Einleitung

Der Datenschutz bleibt ein zentraler Aspekt in der technologischen Entwicklung, insbesondere in Bezug auf Künstliche Intelligenz (KI) und Large Language Models (LLMs). Kürzlich hat die Hamburger Aufsichtsbehörde ein Diskussionspapier veröffentlicht, das sich mit der Anwendung der Datenschutz-Grundverordnung (DSGVO) auf LLMs befasst. Parallel dazu wurde die neue Version 3.1 des Standard-Datenschutzmodells (SDM) eingeführt, das ebenfalls wichtige Anpassungen und Klarstellungen mit sich bringt. In diesem Blogartikel werfen wir einen genaueren Blick auf beide Themen und ihre Implikationen für die Praxis.

Diskussionspapier der Hamburger Aufsichtsbehörde

Hintergrund und Zielsetzung

Die Hamburger Aufsichtsbehörde hat ein Diskussionspapier zu Large Language Models und personenbezogenen Daten veröffentlicht. Das Papier zielt darauf ab, die Anwendung der DSGVO auf LLMs zu klären, die zunehmend in verschiedenen Bereichen eingesetzt werden, darunter Chatbots, Textgenerierung und viele weitere KI-gestützte Anwendungen.

Hauptthesen des Papiers

Das Diskussionspapier stellt mehrere zentrale Thesen auf, die intensiv diskutiert werden:

Speicherung und Verarbeitung personenbezogener Daten: Die bloße Speicherung eines LLMs stellt keine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar, da LLMs keine personenbezogenen Daten speichern. Dies ist eine wichtige Klarstellung, da viele bisher davon ausgingen, dass allein die Existenz eines LLMs Datenschutzfragen aufwirft.
Anwendung der DSGVO auf Verarbeitungsvorgänge: Soweit in einem LLM-gestützten KI-System personenbezogene Daten verarbeitet werden, müssen die Verarbeitungsvorgänge den Anforderungen der DSGVO entsprechen. Dies gilt insbesondere für den Output solcher Systeme. Hier wird deutlich, dass die DSGVO auf den Umgang mit Daten durch KI-Systeme angewendet wird, was die Rechtmäßigkeit der Verarbeitung sicherstellt.
Betroffenenrechte und LLMs: Mangel Speicherung personenbezogener Daten im LLM können die Betroffenenrechte der DSGVO nicht das Modell selbst zum Gegenstand haben. Ansprüche auf Auskunft, Löschung oder Berichtigung können sich jedoch auf den Input und Output eines KI-Systems beziehen. Dies bedeutet, dass der Schutz der Betroffenenrechte in Bezug auf die Daten, die in das System eingespeist und daraus generiert werden, gewährleistet bleibt.
Training von LLMs: Das Training von LLMs mit personenbezogenen Daten muss datenschutzkonform erfolgen. Ein gegebenenfalls datenschutzwidriges Training wirkt sich aber nicht auf die Rechtmäßigkeit des Einsatzes eines solchen Modells in einem KI-System aus. Diese These könnte kontrovers diskutiert werden, da sie andeutet, dass einmal erstellte Modelle auch dann weiter genutzt werden könnten, wenn ihre Erstellung nicht vollständig DSGVO-konform war.

Reaktionen und Diskussionen

Das Diskussionspapier der Hamburger Aufsichtsbehörde hat bereits viel Aufmerksamkeit und Kritik in den sozialen Medien und Fachkreisen hervorgerufen. Kritiker bemängeln, dass die Thesen der Aufsichtsbehörde zu erheblichen Auswirkungen führen könnten, insbesondere im Hinblick auf die praktische Anwendung von LLMs und die Sicherstellung des Datenschutzes. Befürworter hingegen loben die Bemühungen der Behörde, klare Richtlinien und Differenzierungen für die Anwendung der DSGVO auf moderne KI-Systeme zu entwickeln.

Standard-Datenschutzmodell (SDM) Version 3.1

Hintergrund und Zielsetzung

Das Standard-Datenschutzmodell (SDM) bietet einen methodischen Rahmen für die Umsetzung und Überprüfung datenschutzrechtlicher Anforderungen. Die Version 3.1 des SDM bringt einige Änderungen und Ergänzungen, die auf den Erfahrungen und Rückmeldungen aus der Praxis basieren.

Wesentliche Änderungen in der Version 3.1

Die Version 3.1 des SDM enthält mehrere Anpassungen, die darauf abzielen, die Anwendung des Modells zu erleichtern und zu präzisieren:

Kapitel 2D 2.2 – Mittel einer Verarbeitung: Ergänzungen und Anpassungen in diesem Kapitel konzentrieren sich auf die Betriebsmittel, die für die Verarbeitung personenbezogener Daten verwendet werden. Diese Ergänzungen ändern nichts an der bisherigen Struktur oder Logik des SDM, sondern fokussieren Bemerkungen zu Betriebsmitteln, die aufgrund ihrer Bedeutung hervorgehoben werden.
Grafikaustausch in Abbildung 7: Die Formulierung in der Grafik wurde angepasst, um klarzustellen, dass eine Schwellwertanalyse durchzuführen ist, wenn ein voraussichtlich hohes Risiko besteht. Diese marginale Änderung zielt darauf ab, Missverständnisse zu vermeiden und die Anwendung des SDM zu präzisieren.

