LLM-Anbieterinnen und -nutzerinnen in der Pflicht: Stellungnahme zur Konsultation der BfDI
Prof. Pesch hat am 31. August 2025 eine kurze selektive Stellungnahme zur Konsultation der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Modellen abgegeben. Die Stellungnahme (PDF) betont, dass neben der Problematik des Personenbezugs von LLMs angesichts sog. Halluzinationen und unrichtiger Trainingsdaten das Datenrichtigkeitsgebot verstärkt in den Fokus der datenschutzrechtlichen Debatte um LLMs rücken muss. Daneben weist die Stellungnahme auf die Nutzung von LLMs zur Automatisierung von Entscheidungen und sich daraus ergebende datenschutzrechtliche und KI-regulierungsrechtliche Fragen hin. Die Stellungnahme stellt entscheidend heraus, dass die mit LLMs verbundenen Risiken noch generell unzureichend erforscht sind und eine Risikobewertung konkreter Verarbeitungsvorgänge für das jeweilige LLM unter Berücksichtigung des Vertriebsmodells, der Implementierung, der Anwendungsszenarien und der Nutzerinnengruppen erfolgen muss. Die Stellungnahme verweist auf die Beweislast der Verantwortlichen und fordert, dass Anbieterinnen und Nutzerinnen zur Erfüllung ihrer Rechenschaftspflichten die Risiken von ihnen verantworteter Datenverarbeitungsvorgänge im Zusammenhang mit LLMs substantiiert darlegen. Sie weist in dem Zusammenhang darauf hin, dass Verantwortliche aufgrund berechtigten Interesses und ggfs. im nationalen Recht niedergelegter Forschungsprivilegien LLMs zu reinen Forschungszwecken trainieren und testen können, um Aufsichtsbehörden und Gerichten Datenschutzrisiken und die Realisierbarkeit und Wirksamkeit von Datenschutzmaßnahmen nachvollziehbar darlegen zu können. Sie weist schließlich auf die Möglichkeit der gemeinsamen Verantwortlichkeit von Anbieterinnen und Nutzerinnen LLM-basierter Lösungen hin.