26. Februar 2025 Christof Baumgartner

KI und Datenschutz: das Verarbeiten von personenbezogenen Daten im KI-Modell 

Die rasante Entwicklung der künstlichen Intelligenz (KI) stellt Juristinnen und Juristen weltweit vor die Herausforderung, bestehende Rechtsrahmen auf diese neue Technologie anzuwenden. [...]

Andreas Schütz und Alexander Schmiedlechner sind Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing
Andreas Schütz und Alexander Schmiedlechner sind Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing

Da KI-Modelle meist eine große Menge an Daten für ihr Training und ihre Verwendung benötigen, stellen sich auch für die richtige Anwendung der Datenschutz-Grundverordnung (DSGVO) auf KI-Modelle wichtige Fragen – insbesondere inwieweit die KI-Modelle von der DSGVO betroffen sind, wenn sie mit personenbezogenen Daten trainiert wurden. 

Auf Anfrage der irischen Aufsichtsbehörde befasste sich der Europäische Datenschutzausschuss (EDSA) in seiner ausführlichen Stellungnahme von Dezember 2024 eingehend mit diesen Fragen. 

Der EDSA stellt klar, dass auch KI-Modelle, die nicht dazu konzipiert wurden, Informationen über natürliche Personen bereitzustellen, nicht immer als anonym (und somit als nicht von der DSGVO erfasst) angesehen werden können. Denn personenbezogene Daten, die für das Training genutzt wurden, könnten – unter Berücksichtigung der Entwicklung der technischen Möglichkeiten – in manchen Fällen auch wieder aus eben diesem KI-Modell gewonnen werden. 

Laut EDSA kann ein KI-Modell daher nur dann als anonym gelten, wenn es sehr unwahrscheinlich ist, dass i) für das Training genutzte personenbezogene Daten direkt aus dem KI-Modell extrahiert werden können oder, dass ii) solche Daten (wenn auch unabsichtlich) durch Abfragen vom KI-Modell ausgegeben werden. Ob dies auf ein konkretes KI-Modell zutrifft, ist von den Aufsichtsbehörden im Einzelfall zu beurteilen und hängt von den im KI-Modell ergriffenen Maßnahmen ab. 

Ob ein KI-Modell als anonym gilt, ist auch für dessen Verwendung entscheidend. Wurde ein nicht-anonymes KI-Modell mit unrechtmäßig verarbeiteten personenbezogenen Daten trainiert, kann dies auch die Rechtmäßigkeit seines späteren Einsatzes in Frage stellen. Denn wer ein KI-Modell zur Verarbeitung personenbezogener Daten einsetzt, muss aufgrund seiner Verpflichtungen aus der Datenschutz-Grundverordnung sicherstellen, dass es rechtmäßig entwickelt wurde. Demgegenüber ist Datenschutzkonformität der Entwicklung nicht relevant, wenn es sich um ein anonymes KI-Modell handelt. 

Im Ergebnis sind die Regelungen der DSGVO, insbesondere die Rechtmäßigkeit der Datenverarbeitung, sowohl für das Training als auch für die Nutzung von KI-Modellen jedenfalls einzuhalten. Auch bei der Verwendung sollte somit darauf geachtet werden, dass das KI-Modell rechtmäßig trainiert wurde und gegebenenfalls anonymisiert ist. 


Mehr Artikel

No Picture
News

KI-Assistent für den Kundendialog

9. April 2025

Bislang basierte digitaler Kundenservice vorwiegend auf regelbasierten Chatbots, die im Dialog schnell an ihre Grenzen stoßen. Das heimische Unternehmen ghost.company hat nun mit AI-Concierge einen KI-Assistent vorgestellt, der laut eigenen Angaben mit einer dynamisch kompetenten Beratung punktet, die sehr menschlich wirkt, und zugleich präzise wie eine Maschine arbeitet. […]

News

Cyberresilient statt nur cyberresistent

9. April 2025 Christy Wyatt *

Sobald Cyberkriminelle eine Schwachstelle gefunden haben, können sie über ein einziges Unternehmen eine ganze Branche angreifen oder gar Teile des öffentlichen Lebens lahmlegen. Unternehmen und Organisationen müssen daher eine Strategie für die Widerstandsfähigkeit gegenüber Cyberangriffen entwickeln, die über das bloße Erkennen und Reagieren hinausgeht. […]

KI-basierte Bedrohungserkennung und Verhaltensanalysen können helfen, Angriffe frühzeitig zu erkennen. (c) Pexels
News

Cyberwarfare 2025: Wie KI die digitale Bedrohungslage verändert

9. April 2025 Wolfgang Franz

Cyberangriffe gewinnen im globalen Machtgefüge zunehmend an Bedeutung. Der aktuelle “Cyberwarfare Report 2025” von Armis analysiert die Rolle von generativer künstlicher Intelligenz (GenAI) in modernen Cyberkriegsstrategien und beschreibt eine Welt, in der sich Bedrohungen rasant weiterentwickeln und bestehende Sicherheitsmechanismen überfordern. ITWelt.at hat sich die Studie angesehen. […]

News

So werden Unternehmen autonom und resilient

8. April 2025

Ein Unternehmen, in dem viele Prozesse automatisiert ablaufen, ohne menschliche Aufsicht, und das sich dabei kontinuierlich selbst optimiert? Fortgeschrittene KI und Automatisierungswerkzeuge liefern die dafür notwendige technische Grundlage, doch die Umsetzung ist in der Regel mit einigen Herausforderungen verbunden. […]

News

Grundlegende Metriken der Datenwiederherstellung: RPO und RTO verständlich gemacht

8. April 2025 Angela Heindl-Schober *

Wenn es um die Geschäftskontinuität geht, stechen zwei Schlüsselmetriken hervor: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). Oft werden diese verwechselt oder die Diskussion dreht sich um RPO versus RTO. Beide Metriken sind jedoch für die Entwicklung effektiver Datenschutzstrategien und die Minimierung von Unterbrechungen und Datenverlusten unerlässlich. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*