EU-KI-Verordnung: Auf den Menschen ausgerichtete und vertrauenswürdige Künstliche Intelligenz als Ziel

Der LfDI RLP kommentiert die am 1. August 2024 in Kraft getretene Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für KI

[datensicherheit.de, 02.08.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ging in seiner Stellungnahme vom 1. August 2024 auf die an diesem Tag in Kraft getretene Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI) ein: „Damit findet ein umfangreiches und langwieriges Gesetzgebungsvorhaben seinen Abschluss. Hersteller, Anbieter, Betreiber und Händler von KI-Systemen haben nun einen Orientierungsrahmen, der die Anforderungen an KI-Systeme in den einzelnen Phasen der Wertschöpfungskette klarstellt.“

Verhältnis von KI zum Datenschutz ein Schwerpunkt der LfDI-Behörde

Das Verhältnis von KI zum Datenschutz sei ein Schwerpunkt seiner Behörde, so Prof. Dr. Dieter Kugelmann, der LfDI. Er führt hierzu aus: „Schon 2019 haben wir in unserer ,Hambacher Erklärung’ als deutsche Datenschutzaufsichtsbehörden eine humanistische und damit grundrechtsschützende Ausrichtung von KI als Standard gefordert. Ich freue mich sehr, dass dieser Anspruch sich nun im europäischen Regulierungsrahmen wiederfindet.“ Die KI-Verordnung stelle nun sicher, „dass die Entwicklung und Verwendung von KI-Systemen einen menschenzentrierten, vertrauenswürdigen und damit wertebasierten Ansatz verfolgt“. In der EU solle die KI den Menschen dienen und nicht umgekehrt.

In den zahlreichen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, blieben das Datenschutzrecht und der damit gesicherte Grundrechtsschutz von der KI-Verordnung unberührt. Dabei seien die Synergien offenkundig: „Viele Mechanismen, die zu einer transparenten und vertrauenswürdigen KI beitragen, sind bereits aus der Datenschutz-Grundverordnung und der Richtlinie für Polizei und Justiz bekannt.“ Wer über ein gutes Datenschutzmanagement verfügt, könne dieses für die Umsetzung der Anforderungen der KI-Verordnung nutzbar machen.

Risikomanagementsysteme nach Art. 9 KI-VO könnten mit Datenschutzmanagement kombiniert werden…

Mittels Transparenz- und Dokumentationsvorgaben werde Vertrauen in die Systeme geschaffen, zudem hätten die betroffenen Personen ein Recht auf Erläuterung der Entscheidungsfindung, „das zu den Betroffenenrechten der DS-GVO hinzutritt“. Auch wenn die Risiko-Klassifizierung der KI-Verordnung einem strikteren Konzept folge als in der Datenschutz-Grundverordnung (DS-GVO), könnten die Instrumente, mit denen Risiken gemanagt werden, sinnvoll ineinandergreifen:

„Risikomanagementsysteme nach Art. 9 KI-VO könnten etwa mit dem Datenschutzmanagement kombiniert werden, die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme öffentlicher Stellen nach Art. 27 KI-VO lässt sich gegebenenfalls mit der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verbinden.“

Mit Inkrafttreten der KI-Verordnung sind verschiedene Umsetzungsfristen angelaufen

Synergien zwischen den Anforderungen der KI-Verordnung und der DS-GVO habe der Verordnungsgeber auch erkannt, „als er den Datenschutzaufsichtsbehörden die Funktion der Marküberwachung über die ,Hochrisiko-Systeme’ im Bereich der Strafverfolgung, Justiz, Migration und Wahlen zuwies“. Erklärtes Ziel des Verordnungsgebers sei dabei die Sicherstellung einer einheitlichen Aufsicht. „Letzteres sollte auch der deutsche Gesetzgeber anstreben, der in den kommenden Monaten die nationale Aufsichtsstruktur der KI-Verordnung regeln muss.“ Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) habe ihre Bereitschaft zur Übernahme der nationalen Aufsicht über die KI-Verordnung bereits erklärt und entsprechende personelle Ausstattung eingefordert.

Mit dem Inkrafttreten der KI-Verordnung liefen verschiedene mit ihr verbundene Umsetzungsfristen an. „Schon zum 2. Februar 2025 werden bestimmte hochriskante Praktiken der Künstlichen Intelligenz verboten sein. Hierzu zählt das Verbot biometrischer Echtzeit-Fernüberwachung sowie das Verbot von ,Social Scoring’.“ Zum 2. August 2025 müssten die nationalen Aufsichtsbehörden für die KI-Verordnung benannt sein. Weitere Regelungen träten gestaffelt in Kraft, spätestens zum 2. August 2026 entfalte die KI-Verordnung vollumfänglich Wirksamkeit.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz, Datenschutz, 08.05.2024
Datenschutzkonferenz fordert nationale Zuständigkeiten für die KI-Verordnung – Kugelmann: „Wir stehen für diese Zukunftsaufgabe bereit“

DSK DATENSCHUTZKONFERENZ, 03.05.2024
Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) / Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024

datensicherheit.de, 31.07.2024]
EU AI Act ab 1. August 2024 in Kraft: TÜV AI.Lab bietet KI-Compliance-Check an / AI Act als Basis eines globalen Leitmarkts für sichere KI „Made in Europe“

datensicherheit.de, 24.07.2024
KI-Verordnung tritt am 1. August 2024 in Kraft / Auch Datenschutzbehörden werden KI-VO umsetzen

datensicherheit.de, 28.05.2024
Schatten-KI und EU AI Act: Unternehmen müssen sich den Herausforderungen zeitnah stellen / Philipp Adamidis nimmt Stellung zu Aspekten der erfolgreichen KI-Transformation