sabida - stock.adobe.com
KI-Training mit personenbezogenen Daten: Das ist zu beachten
Werden personenbezogene Daten für das Training einer KI (künstliche Intelligenz) genutzt, müssen die Vorgaben der Datenschutz-Grundverordnung eingehalten werden.
Seit Ende März 2025 rollt Meta den KI-Assistenten Meta AI in den eigenen Diensten wie WhatsApp, Facebook, Messenger oder Instagram in Deutschland aus, berichtet die Bundesdatenschutzbeauftragte (BfDI). In den USA ist der Assistent schon seit einiger Zeit verfügbar, in Europa musste Meta dafür erst einige Anpassungen vornehmen. Eine abschließende Prüfung durch die zuständigen europäischen Behörden steht noch aus, so die BfDI.
Laut Angaben von Meta würden derzeit noch keine personenbezogenen Daten von EU-Bürgerinnen und -Bürgern, einschließlich Anfragen an Meta AI, für Trainingszwecke der KI verwendet. Dies werde sich Ende Mai 2025 ändern, sofern Nutzerinnen und Nutzer nicht widersprechen. Dann will Meta demnach die Daten aller volljährigen Nutzerinnen und Nutzer von Facebook und Instagram für das Training der AI nutzen, also etwa Posts, Fotos und Kommentare auf den sozialen Netzwerken.
Mehrere Datenschutzaufsichtsbehörden aus den Ländern haben nun auf den Handlungsbedarf hingewiesen, dem KI-Training mit den eigenen personenbezogenen Daten gegebenenfalls zu widersprechen.
Um sich entscheiden zu können, sollte man zuerst aber hinterfragen, welche Datenrisiken denn durch das KI-Training mit personenbezogenen Daten bestehen können. Dazu die Bundesdatenschutzbeauftragte: „Wenn Sie mit Meta AI interagieren, sollten Sie bedenken, dass alle Inhalte Ihrer Anfragen verarbeitet werden. Es ist daher ratsam, keine personenbezogenen Daten der eigenen Person oder Dritter in Anfragen an die Meta AI zu übermitteln“.
Vorsicht sei insbesondere beim Umgang mit sensiblen Daten geboten, wie Gesundheitsdaten, Finanzdaten, Angaben zu politischen Meinungen oder sexuellen Orientierung (besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO). Zwar versichere Meta, dass Anfragen aus der EU derzeit nicht für Trainingszwecke verwendet würden, dennoch sei davon auszugehen, dass diese Daten verarbeitet und gespeichert werden, wie die Bundesbeauftragte betont. Eine vollständige Bewertung des Umfangs der Datenverarbeitung und der damit verbundenen Risiken stehe noch aus und werde Teil der laufenden Prüfungen sein.
Wie KI-Modelle hinsichtlich der Umsetzung der Datenschutz-Grundverordnung geprüft werden können, hat auch der Europäische Datenschutzausschuss (EDSA) dargelegt in der „Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models“ (PDF).
Aufsichtsbehörden äußern sich zu Meta und eBay
Meta selbst gehe davon aus, nunmehr alle datenschutzrechtlichen Anforderungen des EDSA einzuhalten, so die Datenschutzaufsicht von Niedersachsen. Der LfD Niedersachsen ist aber der Auffassung, dass die von Meta geplante Verwendung der EU-Nutzerdaten aufgrund der erheblichen datenschutzrechtlichen Relevanz und der vielfältigen Fallgestaltungen einer vorherigen Einwilligung der Nutzer und der betroffenen Dritten bedarf. Meta hingegen beruft sich auf das berechtigte Interesse.
Sollte die zuständige irische Aufsichtsbehörde in der noch ausstehenden abschließenden Bewertung das Vorgehen von Meta als datenschutzkonform bewerten, bleibe den Betroffenen also nur die Möglichkeit, Widerspruch einzulegen oder das Recht auf Löschung als Betroffene oder Betroffener geltend zu machen, wie die Aufsicht aus Niedersachsen erläuterte.
Sebastian Schmidt, der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV), rät den Nutzern dabei genau zu überlegen, ob sie von ihrer Widerspruchsmöglichkeit Gebrauch machen wollen. „Die Nutzerinnen und Nutzer sollte sich genau hinterfragen, ob ihnen bewusst ist, was sie in all ihren Jahren bei Diensten wie z.B. Facebook gepostet haben. Denn wenn schon das Internet nicht vergisst, dann tut es die KI erst recht nicht.“ Sind diese Informationen erst einmal in die KI gelangt, ist es schwierig diese Information wieder herauszubekommen, so die Aufsichtsbehörde.
