Die KI-Verordnung zielt darauf ab, den Einsatz von KI sicherer zu machen und sicherzustellen, dass KI-Systeme möglichst transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.
Ein wichtiger Aspekt ist auch, dass die KI-Systeme von Menschen überwacht werden und nicht von anderen Technologien.
Die KI-Verordnung soll KI-Entwicklern und -Bereitstellern klare Anforderungen und Verpflichtungen in Bezug auf bestimmte Anwendungen von KI liefern. Gleichzeitig zielt die Verordnung darauf ab, den administrativen und finanziellen Aufwand für Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU), zu verringern.
Die Verordnung stuft KI-Anwendungen in verschiedene Risikogruppen ein, um Verbrauch vor risikohaften Anwendungen schützen zu können. So unterliegen Systeme, die als besonders risikoreich gelten und in kritischen Infrastrukturen oder im Bildungs- bzw. Gesundheitswesen eingesetzt werden sollen, strengeren Anforderungen als KI-Anwendungen mit einem geringeren Risiko. KI-Anwendungen, die gegen EU-Werte verstoßen, werden ganz verboten. Dazu gehört beispielsweise die Bewertung von sozialem Verhalten (Social Scoring) oder Gesichtserkennung im öffentlichen Raum – z. B. durch Videoüberwachung an öffentlichen Plätzen. Auch eine Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen ist verboten.
KI-Anwendungen müssen so transparent gekennzeichnet werden, damit Verbraucher leichter erkennen können, bei welchen Programmen Künstliche Intelligenz verwendet wird.
Personen, die Verstöße gegen die Verordnung entdecken, können diese den zuständigen nationalen Behörden melden. Bei Verstößen gegen die KI-Verordnung drohen den Verursachern empfindliche Strafen. So können beim Einsatz von verbotener Technologie Geldbußen bis zu 35 Millionen Euro ausgesprochen werden oder im Falle von Unternehmen bis zu sieben Prozent des weltweiten Jahresumsatzes des vorausgegangenen Geschäftsjahrs.
Die KI-VO regelt allerdings unbeschadet einzelner, sehr eng gefasster Sonderbestimmungen nicht den Umgang mit personenbezogenen Daten, sondern verweist hier auf die in der DSGVO und die durch ePrivacy-Richtlinie (umgesetzt im TDDDG) vorgesehenen Rechte und Pflichten (Art. 2 Abs. 7 KI-VO). Dies bedeutet, sofern personenbezogene Daten im Umgang mit KI-Systemen verarbeitet werden ist die DSGVO parallel anzuwenden.
Dies führt notwendigerweise zu Berührungspunkten, in der Praxis aber auch zu bedeutsamen Synergieeffekten, beispielsweise bei folgenden Regelungen:
- Das Risikomanagement nach KI-VO beinhaltet große Überschneidungen zur Datenschutzfolgenabschätzung nach der DSGVO. Die bereits etablierten und bei KI-Training und KI-Einsatz ggf. durchgeführten Datenschutz-Folgenabschätzungen bieten eine effiziente Umsetzungsmöglichkeit dieses Punkts der KI-VO.
- „KI-Compliance“ kann durch den Aufbau eine KI-Managementsystems realisiert werden. Dazu kann es sich anbieten, ein gerade bei größeren Unternehmen häufig schon bestehendes Datenschutzmanagementsystem „anzureichern“, mit dem Vorteil, dass die interne Aufbau- und Ablauforganisation nur geringfügig angepasst werden muss.
- Die KI-Verordnung sieht den Aufbau von KI-Kompetenz im Unternehmen vor. Die Rolle eines „KI-Beauftragten“ ist in der KI-VO zwar nicht explizit vorgesehen, mittelbar scheint eine solche Rolle aber in zahlreichen Anforderungen der KI-VO gerade bei größeren Unternehmen geradezu vorausgesetzt. Zu den Aufgaben des betrieblichen Datenschutzbeauftragten gehörten bereits jetzt u. a. die Sensibilisierung und Beratung Verantwortlicher. Damit spricht jedenfalls bei Aufgaben, die nicht mit Entscheidungskompetenzen über die die Nutzung von KI verbunden sind, regelmäßig nichts dagegen, dass ein bereits bestellter DSB, der bereits Expertise für das Unternehmen und KI (aus Datenschutzsicht) mitbringt, auch die Rolle eines solchen KI-Beauftragten als zentraler Ansprechpartner und Koordinator für die KI-Nutzung übernimmt.
- Allerdings bleibt gerade bei größeren Unternehmen und ihren komplexeren Bedingungen für den KI-Einsatz zu beachten, dass eine mit sämtlichen rechtlichen, weit über den Datenschutz hinausgehenden Anforderungen zu vereinbarende Einführung von generativen KI-Systemen realistisch nicht von einer Person allein bewältigt werden. Deshalb empfiehlt sich in solchen Fällen, einen kontinuierlichen Dialog zwischen allen Beteiligten über den gesamten Lebenszyklus des Produkts hinweg zu etablieren. Dabei sollten die für die Verarbeitung Verantwortlichen mit allen relevanten Funktionen innerhalb der Organisation zusammenarbeiten. Dies umfasst neben der Fachabteilung den DSB, die Rechts- und die IT-Abteilung sowie den Informationssicherheitsbeauftragten und ggf. Vertreter betrieblicher Mitbestimmung, um insgesamt sicherzustellen, dass das Unternehmen die Vorteile einer vertrauenswürdigen generativen KI rechtskonform und ohne Nachteile für andere Ziele und Verpflichtungen auszuschöpfen vermag.
Die KI-VO bietet im Vergleich zur DSGVO zudem eine wichtige, im Umfeld besonders komplexer und risikoträchtiger Technologien substantielle Fortentwicklung: Hochrisiko-KI-Produkte unterliegen nach der KI-VO einer Konformitätsbewertung durch den Anbieter, bei der diese u.a. bereits sicherstellen müssen, dass beim Einsatz des Hochrisiko-KI-Systems die Anforderungen der DSGVO bei der Verarbeitung personenbezogener Daten eingehalten werden können. Die „Lücke“ in Art. 25 DSGVO beim Stichwort „Privacy by Design“, die bislang Produkthersteller nur „ermutigt“ hat, sich an den Datenschutz zu halten, wird damit zumindest bei bestimmten KI-Produkten mittels der KI-VO geschlossen.1)
Fundstelle:
1) Veröffentlichung „KI & Datenschutz“ des Bayerischen Landesamts für Datenschutz – abrufbar im Internet unter https://www.lda.bayern.de/de/ki.html
