Hamburger Datenschutzbeauftragter legt Leitlinien für KI und LLMs vor
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat ein Diskussionspapier veröffentlicht, das die Nutzung von Large Language Models (LLMs) und deren Vereinbarkeit mit der DSGVO beleuchtet. Demnach enthalten LLM-Modelle selbst keine personenbezogenen Daten.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Diskussionspapier veröffentlicht, das die Nutzung von künstlicher Intelligenz (KI) und insbesondere von Large Language Models (LLMs) wie ChatGPT in Bezug auf die Datenschutz-Grundverordnung (DSGVO) der EU beleuchtet. Die Ausführungen sollen Unternehmen Orientierung im Umgang mit diesen neuen Technologien geben.
Laut HmbBfDI verarbeiten LLMs Nutzereingaben und generieren Ausgaben basierend auf Wahrscheinlichkeitsmodellen. Auch wenn die Trainingsdaten personenbezogene Informationen enthalten, geht nach Auffassung des Beauftragten durch den Abstraktionsprozess bei der Tokenisierung der Personenbezug verloren. Das LLM speichert lediglich allgemeine Muster und Zusammenhänge, nicht aber konkrete Daten einzelner Personen. Daher enthielten die Modelle selbst keine personenbezogenen Daten, und Betroffenenrechte aus der DSGVO könnten nicht direkt gegen das Modell geltend gemacht werden.
Das Papier thematisiert auch sogenannte „Privacy Attacks“, bei denen versucht wird, Trainingsdaten aus LLMs zu extrahieren. Der HmbBfDI schließt sich der Rechtsprechung des Europäischen Gerichtshofs an, wonach eine Offenlegung dann nicht vorliegt, wenn der Personenbezug nur mit unverhältnismäßigem Aufwand – unter Zeit-, Kosten- oder Arbeitsaufwand – oder unter Verstoß gegen gesetzliche Verbote möglich ist. Solche Angriffe seien derzeit eher im wissenschaftlichen Bereich angesiedelt.
Für Unternehmen bedeutet dies, dass der Einsatz eines LLMs grundsätzlich nicht rechtswidrig ist, selbst wenn Trainingsdaten problematisch waren, da der Personenbezug im Modell verloren geht. Wichtig ist jedoch, dass Unternehmen bei der eigenen Nutzung oder beim Nachtrainieren von Modellen auf eine Rechtsgrundlage gemäß DSGVO achten, insbesondere wenn eigene Daten verwendet werden. Bei der Nutzung von Drittanbieter-LLMs müssen zudem die Einhaltung von Betroffenenrechten, Schutzmaßnahmen gegen Angriffe und die Verteilung datenschutzrechtlicher Verantwortlichkeiten geprüft werden.