Die KI-Verordnung und die Orientierungshilfe der Datenschutzkonferenz zu KI
Die EU ist Vorreiter und versucht sich an einer Harmonisierung der Gesetzgebung zur KÜNSTLICHEN INTELLIGENZ – Kernstück ist die KI-Verordnung (KI-VO bzw. „AI Act“). Im März nahm sie die letzte Hürde: die Zustimmung des Europaparlaments.
___________________
Von Blog Datenschutz – Unter dem Radar
(Annomyer Autor der Technischen Universität Berlin)
___________________
In Kraft treten wird sie nach bestimmten Fristen beginnend mit der Veröffentlichung, vorausssichtlich noch in dieser Legislaturperiode des EU-Parlaments.
Vor der Verabschiedung im Europaparlament gab es Diskussionen über biometrische Identifizierungsmethoden, die nun (doch) in bestimmten Ausnahmesituationen für die Strafverfolgung erlaubt sind. Außerdem gab es Bestrebungen, allgemeine KI-Systeme wie bspw. Large Language Modelle (LLMs) auszunehmen, um europäische Unternehmen nicht zu benachteiligen – ausgenommen sind nun lediglich kleinere Modelle.
Ziel der Verordnung ist einerseits die Regulierung als risikoreich kategorisierter KI-Systeme und andererseits die Förderung von Innovationen innerhalb der EU.
In der Begründung des Gesetzvorschlages werden vier Ziele genannt:
- KI-Systeme sollen sicher sein und Grundrechte wahren,
- Rechtssichere Förderung von Investitionen in KI und innovativer KI
- Governance, wirksame Durchsetzung des geltenden Rechts sowie die Stärkung der Sicherheitsanforderungen an KI-Systeme
- Erleichterung der Binnenmarktentwicklung für rechtskonforme, sichere und vertrauenswürdige KI-Anwendungen
Einige KI-Anwendungen, die die Rechte der Bürgerinnen und Bürger bedrohen, werden verboten (Art. 5 KI-VO).
Für risikoreiche Systeme, die eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, die Umwelt, Demokratie und den Rechtsstaat darstellen gelten Verpflichtungen (Art. 6, Anhang III, Art. 16-29 KI-VO), u.a. zu Registrierung, Risikobewertung, Nutzungsprotokollierung und Beaufsichtigung durch Menschen.
Bei Verstößen gegen die KI-VO gelten analog zu DSGVO hohe Bußgelder (Art. 99 KI-VO).
Eine europäische Behörde „Amt für Künstliche Intelligenz“ und nationale KI-Aufsichtsbehörden sollen eingerichtet werden, die deutsche Datenschutzkonferenz (DSK) setzt sich dafür ein, dass Datenschutz und KI gemeinsam beaufsichtigt werden – es sollte keine zusätzliche Struktur geschaffen werden, damit die Anbieter nur eine Aufsichtsbehörde als Ansprechpartner haben.
Gut zu wissen:
Die DSGVO wird nicht ausgehebelt:
Sie greift uneingeschränkt für KI-Systeme, die personenbezogene Daten verarbeiten.
Exkurs: Orientierungshilfe der Datenschutzkonferenz zu KI
Der Orientierungshilfe der DSK zu KI ist zu entnehmen, dass KI-Systeme die aus der DSGVO resultierenden Anforderungen erfüllen müssen, u.a. Rechtsgrundlage, Zweckbindung, Datenminimierung sowie Ausschluss automatischer Entscheidungen.
Die praxisnahe Orientierungshilfe gibt Handlungsempfehlungen und Checklisten, die den datenschutzkonformen Einsatz von KI ermöglichen.
Die Orientierungshilfe bezieht sich auf jegliche Anwendung, bei der personenbezogene Daten mit KI verarbeitet werden.
Sie bezieht sich nicht auf die sich künftig aus der KI-VO ergebenden Anforderungen.
Zur KI-Verordnung
KI-Systeme, die vielfältige Nutzungsszenarien haben (sogenannte allgemeine KI), erhalten Auflagen (Art. 51f KI-VO), die allerdings erst ab einer bestimmten Wirkmächtigkeit bzw. Modellgröße greifen (für chatGPT4 vermutlich erfüllt). Anbieter allgemeiner KI müssen zusätzliche Pflichten erfüllen, sofern diese als „mit systemischem Risiko“ verbunden eingeschätzt wird.
