Herausforderungen der Nutzung von Large Language Models aus datenschutzrechtlicher Sicht

Datenschutz beim Einsatz künstlicher Intelligenz im Unternehmen

Das Bild zeigt ein digitales Schloss, Cybernetz und einen Mitarbeitenden im Hintergrund Bild: @ Adobe Stock - Slowlifetrader

Ein Beitrag von Prof. Dr. Alexander Golland

Die allgemeine Verfügbarkeit generativer KI-Modelle, allen voran die großen Sprachmodelle (Large Language Models, kurz: LLM) wie ChatGPT von OpenAI oder Bing AI von Microsoft, erfreuen sich größter Beliebtheit: LLM sind in der Lage, auf Grundlage statistischer Methoden – eine entsprechende Schnittstelle vorausgesetzt – auch technisch wenig versierten Nutzern verständliche Antworten auf ihre Fragen zu liefern. Datenschutzrechtlich stellt der Einsatz solcher LLM Unternehmen aber vor große Herausforderungen.

Anwendbarkeit des Datenschutzrechtes

LLM verarbeiten massenhaft personenbezogene Daten. Diese können sich in der Eingabe („prompt“) oder in der Ausgabe wiederfinden. Auch die bei der Interaktion mit dem LLM anfallenden Daten sind personenbezogene Daten. Ob das anhand personenbezogener Daten trainierte LLM selbst als personenbezogen einzustufen ist, ist umstritten.

Datenschutzrechtlich verantwortlich ist stets das Unternehmen, das LLM einsetzt. Der Anbieter des LLM ist i. d. R. als Auftragsverarbeiter tätig. Sofern das LLM anhand von Nutzungsdaten trainiert wird, kann dies aber auch zu einer gemeinsamen Verantwortlichkeit der Beteiligten führen. In diesem Fall bedarf es (ggf. neben dem Auftragsverarbeitungsvertrag) auch einer entsprechenden Vereinbarung sowie einer (zusätzlichen, den Datenaustausch legitimierenden) Rechtsgrundlage.

Überwiegende Interessen als Rechtfertigung der LLM-Nutzung

Als Rechtsgrundlage für die Datenverarbeitung kommt allein die zugunsten des Unternehmens ausfallende Abwägung seiner Interessen mit den Interessen der von der Datenverarbeitung Betroffenen in Betracht (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Schwierigkeiten bestehen dann, wenn die Daten auch für die Weiterentwicklung des LLM verwendet werden, wenn Daten von Minderjährigen verarbeitet werden oder wenn (auch) sog. sensible Daten erhoben werden. All dies kann nicht wirksam ausgeschlossen werden, wenn das LLM auf weitere Quellen, insbesondere das Internet, zugreift.

Wird das LLM eingesetzt, um Entscheidungen zu treffen (oder diese in relevantem Maß vorzubereiten), die rechtliche Wirksamkeit gegenüber Betroffenen entfalten oder diese vergleichbar beeinträchtigen, ist dies nur zulässig, wenn eine der Ausnahmen des Art. 22 Abs. 2 DSGVO vorliegt. Da die Reichweite der Ausnahmetatbestände umstritten ist, ist dies mit zusätzlichen Rechtsrisiken verbunden.

Betroffenenrechte und weitere relevante Pflichten eines Unternehmens

Herausforderungen stellen sich auch bei der Erfüllung der Betroffenenrechte: Sowohl Datenschutzinformationen (Art. 13 f. DSGVO) als auch Auskünfte (Art. 15 DSGVO) lassen sich nur schwer vollständig und korrekt erteilen, insbesondere wenn das LLM auf das Internet zugreift. Auch das „Halluzinieren“ von LLM steht im Widerspruch zum Gebot der Datenrichtigkeit (vgl. Art. 16 DSGVO).

Neben passenden Datenschutzverträgen ist auch eine Datenschutzfolgenabschätzung i. d. R. erforderlich. Bei LLM-Anbietern in den USA ist zu prüfen, ob diese nach dem Data Privacy Framework zertifiziert sind. Ist dies nicht der Fall, sind EU-Standarddatenschutzklauseln abzuschließen.

____________________________________________

Dies ist eine Kurzfassung des Beitrages NWB 2024 Seite 420-432

SNEAK 👀 – Exklusiv bei tax&bytes! Lesen Sie den Artikel jetzt kostenlos und in voller Länge in der NWB-Datenbank 🤫

→ BEITRAG

 

Adobestock 870308202
Hinweise zum finalen BMF-Schreiben

E-Rechnung: Vorsteuerabzug, Aufbewahrungsfristen, BP (Teil 4)

Das BMF hat das finale Schreiben zur E-Rechnung ab 2025 veröffentlicht. Diese Beitragsreihe prüft, ob die Erwartungen der Praxis erfüllt wurden, zeigt rechtliche und praktische Lücken auf und gibt konkrete Handlungsempfehlungen für die Umsetzung im B2B-Bereich.

IDST Leitfadenblockchain Beiträge 1920X1080px
Neuigkeiten vom IDSt

Blockchain-Technologie im Steuerrecht: Ein Leitfaden

Die Blockchain-Technologie entfaltet jetzt abseits von Trends und Hypes ihr wahres Potenzial – auch im Steuerbereich. Der Leitfaden des IDSt zeigt, wie Blockchain steuerrelevante Transaktionen erleichtern und betrugsanfällige Meldesysteme ersetzen kann.

BRAK KI NEWS 1920X1080px
BRAK veröffentlicht Leitfaden zum Einsatz von KI

Künstliche Intelligenz in Anwaltskanzleien

Die Bundesrechtsanwaltskammer (BRAK) hat einen Leitfaden zu KI in Anwaltskanzleien veröffentlicht. Er gibt Hinweise zu Risiken, berufsrechtlichen Pflichten und Prüfungen sowie Orientierungshilfen für den KI-Einsatz.