EDSA beleuchtet Anonymisierung und Web-Scraping für generative KI und verabschiedet endgültige Fassung der Leitlinien zur Blockchain
Brüssel, 8. Juli – Auf seiner letzten Plenartagung hat der EDSA Leitlinien zur Anonymisierung und Leitlinien zum Web-Scraping im Zusammenhang mit generativer KI angenommen. Darüber hinaus hat der Vorstand die endgültige Fassung seiner Leitlinien für die Verarbeitung personenbezogener Daten durch Blockchain-Technologien angenommen.
Anonyme Daten verstehen
Mit den neuen Leitlinien des EDSA wird der Begriff der anonymen Daten klarer gefasst, wobei auch das Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-413/23 P EDSB/SRB vom 4. September 2025 und andere Rechtsprechung des EuGH zu berücksichtigen sind.
Die Leitlinien stellen einen wichtigen Meilenstein bei der Klärung des Begriffs der anonymen Daten dar und legen klare Standards fest, die die Nutzung von Daten erleichtern und gleichzeitig die Grundrechte des Einzelnen schützen.
Bei der Ausarbeitung dieser Leitlinien haben wir wertvolle Beiträge aus unserer Veranstaltung mit Interessenträgern einfließen lassen und damit erneut unser starkes Engagement für einen kollaborativen Dialog unter Beweis gestellt, wie es in der Erklärung des EDSA in Helsinki dargelegt ist.
EDSA-Vorsitzender, Anu Talus
Daten sind anonym, wenn sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ob dies der Fall ist, kann von einer Entität zur anderen variieren.
Informationen können sich aufgrund ihres Inhalts, Zwecks oder ihrer Wirkung auf eine Person beziehen. Das Bestehen eines solchen Zusammenhangs ist möglicherweise nicht unmittelbar ersichtlich und könnte eine weitere Analyse erfordern.
Eine Person wird als "identifiziert oder identifizierbar" angesehen, wenn sie in einem bestimmten Kontext von anderen unterschieden werden kann, indem Mittel verwendet werden, die mit hinreichender Wahrscheinlichkeit so verwendet werden, dass sie unterschiedlich behandelt werden können. Ob die Mittel mit hinreichender Wahrscheinlichkeit verwendet werden, hängt von der Perspektive des betreffenden Unternehmens ab und sollte unter Berücksichtigung aller objektiven Faktoren bewertet werden.
Die Leitlinien bieten auch einen praktischen Rahmen für Organisationen, um festzustellen, ob die Anonymisierung erfolgreich ist. Der Rahmen kann auf zwei Arten angewendet werden: entweder durch Bewertung von Unterschieden in den Fähigkeiten zwischen denjenigen, die die Person identifizieren könnten („kontextueller Ansatz“), oder aus Gründen der Einfachheit, indem diese Unterschiede nicht berücksichtigt werden („vereinfachter Ansatz“), wenn sich ein Verantwortlicher dafür entscheidet. Der kontextbezogene Ansatz spiegelt die vollen Nuancen des rechtlichen Standards für die Anonymisierung wider. Der vereinfachte Ansatz kann über den rechtlichen Standard hinausgehen und dazu führen, dass ein für die Anonymisierung Verantwortlicher Daten so behandelt, als wären sie nicht anonym, selbst wenn dies für einige relevante Einrichtungen tatsächlich der Fall wäre, aber dieser Ansatz kann bequemer sein und mehr Vertrauen in die Anonymität von Daten schaffen.
Das Framework verwendet drei Kriterien, um zu testen, ob Daten anonym sind: 1) keine Aufzeichnungsisolation, 2) keine Verknüpfung und 3) keine Schlussfolgerung. Wenn alle drei Kriterien erfüllt sind, können die Daten sicher als anonym betrachtet werden. Wenn eines dieser Kriterien nicht erfüllt ist, sollte eine weitere Analyse durchgeführt werden, um festzustellen, ob die Daten als anonym angesehen werden können.
Die Leitlinien werden bis zum 30. Oktober 2026 Gegenstand einer öffentlichen Konsultation sein und den Interessenträgern Gelegenheit zur Stellungnahme und Rückmeldung geben.
