Bild Künstliche Intelligenz

Bild (c) pixabay

KI in der Musikindustrie – Teil 18 – Deep Fakes und Datenschutz

Wir haben im Teil 17 gesehen, dass Stimmen-Clone wie der „Fake Drake“ urheberrechtliche Probleme verursachen, wobei die Rechtslage in den USA und in der EU unterschiedlich zu bewerten ist. Deep Fakes gehen aber weit über das Urheberrecht hinaus und können die persönliche Sphäre eines Menschen und somit seine allgemeinen Persönlichkeitsrechte betreffen. In welcher Weise dies geschehen kann und welche Rolle dabei der Datenschutz und die Datenschutzgrundverordnung der EU spielen, wird in diesem Teil der Serie zu „KI in der Musikindustrie“ erörtert.

Die Persönlichkeitsrechte sind in vielen Ländern verfassungsrechtlich geschützt. Ein gutes Beispiel dafür ist die Bundesrepublik Deutschland, deren Grundgesetz den Schutz der Würde (Art. 1 Abs. 1 GG) und die freie Entfaltung eines jeden Menschen (Art. 2 Abs. Abs. 1 GG) garantiert.1 Eine Persönlichkeit ist damit in allen ihren Ausprägungen wie ihr Lebensbild, ihre Ehre, ihre Privatsphäre, ihr Bildnis, ihr nicht öffentlich gesprochenes und geschriebenes Wort und sogar ihre Stimme durch das Grundgesetz geschützt.2 Auf dieser Basis könnte gegen die missbräuchliche Verwendung der Stimme in einem Deep Fake juristisch vorgegangen werden.

Auch in Österreich ist die menschliche Stimme persönlichkeitsrechtlich geschützt, wie ein Urteil des Obersten Gerichtshofes (OGH) aus dem März 2003 belegt. Anlassfall war die Klage dreier Darsteller eine beliebten Kabarett-TV-Serie gegen die Freiheitliche Partei Österreichs (FPÖ), die in einem Werbespot der Partei, die in österreichischen Privatradios gesendet wurde, die Stimmen der drei KabarettistInnen in einer Art und Weise nachahmen ließ, dass der Eindruck entstehen musste, sie hätten den Werbespot aktiv mitgestaltet. Der OGH kam in seinem Urteil zum Schluss, dass durch die Stimm-Imitation das Persönlichkeitsrecht der SchauspielerInnen verletzt worden wäre und führte dazu aus: „Wie das Bild dient auch die Stimme einer Person der Identifikation. Die unbefugte Verwendung der Stimme im Zusammenhang mit der Verletzung schutzwürdiger Interessen der dadurch identifizierten Person verwirklicht einen Verstoß gegen ein durch § 16 ABGB geschütztes Persönlichkeitsrecht und gegen Art 10 MRK.“3 Die beklagte Partei musste wegen Verletzung der Persönlichkeitsrechte der drei klagenden KabarettistInnen diesen jeweils mehr als EUR 5.800 an Schadenersatz leisten und wurde auf Unterlassung, Widerruf und Urteilsveröffentlichung verurteilt.4

Die beiden Beispiel aus Deutschland und Österreich zeigen, dass die menschliche Stimme durch die bestehenden Gesetze als Persönlichkeitsrecht geschützt ist und die missbräuchliche Verwendung durch Dritte juristisch erfolgreich bekämpft werden kann. Ein weiterer Ansatzpunkt wäre die Datenschutz-Grundverordnung (DS-GVO) der EU.5 Wenn personenbezogene Daten ganz oder teilweise automatisiert, aber auch nicht automatisiert verarbeitet und in einem Dateisystem gespeichert werden (Art. 2 Nr. 1), bedarf es einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Das kann ein Vertrag, die ausdrückliche Einwilligung oder eine gesetzliche Regelung sein (Art. 4 Nr.11). Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DS-GVO). Darüber hinaus darf die Datenverarbeitung nur für einen definierten, rechtmäßigen Zweck sein und es dürfen nur jene Daten verarbeitet werden, die diesem Zweck dienen (Art. 5 Nr. 1 DS-GVO). Umsetzen müssen die Anforderungen alle Unternehmen, die in der EU tätig sind und Daten von Personen verarbeiten. Sie müssen allerdings nicht ihren Firmensitz in der EU haben. Es reicht aus, wenn sie Daten von EU-BürgerInnen verarbeiten (Art. 3 Nr. 1 DS-GVO).

Sollte also ein Stimmen-Deep-Fake einer EU-BürgerIn erstellt werden, dann könnte die DS-GVO zum Tragen kommen. Stimmen im Digitalformat sind zweifellos als personenbezogene Daten im Sinne der EU-Richtlinie zu verstehen und das Trainieren einer KI mit riesigen Datensätzen fällt ohnehin in den Geltungsbereich der DS-GVO. Wenn eine KünstlerIn nicht ausdrücklich der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat, was bei einem Deep Fake wohl nicht anzunehmen ist, könnte sie/er erfolgreich der Datenverarbeitung widersprechen (Art. 21 DS-GVO), die Löschung verarbeiteter Daten fordern (Art.17 DS-GVO) oder deren Verwendung einschränken (Art. 18 DS-GVO). Darüber hinaus hätte die KünstlerIn gegenüber dem Verantwortlichen oder Auftragsverarbeiter einen Anspruch auf Schadenersatz (Art. 81 Nr. 1 DS-GVO). Der Verantwortliche gilt als „Herr der Daten“ und ist jenes Unternehmen, das das KI-Programm einsetzt (Art. 24 Abs. 1 DS-GVO), um beispielsweise Musikstücke zu erstellen. Sollte ein anderes Unternehmen mit der Datenverarbeitung, z.B. dem Training der KI, beauftragt werden, so handelt es sich um einen Auftragsverarbeiter (Art. 28 DS-GVO), der gleichermaßen wie der Verantwortliche haftet. Interessanterweise wird der Hersteller der KI nicht grundsätzlich in die Pflicht genommen, weil die EU die technologische Entwicklung mit ihrer Richtlinie nicht behindern wollte.

