KI-Datenmangel, künstliche Daten & die DSGVO

Bekanntlich müssen KI-Modelle mit einer Unmenge an Daten trainiert werden. Mittlerweile hört man immer öfter Berichte von einem Datenmangel in der KI-Branche. Zuletzt ist in der New York Times ein Artikel mit dem bezeichnenden Titel "The Data That Powers A.I. Is Disappearing Fast" erschienen. Danach soll die Datenbeschaffung insbesondere durch Web-Scraping, also dem Absaugen von Inhalten aus dem Internet, laufend schwieriger werden. Immer mehr Webseitenbetreiber verwehren sich dieser Praxis und wollen ein Abschöpfen ihrer Daten nicht so einfach zulassen. Das kann nicht nur die großen Anbieter von Modellen generativer KI treffen, sondern auch weniger etablierte Player und Start-ups. Deren Anwendungen basieren oft auf bekannten KI-Modellen. Auch ein Aufschließen zu den Großen wird dadurch schwieriger.

Als möglicher Ausweg werden oft synthetische Daten genannt. Dabei handelt es sich um Daten, die künstlich generiert werden, aber in wesentlichen Punkten von Menschen erzeugten Daten entsprechen. Deshalb können sie - zumindest in bestimmten Konstellationen – anstelle von echten Daten zum Training von KI eingesetzt werden. Nicht selten werden synthetische Daten auch als Lösung für datenschutzrechtliche Schwierigkeiten beim KI-Training in Verbindung gebracht.  Mangels Echtheit sollen solche nicht bestehen und ohne die Einschränkungen der DSGVO trainiert werden können.

Allerdings und gerade, weil das Potential synthetischer Daten für Fälle, in denen keine relevanten Echtdaten zur Verfügung stehen, groß ist, sollte diese These nicht einfach übernommen werden. Einem datenschutzrechtlichen Reality-Check hält sie nämlich nicht unbedingt stand.

Manche synthetische Daten werden auf der Grundlage von Echtdaten hergestellt. Sind diese personenbezogen, ist der Erzeugungsvorgang an der DSGVO zu messen. Wer also Daten, die sich auf eine identifizierbare Person beziehen, sammelt und verarbeitet, um synthetische Daten zu generieren, muss für diesen Arbeitsschritt die Regeln der DSGVO beachten. Das hat mehrere Folgen:

• Zunächst muss eine datenschutzrechtliche Rechtfertigung vorhanden sein. Nicht praxistauglich wäre das Einholen von Einwilligungen, weil diese jederzeit widerrufen werden könnten. Für KI-Entwickler, die eine Synthetisierung vornehmen wollen, wird sich daher regelmäßig die Frage stellen, ob sie ein überwiegendes berechtigtes Interesse an der Datenverarbeitung argumentieren können.

• Außerdem bestehen Transparenzpflichten den betroffenen Personen gegenüber. Diese sind über die Verarbeitung ihrer Daten zu informieren.

• Auch andere „klassische“ Grundsätze der DSGVO, wie etwa die Vorgaben zur Zweckbindung und Datenminimierung greifen uneingeschränkt. Personenbezogene Daten dürfen nicht auf Vorrat erhoben und stets nur im notwendigen Ausmaß und zu einem festgelegten Zweck verarbeitet werden. Ob Daten, die bereits aus anderen Gründen gesammelt wurden, zur Synthetisierung verarbeitet werden können, muss im Einzelfall beurteilt werden.

Der AI Act nennt an einer Stelle synthetische Daten gemeinsam mit anonymisierten Daten. Es würde aber zu weit gehen, daraus abzuleiten, dass synthetisierte Daten immer mit hinreichend anonymisierten Daten gleichzusetzen sind und aus dem Anwendungsbereich der DSGVO hinausfallen. Wenn betroffene Personen trotz abgeschlossener Synthetisierung identifizierbar sind, gilt die DSGVO. Diese bleibt parallel zum AI Act anwendbar und ist auch bei synthetischen Daten einschlägig, wenn diese aus von Menschen generierten Daten erzeugt wurden. Einem Mangel an Trainingsdaten kann durch Synthetisierung daher nur dann rechtssicher begegnet werden, wenn die DSGVO als Compliance-Aufgabe ernst genommen wird.