ZRD beim 27. IRI§-Symposion in Salzburg
Vom 14.-17. Februar 2024 findet in Salzburg das 27. Internationale Rechtsinformatik Symposion (IRI§) statt. Leitthema sind dieses Jahr sogenannte Juristische Sprachmodelle/Legal Linguistic Models.
Maximilian Leicht LL.M. und Nils Wiedemann LL.M., wissenschaftlicher Mitarbeiter am ZRD Saar und Doktorand am Lehrstuhl für Rechtsinformatik an der Universität des Saarlandes, werden mit einem Vortrag zum KI-Training nach dem neuen EU-Datenrecht vor Ort sein. Das Training von Machine-Learning-Modellen (ML-Modelle) erfolgt praktisch sehr häufig mit Daten, die einen Personenbezug aufweisen. Die daraus resultierenden Herausforderungen zur Einhaltung der DSGVO werden in der Literatur umfangreich thematisiert. Im Ergebnis ist Training dadurch häufig erschwert und nur bedingt rechtssicher gestaltbar. Dieser Konflikt wird von den teils bereits verabschiedeten, teils noch im Gesetzgebungsprozess befindlichen Rechtsakten des sog. EU-Datenrechts adressiert. Neben der geplanten KI-Verordnung könnten auch die Vorschriften des Data Governance Acts, des Data Acts sowie die Verordnungen für spezifische Datenräume – wie beispielsweise der europäische Raum für Gesundheitsdaten – zukünftig das Training von ML-Modellen maßgeblich beeinflussen. Zum einen soll ein verbesserter Zugang zu Daten geschaffen werden; zum anderen können spezifische Vorschriften für die Entwicklung von KI-Systemen die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO ermöglichen. Der Vortrag zeigt überblicksartig auf, wie sich das Datenrecht zukünftig auf das Training von ML-Modellen auswirken wird.
Außerdem referiert Nils Wiedemann gemeinsam mit Professor Christoph Sorge zur zulässigen Konkretisierung der Anonymisierungsanforderungen aus der DSGVO mittels des § 52 Abs. 3 MsbG. Die Anonymisierung von personenbezogenen Daten ist eines der bestimmenden Themen der datenschutzrechtlichen Forschung. Eine erfolgreiche Anonymisierung verspricht für Verantwortliche aufgrund der Nichtanwendbarkeit der Vorschriften der DSGVO große Vorteile und bietet dabei auch noch einen hohen Schutz für die Betroffenen. Andererseits sind die Anforderungen der DSGVO an eine Anonymisierung selbst bei einer weiten Auslegung des Begriffs denkbar hoch. Ferner enthält die DSGVO keine Regelung oder spezifische Anforderungen an die Anonymisierung, was zu Rechtsunsicherheiten führt. Auch aus technischer Sicht ist das Anonymisieren von personenbezogenen Daten ein komplexes Unterfangen, sofern die Daten anschließend noch für die jeweilige Anwendung brauchbar sein sollen. Zahlreiche Beispiele nur vermeintlich anonymer Daten verdeutlichen, dass eine Re-Identifizierung auch nach der Anwendung eines Anonymisierungsverfahrens teils noch mit einem verhältnismäßigen Aufwand möglich sein kann. Es überrascht daher nicht, dass unterschiedliche Akteure aus Wirtschaft und Forschung eindeutige Regelungen für die Anonymisierung fordern. Dieser Forderung ist der europäische Gesetzgeber bislang allerdings nicht nachgekommen.
Mit § 52 Abs. 3 des Messstellenbetriebsgesetzes (MsbG) hat der deutsche Gesetzgeber nun tatsächlich Anforderungen an eine Anonymisierung festgelegt, konkret für die Verarbeitung von Stromverbrauchsdaten. So soll eine Anonymisierung der Daten von Anschlussnutzern – also beispielsweise der zur Nutzung des Netzanschlusses berechtigte Letztverbraucher – erfolgen können, indem insbesondere eine Aggregation der Daten von mindestens fünf Anschlussnutzern vorgenommen wird. Es lässt sich einfach zeigen, dass in einigen Fällen dennoch Rückschlüsse über individuelles Nutzungsverhalten gezogen werden können. Daher stellt sich die Frage, ob die nationale Regelung überhaupt den Anforderungen der DSGVO genügt oder unionsrechtswidrig ist. Der Vortrag untersucht diese Frage anhand einer interdisziplinären rechtlich-technischen Analyse.
Alle Infos zum Symposion finden Sie hier .