KI-Training: Irische Datenschutzaufsicht leitet Verfahren gegen Google ein

Einleitung

Die irische Datenschutzaufsichtsbehörde (DPC) hat ein förmliches Verfahren gegen Google eingeleitet. Im Mittelpunkt der Untersuchung steht die Frage, ob Google bei der Nutzung von EU-Nutzerdaten für das Training seines neuen KI-Modells PaLM 2 eine ausreichende Datenschutz-Folgenabschätzung vorgenommen hat. Diese ist gemäß Artikel 35 der Datenschutzgrundverordnung (DSGVO) zwingend erforderlich, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Hintergrund

Google stellte sein Pathways Language Model 2 (PaLM 2) im Mai 2023 vor. Das Modell wird in verschiedenen Anwendungen eingesetzt, darunter Google Workplace-Anwendungen wie Gmail. PaLM 2 steht auch über eine API und Google Clouds Vertex für externe Anwendungen zur Verfügung. Eine wesentliche Neuerung des Modells ist seine Fähigkeit, in deutlich mehr Sprachen als sein Vorgänger zu operieren.

Details des Verfahrens

Die DPC hat bekannt gegeben, dass sie den Verdacht untersucht, dass Google keine oder nur eine unzureichende Folgeabschätzung vorgenommen hat, bevor es mit dem Training von PaLM 2 begann. Artikel 35 der DSGVO schreibt vor, dass eine Datenschutz-Folgenabschätzung notwendig ist, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Reaktionen und Konsequenzen

Diese Untersuchung reiht sich in eine Serie von Maßnahmen der DPC gegen große Tech-Konzerne ein. In den vergangenen Monaten hat die Behörde mehrfach Unternehmen die Verarbeitung personenbezogener Daten untersagt, wenn sie gegen die DSGVO verstießen. Die DPC agiert hierbei stellvertretend für alle EU-Datenschutzbehörden und ist für Unternehmen zuständig, die ihren europäischen Hauptsitz in Irland haben. Dies betrifft unter anderem Meta, Apple, X und auch Google.

Weitere Verfahren

Auch andere Tech-Giganten wie Meta und X sind ins Visier der DPC geraten. Meta musste beispielsweise das Training seines Llama-Modells nach Intervention der DPC stoppen. Ähnlich erging es X, das sein Grok-LLM-Modell nicht weiter trainieren durfte. Diese Verfahren verdeutlichen die Komplexität der rechtlichen Fragen rund um die Nutzung personenbezogener Daten für das Training von KI-Modellen.

Rechtsgrundlagen und Anforderungen

Die DSGVO stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten. Ohne eine adäquate Datenschutz-Folgenabschätzung ist die Nutzung solcher Daten für KI-Trainings rechtlich kaum durchsetzbar. Jede nationale Datenschutzaufsichtsbehörde hat ergänzend zu Artikel 35 der DSGVO eigene Dokumente, die den Umfang und die Notwendigkeit einer Folgeabschätzung festlegen. Die irischen Anforderungen dürften auch für Googles KI-Trainings relevant sein.

Internationale Dimensionen

Die DPC ist nicht die einzige Datenschutzbehörde, die sich mit den Aktivitäten großer Tech-Unternehmen befasst. In mehreren europäischen Ländern laufen ähnliche Verfahren. So wurde etwa Metas geplantes KI-Training von der Datenschutzorganisation noyb in 11 europäischen Ländern als datenschutzrechtlich fragwürdig eingestuft.

Reaktionen der betroffenen Unternehmen

Google und andere betroffene Unternehmen wie Meta haben sich bereits zu den Maßnahmen der DPC geäußert. Google betont, dass das Unternehmen stets bemüht sei, die Anforderungen der DSGVO zu erfüllen. Meta äußerte sich enttäuscht über die Entscheidung der DPC, das KI-Training zu stoppen, und warnte vor möglichen negativen Auswirkungen auf die Produktentwicklung.

Ausblick

Die Klärung der rechtlichen Fragen rund um die Nutzung personenbezogener Daten für KI-Trainings wird voraussichtlich noch Jahre in Anspruch nehmen. Die Entscheidungen der DPC und anderer Datenschutzbehörden setzen jedoch wichtige Präzedenzfälle, die die zukünftige Entwicklung in diesem Bereich maßgeblich beeinflussen werden.

Fazit

Die Eröffnung des Verfahrens gegen Google durch die DPC ist ein weiteres Beispiel für die zunehmende Regulierungsaktivität im Bereich des Datenschutzes. Sie verdeutlicht die Herausforderungen, die mit der Nutzung personenbezogener Daten für das Training von KI-Modellen verbunden sind. Unternehmen müssen sicherstellen, dass sie die strengen Anforderungen der DSGVO erfüllen, um rechtliche Konsequenzen zu vermeiden. Bibliografie - https://www.deutschlandfunk.de/irische-datenschutzbehoerde-zieht-klage-gegen-x-zurueck-100.html - https://www.datenschutzticker.de/2024/06/metas-ki-training-datenschutzrechtlich-fragwuerdig/ - https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-15-juli-2024-507 - https://datenschutz-rv.de/datenschutz-vs-ki-training-stopp-der-irischen-datenschutzaufsicht/ - https://www.nomos.de/metaverse-facebook-instagram-liefern-daten-fuer-ki-training/ - https://www.bvdnet.de/de/menschen-daten-sensationen-rudis-bericht-aus-dem-datenzirkus-ergaenzt-um-franks-zugabe-kw-22-26-2024/ - https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-29-juli-2024-509 - https://www.datenschutzticker.de/tag/kuenstliche-intelligenz/ - https://www.dr-datenschutz.de/google-und-datenschutz-ist-die-kritik-berechtigt/