Aber genau das ist die Kehrseite der Medaille. Die DS-GVO bietet, wie wir gesehen haben, Schutz vor Deep Fakes, schießt aber bei KI-Anwendungen über das Ziel hinaus. Ein besonderes Problem stellt der Grundsatz der Datenminimierung dar, wonach die Datenverarbeitung auf ein notwendiges Maß beschränkt werden soll (Art. 5 Abs. 1 lit. c). Das ist beim Deep Learning mit riesigen Datensätzen von vorneherein gar nicht möglich, wie auch Tina Gausling in ihrem Artikel „KI und DS-GVO im Spannungsverhältnis“ hinweist: „Die Qualität der KI-Generierung hängt nach derzeitigem Stand wesentlich vom Umfang der verfügbaren Trainingsdaten ab. Zudem ist zu Beginn der Entwicklungsphase nicht immer klar, zu welchen anderen als den ursprünglich intendierten Zwecken die KI möglicherweise in Zukunft genutzt werden kann. Damit steht die KI-Entwicklung in diametralem Gegensatz zu den Kernprinzipien der DS-GVO, u.a. der Datenminimierung und Zweckbindung.“6

Ins gleiche Horn stößt der Ko-Vorsitzende des Artificial Intelligence Councils beim Weltwirtschaftsforum und Buchautor zum Thema künstliche Intelligenz, Kai-Fu Lee, der die Ziele der DS-GVO der EU – Transparenz, Rechenschaftspflichtigkeit und Vertraulichkeit – als höchst nobel erachtet, aber hinsichtlich der vielfältigen Einsatzmöglichkeiten von KI als kontraproduktiv sieht, weil der einzelne Nutzungszweck der durch die KI gesammelten Daten sich nur schwer eingrenzen lässt und zu Beginn der Datenerhebung sämtliche Nutzungszwecke gar nicht bekannt sein können. Würde man einer KI das Sammeln und Verarbeiten jeglicher personenbezogener Daten verbieten, wäre sie rasch unbrauchbar.7

Es gibt daher keinen spezifischen Rechtsrahmen, der einerseits die datenschutzrechtlichen Erfordernisse erfüllt und andererseits die technologische Entwicklung von künstlicher Intelligenz in einer solchen Weise behindert, dass die EU hinten den USA, China oder Südkorea zurückfällt.

Peter Tschmuck

Dieser Artikel erschien erstmal am 13. Mai 2024 auf der Seite https://musikwirtschaftsforschung.wordpress.com/2024/05/13/ki-in-der-musikindustrie-teil-18-deep-fakes-und-datenschutz/#more-5385

Teil 1: Was ist künstliche Intelligenz?
Teil 2: Wie funktioniert künstliche Intelligenz?
Teil 3: Der Aufstieg von Musikerkennungsdiensten
Teil 4: KI in der Musikerkennung und Musikempfehlung
Teil 5: Die Musikempfehlung im Musikstreaming
Teil 6: Fake-Streams und Streamingfarmen
Teil 7: KI in der Musikproduktion
Teil 8: Maschinen schaffen Musik
Teil 9: Die Vollendung des Unvollendeten
Teil 10: François Pachet: The Continuator, Flow Machines und „Daddy’s Car“
Teil 11: OpenAI und die GPT-Technologie
Teil 12: Googles Magenta Studios und das WaveNet
Teil 13: Text-zu-Musik-Generatoren
Teil 14: KI und das Urheberrecht
Teil 15: Die KI als Urheberin?
Teil 16: Ein Leistungsschutzrecht für KI-Output?
Teil 17: „Fake Drake“ und das Problem von Deep Fakes

Peter Tschmuck ist Professor am Institut für Popularmusik

Endnoten

  1. Bundesrepublik Deutschland, Grundgesetz der Bundesrepublik Deutschland vom 23. Mai 1949. ↩︎
  2. Siehe dazu Alexander Peukert, 2023, Urheberrecht und verwandte Schutzrechte. Ein Studienbuch, 19. Auflage, München: Verlag C.H. Beck, S. 107-108. ↩︎
  3. Oberster Gerichtshof (OGH) der Republik Österreich, Urteil vom 20. März 2003, Geschäftszahl 6Ob287/02b. ↩︎
  4. Ibid., S. 1. ↩︎
  5. Der volle Titel lautet: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). ↩︎
  6. Tina Gausling, 2020, „KI und DS-GVO im Spannungsverhältnis“, in: Johannes Graf Ballestrem et al. (Hg.), Künstliche Intelligenz, Rechtsgrundlagen und Strategien in der Praxis, Wiesbaden: Springer VS, S. 11. ↩︎
  7. Kai-Fu Lee und Qiufan Chen, 2023, KI 2041. Zehn Zukunftsvisionen, Frankfurt und New York: Campus Verlag, S. 539.540. ↩︎