Thomas Fuchs, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, meinte: „Ich kann gut verstehen, dass es Nutzerinnen und Nutzer sorgt, wenn alle ihre in sozialen Netzwerken geteilten Bilder und Texte nun in KI-Modelle fließen. Hier schützt nur ein rechtzeitiger Widerspruch. Wenn, dann jetzt.“
Neben Meta hat auch eBay ein KI-Training mit personenbezogenen Daten angekündigt. Dazu die Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg: „Kürzlich hat die eBay GmbH die Nutzerinnen und Nutzer ihrer Plattform per E-Mail darüber informiert, dass sie beabsichtigt, künftig Künstliche Intelligenz (KI) einzusetzen. Auch personenbezogene Daten sollen für Zwecke der Entwicklung und des Trainings von KI verwendet werden. Das Unternehmen kündigte in seiner E-Mail eine geänderte Datenschutzerklärung an. Diese ist am 21. April 2025 in Kraft getreten. Inzwischen haben wir bereits zahlreiche Beschwerden hierzu erhalten“.
Die Landesbeauftragte sieht bei der Formulierung der aktuellen Datenschutzerklärung des Unternehmens noch Klärungsbedarf. Es sei derzeit nicht ausreichend klar, welche personenbezogenen Daten der Nutzerinnen und Nutzer verwendet werden sollen. Die genauen Zwecke des angestrebten Trainings der KI blieben demnach ebenso offen wie die Frage, wer die Daten überhaupt nutzen darf. Zudem fehlten Informationen darüber, welche KI-Modelle zum Einsatz gelangen. Nach Auffassung der Aufsicht sind die Anforderungen an die Transparenz der geplanten Datenverarbeitung somit noch nicht ausreichend erfüllt.
Wollen Nutzerinnen und Nutzer verhindern, dass eBay ihre personenbezogenen Daten zu Zwecken der Entwicklung und des Trainings von KI-Modellen verwendet, sollten sie dieser Datenverarbeitung widersprechen, wie die Landesdatenschutzbeauftragte erklärte.
Was man als Unternehmen daraus lernen kann
Wenn nun ein Unternehmen ähnlich wie Meta oder eBay KI-Modelle mit personenbezogenen Daten trainieren möchte, empfiehlt es sich, die Punkte des Europäischen Datenschutzausschusses (EDSA) zu beachten. Dazu die Vorsitzende des EDSA, Talus: „KI-Technologien können viele Chancen und Vorteile für verschiedene Branchen und Lebensbereiche mit sich bringen. Wir müssen sicherstellen, dass diese Innovationen ethisch, sicher und in einer Weise durchgeführt werden, die allen zugutekommt. Der EDSA möchte verantwortungsvolle KI-Innovationen unterstützen, indem er sicherstellt, dass personenbezogene Daten geschützt werden und die Datenschutz-Grundverordnung (DSGVO) uneingeschränkt eingehalten wird.“
In Bezug auf das berechtigte Interesse, auf das sich zum Beispiel Meta beruft, enthält die Stellungnahme des EDSA allgemeine Erwägungen, die die Datenschutzbehörden berücksichtigen sollten, wenn sie beurteilen, ob das berechtigte Interesse eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten für die Entwicklung und den Einsatz von KI-Modellen ist. Ein dreistufiger Test hilft demnach dabei, die Nutzung berechtigter Interessen als Rechtsgrundlage zu beurteilen.
Wichtig: Ergibt der Abwägungstest, dass die Verarbeitung wegen der negativen Auswirkungen auf den Einzelnen nicht erfolgen sollte, können Abhilfemaßnahmen diese negativen Auswirkungen begrenzen. Wenn aber ein KI-Modell mit unrechtmäßig verarbeiteten personenbezogenen Daten entwickelt wurde, könnte sich dies auf die Rechtmäßigkeit seines Einsatzes auswirken, es sei denn, das Modell wurde ordnungsgemäß anonymisiert.
Vor einem KI-Training mit personenbezogenen Daten gibt es also einiges abzuwägen und zu prüfen, Vorschnelle Handlungen sind nicht zu empfehlen, um einen rechtskonformen Einsatz der KI nach dem Training möglich zu machen.
