DSGVO und EU AI Act: Wechselwirkungen und Konfliktbereiche
Der EU AI Act und die DSGVO gelten gleichzeitig für KI-Systeme, die personenbezogene Daten verarbeiten. Compliance bei einem bedeutet nicht Compliance beim anderen.
Key Takeaways
DSGVO und EU AI Act gelten gleichzeitig und kumulativ für KI-Systeme, die personenbezogene Daten verarbeiten. Compliance bei einem bedeutet nicht Compliance beim anderen.
DSGVO Artikel 22 schafft spezifische Rechte rund um automatisierte Entscheidungsfindung: Personen haben das Recht, nicht Entscheidungen auf Basis ausschließlich automatisierter Verarbeitung zu unterliegen.
Dateminimierung nach DSGVO schafft Spannung mit der KI-Modellentwicklung: effektive Modelle zu trainieren erfordert oft große, reiche Datensätze.
Die Zweckbindung nach DSGVO schränkt die Verwendung von für einen Zweck gesammelten Daten zum Training von KI-Modellen für einen anderen Zweck ein.
"Nur zu Informationszwecken. Dieser Artikel stellt keine rechtliche, regulatorische, finanzielle oder professionelle Beratung dar. Konsultieren Sie einen qualifizierten Spezialisten für spezifische Beratung."
Zwei Rahmen, ein KI-System
Jedes KI-System, das personenbezogene Daten über EU-Bürger verarbeitet, muss sowohl DSGVO als auch, falls zutreffend, den EU AI Act einhalten. Das sind keine alternativen Rahmen — sie sind kumulative Pflichten, die gleichzeitig gelten und beide erfüllt werden müssen. Organisationen, die ihre KI-Governance um einen Rahmen ohne Berücksichtigung des anderen strukturiert haben, stehen vor erheblichen Compliance-Lücken.
Automatisierte Entscheidungsfindung: Artikel 22 DSGVO
DSGVO Artikel 22 schafft ein Recht für Personen, nicht Entscheidungen auf Basis ausschließlich automatisierter Verarbeitung — einschließlich Profiling — zu unterliegen, die rechtliche Wirkungen oder ähnlich erhebliche Wirkungen auf sie produzieren. Das Recht gilt, wenn automatisierte Verarbeitung allein ein Ergebnis bestimmt, das eine Person betrifft, ohne bedeutungsvolle menschliche Beteiligung an der Entscheidung.
Die "ausschließlich automatisierte" Schwelle wird von Datenschutzbehörden auf Weisen interpretiert, die einschränken, was bedeutungsvolle menschliche Beteiligung darstellt. Ein Mensch, der eine KI-Empfehlung abnickt, ohne sie wirklich zu überprüfen, stellt keine bedeutungsvolle menschliche Beteiligung dar. Der Mensch muss in der Lage sein, die KI-Logik zu verstehen, auf relevante Informationen zuzugreifen und eine unabhängige Entscheidung zu treffen.
Dateminimierung versus Modellleistung
Das Dateminimierungsprinzip der DSGVO verlangt, dass personenbezogene Daten auf das für die Zwecke, für die sie verarbeitet werden, notwendige Minimum beschränkt sein müssen. Dieses Prinzip schafft direkte Spannung mit der KI-Modellentwicklung, wo das allgemeine Prinzip lautet, dass mehr Daten bessere Modelle produzieren.
Ein Kreditrisikomodell auf einem großen, merkmalreichen Datensatz zu trainieren — einschließlich Variablen, die sich als nicht vorhersagend herausstellen — ist gängige ML-Praxis. Aus DSGVO-Sicht kann das Sammeln personenbezogener Daten von Personen, die dann als Trainingsinput verwendet werden, ohne spezifischen Zweck das Dateminimierungsprinzip verletzen.
Zweckbindung und Trainingsdaten
Das Zweckbindungsprinzip der DSGVO verlangt, dass für einen Zweck gesammelte personenbezogene Daten nicht für einen materiell anderen Zweck wiederverwendet werden, ohne eine neue Rechtsgrundlage oder eine Kompatibilitätsbewertung. Die Verwendung von Kundentransaktionsdaten, die für die Leistungserbringung gesammelt wurden, um ein Betrugserkennungsmodell für ein anderes Produkt zu trainieren, ist nicht automatisch rechtmäßig — sie erfordert eine Bewertung, ob die Trainingsverwendung mit dem ursprünglichen Sammlungszweck kompatibel ist.