AI-Beratung

GDPR und AI: Ihre Modelle auf der richtigen Seite der EU-Datenregeln halten

Vincent Wahidi
Vincent Wahidi · 4 Min. Lesezeit
GDPR und AI: Ihre Modelle auf der richtigen Seite der EU-Datenregeln halten

Es gibt eine verbreitete Annahme, AI sei neu genug, um außerhalb der alten Datenregeln zu stehen. Das stimmt nicht. Wenn ein Modell personenbezogene Daten berührt, sei es beim Training, in einem Prompt oder in einer Ausgabe, gilt die GDPR genau wie immer. Der EU AI Act fügt eine zweite Ebene hinzu, aber die ersten Fragen, die ein europäisches Unternehmen zu seiner AI beantworten muss, sind weiterhin GDPR-Fragen, und einige davon sind in einem AI-Kontext schärfer als zuvor.

Die Prinzipien haben sich nicht geändert, aber AI setzt sie unter Druck

Die GDPR beruht auf einer Handvoll Prinzipien, und AI setzt jedes Mal genau diese wenigen unter Druck. Rechtsgrundlage: Sie brauchen einen vom Gesetz anerkannten Grund, um personenbezogene Daten zu verarbeiten, und „wir wollten ein Modell trainieren" ist nicht automatisch einer davon. Zweckbindung: Daten, die zum Betrieb eines Dienstes gesammelt wurden, dürfen nicht still und leise zu Trainingsdaten für etwas anderes werden, ohne eine neue Rechtsgrundlage. Datenminimierung: Einem Modell alles zu geben, weil es vielleicht hilft, ist das Gegenteil dessen, was die Regel verlangt. Nichts davon ist neu. Neu ist, wie leicht ein AI-Projekt über alle drei hinwegwalzt, ohne es zu bemerken.

Bei automatisierten Entscheidungen wird es ernst

Artikel 22 gibt Menschen das Recht, nicht rein automatisierten Entscheidungen unterworfen zu werden, die rechtliche oder ähnlich erhebliche Auswirkungen haben, mit engen Ausnahmen. Ein AI-System, das eigenständig über Kredit, Beschäftigung oder Anspruchsberechtigung entscheidet, läuft direkt in diese Bestimmung hinein. Das ist ein großer Teil des Grundes, warum ein Mensch im Entscheidungsprozess zu halten nicht nur gute Praxis, sondern oft eine gesetzliche Pflicht ist, und warum die Designfrage „entscheidet das Modell, oder unterstützt es eine Person, die entscheidet" Konsequenzen hat, die weit über guten Geschmack hinausgehen.

Die Rechte, die bei einem trainierten Modell unbequem werden

Die GDPR gibt Menschen Rechte über ihre Daten, und einige davon vertragen sich schlecht mit der Funktionsweise von Modellen. Das Recht auf Löschung ist bei einer Datenbankzeile unkompliziert und bei einem Modell, das bereits aus den Daten gelernt hat, wirklich schwierig. Transparenz bedeutet, in menschlichen Worten erklären zu können, was mit den Daten einer Person geschieht. Keines von beidem ist ein Grund, nicht zu bauen; beides sind Gründe, von Anfang an damit zu gestalten, statt sie erst bei einer Prüfung zu entdecken. Ein Teil davon ist einfach zu wissen, wohin Ihre Daten gehen, wenn Sie AI nutzen.

GDPR und der AI Act greifen ineinander

Für ein europäisches Unternehmen arbeiten die beiden Regelwerke zusammen. Die GDPR regelt die personenbezogenen Daten; der EU AI Act regelt das Risiko des Systems selbst, mit schwereren Pflichten für risikoreichere Einsatzzwecke. Datenresidenz zieht sich durch beide: Daten und Verarbeitung innerhalb der EU zu halten, ist oft der sauberste Weg, die Fragen jedes Regelwerks zu erfüllen. Ein Unternehmen, das sie als eine einzige, kombinierte Designbeschränkung behandelt statt als zwei getrennte Compliance-Projekte, kommt schneller voran und mit weniger Risiko.

Die Fragen, die Ihr Datenschutzbeauftragter stellen wird, beantwortet, bevor er sie stellt

Ein praktischer Weg, ein AI-Projekt auf die Probe zu stellen, ist, die Datenschutzfragen zu beantworten, bevor das Projekt beginnt, denn sie sind vorhersehbar. Welche personenbezogenen Daten berührt das System, sowohl beim Training als auch bei der Inferenz, und könnte es seine Aufgabe mit weniger erledigen? Was ist die Rechtsgrundlage für jede dieser Verwendungen, schriftlich festgehalten, nicht angenommen? Wohin gehen die Daten physisch, einschließlich über jede API eines Drittanbieter-Modells, und gibt es eine Auftragsverarbeitungsvereinbarung, die das abdeckt? Wenn das System zu Entscheidungen über Menschen beiträgt, wo genau entscheidet der Mensch, und können Sie das nachweisen? Und wenn jemand seine Rechte ausübt, Auskunft, Widerspruch, Löschung, was passiert dann tatsächlich, Schritt für Schritt?

Ein anschauliches Beispiel macht diese Gewohnheit konkret: Ein Unternehmen möchte einen Support-Assistenten, der Kunden-E-Mails beantwortet. Der verlockende Aufbau füttert ganze Postfächer in ein gehostetes Modell. Der konforme Aufbau stellt zuerst die Fragen und landet an einem besseren Ort: Identifikatoren entfernen oder maskieren, die der Assistent nicht braucht, die Verarbeitung in einer EU-Region unter einer ordentlichen Vereinbarung halten, protokollieren, auf welche Quellen sich jede Antwort stützte, und bei allem, was das Konto eines Kunden verändert, eine Person einbeziehen. Das zweite System ist nicht nur rechtlich sicherer. Es ist leichter zu erklären, leichter zu prüfen und in der Aufgabe nicht schlechter.

Wie gute Umsetzung aussieht

Wissen Sie, welche personenbezogenen Daten in Ihre Modelle fließen und warum, halten Sie eine Rechtsgrundlage dafür, halten Sie eine Person für Entscheidungen verantwortlich, die Menschen betreffen, und können Sie erklären, was Sie tun, in klarer Sprache. Tun Sie das, und die GDPR hört auf, ein Hindernis zu sein, und wird zu einer Designvorgabe. Wenn Sie AI mit europäischen personenbezogenen Daten einsetzen und die Compliance-Grundlage richtig legen möchten, bevor sie zu einem Prüfungsbefund wird, teilen Sie uns mit, was Sie bauen, und sehen Sie, wie wir das unter AI-Beratung angehen.

Vincent Wahidi

Autor

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Als Nächstes lesen

Predictive Maintenance für Schifffahrts- und Logistikflotten

Haben Sie ein Problem, das es zu lösen lohnt?

Sagen Sie uns, was Sie bauen oder reparieren. Wir antworten innerhalb eines Werktags mit einem klaren nächsten Schritt.