstlicher Intelligenz (KI) stehen im Zentrum aktueller Diskussionen, insbesondere mit Blick auf den europäischen AI Act (Artificial Intelligence Act). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) analysiert in einer Stellungnahme die Datenschutzaspekte und gesellschaftlichen Folgen dieser Technologie. Wir fassen die wichtigsten Punkte der Stellungnahme des BfDI zusammen und diskutieren rechtliche Implikationen.

Regulierung generativer KI

Generative KI umfasst Technologien, die in der Lage sind, eigenständig Inhalte wie Texte, Bilder und Videos zu erstellen. Dies kann erhebliche Auswirkungen auf verschiedene Aspekte unserer Gesellschaft haben, angefangen bei der Arbeitswelt bis hin zur Meinungsbildung und der individuellen Privatsphäre. Der BfDI betont in diesem Hinblick insbesondere die Bedeutung des Datenschutzes bei der Entwicklung und Anwendung generativer KI.

Eine der zentralen Fragen, die der BfDI in seiner Stellungnahme anspricht, betrifft die Unterscheidung zwischen General Purpose AI und Foundation Models. Letztere seien im Gegensatz zu General Purpose AIs umfangreiche, hochentwickelte künstliche neuronale Netzwerke, die auf massiven Datensätzen trainiert wurden. Sie bilden eine Art allgemeine KI-Basis, auf der Entwickler aufbauen können, um spezifischere Anwendungen zu schaffen. Eines der bekanntesten Beispiele für ein Foundation Model ist GPT-4 der Firma OpenAI.

Der BfDI argumentiert, dass unabhängig von dieser Unterscheidung, die datenschutzrechtlichen Grundsätze der Verarbeitung für beide KI-Modelle gelten. Dennoch könnten differenzierte Betrachtungen im Kontext des AI Acts dazu beitragen, gezielte Regulierungen und die Vermeidung von Regelungslücken sicherzustellen.

Der BfDI verdeutlicht diese Differenzierung anhand der im Datenschutz existierenden Unterscheidung zwischen Verantwortlichen und Auftragsverarbeitern. Diese Unterscheidung berücksichtigt den jeweiligen Kontext der Datenverarbeitung und gewährleistet, dass beide Parteien ihre jeweiligen Verpflichtungen erfüllen können.

In ähnlicher Weise ist es im Zusammenhang mit der Regulierung künstlicher Intelligenzen durchaus sinnvoll, Foundation Models differenziert zu analysieren. Auf diese Weise können eine gezielte Regulierung der Entwicklung und Vermarktung dieser Tools sichergestellt und potenzielle Regelungslücken innerhalb der Wertschöpfungskette von KI-Anwendungen vermieden werden. Dies ist von entscheidender Bedeutung, um einen effektiven rechtlichen Rahmen für Künstliche Intelligenz zu schaffen.

Bei einer differenzierten Regelung ist jedoch zu beachten, dass dies dem risikobasierten Ansatz des AI Acts widersprechen könnte. Dies könnte dazu führen, dass auch Systeme mit geringem Risiko umfangreiche regulatorische Anforderungen erfüllen müssen. Dennoch bleibt diesbezüglich abzuwarten, ob eine Differenzierung erfolgt oder, wie man auch häufig sieht, dass die Begriffe als Synonyme verwendet werden.

Arbeitswelt und generative KI: Potenziale und Risiken

Generative KI bietet vielfältige Anwendungsmöglichkeiten in der Arbeitswelt und birgt erhebliche Potenziale für Effizienzsteigerung und Entlastung. Der BfDI betont jedoch, dass auch hier Datenschutz und Privatsphäre gewahrt werden müssen, insbesondere weil durch die großen Chancen auch ein erhebliches Risikopotenzial entsteht. Arbeitgeber haben die Verantwortung, ihre Mitarbeiter in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit generativer KI zu schulen und zu sensibilisieren. Dies vor allem auch, um eine wahllose Verwendung von personenbezogenen Daten beim KI-Einsatz zu vermeiden.

Einfluss von KI auf gesellschaftliche Werte und Freiheiten

Die Wertvorstellungen, die in generativen KI-Systemen verankert sind, hängen stark von den Trainingsdaten ab. Der BfDI betont die Bedeutung von Transparenz in Bezug auf die Datenquellen und die angewandten Vorselektionen. Diese Transparenz kann sicherstellen, dass KI-Systeme im Einklang mit den demokratischen und freiheitlichen Werten der EU und Deutschlands stehen.

