Was ist aus Datenschutz-Sicht zu beachten?
Die Anonymisierung von Trainingsdaten stellt ein zentrales Element beim datenschutzkonformen Einsatz Künstlicher Intelligenz (KI) dar. Da KI-Modelle regelmäßig auf große Datenmengen angewiesen sind, stellt sich regelmäßig die Frage nach dem Umgang mit personenbezogenen Daten.
Anonymisierung der Daten
Aus Sicht des Datenschutzes liegt eine Lösung in der Anonymisierung – also in derart tiefgreifenden Veränderungen der Daten, dass eine Zuordnung zu einer natürlichen Person selbst bei Einsatz zukünftiger Technologien ausgeschlossen ist (strenge, absolute Auffassung) oder, nach der pragmatischer Auffassung, unter den gegebenen technischen und organisatorischen Bedingungen als faktisch unmöglich erscheint.
Da anonymisierte Daten nicht mehr unter die Datenschutzgrundverordnung (DSGVO) fallen, entfallen damit auch viele regulatorische Anforderungen – ein erheblicher Vorteil für Unternehmen. Zugleich stärkt die Anonymisierung das Vertrauen der Nutzer in die Verarbeitung, insbesondere bei sensiblen Trainingsinhalten.
Verwendung von Testdaten
Je nach Anwendungsbereich sollten nach Möglichkeit alternativ Testdaten verwendet werden. Laut Rechtsprechung ist es zwar nicht untersagt, Echtdaten zu verwenden. Um Echtdaten zu verwenden, ist jedoch stets zu prüfen, ob die Zwecke der Verarbeitung nicht auch mit Testdaten erreicht werden können.
Die Auswahl geeigneter Trainingsdaten ist entscheidend für die Leistungsfähigkeit eines KI-Systems. Dabei muss zwischen verschiedenen Datenkategorien unterschieden werden:
- Öffentlich verfügbare Daten: Diese Datenkategorie wird oft als risikoarm angesehen, jedoch können auch hier Personenbezüge bestehen.
- Von Nutzern bereitgestellte Daten: Hier ist besondere Vorsicht geboten, da sie häufig direkt personenbezogen sind.
- Unternehmensdaten: Diese können sensible Informationen enthalten, die geschützt werden müssen. Im unternehmerischen Kontext entfalten firmeneigene Daten großes Potenzial, bergen aber erhebliche datenschutzrechtliche Risiken.
Datenschutzpflichten sind keine bloße Formalie
Unternehmen sind deshalb angehalten, vor der Nutzung intern generierter oder durch Nutzer bereitgestellter Informationen zu prüfen, ob diese personenbezogen sind und/oder der Geheimhaltung unterliegen. Fehlt eine tragfähige Rechtsgrundlage für die Datenverarbeitung, kann die Anonymisierung als datenschutzrechtlicher „Rettungsanker“ wirken. Schließlich findet die DSGVO auf anonymisierte Daten keine Anwendung mehr.
Die Unterlassung einer solchen Prüfung kann gravierende Folgen haben: Datenschutzverstöße, Diskriminierung durch algorithmische Verzerrung oder Intransparenz der Modellentscheidungen sind reale Risiken. Eine sorgfältige Auswahl und Aufbereitung der Trainingsdaten – unter Beachtung technischer Umsetzbarkeit, regelmäßiger Risikoüberprüfung und Dokumentation – ist daher wichtig. Denn die Anonymisierung ist keine bloße Formalie; rechtliche Aspekte in Kombination mit technischen Kompetenzen stellen sicher, dass Pflichten im Datenschutz ausreichend erfüllt werden.
Autorin: Yana Madorskaya (Data Privacy Consultant)
Mehr Infos zum Umgang mit KI gefällig?
Besuchen Sie unser Online-Seminar zur KI-Verordnung. Hier stehen Ihnen erfahrene Rechtsanwält*innen Frage und Antwort, was bei der Arbeit mit KI erlaubt ist und was nicht.
