Nachdem China bereits Mitte 2023 das erste Gesetz zur Regelung der künstlichen Intelligenz verabschiedet hatte, zieht die EU damit nach. Die Verordnung wird 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und wird – mit einigen Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt wirksam. Die Ausnahmen betreffen sogenannte verbotene Praktiken, für die die Regelungen bereits sechs Monate nach Inkrafttreten gelten, Verhaltenskodizes, die neun Monate nach Inkrafttreten wirksam werden, allgemeine Regeln für künstliche Intelligenz, einschließlich Governance, (zwölf Monate nach Inkrafttreten), und Verpflichtungen für Hochrisikosysteme, die erst 36 Monate nach Inkrafttreten greifen.
Orientierungshilfe
zum Datenschutz
Um Unternehmen und Betroffenen Orientierung zu geben, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden bereits Anfang Mai eine erste Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ veröffentlicht (https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf). Der Schwerpunkt liegt dort auf der Auswahl des richtigen KI-Systems, dessen Prüfung und Dokumentation. Die Anforderungen zur Prüfung und zum Einsatz von KI-Systemen stellen den Hauptteil dieser ersten Version dar, die zukünftig erweitert werden soll. Dies sind erste, wichtige Hinweise für Unternehmen und ihre Datenschutzbeauftragten.
Risikobasierter Ansatz
Wie bereits in der Datenschutzgrundverordnung wurde beim AIA (AI-Act) besonderes Augenmerk auf die risikoreichen Anwendungsfälle von KI gelegt. Die strengsten Anforderungen gelten demnach für Anwendungen, die ein besonderes Risiko darstellen. Dies sind beispielsweise Anwendungen im Gesundheitswesen, solche, die mit biometrischen Daten arbeiten, wie z.B. für ein Social Scoring (Verhaltensbewertung) oder auch Systeme, die im Bereich sogenannter „Kritischer Infrastrukturen“ zum Einsatz kommen und deren Sicherheit gefährden könnten.
Die Mitgliedsstaaten müssen nun die nationalen Aufsichtsbehörden bestimmen und ausstatten. Für Deutschland empfehlen sich hier die Datenschutzaufsichtsbehörden, die aufgrund der datenschutzrechtlichen Relevanz ohnehin mit KI-Anwendungen konfrontiert werden. Diese verfügen bereits über die grundsätzlichen Strukturen und sind in der Abstimmung und Beratung mit Unternehmen und Behörden erfahren.
Gleichwohl beginnt jetzt die eigentliche Arbeit der Auslegung und Interpretation, denn die Verordnung ist in vielen Bereichen hinreichend weit gefasst, um technologieoffen zu bleiben.
Teilen:
Fotostrecke
Thomas Spaeing Geschäftsführer ds2 und Präsident BvD/EFDPO (© Jan Duefelsiek – duefelsiek.com)