Die Auswahl der Trainingsdaten führt zwangsläufig zu einer gewissen Voreingenommenheit und spielt daher eine entscheidende Rolle als eine Form der unausgesprochenen Steuerung der Ergebnisse generativer KI-Systeme. Es ist von großer gesellschaftlicher Bedeutung, klare Rahmenbedingungen und Grenzen für diese Auswahl zu definieren. Damit wird sichergestellt, dass generative KI-Systeme im Einklang mit den Datenschutzprinzipien und Werten und Freiheiten der EU und Deutschland operieren und die Privatsphäre der Nutzer respektieren.

Kennzeichnung von KI-generierten Inhalten

Die Kennzeichnung von KI-generierten Inhalten ist ein wichtiger Schutzmechanismus, um die Verbraucher über die Herkunft der Inhalte zu informieren. Der BfDI weist darauf hin, dass dies besonders im Kontext von Propaganda und rufschädigenden Inhalten relevant ist. Er betont jedoch auch die Herausforderungen bei der Umsetzung einer effektiven Kennzeichnung und die begrenzte Wirksamkeit von nachträglichen Identifikationswerkzeugen.

Markierungs- und Erkennungswerkzeuge sind keine Allheilmittel. Eine einfache Kennzeichnungspflicht für KI-generierte Medien könnte bereits viele Fälle abdecken, jedoch ist die klare Grenze zwischen menschen- und KI-generierten Inhalten heute schwer zu ziehen. Die Herausforderung besteht laut BfDI darin, das Bewusstsein für die Problematik in der Bevölkerung zu schaffen. Fact-Checking-Mechanismen allein führen nicht zwangsläufig zur Auseinandersetzung mit dem Thema.

Markierungs- und Erkennungsmethoden sind insbesondere dann relevant, wenn eine einfache Kennzeichnungspflicht nicht ausreicht, etwa bei bewusster Verschleierung von KI-generierten Medien. Die Verwendung von Wasserzeichen erfordert die Kooperation der Anbieter, jedoch ist fraglich, ob dieser Ansatz nachhaltig ist. Eine negative Kennzeichnung, wie zum Beispiel eine kamerabezogene Signatur, stellt grundrechtliche Probleme dar, da somit ein faktischer Personenbezug gegeben wäre. Werkzeuge zur nachträglichen Identifikation von KI-generierten Medien stehen vor der Herausforderung, im ständigen Wettbewerb mit den fortschreitenden Fähigkeiten von KI-Systemen zu sein.

Regulierung und generative KI: risikobasierte Ansätze

Aktuell gibt es zahlreiche Vorschläge, um die regulatorischen Herausforderungen von generativen KI-Anwendungen in den EU-Gesetzgebungsvorhaben für die kürzlich beschlossene AI Act und eine KI-Haftungsrichtlinie präzise zu verankern. Die Frage, ob der risikobasierte Ansatz zur Regulierung von generativer KI geeignet ist oder ob eine systemische Risikoanalyse ähnlich dem Risikoanalyse- und Minimierungsmechanismus im Digital Services Act (DAS) erforderlich ist, steht im Raum.

Der BfDI spricht sich für einen risikobasierten Ansatz aus, der es ermöglicht, auf die dynamische Entwicklung generativer KI angemessen zu reagieren. Er hebt die Bedeutung einer abgestuften Regulierung hervor, die sich an den Merkmalen der entwickelnden und einsetzenden Unternehmen orientiert. Dies ermöglicht eine differenzierte Regulierung, die den Anforderungen und Risiken gerecht wird.

Im Digital Services Act wurde eine gestufte Regulierung eingeführt, die sich an festen Kriterien wie der Größe des entwickelnden bzw. einsetzenden Unternehmens, insbesondere der Anzahl der Nutzenden, orientiert. Die niedrige Hürde für die Entwicklung und den Einsatz von generativen KI-Verfahren für verschiedenste Zwecke, einschließlich kritischer Anwendungen, erzeugt jedoch ein verändertes Bild.

Vor kurzem wurde noch die Meinung vertreten, dass besonders leistungsfähige generative KI-Verfahren nur von großen Technologiekonzernen entwickelt und betrieben werden könnten. Der BfDI verdeutlicht hier, dass eine systemische Risikoanalyse die Größe eines Anbieters daher wahrscheinlich als sehr hoch bewertet hätte. Er betont insbesondere, dass diese Ansicht nach aktueller Lage nicht mehr zwingend existiert. Dies deutet darauf hin, dass eine starre Regulierung nach einer begrenzten Anzahl an Kriterien bald ihre Wirksamkeit verlieren könnte. Hier zeigt sich die Stärke des risikobasierten Ansatzes, flexibel auf solche Entwicklungen reagieren zu können.

