KI und Datenschutz: Regeln des Spiels

Künstliche Intelligenz (KI) hat ihr Netz im Alltag gewebt: Navigationssysteme, Spamfilter, Wettervorhersagen, um nur einige Beispiele zu nennen. Parallel zur Verbesserung der KI-Fähigkeiten werden derzeit immer mehr Daten gesammelt und Informationen über das menschliche Verhalten überwacht. All dies stellt Herausforderungen für den Schutz der Privatsphäre und der Daten dar.

Im Rahmen ihrer Digitalen Agenda plant die Europäische Union, die künstliche Intelligenz zu regulieren, um bessere Bedingungen für die Entwicklung und Nutzung dieser innovativen Technologie zu gewährleisten.

 

Status quo

Gegenwärtig unterliegt der Einsatz von KI in der EU, Vorschriften, die Aspekte wie Datenschutz, Menschenrechte und Sicherheit abdecken.

Die Datenschutz-Grundverordnung (DSGVO) ist eine der wichtigsten Rechtsvorschriften, die für den Einsatz künstlicher Intelligenz in der EU gelten. Die DSGVO, die technologisch agnostisch gestaltet ist, regelt die Erhebung, Verarbeitung und Speicherung personenbezogener Daten, einschließlich derjenigen, die in KI-Systemen verwendet werden. Es legt wichtige Grundsätze wie Einwilligung nach Aufklärung, Datenminimierung, Zweckbindung, Datensicherheit und die Rechte des Einzelnen in Bezug auf seine personenbezogenen Daten fest. Wenn personenbezogene Daten in KI-Systemen verwendet werden, müssen die Grundsätze der DSGVO eingehalten werden.

Neben der DSGVO können weitere branchenspezifische Vorschriften für den Einsatz von KI in bestimmten Bereichen gelten. Beispielsweise legen die Verordnung über Medizinprodukte (MDR) und die Verordnung über In-vitro-Diagnostika (IVDR) Anforderungen an Medizinprodukte fest, die KI verwenden. Diese Vorschriften erfordern angemessene Konformitätsbewertungen und Zertifizierungen, um die Sicherheit und Wirksamkeit dieser Geräte zu gewährleisten.

Darüber hinaus hat die EU-Arbeitsgruppe für ethische KI ihre „Ethikleitlinien für vertrauenswürdige KI“ veröffentlicht, die einen ethischen und vertrauenswürdigen Rahmen für den Einsatz von KI bieten und sich auf Grundsätze wie Transparenz, Rechenschaftspflicht, technische Robustheit, Privatsphäre und algorithmische Governance konzentrieren.

 

Erster Rechtsrahmen für KI

Es ist wichtig zu beachten, dass diese bestehenden Vorschriften zwar auf KI-Anwendungsfälle angewendet werden, jedoch nicht speziell für künstliche Intelligenz konzipiert sind. Am 21. April 2021 legte die Europäische Kommission jedoch den Entwurf einer Verordnung über künstliche Intelligenz vor, mit der sichergestellt werden soll, dass KI-Systeme, die in der EU in Verkehr gebracht werden, sicher sind und mit den bestehenden Rechtsvorschriften über Grundrechte und -werte im Einklang stehen. Nach verschiedenen Antworten auf diesen Vorschlag billigte der Europäische Rat am 6. Dezember 2022 eine Kompromissfassung des KI-Gesetzes. Am 14. Juni 2023 stimmte das Europäische Parlament für die Annahme seiner eigenen Verhandlungsposition zu KI, deren Schlussabstimmung für Ende 2023 geplant ist.

Das KI-Gesetz bietet einen mehrstufigen Regulierungsrahmen, der auf den mit der Nutzung verbundenen Risiken basiert. Das höchste Risiko ist bestimmten KI-Anwendungen vorbehalten, von denen angenommen wird, dass sie ein "inakzeptables Risiko" für die Gesellschaft darstellen, einschließlich Anwendungen wie dem Abrufen von Bildern aus sozialen Medien und anderen Websites zum Aufbau von Gesichtserkennungsdatenbanken, vorausschauender Polizeiarbeit und Emotionserkennung in Regierungs-, Bildungs- und Geschäftskontexten. Diese Verwendungen sind schlicht und einfach verboten.

