Nachdem China bereits Mitte 2023 das erste Gesetz zur Regelung der künstlichen Intelli- genz verabschiedet hatte, zog die EU in 2024 nach. Die Verordnung trat 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und wird – mit einer Reihe von Ausnahmen 24 Monate nach ihrem Inkrafttreten unein- geschränkt wirksam. Die Ausnahmen betref- fen sogenannte verbotene Praktiken, für die die Regelungen bereits sechs Monate nach In-krafttreten gelten, Verhaltenskodizes, die neun Monate nach Inkrafttreten wirksam werden, allgemeine Regeln für künstliche Intelligenz, einschließlich Governance, (zwölf Monate nach Inkrafttreten), und Verpflichtungen für Hochrisikosysteme, die erst 36 Monate nach Inkrafttreten greifen.
Orientierungshilfe zum Datenschutz
Um Unternehmen und Betroffenen Orientierung zu geben, hat die Konferenz der un- die abhängigen Datenschutzaufsichtsbehörden bereits Anfang Mai eine erste Orientierungs- hilfe „Künstliche Intelligenz und Datenschutz“ veröffentlicht (https://www.datenschutzkon- len Aufsichtsbehörden bestimmen und ausstat-ferenz-online.de/media/oh/20240506_DSK_ Orientierungshilfe_KI_und_Datenschutz.pdf).
Der Schwerpunkt liegt dort auf der Auswahl des richtigen KI-Systems, dessen Prüfung und Dokumentation. Die Anforderungen zur Prüfung und zum Einsatz von KI-Systemen stellen den Hauptteil dieser ersten Version dar, die zukünftig erweitert werden soll. Dies sind erste wichtige Hinweise für Unternehmen und ihre Datenschutzbeauftragten
Risikobasierter Ansatz
Wie bereits in der Datenschutzgrundverordnung wurde beim AIA (AI-Act) besonderes Augenmerk auf die risikoreichen Anwendungsfälle von KI gelegt. Die strengsten Anforderungen gelten demnach für Anwendungen, die ein besonderes Risiko darstellen. Dies sind beispielsweise Anwendungen im Gesundheitswesen, solche, die mit biometrischen Daten arbeiten, wie z.B. für ein Social Scoring (Verhaltensbewertung) oder auch Systeme die im Bereich sogenannter „Kritischer Infrastrukturen“ zum Einsatz kommen und deren Sicherheit gefährden könnten.
Die Mitgliedsstaaten müssen nun die nationalen Aufsichtsbehörden bestimmen und ausstat-ten. Für Deutschland empfehlen sich hier die Datenschutzaufsichtsbehörden, die aufgrund der datenschutzrechtlichen Relevanz ohnehin mit KI-Anwendungen konfrontiert werden. Diese verfügen bereits über die grundsätzlichen Strukturen und sind in der Abstimmung und Beratung mit Unternehmen und Behörden erfahren. Gleichwohl diskutiert die Politik, hier eine neue Behörde innerhalb der Bundesnetzagentur aufzubauen. Die Wirtschaft muss wohl mit beiden Behörden umgehen.
ds² Unternehmensberatung
Falkenstr. 10
33775 Versmold
05423 9599339
Ein Porträt des Unternehmens und weitere Informationen zu ds² Unternehmensberatung finden Sie HIER
Teilen:
