Direkt zum Inhalt wechseln

Angesichts des fortschreitenden Einsatzes künstlicher Intelligenz (nachfolgend „KI“), insbesondere generativer KI wie ChatGPT, veröffentlichte die französische Aufsichtsbehörde CNIL am 16. Mai 2023 einen Aktionsplan für den Umgang der Behörde mit KI-Systemen, der den Fokus auf den Schutz personenbezogener Daten legt.

Der vorliegende Beitrag fasst die Äußerung der Behörde zusammen. Seitens des Zusammenschlusses der deutschen Aufsichtsbehörden (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, nachfolgend „DSK“) fehlt es an einer aktuell veröffentlichten Schwerpunktsetzung, weshalb ein Blick nach Frankreich umso lohnenswerter ist.

Der Aktionsplan der CNIL ist aus den folgenden Erwägungen aus der Taufe gehoben worden:

  • Die CNIL arbeitet seit mehreren Jahren daran, die durch KI aufgeworfenen Fragen zu antizipieren und zu beantworten.
  • Im Jahr 2023 soll der Fokus insbesondere im Bereich der AR-Kameras und generativer KI, Large Language Models und KI-Chatbots liegen.
  • Zudem soll damit das Inkrafttreten des Entwurfs der KI-Verordnung der EU vorbereitet werden.

I. CNIL definiert KI-Systeme und führt Beispiele an

Die CNIL beginnt mit einer Erläuterung von KI-Systemen und deren Entwicklung, insbesondere von generativer KI und Large Language Models (LLMs) wie GPT-3, BLOOM oder Megatron NLG und daraus abgeleitete Chatbots (ChatGPT oder Bard). Auch KI-Anwendungen der Bildgebung (Dall-E, Midjourney, Stable Diffusion, etc.) und Sprache (Vall-E) werden erläutert:

Generative KI ist nach der CNIL ein System, das in der Lage ist, Texte, Bilder oder andere Inhalte (Musik, Video, Sprache usw.) auf der Grundlage der Anweisungen eines menschlichen Benutzers zu erstellen. Diese Systeme können aus Trainingsdaten neue Inhalte erzeugen. Aufgrund der großen Datenmengen, die für ihr Training verwendet werden, sind die Ergebnisse nah an vergleichbaren Inhalten, die ohne KI produziert wurden. Diese Systeme erfordern jedoch, dass der Benutzer seine Anfragen genau spezifiziert, um die erwarteten Ergebnisse zu erzielen, da generative KI echtes Know-how über die Zusammenstellung der Abfragen des Benutzers generiert (Quick Engineering).

II. CNIL entwirft einen Aktionsplan

Die CNIL identifiziert Anwendungsfälle für die verschiedenen Varianten der KI-Systeme (Klassifizierung, Vorhersage, Generierung von Inhalten usw.) aus datenschutzrechtlicher Sicht und definiert vier Ziele, um den Umgang mit KI-Systemen greifbar zu machen und rechtlich regulieren zu können:

  1. Verständnis der Funktionsweise von KI-Systemen und ihrer Auswirkungen auf den Menschen;
  2. Ermöglichung und Lenkung der Entwicklung von KI, die persönliche Daten respektiert;
  3. Unterstützung von Unternehmen in Frankreich und Europa;
  4. Prüfung und Kontrolle von KI-Systemen und Schutz der Menschen.

Schritt 1: Verständnis der Funktionsweise von KI-Systemen und ihrer Auswirkungen auf den Menschen

Die CNIL definiert in einem ersten Schritt Themenkomplexe, die sich mit der bestehenden und künftigen Auswirkung von KI-Systemen auf den Menschen und den Schutz ihrer personenbezogenen Daten befassen:

  • Fairness und Transparenz der Datenverarbeitungen, die dem Betrieb von KI-Systemen zugrunde liegt;
  • Schutz öffentlich zugänglicher Daten im Internet vor der Verwendung von Scraping oder dem Auslesen von Daten für die Entwicklung von Tools;
  • Schutz der Daten, die von den Nutzern bei der Verwendung dieser Instrumente übermittelt werden – von der Erfassung (über eine Schnittstelle) bis hin zu ihrer möglichen Wiederverwendung und Verarbeitung durch Algorithmen des maschinellen Lernens;
  • Folgen für die Rechte des Einzelnen an seinen Daten, sowohl in Bezug auf die Daten, die für das Lernen von Modellen erhoben werden, als auch in Bezug auf Daten, die von diesen KI-Systemen zur Verfügung gestellt werden können, wie Inhalte, die im Falle der generativen KI erstellt werden;
  • Schutz vor Voreingenommenheit und Diskriminierung, die auftreten können;
  • Definition der Sicherheitsherausforderungen an KI-Systeme.

Zur Klärung dieser Fragen hat das CNIL das CNIL-Labor für digitale Innovation (LINC) beauftragt, welches diesbezüglich ein Dossier (in französischer Sprache) mit Ausblick auf die technischen und ethischen Entwicklungen verfasst hat.

