KI und Datenschutz: Zur Reichweite der Löschungspflicht des Verantwortlichen
Ein Beitrag von Simon Marx und Alicia Sütthoff
Künstliche Intelligenz, mit ihrer Vielzahl an Anwendungsmöglichkeiten im Alltag allgegenwärtig, ermöglicht Erleichterungen in vielen Lebensbereichen. Ihre Entwicklung setzt große Mengen sog. Trainingsdaten voraus. Sind diese Daten personenbezogen, ruft das die Datenschutz-Grundverordnung auf den Plan. Art. 17 DS-GVO sieht unter bestimmten Voraussetzungen eine Löschungspflicht des Verantwortlichen vor. Unklar war in diesen Fällen bislang der Gegenstand der Löschungspflicht: Hat der Verantwortliche nur die Trainingsdaten oder auch das Verarbeitungsergebnis, die KI, zu löschen?
Die Frage beantworten Simon Marx und Alicia Sütthoff vom Institut für Staats-, Verwaltungs- und Wirtschaftsrecht (ISVWR) der Universität Osnabrück. Der Autor Simon Marx ist Wissenschaftlicher Mitarbeiter im BMWK-Drittmittelprojekt Agri-Gaia, die Autorin Alicia Sütthoff ist Wissenschaftliche Mitarbeiterin im BMDV-Drittmittelprojekt 5G Nachhaltige Agrarwirtschaft. Der Aufsatz ist bereits in der April-Ausgabe der Zeitschrift für das Recht der digitalen Wirtschaft erschienen (ZdiW 2022, S. 128-132) und im Volltext unter https://www.wolterskluwer.com/de-de/expert-insights/ki-und-datenschutz 1 open access verfügbar.
Zusammengefasst
Enthält ein KI-Trainingsdatensatz auch personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO, stellt das KI-Training selbst eine rechtfertigungsbedürftige Verarbeitung personenbezogener Daten dar, sodass es eine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DS-GVO dafür braucht. „Das Trainingsergebnis, also die Künstliche Intelligenz (KI), fällt dagegen nicht in den Anwendungsbereich der DS‑GVO, wobei es unerheblich ist, mit welchen Daten sie trainiert wurde: Der Algorithmus, also die mathematische Formel, die den Output errechnet, kann nur ein Mittel zur Herstellung des Personenbezugs des Output-Datums sein.
Eine Information über eine natürliche Person (Voraussetzung für personenbezogene Daten) kann sich nur in Verbindung mit dem Input ergeben, was aber u.E. für die Anwendbarkeit der DS-GVO nicht genügt. Wenn demnach die Künstliche Intelligenz (KI) selbst kein personenbezogenes Datum ist, kann sie auch nicht unter den Löschungsanspruch der betroffenen Person nach Art. 17 Abs. 1 DS-GVO fallen, der nur „personenbezogene Daten“ zum Gegenstand der Löschungspflicht erklärt. Denkbar wäre, dass eine Person, die in die Verwendung ihrer Daten für das KI-Training eingewilligt hat, im Nachhinein von ihrem Recht Gebrauch macht, die Einwilligung zu widerrufen. Von dem Widerruf und der damit verbundenen Löschungspflicht (Art. 17 Abs. 1 Buchst. b DS-GVO) sind dann aber nur die Trainingsdaten erfasst. Löschen müsste der Verantwortliche (in der Regel der KI-Entwickler) dann nur, falls er diese Daten noch bei sich gespeichert haben sollte.