Berechtigtes Interesse und KI – Einblicke in die Stellungnahme des EDSA

Berechtigtes Interesse - Interessensabwägung

KI und Datenschutz im Fokus

In einer sich rasant entwickelnden technologischen Landschaft bietet Künstliche Intelligenz (KI) enorme Chancen, stellt jedoch auch besondere Herausforderungen im Bereich des Datenschutzes dar. Angesichts dieser Komplexität bat die irische Datenschutzbehörde den Europäischen Datenschutzausschuss (EDSA) um Klarstellung zur Anwendung der DSGVO-Prinzipien auf KI. Insbesondere wurde der EDSA aufgefordert, zu beurteilen, ob und wann das „berechtigte Interesse“ als rechtliche Grundlage für die Verarbeitung personenbezogener Daten während der Entwicklung und Bereitstellung von KI-Modellen herangezogen werden kann. Die daraus resultierende Stellungnahme liefert entscheidende Leitlinien, wie Innovation und Datenschutz miteinander in Einklang gebracht werden können.

 

 

 

Das Konzept des berechtigten Interesses

Die DSGVO erlaubt es Verantwortlichen, sich unter bestimmten Bedingungen auf das „berechtigte Interesse“ als rechtliche Grundlage zu berufen. Der EDSA stellt in seiner Stellungnahme wiederholt klar, dass die DSGVO keine Hierarchie zwischen den Rechtsgrundlagen gemäß Artikel 6 Absatz 1 vorsieht. Es liegt in der Verantwortung des Verantwortlichen, die geeignete Rechtsgrundlage für die Verarbeitung zu wählen und diese nachvollziehbar zu begründen. Das berechtigte Interesse wird dabei als gleichwertige Rechtsgrundlage betrachtet.

Diese Rechtsgrundlage muss jedoch sorgfältig begründet, in einer Interessensabwägung dokumentiert und angewendet werden. In seiner Stellungnahme legt der EDSA einen dreistufigen Test dar, um die Legitimität eines Interesses im Kontext von KI zu bewerten:

 

1. Identifikation des berechtigten Interesses

Ein Interesse gilt als berechtigt, wenn es drei Kriterien erfüllt:

  • Das Interesse ist rechtmäßig;
  • Das Interesse ist klar und präzise artikuliert; und
  • Das Interesse ist real und gegenwärtig, nicht spekulativ.

Im Zusammenhang mit KI könnte dies beispielsweise die Entwicklung von Chatbots, die Erkennung von Betrug oder die Verbesserung der Bedrohungserkennung in IT-Systemen umfassen.

2. Notwendigkeitstest

Verantwortliche müssen nachweisen, dass die Verarbeitung tatsächlich notwendig ist, um das genannte Interesse zu erreichen. Dabei ist zu prüfen, ob weniger invasive Methoden denselben Zweck erfüllen könnten. Im KI-Bereich bedeutet dies etwa die Überlegung, ob pseudonymisierte oder synthetische Datensätze anstelle personenbezogener Daten verwendet werden können.

 

3. Abwägungstest

Der schwierigste Schritt besteht darin sicherzustellen, dass das berechtigte Interesse die Rechte und Freiheiten der betroffenen Personen nicht überwiegt. Der EDSA hebt spezifische Risiken für Grundrechte in den Entwicklungs- und Bereitstellungsphasen von KI hervor und betont die Bedeutung der berechtigten Erwartungen der Betroffenen, der Datenart und der Transparenz über deren Nutzung.

 

 

Wichtige Aspekte für die Entwicklung und Bereitstellung von KI

Der EDSA betont, dass die Komplexität von KI-Technologien eine besondere Transparenz erfordert. Die bereitgestellten Informationen müssen klar und verständlich sein, damit Betroffene nachvollziehen können, wie ihre Daten verarbeitet werden. Zudem empfiehlt der EDSA, dort, wo die Abwägung zwischen Interessen und Rechten schwierig ist, geeignete Maßnahmen zur Risikominderung zu ergreifen. Diese Maßnahmen sollten an die spezifische KI-Anwendung und deren Risiken angepasst sein. Eine dieser Maßnahmen kann im jeweiligen Einzellfall bspw. ein bedingungsloses „Opt-Out“ sein.

Zur Sicherstellung der Rechenschaftspflicht werden Verantwortliche aufgefordert, ihre Verarbeitungstätigkeiten umfassend zu dokumentieren. Dies umfasst die Begründung für die Wahl des berechtigten Interesses als Grundlage sowie die Maßnahmen zur Minimierung der Risiken für Betroffene.

 

 

 

Fazit:

Die Stellungnahme des EDSA spiegelt das Bestreben wider, die Anwendung der DSGVO in der EU zu harmonisieren und gleichzeitig verantwortungsbewusste Innovation im KI-Bereich zu fördern. Indem die Stellungnahme die Feinheiten des berechtigten Interesses bei KI behandelt, bietet sie Entwicklern, Regulierungsbehörden und Unternehmen ein solides Framework, um technologischen Fortschritt mit Datenschutz in Einklang zu bringen. Neben dem berechtigen Interesse geht der EDSA zudem u.a. auf folgende praxisrelevanten Aspekte ein:

Datenschutzcompliance 3

1. Anonymität von KI-Modellen

  • Kriterien und Methoden zur Bewertung, ob ein KI-Modell anonym ist.
  • Bedeutung der Anonymisierung und der Fall-zu-Fall-Prüfung durch Datenschutzbehörden.
  • Dokumentationsanforderungen für Datenverantwortliche, um Anonymitätsansprüche zu belegen.

 

2. Unrechtmäßige Verarbeitung und ihre Folgen

 

Konsequenzen, wenn ein KI-Modell mit unrechtmäßig verarbeiteten Daten entwickelt wurde:

  • Szenario 1: Verarbeitung durch denselben Verantwortlichen, wobei personenbezogene Daten im Modell verbleiben.
  • Szenario 2: Nutzung durch einen anderen Verantwortlichen, der die Rechtmäßigkeit der ursprünglichen Verarbeitung bewerten muss.
  • Szenario 3: Anonymisierung des Modells vor der weiteren Nutzung, sodass die DSGVO nicht mehr anwendbar ist.

 

Darüber hinaus nahm  sich der EDSA der Ausarbeitung von Leitlinien für die Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses an, welche weitere Klarheit auf diesem Feld bringen dürfte.

Während KI die digitale Ära weiter prägt, erinnert uns die Stellungnahme des EDSA daran, dass Innovation und Compliance keine Gegensätze sind, sondern Hand in Hand gehen müssen.

 

 

 

Auch interessant:

 

Profitieren Sie von unseren Mustern zur Erstellung und Umsetzung einer Interessensabwägung.

Interessensabwägung Art. 6 Abs. 1 lit. f) DSGVO
Schlagwörter: , , , , , , , , , , , , , , , , ,

Dieser Beitrag hat einen Kommentar

Die Kommentare sind geschlossen.