Das KI-DSGVO-Dilemma
Description
Die Datenschutzkonferenz, also das gemeinsame Gremium der deutschen Datenschutzbehörden, hat endlich eine "Orientierungshilfe" zum Umgang mit generativer KI veröffentlicht. Doch was Unternehmen und Behörden helfen soll, bleibt schwammig und könnte sie an mancher Stelle sogar vor unlösbare Probleme stellen.
In vielen Punkten bleibt die Orientierungshilfe im Allgemeinen und dürfte Verantwortlichen wenig dabei helfen, "DSGVO-Compliance" herstellen zu können. Vor allem aber zeigt dass Papier - wohl ungewollt - auf, wo die kaum auflösbaren Widersprüche zwischen den Anforderungen der DSGVO und den technischen Besonderheiten von KI-Sprachmodellen (Large Language Models, LLMs) liegen.
Im c't-Datenschutzpodcast beschäftigen sich Holger und Joerg mit der Orientierungshilfe und beschreiben das nahezu unauflösbare Dilemma, vor dem die Datenschutzaufsicht steht. Zur Seite steht Ihnen Jo Bager. Der Informatiker arbeitet seit fast 30 Jahren in der c't-Redaktion und begleitet die KI-Evolution von Anfang an. Jo hilft, die juristischen Einschätzungen der DSK technisch einzuordnen.
Besonders kontrovers: In Punkt 11.1. ihrer Orientierungshilfe fordert die DSK von Verantwortlichen, dass "betroffene Personen ihre Rechte auf Berichtigung gemäß Art. 16 DSGVO und Löschung gemäß Art. 17 DSGVO ausüben können" müssen. Die DSK pocht hier auf den datenschutzrechtlichen Grundsatz der Richtigkeit personenbezogener Daten. Doch das geht an der technischen Realität vorbei: Ein LLM ist nun einmal keine Datenbank, in der sich Informationen austauschen lassen.
In dieselbe Kerbe schlug auch der österreichische Datenschutzaktivist Max Schrems mit seiner Non-Profit-Organisation noyb: Ende April hat noyb für eine betroffene Person Beschwerde gegen Open AI bei der österreichischen Datenschutzbehörde eingereicht. Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch sei, habe OpenAI seinen Antrag auf Berichtigung oder Löschung abgelehnt, lautet die Begründung.
Open AI habe angegeben, dass eine Korrektur der Daten nicht möglich ist. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt“, erklärte Maartje de Graaf, Datenschutzjuristin bei noyb.
DSK-Orientierungshilfe "Künstliche Intelligenz und Datenschutz Version 1.0" vom 6. Mai 2024 (PDF)