Verarbeitung von Trainings‑, Test- und Validierungsdaten nach KI-VO-E, Data Act und DSGVO (Bierekoven, ITRB 2023, 211)

Die Anwendungsbereiche und Entwicklungen im Bereich KI nehmen auch jenseits von ChatGPT immer weiter zu. KI stellt inzwischen ein zentrales Instrument zur Automatisierung bestehender Geschäftsprozesse und zur Entwicklung neuer Geschäftsmodelle dar. Wesentliche Bedeutung kommt bei der Entwicklung und dem Einsatz von KI dem Entwurf der KI-Verordnung, dem Data Act und der DSGVO zu. Der Beitrag zeigt das Zusammenspiel und die Bedeutung dieser drei Regelwerke im Zusammenhang mit der Verarbeitung von Trainings‑, Test- und Validierungsdaten für eine langfristige und nachhaltige Nutzung von KI-Systemen auf.

I. Bestimmung des Rechtsrahmens

1. Zweck und Gegenstand des KI-VO-E

2. Anwendbarkeit der DSGVO

3. Data Act

II. KI-VO-E

1. Anwendungsbereich

a) KI-System

b) Kategorien von KI-Systemen

c) Persönlicher Anwendungsbereich

d) Territorialer Anwendungsbereich

2. Inhaltliche Anforderungen für Hochrisiko-Systeme

III. DSGVO

1. Anonymisierung und Rechtsgrundlage

2. Anforderungen an Trainings‑, Test- und Validierungsdaten

a) Nutzung allgemeiner personenbezogener Daten

b) Nutzung besonderer Kategorien personenbezogener Daten

c) Nutzung von Daten aus bestehendem Datenpool

IV. Gegenstand und Anforderungen des Data Acts

1. Gegenstand und Anwendungsbereich des Data Acts

a) Gegenstand

b) Adressaten

2. Anforderungen des Data Acts

a) Nutzer

b) Dateninhaber

c) Dritte

d) Verhältnis zur DSGVO

e) Bedeutung für die Praxis

3. Bedeutung des Data Acts für KI-Anwendungen

a) Hochrisiko-KI-Anwendungen

b) Sonstige KI-Anwendungen

V. Fazit


I. Bestimmung des Rechtsrahmens

1. Zweck und Gegenstand des KI-VO-E

Das zentrale Regelwerk für Entwicklung und Nutzung von KI-Anwendungen ist der KI-VO-E der EU-Kommission v. 21.4.2021. Dieser wurde vom Europäischen Rat am 6.12.2022 und vom Europäischen Parlament am 14.6.2023 mit Änderungsvorschlägen versehen.

Er gibt den rechtlichen Rahmen bei der Entwicklung von KI-Systemen vor, indem er festlegt, welche KI-Systeme verboten und welche unter Beachtung welcher Anforderungen zulässig sein können. Wesentlicher Begriff zur Eröffnung des Anwendungsbereichs des KI-VO-E ist die Definition des „KI-Systems“, dessen ursprüngliche Fassung vom Europäischen Parlament und dem Europäischen Rat in den Änderungsvorschlägen maßgeblich angepasst wurde.

2. Anwendbarkeit der DSGVO

Die Performance und Qualität von KI-Anwendungen hängt im Wesentlichen von den Daten ab, die als Trainings‑, Test‑, und Validierungsdaten verwendet werden. Dies können personenbezogene oder nicht personenbezogene Daten sein. Handelt es sich um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, sind die Regelungen der DSGVO zu beachten, Art. 1 Abs. 1 DSGVO

3. Data Act

Unabhängig vom Personenbezug ist bei der Verarbeitung von Trainings‑, Test- und Validierungsdaten daneben der Data Act zu berücksichtigen. Nach Art. 1 Abs. 1 Data Act findet dieser Anwendung auf Daten, die bei der Nutzung eines Produkts oder verbundenen Diensts erzeugt werden, d.h. auch auf die Verwendung als Trainings‑, Test- und Validierungsdaten. Weisen diese Daten zudem Personenbezug auf, können sowohl die Regelungen des Data Acts als auch der DSGVO sowie des KI-VO-E zu beachten sein.

II. KI-VO-E'

1. Anwendungsbereich

a) KI-System

Der zentrale Begriff zur Bestimmung der Anwendbarkeit der KI-VO-E ist das „KI-System“. Nach Art. 3 Abs. 1 Nr. 1 KI-VO-E sind KI-Systeme Softwaresysteme, die mit Technologien des maschinellen Lernens, der Logik- und wissensbasierten oder Statistischen Ansätze (Annex I) entwickelt wurden und für einen gegebenen Satz von durch den Menschen definierten Zielen Ausgaben wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen erzeugen können, die die Umgebungen beeinflussen, mit denen sie interagieren. Hiermit wird (...)