Der Einsatz von KI bietet Unternehmen zahlreiche Chancen und Möglichkeiten zur Prozessoptimierung sowie zur Entwicklung neuer Geschäftsmodelle. Der Einsatz bringt aber auch rechtliche und ethische Anforderungen mit sich, insbesondere im Bereich des Datenschutzes.
Die „Verordnung über Künstliche Intelligenz (KI-VO)“ wurde am 12.07.2024 offiziell im Amtsblatt der Europäischen Union (EU) veröffentlicht und tritt 20 Tage später am 01.08.2024 in Kraft.
Es gelten nachstehende Übergangsfristen:
- 6 Monate – ab dem 02.02.2025 gelten bereits die Regelungen zu verbotenen KI-Systemen; dazu besteht eine umfangreiche Schulungspflicht für Mitarbeiter, die mit KI-Systemen umgehen.
- 12 Monate – ab dem 02.08.2026 gelten die Regelungen zu KI-Modellen für allgemeine Zwecke und zu Behörden, Governance und Sanktionen.
- 36 Monate – ab dem 02.08.2027 gelten die Vorschriften für sogenannte „integrierte KI-Systeme mit hohem Risiko“, die als Komponenten in z. B. Geräte, Fahrzeuge oder Maschinen eingebaut sind (Anhang I).
- 24 Monate (Grundregel) – ab dem 02.08.2026 gelten alle übrigen Bestimmungen der KI-Verordnung.
Regulierungsziele der EU
Ein zentrales Element der Regulierungsziele der EU im Bereich der Datenwirtschaft und der künstlichen Intelligenz ist die Datenschutz-Grundverordnung. Der Anwendungsbereich der Datenschutz-Grundverordnung erstreckt sich auf personenbezogene Daten. Anonyme Daten fallen nicht darunter. Die Identifizierung einer natürlichen Person kann sich aus einer einzelnen Information selbst ergeben. Eine Bestimmbarkeit liegt auch dann vor, wenn die Information (z.B. eine technische Kennung, ein Zitat) in Verbindung mit anderen über diese Person verfügbaren Informationen zugeordnet werden kann.
Eine große Herausforderung für die KI im Kontext der Anonymisierung besteht darin, dass die KI über ein großes „Hintergrundwissen“ verfügt, aus dem sie Schlüsse ziehen kann, die zur Identifizierbarkeit führen. Ein weiteres Problem liegt im sog. „Prompt Engineering“, durch das die KI (insbesondere bei Freitexteingaben) durch die Nutzung gezielt dazu veranlasst werden könnte, eine eigentlich nicht vorgesehene Anonymisierung vorzunehmen oder den Nutzenden die Möglichkeit zu geben, zusätzliches Hintergrundwissen einzugeben, das zu einer Identifizierbarkeit führt.
Grundsätze des Datenschutzes
Die Grundsätze des Datenschutzes bei der Verarbeitung personenbezogener Daten sind zu gewährleisten (Art. 5 DS-GVO):
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Verantwortliche müssen nicht nur sicherstellen, dass sie die Vorgaben der DS-GVO einhalten, sondern dies auch nachweisen können (Rechenschaftspflicht). Es müssen geeignete technisch-organisatorische Maßnahmen umgesetzt werden, um die Sicherheit und den Schutz personenbezogener Daten zu gewährleisten. Das gilt auch für die Nutzung von KI-Systemen.
Die Zulässigkeit der Nutzung von Trainingsdaten steht für viele Unternehmen im Vordergrund. So sollten u.a. interne Richtlinien und Prozesse zur Überwachung, auch der Einhaltung urheberrechtlicher Vorgaben, etabliert werden. Auch die Haftung für KI-generierte Inhalte ist ein wichtiger Aspekt.
Weitere Informationen:
- Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates – Verordnung über künstliche Intelligenz: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202401689
- Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) – Flyer: https://www.lda.bayern.de/media/ki_flyer.pdf
English translation: https://www.adorgasolutions.de/data-protection-regulation-on-artificial-intelligence-ai-act-enters-into-force/
Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbstverständlich gerne zur Verfügung – per E-Mail consulting@adorgasolutions.de oder telefonisch unter 0173 8198864.