Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zur Nutzung personenbezogener Daten für die Entwicklung und Einführung von KI-Modellen veröffentlicht. Die Stellungnahme befasst sich mit drei zentralen Fragen: 1. wann KI-Modelle als anonym gelten, 2. ob und wie berechtigtes Interesse als Rechtsgrundlage verwendet werden kann und 3. welche Konsequenzen es hat, wenn ein KI-Modell mit unrechtmäßig verarbeiteten Daten entwickelt wird, auch in Bezug auf Erst- und Drittdaten.

Der EDSA ist der Auffassung, dass die Datenschutzbehörden im Einzelfall prüfen sollten, ob ein KI-Modell als anonym anzusehen ist. Ein Modell ist nur dann anonym, wenn es äußerst unwahrscheinlich ist, dass (1) Personen, deren Daten verwendet wurden, direkt oder indirekt identifiziert werden können und (2) personenbezogene Daten durch Abfragen aus dem Modell extrahiert werden können.

Dies umfasst mitunter Maßnahmen der Verantwortlichen in der Entwicklungsphase, welche darauf abzielen, die Erhebung personenbezogener Daten für das Training zu verhindern oder zu begrenzen, deren Identifizierbarkeit zu verringern, ihre Extraktion zu verhindern oder robuste IT-Sicherheitsarchitektur zum Schutz vor Angriffen zu gewährleisten.

Neben allgemeinen Erwägungen zum berechtigten Interesse verweist die EDSA auf einen 3-Stufentest – (1) Identifikation des berechtigten Interesses des Verantwortlichen/Dritten? (2) Ist die Verarbeitung zur Erreichung des Zweckes erforderlich? (3) Wiegen im Einzelfall Rechte/Freiheiten des Betroffenen schwerer? – zur Ermittlung des berechtigten Interesses.
Dabei kommt es unter anderem darauf an, ob der Betroffene Kenntnis von der Verwendung seiner Daten hat oder damit vernünftigerweise hätte rechnen müssen. Der Verantwortliche kann (technische) Maßnahmen ergreifen, um den Betroffenen bei der Wahrnehmung seiner Rechte zu unterstützen, welche bei der Gesamtabwägung berücksichtigt werden.

Ein berechtigtes Interesse im Sinne der ersten Stufe begrenzt die Verarbeitung in ihrem Umfang, sollte einen Bezug zur Aktivität der jeweiligen Organisation haben und nicht im Konflikt mit nationalem Recht stehen. Auf Stufe zwei wird geprüft, ob nicht eine gleich geeignete und weniger eingriffsintensive Maßnahme ergriffen werden kann. Im letzten Schritt sind die Interessen der Verantwortlichen und fundamentale Rechte und Freiheiten der Betroffenen gegeneinander abzuwägen. Zu den Grundrechten und -freiheiten des Einzelnen gehört das Recht auf Datenschutz und Privatsphäre, aber auch andere Grundrechte und -freiheiten, wie das Recht auf Freiheit und Sicherheit, die Meinungs- und Informationsfreiheit, Gedanken-, Gewissens- und Religionsfreiheit, Versammlungs- und Vereinigungsfreiheit, das Verbot der Diskriminierung, das Recht auf Eigentum und das Recht auf körperliche und geistige Unversehrtheit

Im schlimmsten Fall kann sich die rechtswidrige Erhebung der Daten, ohne umfassende Anonymisierung, auf die Verwendung des KI-Modells auswirken.