Googles wichtigste Datenschutzbehörde in der Europäischen Union hat eine Untersuchung eingeleitet, um zu klären, ob das Unternehmen im Hinblick auf die Verwendung personenbezogener Daten für das Training generativer KI die Datenschutzgesetze der Union eingehalten hat.
Konkret geht es darum, ob der Technologieriese eine Datenschutz-Folgenabschätzung (DSFA) durchführen musste, um proaktiv die Risiken zu berücksichtigen, die seine KI-Technologien für die Rechte und Freiheiten der Personen darstellen könnten, deren Daten zum Trainieren der Modelle verwendet wurden.
Generative KI-Tools sind dafür berüchtigt, plausibel klingende Unwahrheiten zu produzieren. Diese Tendenz, kombiniert mit der Fähigkeit, persönliche Informationen auf Anfrage zu liefern, birgt für ihre Entwickler ein hohes rechtliches Risiko. Irlands Datenschutzkommission (DPC), die Googles Einhaltung der Datenschutz-Grundverordnung (DSGVO) des Blocks überwacht, ist befugt, bei bestätigten Verstößen Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes von Alphabet (der Muttergesellschaft von Google) zu verhängen.
Google hat mehrere generative KI-Tools entwickelt, darunter eine ganze Familie allgemeiner Large Language Models (LLMs), die das Unternehmen unter dem Namen Gemini (ehemals Bard) vermarktet. Die Technologie wird für KI-Chatbots verwendet, unter anderem zur Verbesserung der Websuche. Grundlage dieser verbraucherorientierten KI-Tools ist ein Google LLM namens PaLM2, das das Unternehmen letztes Jahr auf seiner I/O-Entwicklerkonferenz vorgestellt hat.
Wie Google dieses grundlegende KI-Modell entwickelt hat, untersucht die irische Datenschutzbehörde eigenen Angaben zufolge auf Grundlage von Abschnitt 110 des irischen Datenschutzgesetzes von 2018, mit dem die DSGVO in nationales Recht umgesetzt wurde.
Für das Training von GenAI-Modellen sind typischerweise große Datenmengen erforderlich. Die Art der von den LLM-Herstellern erworbenen Informationen sowie die Art und der Ort, an dem sie diese erhalten haben, werden im Hinblick auf eine Reihe rechtlicher Bedenken, darunter Urheberrecht und Datenschutz, zunehmend unter die Lupe genommen.
Im letzteren Fall unterliegen Informationen, die als KI-Trainingsmaterial verwendet werden und die persönlichen Daten von EU-Bürgern enthalten, den Datenschutzbestimmungen des Blocks, unabhängig davon, ob sie aus dem öffentlichen Internet stammen oder direkt von Benutzern erworben wurden. Aus diesem Grund wurden eine Reihe von LLM bereits mit Fragen – und einigen mit der Durchsetzung der DSGVO – im Zusammenhang mit der Einhaltung des Datenschutzes konfrontiert, darunter OpenAI, der Hersteller von GPT (und ChatGPT); und Meta, das das Llama AI-Modell entwickelt.
Auch das von Elon Musk betriebene Unternehmen X hat sich wegen der Verwendung von Benutzerdaten für KI-Trainings Beschwerden wegen der DSGVO und den Zorn des DPC zugezogen – was zu einem Gerichtsverfahren und einer Zusage von X führte, seine Datenverarbeitung einzuschränken, aber keine Sanktionen nach sich zog. Allerdings könnte X immer noch mit einer DSGVO-Strafe rechnen, wenn der DPC feststellt, dass die Verarbeitung von Benutzerdaten zum Trainieren seines KI-Tools Grok gegen die Vorschriften verstoßen hat.
Die DPIA-Untersuchung des DPC zu Googles GenAI ist die jüngste Regulierungsmaßnahme in diesem Bereich.
„Bei der gesetzlichen Untersuchung geht es um die Frage, ob Google etwaigen Verpflichtungen nachgekommen ist, eine Bewertung gemäß Artikel 35 der Datenschutz-Grundverordnung (Datenschutz-Folgenabschätzung) vorzunehmen, bevor es mit der Verarbeitung der personenbezogenen Daten von betroffenen Personen aus der EU/dem EWR im Zusammenhang mit der Entwicklung seines grundlegenden KI-Modells, Pathways Language Model 2 (PaLM 2), begonnen hat“, schrieb der DPC in einer Pressemitteilung.
Darin wird darauf hingewiesen, dass eine Datenschutz-Folgenabschätzung „von entscheidender Bedeutung sein kann, um sicherzustellen, dass die Grundrechte und -freiheiten des Einzelnen angemessen berücksichtigt und geschützt werden, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko mit sich bringt.“
„Diese gesetzliche Untersuchung ist Teil der umfassenderen Bemühungen des DPC in Zusammenarbeit mit seinem EU/EWR [European Economic Area] „Die Zusammenarbeit mit gleichrangigen Regulierungsbehörden bei der Regulierung der Verarbeitung personenbezogener Daten von betroffenen Personen aus der EU/dem EWR bei der Entwicklung von KI-Modellen und -Systemen“, fügte der DPC hinzu und verwies auf die laufenden Bemühungen des Netzwerks von DSGVO-Durchsetzern des Blocks, eine Art Konsens darüber zu erzielen, wie das Datenschutzgesetz am besten auf GenAI-Tools angewendet werden kann.
Google wurde mit der Bitte um eine Antwort auf die Anfrage des DPC kontaktiert.