Überblick
Im Zuge der öffentlichen Diskussion um generative KI-Systeme wie ChatGPT hat der Europäische Datenschutzausschuss (EDPB) eine koordinierte Prüfung durch nationale Aufsichtsbehörden initiiert. Ziel war es, zentrale datenschutzrechtliche Fragen bei Large Language Models (LLMs) zu klären.
Die Stellungnahme ist für Unternehmen besonders relevant, da sie konkrete Maßstäbe für:
- Web Scraping
- Trainingsdatenverarbeitung
- Betroffenenrechte
- Richtigkeit von Ausgaben
- Altersverifikation
setzt.
Dieser Beitrag fasst die wesentlichen Punkte zusammen und leitet praktische Implikationen für KI-Projekte ab.
1️⃣ Web Scraping als Trainingsquelle
Ein zentrales Thema war die Nutzung öffentlich zugänglicher Daten aus dem Internet.
Kernaussage
Auch öffentlich zugängliche Daten bleiben personenbezogene Daten im Sinne der DSGVO.
Das bedeutet:
- Eine Rechtsgrundlage ist erforderlich
- Transparenzpflichten greifen
- Betroffenenrechte müssen gewährleistet sein
Öffentlich ≠ frei verwendbar
Die bloße öffentliche Zugänglichkeit rechtfertigt keine uneingeschränkte Weiterverarbeitung.
2️⃣ Rechtsgrundlage für das Modelltraining
Der EDPB betont:
- Jede Trainingsphase ist eine Verarbeitung
- Berechtigtes Interesse erfordert sorgfältige Abwägung
- Sensible Daten erhöhen die Anforderungen
Insbesondere bei großflächigem Web Scraping ist zu prüfen:
- Erwartungshaltung der betroffenen Personen
- Eingriffsintensität
- Schutzmaßnahmen
3️⃣ Betroffenenrechte bei LLMs
Ein zentraler Prüfpunkt war:
- Wie können Auskunfts-, Lösch- oder Berichtigungsrechte umgesetzt werden?
Herausforderung
LLMs speichern Daten nicht in klassischer Datenbankform, sondern als statistische Repräsentationen.
Der EDPB fordert dennoch:
- Prozesse zur Prüfung individueller Anfragen
- Mechanismen zur Datenlöschung oder -unterdrückung
- transparente Kommunikation über technische Grenzen
Technische Grenzen
Technische Komplexität entbindet nicht automatisch von rechtlichen Pflichten.
4️⃣ Richtigkeit der KI-Ausgaben
Generative KI kann:
- falsche Aussagen erzeugen
- Personen fälschlich darstellen
- fehlerhafte Fakten wiedergeben
Der EDPB weist darauf hin:
- Verantwortliche müssen geeignete Maßnahmen treffen
- klare Hinweise auf mögliche Fehler geben
- Korrekturmechanismen bereitstellen
5️⃣ Altersverifikation
Besondere Aufmerksamkeit galt:
- Minderjährigenschutz
- Zugangsbeschränkungen
- altersgerechte Nutzung
Bei KI-Systemen mit breiter Zugänglichkeit müssen:
- angemessene Altersprüfungen implementiert werden
- Risiken für Kinder minimiert werden
6️⃣ Verantwortlichkeitsabgrenzung
Der EDPB betont die präzise Rollenklärung:
| Rolle | Beschreibung |
|---|---|
| Modellanbieter | Training & Modellbereitstellung |
| Integrator | Einbindung in eigenes Produkt |
| Betreiber | Konkreter Einsatz |
Jede Rolle trägt eigene Verantwortung.
7️⃣ Transparenzanforderungen
Bei generativer KI sind insbesondere erforderlich:
- Klare Information über KI-Einsatz
- Beschreibung der Datenkategorien
- Hinweis auf mögliche Fehleranfälligkeit
- Erläuterung der Logik auf verständlichem Niveau
Praktische Implikationen für Unternehmen
1. Trainingsdaten prüfen
- Herkunft dokumentieren
- Sensible Daten identifizieren
- Rechtsgrundlage prüfen
2. Betroffenenrechte operationalisieren
- Prozesse zur Bearbeitung von Auskunftsanfragen
- Prüfung von Löschmechanismen
- Eskalationswege definieren
3. Transparenz erhöhen
- Datenschutzhinweise aktualisieren
- KI-Einsatz explizit benennen
- Fehleranfälligkeit transparent machen
4. Minderjährigenschutz berücksichtigen
- Altersverifikation prüfen
- Nutzungsszenarien bewerten
Verbindung zum EU AI Act
Die EDPB-Stellungnahme ergänzt:
- Transparenzpflichten
- Risikomanagementanforderungen
- Dokumentationspflichten
Besonders bei GPAI-Modellen bestehen parallele Anforderungen.
Typische Fehlannahmen
| Annahme | Realität |
|---|---|
| „Web Scraping ist erlaubt" | Nur mit Rechtsgrundlage |
| „LLMs speichern keine personenbezogenen Daten" | Ableitungen können personenbezogen sein |
| „Fehlerhafte Ausgaben sind technisch unvermeidbar" | Es bestehen organisatorische Pflichten |
Strategische Empfehlung
Unternehmen sollten generative KI nicht isoliert betrachten, sondern:
- als datenschutzrelevantes Gesamtsystem
- mit klarer Governance-Struktur
- mit dokumentierter Risikoanalyse
Proaktive Transparenz reduziert regulatorisches Risiko erheblich.
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Rechtliche Klarheit gefragt?
Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.
Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.
Nächste Schritte
- Prüfen Sie Trainingsdatenquellen und Rechtsgrundlage.
- Implementieren Sie Betroffenenrechte-Prozesse.
- Überarbeiten Sie Transparenzinformationen.
- Berücksichtigen Sie Minderjährigenschutz.
- Integrieren Sie EDPB-Anforderungen in Ihre KI-Governance.
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Rechtliche Klarheit gefragt?
Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.
Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.