Diskussionspapier des LDSB Hamburg zum Thema personenbezogene Daten und LLMs

Thesen:

1. Die bloße Speicherung eines LLMs stellt keine Verarbeitung im Sinne des Art. 4 Nr. 2
   DSGVO dar. Denn in LLMs werden keine personenbezogenen Daten gespeichert. Soweit in
   einem LLM-gestützten KI-System personenbezogene Daten verarbeitet werden, müssen
   die Verarbeitungsvorgänge den Anforderungen der DSGVO entsprechen. Dies gilt insbesondere für den Output eines solchen KI-Systems.

2. Mangels Speicherung personenbezogener Daten im LLM können die Betroffenenrechte
   der DSGVO nicht das Modell selbst zum Gegenstand haben. Ansprüche auf Auskunft, Löschung oder Berichtigung können sich jedoch zumindest auf Input und Output eines KI-Systems der verantwortlichen Anbieter:in oder Betreiber:in beziehen.
   
3. Das Training von LLMs mit personenbezogenen Daten muss datenschutzkonform erfolgen. Dabei sind auch die Betroffenenrechte zu beachten. Ein ggf. datenschutzwidriges
   Training wirkt sich aber nicht auf die Rechtmäßigkeit des Einsatzes eines solchen Modells
   in einem KI-System aus.

Quelle:

Dokumentvorlage zur einheitlichen Gestaltung (datenschutz-hamburg.de)