Die KI in den Fesseln des Datenschutzes?

Dieser Artikel erschien am 24. Mai 2023 in Die Presse.

Während uns im Jahr 2018 Themen wie die Aufbewahrung und das Löschen von Daten beschäftigten, dreht sich unser Leben heute um Künstliche Intelligenzen. Und auch das Recht entwickelt sich. Mit der KI-Verordnung der Europäischen Union soll der Einsatz von KIs geregelt werden. Doch diese Verordnung liegt in der Zukunft, sie ist derzeit nur ein Entwurf. Zugleich bedeutet der Einsatz von KIs die Verarbeitung personenbezogener Daten. Und die DSGVO ist die Gegenwart. Nicht zuletzt aufgrund der rasant steigenden Medienpräsenz dieses Themas ist es nicht überraschend, dass die Datenschutzbehörden der Verwendung von KI-Systemen in jüngster Zeit vermehrtes Augenmerkt schenkten.

So hat die italienische Datenschutzbehörde kürzlich mit ChatGPT den derzeit prominentesten Vertreter von KIs geprüft. Und ihn sogleich verboten. Neben verschiedenen von der Behörde festgestellten Defiziten sticht vor allem ins Auge, dass sie eine mangelnde Transparenz der Datenschutzinformation zu ChatGPT wie auch eine fehlende Rechtsgrundlage für das Training des KI-Algorithmus anhand personenbezogener Daten verortet hat. Als Folge dessen ist ChatGPT derzeit in Italien nicht nutzbar. Auch weitere Datenschutzbehörden prüfen aktuell ChatGPT, und der Europäische Datenschutzausschuss hat eine eigene Task Force eingerichtet.

Algorithmen verstehen

Die bei ChatGPT verorteten Defizite kommen nicht unerwartet. Für eine transparente und vollumfängliche Datenschutzinformation muss man unter anderem auch die Funktionsweise der Algorithmen der eingesetzten KI vollends verstehen. Eine KI ist aber von einem künstlichen neuralen Netzwerk bestimmt. Dessen Schwierigkeit, und zugleich dessen Reiz ist es gerade, dass dieses Netzwerk bis zu einem gewissen Grad autark agiert. Dies in einer Datenschutzinformation hinreichend transparent zu beschreiben ist mehr als nur eine Herausforderung. Noch komplexer ist der Vorwurf der mangelnden Rechtsgrundlage für das Training der KI. Weder der Rechtstext der DSGVO, noch ihre Erwägungsgründe, kennen den Begriff des "Trainings" von Daten, geschweige denn eine Unterscheidung in Trainings- und Echtbetriebsverarbeitungen. Wenn man Datenverarbeitungen zu Trainingszwecken eigenen (erhöhten) datenschutzrechtlichen Anforderungen unterstellt, erfindet man damit letztendlich Tatbestände, die die DSGVO nicht kennt.

Warum wurde dies getan? Weil der Bedarf zur Regulierung drängt. Die DSGVO soll gleichsam die noch nicht vorhandene KI-Verordnung substituieren. Denn tatsächlich sieht die KI-Verordnung mit Reallaboren (Regulatory Sandboxes) Regelungen für das Training von KIs vor. Diese erschöpfen sich aber nicht nur im Einführen neuer Begriffe, sondern es handelt sich dabei um eigens definierte KI-Datenverarbeitungen unter gesonderter Regulierung und unter spezieller behördlicher Aufsicht. Es ist freilich ein schwacher Ersatz, wenn man solche noch ausstehenden Regelungen durch den Vollzug von sehr frei interpretierbaren Begriffen unter der DSGVO versucht zu kompensieren.

Risikobasierter Ansatz

Jedoch zeigt dies zwei Dinge: Zum Einen sind die Datenschutzbehörden nicht willens zu warten, bis die KI-Verordnung in Kraft tritt um dann im ersten Schritt (mitunter durchwegs komplexe) Zuständigkeitsfragen lösen zu müssen. Vielmehr dominiert der Gedanke des raschen Rechtsvollzugs unter Zuhilfenahme der DSGVO. Spiegelbildlich hat jedes Unternehmen beim Einsatz von KI die Rechtsverantwortung unter der DSGVO zu tragen.

Zum Anderen folgt die KI-Verordnung einem risikobasierten Ansatz, indem sie KIs in verbotene KIs, Hochrisiko-KIs und in sonstige (bestimmte) KIs einteilt. Die letztgenannte Kategorie an KIs ist jene Kategorie, der das geringste Gefahrenpotential zugesprochen und demgemäß die dünnste Regulierungsdichte auferlegt wird. Zugleich ist ChatGPT eine KI, die durchaus in diese Kategorie der am wenigsten gefahrengeneigtesten KI einzuordnen wäre. Dennoch wurde ChatGPT gleich im ersten Aufeinandertreffen mit den Behörden verboten. Rechnet man dies auf die unter der KI-Verordnung stärker regulierten bzw verbotenen Kategorien an KIs hoch, zeigt dies anschaulich, welches rechtliches Diskussions- und Verbotspotential in all den sonstigen, durchaus eingriffsintensiveren Erscheinungsformen von KIs ruht.