| Datenschutz

Auf den Menschen ausgerichtete und vertrauenswürdige Künstliche Intelligenz: Der Regulierungsrahmen steht

Heute, am 1. August 2024, tritt die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz in Kraft. Damit findet ein umfangreiches und langwieriges Gesetzgebungsvorhaben seinen Abschluss. Hersteller, Anbieter, Betreiber und Händler von KI-Systemen haben nun einen Orientierungsrahmen, der die Anforderungen an KI-Systeme in den einzelnen Phasen der Wertschöpfungskette klarstellt.

„Das Verhältnis von Künstlicher Intelligenz zum Datenschutz ist ein Schwerpunkt meiner Behörde. Schon 2019 haben wir in unserer Hambacher Erklärung als deutsche Datenschutzaufsichtsbehörden eine humanistische und damit grundrechtsschützende Ausrichtung von KI als Standard gefordert. Ich freue mich sehr, dass dieser Anspruch sich nun im europäischen Regulierungsrahmen wiederfindet. Die KI-Verordnung stellt sicher, dass die Entwicklung und Verwendung von KI-Systemen einen menschenzentrierten, vertrauenswürdigen und damit wertebasierten Ansatz verfolgt. In der EU soll die KI den Menschen dienen und nicht umgekehrt“, erklärt Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

In den zahlreichen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, bleiben das Datenschutzrecht und der damit gesicherte Grundrechtsschutz von der KI-Verordnung unberührt. Dabei sind die Synergien offenkundig: Viele Mechanismen, die zu einer transparenten und vertrauenswürdigen KI beitragen, sind bereits aus der Datenschutz-Grundverordnung und der Richtlinie für Polizei und Justiz bekannt. Wer über ein gutes Datenschutzmanagement verfügt, kann dieses für die Umsetzung der Anforderungen der KI-Verordnung nutzbar machen. Durch Transparenz- und Dokumentationsvorgaben wird Vertrauen in die Systeme geschaffen, zudem haben die betroffenen Personen ein Recht auf Erläuterung der Entscheidungsfindung, das zu den Betroffenenrechten der DS-GVO hinzutritt. Auch wenn die Risiko-Klassifizierung der KI-Verordnung einem strikteren Konzept folgt als in der Datenschutz-Grundverordnung, können die Instrumente, mit denen Risiken gemanagt werden, sinnvoll ineinandergreifen: Risikomanagementsysteme nach Art. 9 KI-VO könnten etwa mit dem Datenschutzmanagement kombiniert werden, die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme öffentlicher Stellen nach Art. 27 KI-VO lässt sich gegebenenfalls mit der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verbinden.

Synergien zwischen den Anforderungen der KI-Verordnung und der Datenschutz-Grundverordnung hat der Verordnungsgeber auch erkannt, als er den Datenschutzaufsichtsbehörden die Funktion der Marküberwachung über die Hochrisiko-Systeme im Bereich der Strafverfolgung, Justiz, Migration und Wahlen zuwies. Erklärtes Ziel des Verordnungsgebers ist dabei die Sicherstellung einer einheitlichen Aufsicht. Letzteres sollte auch der deutsche Gesetzgeber anstreben, der in den kommenden Monaten die nationale Aufsichtsstruktur der KI-Verordnung regeln muss. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat ihre Bereitschaft zur Übernahme der nationalen Aufsicht über die KI-Verordnung bereits erklärt und entsprechende personelle Ausstattung eingefordert.

Mit dem Inkrafttreten der KI-Verordnung laufen verschiedene mit ihr verbundene Umsetzungsfristen an. Schon zum 2. Februar 2025 werden bestimmte hochriskante Praktiken der künstlichen Intelligenz verboten sein. Hierzu zählt das Verbot biometrischer Echtzeit-Fernüberwachung sowie das Verbot von Social Scoring. Zum 2. August 2025 müssen die nationalen Aufsichtsbehörden für die KI-Verordnung benannt sein. Weitere Regelungen treten gestaffelt in Kraft, spätestens zum 2. August 2026 entfaltet die KI-Verordnung vollumfänglich Wirksamkeit.

Weitere Informationen:
Positionspapier der Datenschutzkonferenz "Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)"

#Themen

Datenschutz
Zurück