Einfluss auf den demokratischen Meinungsbildungsprozess

Die niedrige Einstiegshürde für die Nutzung generativer KI ermöglicht außerdem die effiziente Verbreitung überzeugender Desinformation. Datenschutzaspekte könnten dabei Desinformation über natürliche Personen und die Erstellung von Deep Fakes in Wort und Bild betreffen. Obwohl solche Phänomene nicht neu sind, ermöglicht generative KI eine einfachere und schnellere Erzeugung.

In Bezug auf die Diskussion zu Markierungs- und Erkennungsmethoden sollte laut BfDI beachtet werden, dass KI-generierte Medien wie Propagandabilder oder rufschädigende Informationen nicht permanent unerkannt bleiben müssen, um negative Auswirkungen zu entfalten. Technische Maßnahmen sind kein Allheilmittel; ihre scheinbare Effizienz lenkt von den eigentlichen, zugrundeliegenden Problemen ab. Organisatorische Maßnahmen, wie eine Pflicht zur Kennzeichnung von primär KI-generierten Medien nach dem Schema der Attribution urheberrechtlich geschützter Inhalte, könnten hierbei wirksamer sein. Ein weiterer Schlüsselaspekt liegt in der Aufklärung und Sensibilisierung der Bevölkerung, um einen verantwortungsbewussten Umgang mit diesem neuen Medium zu fördern.

Schutz der Minderjährigen und Datenschutz

Der Schutz von Minderjährigen in Bezug auf generative KI erfordert besondere Aufmerksamkeit. Der BfDI argumentiert, dass die personenbezogenen Daten von Minderjährigen grundsätzlich nicht in generative KI-Systeme einfließen sollten. Er betont die Notwendigkeit der Aufklärung und Sensibilisierung von Minderjährigen.

Die besondere Schutzwürdigkeit dieser steht im Fokus, da sie sich oft der Risiken und Folgen der Verarbeitung ihrer personenbezogenen Daten unbewusst sind und ihre Betroffenenrechte oft nicht selbst wahrnehmen können. Die DSGVO reflektiert diese Schutzwürdigkeit, indem sie die Einwilligungsfähigkeit von Minderjährigen in die Verarbeitung ihrer personenbezogenen Daten begrenzt.

Die Umsetzung solcher Maßnahmen im Rahmen der KI liegt in der Verantwortung der Entwickler solcher KI-Systeme und könnte technisch durch das gezielte Filtern von Trainingsdaten erfolgen.

Um minderjährige Nutzer generativer KI-Anwendungen zu schützen, könnte die Integration geeigneter Grenzen im KI-Bereich, vergleichbar mit Maßnahmen wie Safe Search bei anstößigen Inhalten, sinnvoll sein. Allerdings lehnt der BfDI strikte Maßnahmen wie eine Identifizierungspflicht bei der Nutzung ab, da dies eine anonyme Nutzung faktisch unmöglich machen würde.

Angesichts der zunehmenden Integration generativer KI-Komponenten in verschiedene Dienste, wie beispielsweise, KI-Suche und die Integration in Officeanwendungen, zeichnet sich eine Normalisierung der Nutzung generativer KI ab. In diesem Kontext sind eine umfassende Aufklärung und Sensibilisierung von Minderjährigen über Risiken, aber auch Chancen und Potenziale unerlässlich.

Fazit

Die Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit betont die Wichtigkeit einer ausgewogenen Regulierung für generative KI im Hinblick auf den Datenschutz.

Diese Technologien haben das Potenzial, Datenschutzverletzungen zu begünstigen, insbesondere bei Textgenerierung. Transparenz, Nachvollziehbarkeit und Datenschutz-Folgenabschätzungen sind entscheidend, um die Privatsphäre zu schützen.

Die Verantwortung liegt nun bei Unternehmen und Gesetzgebern, sicherzustellen, dass die Vorteile dieser Technologien nicht auf Kosten des Datenschutzes gehen, während diese Technologien weiterentwickelt werden. Spannend bleibt hier insbesondere wie sich die AI Act sowie die weiteren Rechtsakte auf das Praxisumfeld bei KI-Systemen auswirken werden.

KI-Compliance

Rechtssicherheit bei Entwicklung und Einsatz von künstlicher Intelligenz in Ihrem Unternehmen

Kontaktieren Sie uns!

Ist Ihre KI schon sicher und datenschutz­konform?

Webinar zur
ISO 42001

22. Januar 2025 (11-12 Uhr)

Sichern Sie sich das Wissen unserer Experten!

Abonnieren Sie unseren Newsletter: