Der Einsatz von KI bietet Un­ter­neh­men zahl­rei­che Chancen und Mög­lich­kei­ten zur Pro­zess­op­ti­mie­rung sowie zur Ent­wick­lung neuer Ge­schäfts­mo­del­le. Der Einsatz bringt aber auch recht­li­che und ethi­sche An­for­de­run­gen mit sich, ins­be­son­de­re im Bereich des Datenschutzes.

Die „Ver­ord­nung über Künst­li­che In­tel­li­genz (KI-VO)“ wurde am 12.07.2024 of­fi­zi­ell im Amts­blatt der Eu­ro­päi­schen Union (EU) ver­öf­fent­licht und tritt 20 Tage später am 01.08.2024 in Kraft.

Es gelten nach­ste­hen­de Über­gangs­fris­ten:
  •   6 Monate – ab dem 02.02.2025 gelten bereits die Re­ge­lun­gen zu ver­bo­te­nen KI-Sys­­te­­men; dazu besteht eine um­fang­rei­che Schu­lungs­pflicht für Mit­ar­bei­ter, die mit KI-Sys­­te­­men umgehen.
  • 12 Monate – ab dem 02.08.2026 gelten die Re­ge­lun­gen zu KI-Mo­­del­­len für all­ge­mei­ne Zwecke und zu Be­hör­den, Go­ver­nan­ce und Sanktionen.
  • 36 Monate – ab dem 02.08.2027 gelten die Vor­schrif­ten für so­ge­nann­te „in­te­grier­te KI-Systeme mit hohem Risiko“, die als Kom­po­nen­ten in z. B. Geräte, Fahr­zeu­ge oder Ma­schi­nen ein­ge­baut sind (Anhang I).
  • 24 Monate (Grund­re­gel) – ab dem 02.08.2026 gelten alle übrigen Be­stim­mun­gen der KI-Verordnung.
Re­gu­lie­rungs­zie­le der EU

Ein zen­tra­les Element der Re­gu­lie­rungs­zie­le der EU im Bereich der Da­ten­wirt­schaft und der künst­li­chen In­tel­li­genz ist die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung. Der An­wen­dungs­be­reich der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung er­streckt sich auf per­so­nen­be­zo­ge­ne Daten. Anonyme Daten fallen nicht dar­un­ter. Die Iden­ti­fi­zie­rung einer na­tür­li­chen Person kann sich aus einer ein­zel­nen In­for­ma­ti­on selbst ergeben. Eine Be­stimm­bar­keit liegt auch dann vor, wenn die In­for­ma­ti­on (z.B. eine tech­ni­sche Kennung, ein Zitat) in Ver­bin­dung mit anderen über diese Person ver­füg­ba­ren In­for­ma­tio­nen zu­ge­ord­net werden kann.

Eine große Her­aus­for­de­rung für die KI im Kontext der An­ony­mi­sie­rung besteht darin, dass die KI über ein großes „Hin­ter­grund­wis­sen“ verfügt, aus dem sie Schlüs­se ziehen kann, die zur Iden­ti­fi­zier­bar­keit führen. Ein wei­te­res Problem liegt im sog. „Prompt En­gi­nee­ring“, durch das die KI (ins­be­son­de­re bei Frei­text­ein­ga­ben) durch die Nutzung gezielt dazu ver­an­lasst werden könnte, eine ei­gent­lich nicht vor­ge­se­he­ne An­ony­mi­sie­rung vor­zu­neh­men oder den Nut­zen­den die Mög­lich­keit zu geben, zu­sätz­li­ches Hin­ter­grund­wis­sen ein­zu­ge­ben, das zu einer Iden­ti­fi­zier­bar­keit führt.

Grund­sät­ze des Datenschutzes

Die Grund­sät­ze des Da­ten­schut­zes bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sind zu ge­währ­leis­ten (Art. 5 DS-GVO):
Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glauben, Trans­pa­renz, Zweck­bin­dung, Da­ten­mi­ni­mie­rung, Rich­tig­keit, Spei­cher­be­gren­zung sowie In­te­gri­tät und Vertraulichkeit.

Ver­ant­wort­li­che müssen nicht nur si­cher­stel­len, dass sie die Vor­ga­ben der DS-GVO ein­hal­ten, sondern dies auch nach­wei­sen können (Re­chen­schafts­pflicht). Es müssen ge­eig­ne­te tech­­nisch-or­­ga­­ni­­sa­­to­ri­­sche Maß­nah­men um­ge­setzt werden, um die Si­cher­heit und den Schutz per­so­nen­be­zo­ge­ner Daten zu ge­währ­leis­ten. Das gilt auch für die Nutzung von KI-Systemen.

Die Zu­läs­sig­keit der Nutzung von Trai­nings­da­ten steht für viele Un­ter­neh­men im Vor­der­grund. So sollten u.a. interne Richt­li­ni­en und Pro­zes­se zur Über­wa­chung, auch der Ein­hal­tung ur­he­ber­recht­li­cher Vor­ga­ben, eta­bliert werden. Auch die Haftung für KI-ge­­ne­rier­­te Inhalte ist ein wich­ti­ger Aspekt.

Weitere In­for­ma­tio­nen:

English trans­la­ti­on: https://www.adorgasolutions.de/data-protection-regulation-on-artificial-intelligence-ai-act-enters-into-force/

Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbst­ver­ständ­lich gerne zur Ver­fü­gung – per E-Mail consulting@adorgasolutions.de oder te­le­fo­nisch unter 0173 8198864. 

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!