Die KI-Verordnung und die Orientierungshilfe der Datenschutzkonferenz zu KI

Die EU ist Vorreiter und versucht sich an einer Harmonisierung der Gesetzgebung zur KÜNSTLICHEN INTELLIGENZ – Kernstück ist die KI-Verordnung („KI-VO“ bzw. „AI Act“). Im März nahm diese die letzte Hürde: die Zustimmung des EU-Parlaments.

Vor der Verabschiedung im Europaparlament gab es Diskussionen über biometrische Identifizierungsmethoden, die nun (doch) in bestimmten Ausnahmesituationen für die Strafverfolgung erlaubt sind. Außerdem gab es Bestrebungen, allgemeine KI-Systeme wie bspw. Large Language Modelle (LLMs) auszunehmen, um europäische Unternehmen nicht zu benachteiligen – ausgenommen sind nun lediglich „kleinere Modelle“.

Ziel der Verordnung ist einerseits die Regulierung von als risikoreich kategorisierten KI-Systemen und andererseits die Förderung von Innovationen innerhalb der EU.

In der Begründung des Gesetzvorschlages werden vier Ziele genannt:

  • KI-Systeme sollen sicher sein und Grundrechte wahren,
  • Rechtssichere Förderung von Investitionen in KI und innovativer KI
  • Governance, wirksame Durchsetzung des geltenden Rechts sowie die Stärkung der Sicherheitsanforderungen an KI-Systeme
  • Erleichterung der Binnenmarktentwicklung für rechtskonforme, sichere und vertrauenswürdige KI-Anwendungen

Einige KI-Anwendungen, die die Rechte der Bürgerinnen und Bürger bedrohen, werden verboten (Art. 5 KI-VO).

Für risikoreiche Systeme, die eine erhebliche Gefahr für Gesundheit, Sicherheit, Grundrechte, die Umwelt, Demokratie oder den Rechtsstaat darstellen, gelten Verpflichtungen (Art. 6, Anhang III, Art. 16-29 KI-VO) – u.a. zu Registrierung, Risikobewertung, Nutzungsprotokollierung und Beaufsichtigung durch Menschen.

Bei Verstößen gegen die KI-VO gelten analog zur DSGVO hohe Bußgelder (Art. 99 KI-VO).

Eine europäische Behörde „Amt für Künstliche Intelligenz“ und nationale KI-Aufsichtsbehörden sollen eingerichtet werden.

Die deutsche Datenschutzkonferenz (DSK) setzt sich dafür ein, dass Datenschutz und KI gemeinsam beaufsichtigt werden – es sollte keine zusätzliche Struktur geschaffen werden, damit die Anbieter nur eine Aufsichtsbehörde als Ansprechpartner haben.
Nachtrag (Oktober 2024): Die Bundesregierung plant jedoch, dass die Bundesnetzagentur die Aufsicht übernehmen soll, so dass die Aufsicht (mindestens) zweigeteilt sein wird.

Gut zu wissen:

Die DSGVO wird nicht ausgehebelt:
Sie greift uneingeschränkt für KI-Systeme, die personenbezogene Daten verarbeiten.

Exkurs: Orientierungshilfe der Datenschutzkonferenz zu KI

Der Orientierungshilfe der DSK zu KI ist zu entnehmen, dass KI-Systeme die aus der DSGVO resultierenden Anforderungen erfüllen müssen, u.a. Rechtsgrundlage, Zweckbindung, Datenminimierung sowie Ausschluss automatischer Entscheidungen.

Die praxisnahe Orientierungshilfe gibt Handlungsempfehlungen und Checklisten, die den datenschutzkonformen Einsatz von KI ermöglichen.

Die Orientierungshilfe bezieht sich auf jegliche Anwendung, bei der personenbezogene Daten mit KI verarbeitet werden.

Sie bezieht sich jedoch nicht auf die aus der KI-VO ergebenden Anforderungen.

