Die französische Datenschutzbehörde CNIL bereitet eine Gesetzesgrundlage für die Regulierung von KI vor

KI-Tools, wie Chat GPT, Bloom oder Megatron NLG, sind nicht nur in aller Munde, sondern Teil der reellen Arbeitswelt geworden. Experten, Kritiker und sogar die Entwickler selbst sind sich bewusst, dass der flächendeckende Einsatz von KI zahlreiche rechtliche Fragen aufwirft.

Besonders im Hinblick auf den Datenschutz ergeben sich eine Vielzahl an Problemfeldern, die völlig neu betrachtet und bewertet werden müssen. Die französische Datenschutzbehörde CNIL hat einen Aktionsplan erstellt, um KI-Konzepte so zu regulieren, dass sie nicht unkontrollierbar wachsen und wuchern.

Künstliche Intelligenz wird in den nächsten Jahren unsere Arbeitswelt nachhaltig verändern. Während prädikative KI generell basierend auf Datenauswertungen Vorhersagen oder Prognosen erleichtert, wird generative KI dazu genutzt, basierend auf riesigen Datenmengen Content zu produzieren. Generative KI gelingt es inzwischen, Texte zu verfassen, Bilder oder Bewegtbild zu produzieren und Programme zu schreiben, die bereits heute sehr nahe an das Niveau herankommen, das durch menschliche Kreativität erreicht wird. Die französische Datenschutzbehörde CNIL arbeitet bereits seit einigen Jahren daran, ein Regulativ zu schaffen, das in erster Linie Datenschutz-Aspekte beinhaltet. In einem Aktionsplan hat die Behörde nun erste Parameter abgesteckt, um KI-Systeme mit geltendem Datenschutzrecht vereinbar zu machen.

Regulierung auf europäischer Ebene im Visier

Wie intensiv sich Europas Datenschutzbehörden individuell mit der Regulierung von KI beschäftigen, zeigte sich im Frühjahr dieses Jahres, als die italienischen Datenschützet Chat GPT kurzfristig aus dem Netz nahmen, bis geeignete Korrekturen vorgenommen worden waren. Damit läuteten die italienischen Behörden ein europaweit uneinheitliches Umgehen mit den datenschutzrechtlichen Problemen durch frei zugängliche KI-Tools ein. Dies war auch mit der Auslöser dafür, dass die französische Behörde CNIL, die in Europa als besonders einflussreich gilt, ihren Aktionsplan formuliert hat, der durchaus als Matrix für einen europäischen Umgang mit Chat GPT und vergleichbaren Technologien gelten könnte. So Heißt es im Aktionsplan wortwörtlich: „Diese Arbeit wird ermöglichen, das Inkrafttreten des Entwurfs der europäischen KI-Verordnung vorzubereiten.“

Vierstufiger Aufbau des Aktionsplans

Das Papier aus Frankreich umfasst vier Aktionsphasen, die aufeinander aufbauen und die Mitarbeit der Technologie-Unternehmen aktiv einfordern. In Phase eins werden die Quellen, die eine KI nutzt, einer genauen Betrachtung unterzogen. Woher stammen die Daten, die als Grundlagen dienen und inwieweit gehören personenbezogene Daten dazu? Beispielsweise wird in dieser Phase geklärt, ob Craping eingesetzt wird, um an große Datenmengen zu kommen, die auch personenbezogene Informationen enthalten, die einem besonderen Schutz unterliegen. Darüber hinaus muss offengelegt werden, inwieweit schutzwürdige Daten, Informationen oder urheberrechtlich geschützte Inhalte von Einzelpersonen in die Content-Produktionen einfließen.

In der zweiten Phase des Aktionsplans soll eine „Anleitung zur KI-Entwicklung“ mit den teilnehmenden Unternehmen diskutiert und erstellt werden. Dazu hat die CNIL bereits Leitlinien erstellt, die es den KI-entwickelnden Firmen erlauben, bewährte Verfahren und Anwendungen zu implementieren, die personenbezogene Daten als schützenswert respektieren und einen Missbrauch bei der Content-Erstellung vermeiden.

In der dritten Phase des Aktionsplans ist ein proaktives Zugehen auf Unternehmen geplant, die KI-Systeme entwickeln oder betreiben. Dabei geht es vielmehr um eine Unterstützung als eine Kontrolle. Vielmehr sollen die forschenden und entwickelnden Unternehmen in Frankreich und der gesamten EU von Experten beraten und unterstützt werden. Damit soll ein Verständnis für die enorme Wichtigkeit des Datenschutzes bei KI-Projekten geschaffen werden. Darüber hinaus sollen die Unternehmen dazu angeregt werden, die notwendigen Maßnahmen zum gesetzeskonformen Umgang mit personenbezogenen Daten als Standards zu setzen.

In Phase vier werden die generellen Aufgaben der europäischen Datenschutzbehörden auf den Bereich KI ausgeweitet. Die Behörden übernehmen ihre Kontrollfunktion zum Schutz der personenbezogenen Daten aller EU-Bürger.

Derzeit ist der französische Aktionsplan Gegenstand intensiver Diskussionen der Task Force, die die europäischen Datenschutzbehörden im Mai dieses Jahres ins Leben gerufen haben, um von EU-Seite auf die rasante Entwicklung von KI-Anwendungen, wie ChatGPT, zu reagieren.