Bedeutung und Implikationen

Die Anpassungen in der Version 3.1 des SDM sind zwar technisch und teilweise marginal, sie tragen jedoch dazu bei, das Modell weiter zu verfeinern und seine praktische Anwendung zu erleichtern. Besonders hervorzuheben ist die Diskussion über die Evaluierung der Praxisrelevanz des SDM, die von Baden-Württemberg angestoßen wurde. Diese Evaluierung könnte zu weiteren Verbesserungen und Anpassungen führen, die das SDM noch nutzerfreundlicher und effektiver machen.

Fazit und Ausblick

Die aktuellen Entwicklungen im Bereich des Datenschutzes, insbesondere im Kontext von KI und LLMs, zeigen deutlich, wie dynamisch und herausfordernd dieser Bereich ist. Das Diskussionspapier der Hamburger Aufsichtsbehörde bietet wichtige Denkanstöße und Klarstellungen zur Anwendung der DSGVO auf LLMs, während die Version 3.1 des SDM den methodischen Rahmen für den Datenschutz weiter verfeinert.

Für Unternehmen und Organisationen bedeutet dies, dass sie sich kontinuierlich mit den neuesten Entwicklungen und Regelungen auseinandersetzen müssen, um sicherzustellen, dass sie datenschutzkonform arbeiten. Insbesondere die Klarstellungen zur Verarbeitung und zum Training von LLMs bieten wertvolle Hinweise, wie KI-Systeme rechtskonform implementiert und genutzt werden können.

Der Datenschutz bleibt ein wesentlicher Bestandteil der technologischen Entwicklung, und es ist entscheidend, dass sowohl Regulierungsbehörden als auch Unternehmen proaktiv und sorgfältig agieren, um die Rechte der Betroffenen zu schützen und gleichzeitig die Vorteile neuer Technologien zu nutzen. Die Diskussionen und Anpassungen werden zweifellos weitergehen, und es bleibt spannend zu sehen, wie sich die Landschaft in den kommenden Jahren entwickeln wird.

Datenschutz und Künstliche Intelligenz: Neue Entwicklungen und Diskussionspunkte

Einleitung

Diskussionspapier der Hamburger Aufsichtsbehörde

Hintergrund und Zielsetzung

Hauptthesen des Papiers

Reaktionen und Diskussionen

Standard-Datenschutzmodell (SDM) Version 3.1

Hintergrund und Zielsetzung

Wesentliche Änderungen in der Version 3.1

Bedeutung und Implikationen

Fazit und Ausblick

Diese Themen könnten Sie auch interessieren

Das revidierte Datenschutzgesetz: Ein Podcast-Gespräch mit Experten

Cyberbedrohungen in der Schweiz: Eine wachsende Gefahr und wie Unternehmen sich schützen können

Herausforderungen und Chancen der Cloud-Nutzung im öffentlichen Sektor: Ein Blick auf den Kanton Zürich

Swiss-U.S. Data Privacy Framework: Der neue Gamechanger für sicheren Datenaustausch zwischen der Schweiz und den USA – Was das Data Privacy Framework für dein Unternehmen bedeutet

Effiziente Sicherheit: Erfüllen Sie mit ISO 27001 die NIS2-Anforderungen

Datenschutzbeauftragter: Revolutionäre Pläne der Bundesregierung zur Erhöhung der Benennungsschwelle auf 50 Mitarbeitende

Datenschutz und Künstliche Intelligenz: Neue Entwicklungen und Diskussionspunkte

Eine Neue Ära der Informationssicherheit: Einführung in das neue Datenschutzgesetz der Schweiz

5 Schritte zur Berechnung von Datenschutz Bussgelder: Ein Leitfaden für Schweizer Unternehmen

Welche sind die 5 grössten Fehler bei der Auswahl eines Datenschutzbeauftragten?

Wie läuft eine Datenschutz-Folgenabschätzung ab?

Datenschutz Neu Definiert – revDSG

Die 5 grössten Themen zum neuen revidierten Datenschutzgesetz (revDSG) in der Schweiz

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

3 Geheimnisse um den Datenschutz mit Minimalen Aufwand zu Gewährleisten

Acht Datenschutzkonflikte

Wie zwei Unternehmer den Datenschutz Meisterten und ihr Geschäft vor Millionenbußen und Ruinösen Schlagzeilen Bewahrten

Leitfaden zur Erstellung einer Datenschutzerklärung gemäß dem revidierten Schweizer Datenschutzgesetz revDSG: Ein Wegweiser für Unternehmen

Neues Schweizer Datenschutzgesetz: Ein Paradigmenwechsel für Nutzerrechte