Klärung der Datenschutzauswirkungen von Web Scraping für die KI-Entwicklung
Web Scraping ist ein groß angelegter automatisierter Datenextraktionsprozess, der oft ohne Wissen des Einzelnen funktioniert und erhebliche Risiken für den Schutz seiner personenbezogenen Daten darstellen kann. In seinen Leitlinien zum Web-Scraping im Zusammenhang mit generativer KI* erläutert der Ausschuss verschiedene Aspekte der DSGVO-Konformität von Web-Scraping, einschließlich der Rechtsgrundlage für solche Aktivitäten und der Bedingungen, unter denen in diesem Zusammenhang besondere Kategorien von Daten verarbeitet werden können.
Die DSGVO gilt für Web-Scraping, wenn sie Verarbeitungsvorgänge personenbezogener Daten wie Erhebung, Speicherung, Organisation und Abruf umfasst.
Bei der Verwendung von Web-Scraping ist dem Grundsatz der Zweckbindung und dem Grundsatz der Transparenz besondere Aufmerksamkeit zu widmen. Je nachdem, wie die Datenverarbeitung genau gestaltet ist, muss der Verantwortliche Einzelpersonen jedoch möglicherweise nicht persönlich informieren, wenn sich dies als unmöglich erweist oder übermäßigen Aufwand erfordert.
Der EDSA empfiehlt, Daten nur aus zuverlässigen Quellen abzukratzen, den Zeitstempel aufzuzeichnen und die Daten zu validieren, bevor sie in KI-Schulungen verwendet werden, um die Einhaltung des Genauigkeitsprinzips sicherzustellen. Die Leitlinien enthalten auch Empfehlungen zu Maßnahmen, die der für die Verarbeitung Verantwortliche ergreifen sollte, um dem Grundsatz der Datenminimierung zu entsprechen.
Aufbauend auf der Stellungnahme des EDSA zu KI-Modellen enthalten die Leitlinien weitere Klarstellungen und Beispiele für die Verwendung der Rechtsgrundlage für berechtigte Interessen im spezifischen Kontext des Web-Scrapings für KI-Schulungen.
Schließlich erinnert der EDSA daran, dass die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich verboten ist. Wenn Web Scraping solche Daten beinhaltet, ist sowohl eine Rechtsgrundlage nach Art. 6 DSGVO als auch eine Ausnahme nach Art. 9 Abs. 2 DSGVO erforderlich. Der EDSA schlägt vor, dass das Urteil des Gerichtshofs in der Rechtssache GC & Others (C-136/17) für die zufällige oder verbleibende Erhebung besonderer Kategorien personenbezogener Daten relevant sein könnte, sofern der Verantwortliche im Rahmen seiner Zuständigkeiten, Befugnisse und Fähigkeiten handelt und geeignete technische und organisatorische Maßnahmen umsetzt, um die Erhebung und Verbreitung solcher Daten zu verhindern. Die Kammer betont, dass es keine allgemeine Ausnahme von den Anforderungen des Art. 9 DSGVO gibt und jeder Fall individuell zu prüfen ist, um festzustellen, ob die Argumentation des Gerichtshofs anwendbar ist.
Die Leitlinien werden bis zum 30. Oktober 2026 Gegenstand einer öffentlichen Konsultation sein und den Interessenträgern Gelegenheit zur Stellungnahme und Rückmeldung geben.
Blockchain-Leitlinien nach öffentlicher Konsultation fertiggestellt
Nach einer öffentlichen Konsultation hat der EDSA die endgültige Fassung seiner Leitlinien zu Blockchain-Technologien angenommen. Die Richtlinien helfen Unternehmen, die Blockchain-Technologien einsetzen, die DSGVO einzuhalten. Der EDSA erklärt, wie Blockchains funktionieren, bewertet die verschiedenen möglichen Architekturen und ihre Auswirkungen auf die Verarbeitung personenbezogener Daten.
Im Einklang mit dem Ziel der Helsinki-Erklärung, den Dialog mit den Interessenträgern zu stärken, hat der Ausschuss auch einen Bericht über die Ergebnisse der speziellen öffentlichen Konsultation sowie eine Version der Leitlinien mit nachvollziehbaren Änderungen veröffentlicht.
Hinweis für Redakteure:
*Generative KI ist eine Technologie, die darauf abzielt, neue Inhalte zu erstellen, indem Muster aus vorhandenen Daten gelernt werden. Es verwendet spezialisierte Modelle des maschinellen Lernens, die entwickelt wurden, um eine breite und allgemeine Vielfalt von Ausgaben wie Text, Bild oder Audio zu erzeugen.
Dies ist eine automatisierte Übersetzung, die möglicherweise Fehler enthält. Sie ersetzt nicht die offizielle englische Fassung.