Die Datenschutzbeauftragten der G7-Staaten werden eine gemeinsame Vision der Datenschutzherausforderungen generativer KI-Modelle wie ChatGPT darlegen, heißt es in einem Erklärungsentwurf, der EURACTIV vorliegt.
Die Datenschutz- und Datenschutzbehörden der Vereinigten Staaten, Frankreichs, Deutschlands, Italiens, des Vereinigten Königreichs, Kanadas und Japans trafen sich am Dienstag und Mittwoch (20.-21. Juni) in Tokio zu einem G7-Rundtisch, um den freien Datenfluss und die Zusammenarbeit bei der Durchsetzung zu besprechen und neue Technologien.
Die Risiken generativer KI-Modelle aus Sicht des Datenschutzwächters im Zusammenhang mit ihrer raschen Verbreitung in verschiedenen Kontexten und Bereichen seien in den Mittelpunkt gerückt, heißt es in dem Erklärungsentwurf.
„Wir sind uns bewusst, dass es wachsende Bedenken gibt, dass generative KI Risiken und potenzielle Schäden für die Privatsphäre, den Datenschutz und andere grundlegende Menschenrechte mit sich bringen könnte, wenn sie nicht ordnungsgemäß entwickelt und reguliert wird“, heißt es in der Erklärung.
Generative KI ist eine hochentwickelte Technologie, die in der Lage ist, auf der Grundlage der Eingaben eines Benutzers menschenähnliche Texte, Bilder oder audiovisuelle Inhalte bereitzustellen. Seit dem kometenhaften Aufstieg von ChatGPT hat die neue Technologie große Aufregung, aber auch große Angst vor einem möglichen Missbrauch hervorgerufen.
Im April trafen sich die G7-Digitalminister mit dem sogenannten „Hiroshima-Prozess“, um sich auf einige dieser Themen zu verständigen, wie z. B. Governance, Schutz der Rechte an geistigem Eigentum, Förderung von Transparenz, Verhinderung von Desinformation und Förderung eines verantwortungsvollen Umgangs mit der Technologie.
Der Hiroshima-Prozess soll einen freiwilligen Verhaltenskodex für generative KI vorantreiben, den die Europäische Kommission gemeinsam mit den Vereinigten Staaten und anderen G7-Partnern entwickelt.
Unterdessen steht die EU kurz vor der Verabschiedung der weltweit ersten umfassenden Gesetzgebung zu künstlicher Intelligenz, die einige Bestimmungen speziell für generative KI enthalten soll.
Dennoch weisen die Datenschutzbehörden auf eine Reihe von Risiken hin, die generative KI-Tools aus datenschutzrechtlicher Sicht mit sich bringen.
Der Ausgangspunkt ist die rechtliche Befugnis, die KI-Entwickler für die Verarbeitung personenbezogener Daten, insbesondere von Minderjährigen, in den Datensätzen haben, die zum Trainieren der KI-Modelle verwendet werden, wie die Interaktionen der Benutzer in die Tools eingespeist werden und welche Informationen dann als Ausgabe ausgegeben werden.
In der Erklärung werden außerdem Sicherheitsvorkehrungen gefordert, um zu verhindern, dass die generativen KI-Modelle zum Extrahieren oder Reproduzieren persönlicher Informationen verwendet werden, oder dass ihre Datenschutzvorkehrungen durch sorgfältig ausgearbeitete Eingabeaufforderungen umgangen werden können.
Die Behörden fordern die KI-Entwickler außerdem auf, sicherzustellen, dass die von generativen KI-Tools verwendeten personenbezogenen Daten korrekt, vollständig und aktuell sind und keine diskriminierenden, rechtswidrigen oder anderweitig ungerechtfertigten Auswirkungen haben.
Darüber hinaus weisen die G7-Regulierungsbehörden auf „Transparenzmaßnahmen zur Förderung der Offenheit und Erklärbarkeit beim Betrieb generativer KI-Tools hin, insbesondere in Fällen, in denen solche Tools verwendet werden, um Entscheidungen über Einzelpersonen zu treffen oder bei der Entscheidungsfindung zu helfen“.
Auch die Bereitstellung technischer Dokumentation über den gesamten Entwicklungslebenszyklus hinweg, Maßnahmen zur Sicherstellung eines angemessenen Maßes an Verantwortung bei den Akteuren der KI-Lieferkette und der Grundsatz, die Erhebung personenbezogener Daten auf das unbedingt Notwendige zu beschränken, werden erwähnt.
Schließlich fordert die Erklärung die Anbieter generativer KI dazu auf, technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass Personen, die von diesen Systemen betroffen sind und mit ihnen interagieren, weiterhin ihre Rechte wie Zugriff, Berichtigung und Löschung personenbezogener Daten sowie die Möglichkeit dazu ausüben können sich weigern, sich ausschließlich automatisierten Entscheidungen zu unterwerfen, die erhebliche Auswirkungen haben.
In der Erklärung wurde der Fall Italiens hervorgehoben, wo die Datenschutzbehörde ChatGPT wegen möglicher Datenschutzverletzungen vorübergehend suspendierte, der Dienst jedoch nach Verbesserungen durch OpenAI schließlich wieder eingeführt wurde.
Die Behörden erwähnen mehrere laufende Maßnahmen, darunter die Untersuchung generativer KI-Modelle in ihren jeweiligen Rechtsvorschriften, die Bereitstellung von Leitlinien für KI-Entwickler zur Einhaltung des Datenschutzes und die Unterstützung innovativer Projekte wie regulatorischer Sandboxen.
Auch die Förderung der Zusammenarbeit, insbesondere durch die Einrichtung einer speziellen Task Force, wird erwähnt, da die EU-Behörden eine Task Force eingerichtet haben, um die Durchsetzung von ChatGPT zu rationalisieren, nachdem die italienische Regulierungsbehörde eine Entscheidung getroffen hatte, die sich an den berühmtesten Chatbot der Welt richtete.
Laut einer mit der Angelegenheit vertrauten Quelle schreitet die Arbeit dieser Task Force jedoch sehr langsam voran, was vor allem auf den Verwaltungsprozess und die Koordination zurückzuführen ist, und die europäischen Regulierungsbehörden erwarten nun, dass OpenAI bis zum Ende des Sommers Klarstellungen vorlegt.
„Entwickler und Anbieter sollten den Datenschutz in Design, Konzeption, Betrieb und Verwaltung neuer Produkte und Dienste, die generative KI-Technologien nutzen, auf der Grundlage des Konzepts „Privacy by Design“ einbinden und ihre Entscheidungen und Analysen in einer Datenschutz-Folgenabschätzung dokumentieren. “, heißt es in der Erklärung weiter.
Darüber hinaus werden KI-Entwickler aufgefordert, nachgelagerten Wirtschaftsakteuren, die das Modell einsetzen oder anpassen, die Einhaltung datenschutzrechtlicher Verpflichtungen zu ermöglichen.
Weitere Diskussionen darüber, wie den Datenschutzherausforderungen der generativen KI begegnet werden kann, werden in einer Arbeitsgruppe für neue Technologien der G7 der Datenschutzbehörden stattfinden.
[Edited by Nathalie Weatherald]
