EuG 1. Instanz: Fallen viele pseudonymisierte Daten aus der DS-GVO raus? Was sind die Auswirkungen auf KI-Training?

von Dr. Axel Spies, veröffentlicht am 08.05.2023

Nach der DS-GVO gelten bekanntlich alle Informationen, die eine Person direkt identifizieren können, als personenbezogene Daten (z. B. Vor- und Nachname). Informationen, die Personen mit zusätzlichen Informationen (und angemessenen Anstrengungen) identifizieren könnten, können ebenfalls als personenbezogene Daten gelten. Dies ist der Fall bei pseudonymisierten Daten, wie z. B. kodierten Informationen oder verschlüsselten Daten (Art. 4 Nr. 5 DS-GVO).

Ein neues Urteil des EU-Gerichtshofs 1. Instanz T‑557/20 v. 26.04.23 hat die Diskussion angefacht, wo e die Schwelle zwischen pseudonymen und anonymen Daten nuanciert. Insbesondere wird in dem Urteil klargestellt, dass die Aufsichtsbehörden einen „Test“ durchführen müssen, um zu beurteilen, ob Daten als personenbezogene Daten gelten können oder nicht, was die Möglichkeit eröffnet, dass pseudonymisierte Daten nicht als personenbezogene Daten gelten. Zitat RN 105:

Somit durfte der EDSB, weil er nicht geprüft hat, ob Deloitte das Recht hatte, auf die für die Rückidentifizierung der Verfasser der Stellungnahmen erforderlichen zusätzlichen Informationen zuzugreifen, und ob dieser Zugriff auch praktisch durchführbar war, nicht zu dem Ergebnis gelangen, dass die an Deloitte übermittelten Informationen sich auf eine „identifizierbare natürliche Person“ im Sinne von Art. 3 Nr. 1 der Verordnung 2018/1725 beziehen.“

Folgt man diesem Ansatz können dieselben Daten in verschiedenen Händen sowohl als personenbezogene Daten als auch als nicht personenbezogene Daten gelten, je nach den tatsächlichen und rechtlichen Umständen in dem spezifischen Szenario und der tatsächlichen Fähigkeit der jeweiligen Partei, die betroffene Person zu identifizieren.

Bitte beachten...

  • Dieses Urteil kann noch vor dem EuGH angefochten werden kann (was wahrscheinlich).
  • Das Gericht hat die Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) nur insoweit für nichtig erklärt hat, als sie sich auf die Nichtdurchführung des "Re-Identifizierungstests" bezieht. Es hat sich nicht ausdrücklich zu den genauen Kriterien geäußert, ob und wann Daten anonym sind oder nicht.

Trotzdem: die Diskussion wird weitergehen und könnte auch Auswirkungen auf das Thema haben, ob und wann ein KI-Training unter die DS-GVO fällt. “Verarbeitet“ die KI dann personenbezogene Daten?

Im Blog haben wir das Thema hier andiskutiert.

Was meinen Sie, könnte man ähnlich wie das Gericht argumentieren, dass auch bei KI Training personenbezogene Daten von der generativen KI als „personenbezogen“ genutzt werden, obwohl sie für andere Nutzer personenbezogen sind?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

4 Kommentare

Kommentare als Feed abonnieren

Ich habe zu dem Urteil einen Artikel verfasst, abrufbar unter: https://haerting.de/wissen/eug-zur-personenbeziehbarkeit-pseudonymer-daten/

Auszug:

"Das Urteil enthält keine Ausführungen zu den datenschutzrechtlichen Rollen der beteiligten Akteure. Legt man jedenfalls das Verständnis zugrunde, dass die Übermittlung pseudonymer Daten, wie von Erwägungsgrund 26 S. 5 DSGVO angenommen, von der Anwendbarkeit der DSGVO ausgenommen ist, wenn für den Empfänger eben eine bloß theoretische Möglichkeit der Zusammenführung von Daten und Zusatzwissen besteht und die Daten daher als anonym gelten können, folgt daraus, dass dies unabhängig von der datenschutzrechtlichen Rollenverteilung zu gelten hat. Die bisher vor allem aus Perspektive des Verantwortlichen geführte Diskussion um die Annahme eines relativen oder absoluten Verständnisses des Personenbezuges ist somit auch für „andere[n] Personen“, wie von Erwägungsgrund 26 S. 3 DSGVO in den Blick genommen, relevant – beispielsweise im Verhältnis von Auftragnehmern zu Unterauftragnehmern. Die Bewertung der Personenbeziehbarkeit von Daten aus Perspektive von anderen Akteuren als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO dürfte mit der Entscheidung des EuG an Relevanz gewinnen, da zentraler Kritikpunkt des Gerichts an der Entscheidung des EDSB ist, dass dieser „sich auf die Prüfung einer möglichen Rückidentifizierung der Verfasser der Stellungnahmen aus der Perspektive des SRB (und nicht des Beratungsunternehmens) beschränkt hat“ (EuG, Urteil vom 26.4.2023 – T-557/20, Rn. 103)."

 

... der Befund mag richtig sein, gilt dann aber auch für das KI Training ("bloß theoretische Möglichkeit der Zusammenführung von Daten und Zusatzwissen"). ChatGPT sichtet beim Training Milliarden von öffentlich verfügbaren Datensätzen und für konkrete Datensätze ist statistische Wahrscheinlichkeit gering, dass sie "zusammengeführt" werden. Außerdem setzt der Begriff "Zusammenführung" eine menschliche zielgerichtete Handlung voraus, die beim Machine Learning nicht stattfindet. 

0

Auszug aus dem Kommentar 

 

Herbst in Kühling/Buchner, DS-GVO BDSG
3. Auflage 2020 

Art. 4 Nr. 1 Rn. 14:

"Die Verbindung mit dem Verb „ausführen“ macht deutlich, dass es sich bei einem Vorgang in diesem Sinne um ein Geschehen handeln muss, das auf eine menschliche Handlung zurückgeht. Der Vorgang kann dabei selbst in einer menschlichen Handlung bestehen (diese Möglichkeit liegt etwa nahe bei der Erhebung, Verwendung oder Vernichtung), oder er kann – wie bei einer automatisierten Verarbeitung – ohne weiteres menschliches Zutun ablaufen, nachdem er durch eine menschliche Handlung initiiert worden war."

-- Ist daraus zu schließen dass das "Training" eines neuralen Netzwerks keine Verarbeitung iSd DS-GVO ist?

Kommentar hinzufügen