Es war eine große Freude, Dr. Philipp Hacker für einen Vortrag zum Thema „Generative KI und Datenschutz“ bei D64 – Zentrum für Digitalen Fortschritt begrüßen zu dürfen. Philipp Hacker ist Rechtswissenschaftler und Inhaber des Lehrstuhls für Recht und Ethik der digitalen Gesellschaft an der European New School of Digital Studies der Europa-Universität Viadrina. Seine Forschung konzentriert sich auf die Regulierung digitaler Technologien, insbesondere im Bereich der künstlichen Intelligenz. Gerne möchten wir hier einige Einblicke teilen.
Halluzinationen und rechtliche Implikationen
Die Datenschutzorganisation NOYB hat eine Beschwerde gegen OpenAI eingereicht, weil das KI-System unzutreffende personenbezogene Daten – etwa fehlerhafte Geburtsdaten – generiert und eine betroffene Person fälschlich als Straftäter bezeichnet habe. Derartige Konstellationen könnten, sollten sie den Europäischen Gerichtshof erreichen, Präzedenzwirkung entfalten. Sie betreffen nicht nur datenschutzrechtliche, sondern auch urheberrechtliche Fragestellungen. Als mögliche Konsequenz wird unter anderem die Löschung ganzer Modelle diskutiert, wie sie etwa im Rahmen der Klage der New York Times gegen OpenAI gefordert wurde. Der Fall verdeutlicht: Sowohl das Datenschutzrecht als auch das Urheberrecht stellen gegenwärtig effektive Hebel zur Regulierung generativer KI dar. Bemerkenswert in diesem Zusammenhang ist ein Fall aus den USA: Die Federal Trade Commission (FTC) verpflichtete WeightWatchers im Jahr 2022 zur Löschung sowohl unrechtmäßig erhobener Daten als auch der darauf basierenden Algorithmen.
Abwägung zwischen Datenrichtigkeit und Grundrechtspositionen
Das in Art. 5 Abs. 1 lit. d DSGVO verankerte Prinzip der Datenrichtigkeit ist im Anwendungsbereich generativer KI gegen andere Grundrechte abzuwägen – etwa gegen die unternehmerische Freiheit und Meinungsäußerungsfreiheit der KI-Anbieter. Eine zentrale Rolle spielt in diesem Kontext das Verhältnis zwischen national verankertem Persönlichkeitsrecht und unionsweit geltendem Datenschutzrecht. Die frühere Rechtsprechung des Bundesverfassungsgerichts – etwa im „Recht auf Vergessen I“ – differenzierte noch zwischen nicht-öffentlicher Datenverarbeitung (Anwendung des Datenschutzrechts) und öffentlichen Meinungsäußerungen (Anwendung des Persönlichkeitsrechts). Diese Trennung gilt auf europäischer Ebene nicht mehr in gleicher Weise: Beide Aspekte sind im Rahmen einer umfassenden Interessenabwägung zu berücksichtigen. Für die Bewertung sogenannter „Halluzinationen“ bedeutet dies: Nicht jede triviale Ungenauigkeit führt zwingend zu einem Berichtigungsanspruch oder gar zur Löschung des zugrunde liegenden Modells. Nur bei substantiellen Verstößen – etwa ehrverletzenden oder reputationsschädigenden Falschinformationen – kann eine Korrektur oder Löschung geboten sein.
Wechselwirkung zwischen AI Act und DSGVO
Die Einhaltung des AI Act kann als Indikator für die datenschutzrechtliche Zulässigkeit einer Verarbeitung im Rahmen eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO herangezogen werden. Allerdings ersetzt der AI Act keine eigenständige datenschutzrechtliche Prüfung. Er analysiert die Rechtmäßigkeit der zugrunde liegenden Datenverarbeitung nicht im Detail. Dementsprechend bleibt Raum für die Feststellung, dass bestimmte Trainingspraktiken – etwa das massenhafte Crawlen personenbezogener Daten ohne angemessene Rechtsgrundlage – gegen die DSGVO verstoßen. Insbesondere kann das berechtigte Interesse der Anbieter in solchen Fällen nicht ohne Weiteres als tragfähig angesehen werden.