KI-Anwendungen, die als "hochriskant" gelten, wie Anwendungen in der Luftfahrt, Fahrzeugen, medizinischen Geräten und acht anderen speziell aufgeführten Kategorien, sind zulässig, unterliegen jedoch einer Regulierung, die ihrem Risikoniveau entspricht. Die Betreiber müssen ihre KI-Systeme in einer europäischen Datenbank registrieren und unterliegen unter anderem zahlreichen Anforderungen in Bezug auf Risikomanagement, Transparenz, menschliche Überwachung und Cybersicherheit.

KI-Anwendungen, die als "begrenztes Risiko" eingestuft werden, wie Systeme, die mit Menschen interagieren (wie Chatbots) und KI-Systeme, die Deepfake-Inhalte produzieren können, unterliegen einer begrenzten Anzahl von Transparenzanforderungen. KI-Anwendungen, die nicht in eine der oben genannten Kategorien fallen, gelten als "geringes oder minimales Risiko"

Sobald das KI-Gesetz verabschiedet ist, wird es erhebliche Auswirkungen auf Unternehmen haben, die künstliche Intelligenz in ihrem Geschäft einsetzen. Wie die DSGVO wird sie exterritorial für Anbieter gelten, die KI-Systeme in der Europäischen Union in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der EU oder in einem Drittland niedergelassen sind.

 

Nächste Gesetzgebungsverfahren

Mit der Annahme des KI-Gesetzes durch das Europäische Parlament am 14. Juni 2023 ist das KI-Gesetz in die Phase des „Trilogs“ des EU-Rechtsetzungsverfahrens eingetreten. Der Trilog umfasst informelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Europäischen Rat, um die bestehenden Unterschiede in den von den Organen angenommenen Fassungen des KI-Texts auszugleichen und eine Einigung über den endgültigen Text der Rechtsvorschriften zu erzielen.

Sobald die Vertragsparteien den Rechtstext fertiggestellt haben, wird er in Form einer vorläufigen Einigung dokumentiert und dem Europäischen Parlament und dem Europäischen Rat zur Genehmigung zur gesonderten und förmlichen Annahme vorgelegt. Nach der förmlichen Annahme werden die Rechtsvorschriften zusammen mit den Umsetzungsterminen und anderen wichtigen Informationen veröffentlicht. Der Zeitplan für den Trilog kann je nach Komplexität der Rechtsvorschriften erheblich variieren.

 

Weitere wichtige Initiativen

Zusätzlich zum europäischen Rechtsrahmen für KI hat die Europäische Kommission einen Rahmen für die zivilrechtliche Haftung vorgeschlagen, um die Haftungsvorschriften an das digitale Zeitalter und die KI anzupassen, sowie eine Überarbeitung der sektorspezifischen Sicherheitsvorschriften (z. B. Maschinenverordnung, Richtlinie über die allgemeine Produktsicherheit).

Der Europarat verhandelt derzeit über ein Übereinkommen über KI und Menschenrechte, Demokratie und Rechtsstaatlichkeit, das bis Ende des Jahres geschlossen werden soll. 

Unabhängig davon haben die G7-Staaten in einer Pressemitteilung ihr Engagement für internationale Diskussionen über KI-Governance zum Ausdruck gebracht und die Rolle globaler Organisationen wie der Globalen KI-Partnerschaft (GPAI) und der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) hervorgehoben. Die G7 wird mit der GPAI und der OECD zusammenarbeiten, um den KI-Prozess von Hiroshima in Gang zu bringen und bis Ende des Jahres Gespräche über generative KI zu führen.

Dernière mise à jour