Zur KI-Verordnung

KI-Systeme, die vielfältige Nutzungsszenarien haben (sogenannte allgemeine KI), erhalten Auflagen (Art. 51f KI-VO), die allerdings erst ab einer bestimmten Wirkmächtigkeit bzw. Modellgröße greifen (für chatGPT4 vermutlich erfüllt). Anbieter allgemeiner KI müssen zusätzliche Pflichten erfüllen, sofern diese als „mit systemischem Risiko“ verbunden eingeschätzt wird.

Für Medien-manipulierende oder -generierende KI-Anwendungen gilt eine Kennzeichnungspflicht bspw. um Deepfakes erkennen zu können.

Um Innovationen zu fördern, sollen KI-Reallabore ermöglicht werden, die zu Entwicklung und Test von KI genutzt werden können (Art. 57ff KI-VO).

Die KI-Verordnung verfolgt einen risikobasierten Ansatz

Der Kern der KI-VO ist die folgende Klassifizierung.

Anwendungsspezifische KI-Systeme werden in drei Risikokategorien eingeteilt (Art.6 KI-VO).:

  • Unannehmbares Risiko: Einige Anwendungen, die eine Bedrohung für Menschen darstellen sind verboten und damit nicht zulässig, z.B.
    • Emotionserkennung und unterschwellige Manipulation,
    • Diskriminierung vulnerabler Gruppen,
    • Social Scoring durch Behörden und
    • biometrische Fernidentifizierungssysteme (keine Regel ohne Ausnahme: Sie können für bestimmet Strafverfolgungszwecke zugelassen werden).
  • Hochrisiko-KI-Systeme: Sofern diese ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, müssen die Anbieter diese bei einer zentralen Behörde registrieren und umfassend dokumentieren.
    Dazu gehören einerseits Produkte, für die spezifische Sicherheitsvorschriften gelten, z.B. Spielzeug, Luftfahrt, Fahrzeuge und medizinische Geräte.
    Folgende Anwendungsbereiche werden im Anhang III der KI-VO als hochriskant benannt:
  1. Biometrische Identifizierung und Kategorisierung natürlicher Personen
  2. Verwaltung und Betrieb kritischer Infrastrukturen
  3. Allgemeine und berufliche Bildung (u.a. Zugang und Prüfungen)
  4. Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit
  5. Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen (u.a. für öffentliche Unterstützungsleistungen und Kreditwürdigkeitsprüfung)
  6. Strafverfolgung (u.a. Vorhersage von Straftaten, Profiling, Lügendetektoren, Big Data Kriminalanalyse)
  7. Migration, Asyl und Grenzkontrolle
  8. Rechtspflege in Justizbehörden.
  • Sonstige KI-Systeme: Für Systeme, die kein hohes Risiko tragen, legt die KI-Verordnung keine weiteren Auflagen fest, angeraten wird den Anbietern die Aufstellung von Verhaltenskodizes (Art 56 KI-VO), die sich an den Anforderungen für Hochrisiko-KI orientieren.
    Den Nachweis, warum ein System kein Hochrisiko-KI-System ist, sollte ein Anbieter im eigenen Interesse führen.

Was ist von der KI-VO zu erwarten?

Der risikobasierte Ansatz ist löblich, auch da zu hoffen ist, dass sich der bürokratische Aufwand auf wenige kritische Systeme beschränkt.

Insgesamt ist zu begrüßen, dass mit der KI-VO der Wildwuchs eingedämmt und potentiell „gefährliche“ KI einer Regulierung unterzogen wird. Die Gefahr empfindlicher Bußgelder kann die Anbieter dabei zu rechtskonformem Verhalten motivieren.

Inwieweit die Regelungen praktikabel sind, für die Sicherheit und die Achtung der Grundrechte zu sorgen und ob die Verordnung Innovationen fördern kann, wird die Zukunft zeigen.

Auch welche (zusätzlichen) Dokumentationspflichten sich für den betrieblichen Einsatz ergeben – die KI-VO richtet sich in erster Linie an die Anbieter solcher Systeme.

Klar ist, dass KI künftig eine große Rolle spielen wird und wir ihr bzw. den Anbietern nicht völlig ausgeliefert sein sollten. Die KI-VO ist dabei ein erster Schritt.

Weitere Informationen

Nachtrag (Oktober 2024)

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert