Empfehlungen zur Entwicklung von KI-Systemen – Veröffentlichung der französischen Aufsichtsbehörde
Entwickler von KI-Anwendungen erhalten Hilfestellung
In unserem letzten Newsbeitrag berichteten wir über die Orientierungshilfe der Datenschutz-Konferenz (DSK). Hierbei fiel uns auf, dass die Empfehlungen der deutschen Behörden sich wesentlich auf die Anwendung von KI-Anwendungen bezogen, nicht aber auf die Entwicklung eigener KI-Anwendungen. Vor dem Hintergrund, dass der Großteil der Unternehmen eher Anwender und nicht Entwickler ist, war dies eine gute Entscheidung.
Nun trumpft die französische Aufsichtsbehörde (CNIL) mit neuen Empfehlungen zur datenschutzkonformen KI-Entwicklung auf, die, trotz der mangelnden Zuständigkeit der Behörde für deutsche Unternehmen, nicht übersehen werden sollten. Bereits in der Vergangenheit galt die französische Behörde mit ihrem „Self-assessment guide for artificial intelligence (AI) systems“ als Vorreiter mit Informationen zum KI-Einsatz im europäischen Raum. Die neue Empfehlung zur KI-Entwicklung ist das Ergebnis einer öffentlichen Konsultation von insgesamt 43 Beteiligten, darunter Unternehmen, NGOs und sogar öffentliche Stellen.
Inhaltsübersicht – worum geht es?
Es handelt sich bei der aktuellen Veröffentlichung um den ersten Teil einer Reihe konkreter Handlungsempfehlungen zur Entwicklung von KI-Anwendungen. Die Empfehlungen sind in sogenannte Merkblätter (engl. Sheets) aufgeteilt, wobei sich jedes Merkblatt mit einem bestimmten Themenbereich des Datenschutzes beschäftigt. Hier werden die Anforderungen zusammengefasst, Empfehlungen getroffen und Anwendungsbeispiele vorgestellt. Angestrebt sind insgesamt zwölf Merkblätter zu veröffentlichen, wobei aktuell (Juli 2024) die Merkblätter 8-12 noch in öffentlicher Konsultation sind:
- Sheet 1 – Bestimmung des anwendbaren Rechts
- Sheet 2 – Bestimmung des Verarbeitungszwecks
- Sheet 3 – Bestimmung der datenschutzrechtlichen Verantwortlichkeit
- Sheet 4 – Bestimmung der Rechtsgrundlage + Prüfung der Weiterverarbeitung
- Sheet 5 – Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
- Sheet 6 – Berücksichtigung des Datenschutzes bei Gestaltung des Systems
- Sheet 7 – Berücksichtigung des Datenschutzes bei Datenerhebung und -verwaltung
- Sheet 8 – Begründung der KI-Entwicklung auf berechtigtem Interesse
- Fokus 1: Open Source Modelle
- Fokus 2: Maßnahmen im Falle der Datenerhebung durch Web-Scraping
- Sheet 9 – Informationen für betroffene Personen
- Sheet 10 – Ausübung von Betroffenenrechten
- Sheet 11 – Annotieren von Daten
- Sheet 12 – Gewährleistung der Sicherheit in der KI-Entwicklung
Fazit – Wie sollten Sie mit diesen Empfehlungen umgehen?
Die Empfehlungen der französischen Behörde sind ein wichtiger Baustein in der fortschreitenden Konkretisierung datenschutzrechtlicher Anforderungen für KI-Anwendungen. Während die deutschen Behörden im Vergleich noch zurückhaltend sind in der Beantwortung bestimmter Fragestellungen (z.B. Anwendung des berechtigten Interesses für die Datenerhebung aus öffentlichen Quellen), wird die französische Behörde konkreter.
Die französische Behörde hat eine wichtige Stellung in der Gestaltung des europäischen Datenschutzrechts. Daher wird spannend zu sehen, ob andere Behörden in ihren Empfehlungen nachziehen werden. Für Entwicklerinnen bzw. Datenschützerinnen im Entwicklungsbereich, denen es bisher an einer Grundlage ihrer Bewertungen gefehlt hat, können die Empfehlungen der französischen Behörden sicherlich gut gebrauchen. Gerade für wegweisende Entscheidungen sollten Unternehmen anderer Länder allerdings zurückhaltend sein, da die zuständigen Behörden vor Ort zu einer anderen Entscheidung kommen könnten. Im Zweifel sollten diese konsultiert werden.
