Von der französischen Datenschutzbehörde CNIL kommt ein Regulierungsvorschlag für KI-Systeme

In vielen Arbeitsbereichen hat inzwischen die Nutzung von KI, etwa ChatGPT, Bloom oder Megatron, zu grundlegenden Änderungen geführt. Experten, Kritiker und sogar die Entwickler selbst sind sich bewusst, dass der flächendeckende Einsatz von KI zahlreiche rechtliche Fragen aufwirft.

Besonders im Hinblick auf den Datenschutz ergeben sich eine Vielzahl an Problemfeldern, die völlig neu betrachtet und bewertet werden müssen. Die französischen obersten Datenschützer der Behörde CNIL haben einen Aktionsplan präsentiert, der einen Umgang mit KI auf gesetzlicher Grundlage skizziert.

In den kommenden Jahren wird es immer mehr KI-Ansätze geben, die in unsere Arbeitswelt Einzug halten. Während prädikative KI schon längst flächendeckend für die Auswertung von Daten genutzt wird, um Vorhersagen und Prognosen zu erstellen, wird generative KI dazu genutzt, basierend auf riesigen Datenmengen Content zu produzieren. Generativer KI gelingt es inzwischen, Texte zu verfassen, Bilder oder Bewegtbild zu produzieren und Programme zu schreiben, die bereits heute sehr nahe an das Niveau herankommen, das durch menschliche Kreativität erreicht wird. Die französische Datenschutzbehörde CNIL arbeitet bereits seit einigen Jahren daran, ein Regulativ zu schaffen, das in erster Linie Datenschutz-Aspekte beinhaltet. Inzwischen haben die obersten französischen Datenschützer in einem Aktionsplan dargelegt, wie eine europaweite Regulierung von KI im Hinblick auf den Datenschutz aussehen könnte.

Gesamteuropäischer Ansatz geplant

Bisher gehen die EU-Staaten sehr uneinheitlich mit Problemen um, die durch den Einsatz von KI auftauchen. Das zeigte sich beispielsweise im Frühjahr dieses Jahres, als die italienischen Datenschützer ChatGPT kurzfristig aus dem Netz nahmen, bis geeignete Korrekturen vorgenommen worden waren. Damit läuteten die italienischen Behörden ein europaweit uneinheitliches Umgehen mit den datenschutzrechtlichen Problemen durch frei zugängliche KI-Tools ein. Dies war unter anderem auch der Auslöser dafür, dass die französische Behörde CNIL, die in Europa als besonders einflussreich gilt, ihren Aktionsplan formuliert hat, der durchaus als Matrix für einen europäischen Umgang mit Chat GPT und vergleichbaren Technologien gelten könnte. So heißt es im Aktionsplan wörtlich: „Diese Arbeit wird ermöglichen, das Inkrafttreten des Entwurfs der europäischen KI-Verordnung vorzubereiten.“ Nun sind also die europäischen Datenschutzbehörden gefragt, um einheitliche und in allen EU-Staaten verbindliche Regeln und Gesetze zu schaffen.

Aktionsplan mit vier Ausbaustufen

Der französische Regelungs-Entwurf basiert auf vier Aktionsphasen, an denen explizit die Mitarbeiter in Technologie-Unternehmen mitarbeiten müssen. In Phase eins werden die Quellen, die eine KI nutzt, einer genauen Betrachtung unterzogen. Woher stammen die Daten, die als Grundlagen dienen und inwieweit gehören personenbezogene Daten dazu? Beispielsweise wird in dieser Phase geklärt, ob Craping eingesetzt wird, um an große Datenmengen zu kommen, die auch personenbezogene Informationen enthalten, die einem besonderen Schutz unterliegen. In einem weiteren Schritt erfolgt die Dokumentation darüber, ob und inwieweit gegen Urheberrechte verstoßen wird und welche Optionen es gibt, die Interessen von Rechteinhabern zu berücksichtigen.

Phase zwei beinhaltet die Schaffung einer verbindlichen Anleitung, in der definiert wird, innerhalb welcher rechtlichen Grenzen eine KI entwickelt werden muss. In der zweiten Phase des Aktionsplans soll zudem eine „Anleitung zur KI-Entwicklung“ mit den teilnehmenden Unternehmen diskutiert und erstellt werden. Dazu hat die CNIL bereits Leitlinien erstellt, die es den KI-entwickelnden Firmen erlauben, bewährte Verfahren und Anwendungen zu implementieren, die personenbezogene Daten als schützenswert respektieren und einen Missbrauch bei der Content-Erstellung vermeiden.

Teil drei zielt darauf ab, Unternehmen, die KI-Konzepte entwickeln, aktiv in die Regulierungsprozesse zu integrieren. Dabei geht es vielmehr um eine Unterstützung als eine Kontrolle. Vielmehr sollen die forschenden und entwickelnden Unternehmen in Frankreich und der gesamten EU von Experten beraten und unterstützt werden. Damit soll ein Verständnis für die enorme Wichtigkeit des Datenschutzes bei KI-Projekten geschaffen werden. Darüber hinaus sollen die Unternehmen dazu angeregt werden, die notwendigen Maßnahmen zum gesetzeskonformen Umgang mit personenbezogenen Daten als Standards zu setzen. Denn ohne eine proaktive Beteiligung der betroffenen Companys ist eine langfristige Regulierung von KI-Tools nach Ansicht der CNIL kaum realistisch.

Erst in der vierten Phase entsteht ein Kontroll- und Sanktionierungskonzept, mit dem die beauftragten Behörden dann als Kontrollinstanzen fungieren.

Im Moment diskutieren die Mitglieder einer Taskforce den Ansatz auf europäischer Ebene. Im Mai dieses Jahres wurde das Gremium gegründet, um in der EU auf höchster Ebene adäquate Regularien zu formulieren, die mit der rasanten Entwicklung von KI-Ansätzen Schritt halten können.