Schritt 2: Ermöglichung und Lenkung der Entwicklung von KI, die persönliche Daten respektiert

Um Unternehmen im Bereich der künstlichen Intelligenz zu unterstützen und das Inkrafttreten der europäischen KI-Verordnung vorzubereiten, liegen bei der CNIL bereits einige Merkblätter und Leitfäden zum Einsatz von KI vor. Diese finden Sie in englischer Sprache hier.

Zudem werden ab Sommer 2023 Veröffentlichungen zum Thema Datennutzung und Weiterverwendung von Daten innerhalb eines KI-Systems erscheinen. Darüber hinaus wird es um den datenschutzkonformen Aufbau von Datenbanken gehen, insbesondere mit Augenmerk auf das Thema Machine Learning.

Schritt 3: Zusammenschluss und Unterstützung von Unternehmen in Frankreich und Europa

Die CNIL hat es sich zum Ziel gesetzt, Entwickler von KI-Systemen aktiv zu fördern und bei der Weiterentwicklung zu unterstützen. Hierfür wurden in den letzten Jahren Projekte entwickelt, die sich auf verschiedene Bereiche, in denen KI Anwendung findet und finden kann, konzentrieren und hierzu geforscht und gezielt Unternehmen beraten, beispielsweise in den Bereichen Gesundheit und Bildung. Darüber hinaus gibt es konkrete Unterstützungsprogramme für Akteure aus der Wirtschaft, so im Bereich der datenschutzrechtlichen Compliance.

Schritt 4: Prüfung und Kontrolle von KI-Systemen und Schutz der Menschen

Schließlich widmet sich der letzte Schritt des Aktionsplanes der CNIL den ethischen Fragen rund um die Auswirkungen und potentiellen Gefahren des Einsatzes generativer KI. Der Fokus soll insbesondere auf dem Einsatz von KI in den Bereichen Videoüberwachung und Betrugsbekämpfung liegen. Zudem soll gezielt Beschwerden über den Einsatz von KI nachgegangen werden, um Fehlentwicklungen früh identifizieren zu können.

Die CNIL wird aus datenschutzrechtlicher Sicht darauf achten, dass Datenschutzfolgenabschätzungen nach Art. 35 DSGVO durchgeführt werden, Betroffene hinreichend im Sinne der Artt. 13 und 14 DSGVO informiert werden und die Ausübung der Betroffenenrechte gewährleistet wird.

III. Ausblick

KI ist eine mustergültige „neue Technologie“ im Sinne von Art. 35 Abs. 1 S. 1 DSGVO, so dass aufgrund der Art, des Umfangs und der Umstände der damit einhergehenden Verarbeitung personenbezogener Daten regelmäßig ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen dürfte – mit der Folge, dass Verantwortliche vorab eine Datenschutzfolgeabschätzung beim Einsatz von KI durchzuführen haben.

So führt der Zusammenschluss der deutschen Datenschutzaufsichtsbehörden DSK bereits in einem Kurzpapier aus dem Jahr 2018 den Einsatz von KI-Chatbots („DSFA Muss-Liste für den Nicht-Öffentlichen Bereich“, Ziffer 11) als eine Datenverarbeitung an, bei dem gemäß Art. 35 Abs. 4 DSGVO eine Datenschutzfolgeabschätzung durchzuführen ist. An einem vergleichbaren Aktionsplan wie die der CNIL fehlt es seitens der DSK derzeit jedoch, die „Hambacher Erklärung zur Künstlichen Intelligenz“ stammt aus dem Jahr 2019.

Legt man die Maßstäbe der CNIL zugrunde, wird eines deutlich: Vor allem dürfte es für Unternehmen, die KI einsetzen, zunächst bedeutsam sein, datenschutzrechtliche Dokumentations- und Informationspflichten zu erfüllen, aus denen sich ablesen lässt, dass die mit dem Einsatz von KI einhergehenden Risiken erkannt, eingehegt und (zutreffend) abgewogen wurden.

Die damit einhergehenden Herausforderungen sind vielfältig. Neben dem Pflichtenkatalog aus Artt. 13 und 14 DSGVO ist hinsichtlich der Datenschutzfolgeabschätzung Art. 35 Abs. 7 DSGVO in den Blick zu nehmen. Hier wird es bereits bei Art. 35 Abs. 7 lit. a DSGVO spannend: danach muss der Verantwortliche eine systematische Beschreibung der geplanten Verarbeitungsvorgänge vornehmen – insbesondere bei generativer KI eine Blackbox, bei der der Verantwortliche gehalten ist, möglichst viel Licht ins Dunkle zu bringen. Einer allzu genauen Zuordnung der Vorgänge bedarf es jedoch nicht, so dass es genügen sollte, wenn der Verantwortliche seine Vorstellung über die Analyse durch den Algorithmus beschreibt (ZD 2022, 316 (320)). Es bleibt abzuwarten, wie dies von den deutschen Aufsichtsbehörden gehandhabt wird.