Für Medien-manipulierende oder -generierende KI-Anwendungen gilt eine Kennzeichnungspflicht bspw. um Deepfakes erkennen zu können.
Um Innovationen zu fördern, sollen KI-Reallabore ermöglicht werden, die zu Entwicklung und Test von KI genutzt werden können (Art. 57ff KI-VO).
Die KI-Verordnung verfolgt einen risikobasierten Ansatz
Der Kern der KI-VO ist die folgende Klassifizierung.
Anwendungsspezifische KI-Systeme werden in drei Risikokategorien eingeteilt (Art.6 KI-VO).:
- Unannehmbares Risiko: Einige Anwendungen, die eine Bedrohung für Menschen darstellen sind verboten und damit nicht zulässig, z.B.
- Emotionserkennung und unterschwellige Manipulation,
- Diskriminierung vulnerabler Gruppen,
- Social Scoring durch Behörden und
- biometrische Fernidentifizierungssysteme (keine Regel ohne Ausnahme: Sie können für bestimmet Strafverfolgungszwecke zugelassen werden).
- Hochrisiko-KI-Systeme: Sofern diese ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, müssen die Anbieter diese bei einer zentralen Behörde registrieren und umfassend dokumentieren.
Dazu gehören einerseits Produkte, für die spezifische Sicherheitsvorschriften gelten, z.B. Spielzeug, Luftfahrt, Fahrzeuge und medizinische Geräte.
Folgende Anwendungsbereiche werden im Anhang III der KI-VO als hochriskant benannt:
- Biometrische Identifizierung und Kategorisierung natürlicher Personen
- Verwaltung und Betrieb kritischer Infrastrukturen
- Allgemeine und berufliche Bildung (u.a. Zugang und Prüfungen)
- Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit
- Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen (u.a. für öffentliche Unterstützungsleistungen und Kreditwürdigkeitsprüfung)
- Strafverfolgung (u.a. Vorhersage von Straftaten, Profiling, Lügendetektoren, Big Data Kriminalanalyse)
- Migration, Asyl und Grenzkontrolle
- Rechtspflege in Justizbehörden.
- Sonstige KI-Systeme: Für Systeme, die kein hohes Risiko tragen, legt die KI-Verordnung keine weiteren Auflagen fest, angeraten wird den Anbietern die Aufstellung von Verhaltenskodizes (Art 56 KI-VO), die sich an den Anforderungen für Hochrisiko-KI orientieren.
Den Nachweis, warum ein System kein Hochrisiko-KI-System ist, sollte ein Anbieter im eigenen Interesse führen.
Was ist von der KI-VO zu erwarten?
Der risikobasierte Ansatz ist löblich, auch da zu hoffen ist, dass sich der bürokratische Aufwand auf wenige kritische Systeme beschränkt.
Insgesamt ist zu begrüßen, dass mit der KI-VO der Wildwuchs eingedämmt und potentiell „gefährliche“ KI einer Regulierung unterzogen wird. Die Gefahr empfindlicher Bußgelder kann die Anbieter dabei zu rechtskonformem Verhalten motivieren.
Inwieweit die Regelungen praktikabel sind, für die Sicherheit und die Achtung der Grundrechte zu sorgen und ob die Verordnung Innovationen fördern kann, wird die Zukunft zeigen.
Auch welche (zusätzlichen) Dokumentationspflichten sich für den betrieblichen Einsatz ergeben – die KI-VO richtet sich in erster Linie an die Anbieter solcher Systeme.
Klar ist, dass KI künftig eine große Rolle spielen wird und wir ihr bzw. den Anbietern nicht völlig ausgeliefert sein sollten. Die KI-VO ist dabei ein erster Schritt.
Die Texte der Blogbeiträge sind lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz, sofern nicht bei einem Beitrag anders angegeben.
Die Lizenz ersteckt sich nicht auf eventuell enthaltene Bilder, Graphiken und Screenshots, da für diese unter Umständen Urheberrechte Dritter bestehen.