Da Künstliche Intelligenz (KI) eine immer größere Rolle im Alltag einnimmt und kürzlich der AI Act der Europäischen Union beschlossen wurde, betrachte ich einmal diese neuen Verordnung aus datenschutzrechtlicher Sicht.
AI Act
Am 13. März wurde der sogenannte AI Act von der Europäischen Union einstimmig durch die 27 Mitgliedsstaaten beschlossen. Dieser ist die weltweit erste gesetzliche Regulierung von KI.
Ziel des AI Act’s, auch bekannt als Verordnung über Künstliche Intelligenz, ist die Regulierung künstlicher Intelligenzen. Gleichzeitig soll KI datenschutzkonform werden und ethische Grundsätze wahren, sodass Unternehmen in Zukunft KI DSGVO-konform einsetzen können. Berücksichtigt wurde aber auch die Förderung von Innovation.
Meine Meinung
Grundsätzlich ist eine Regulierung von KI zu begrüßen, da klare Richtlinien für die Entwicklung, den Einsatz und die Überwachung von KI-Systemen durch den AI Act festgelegt wurden, was grundsätzlich zu einer Verbesserung der Rechte und Freiheiten von betroffenen führt.
Die Grundsätze der DSGVO, wie Rechtmäßigkeit, Zweckbindung, Transparenz und Datenminimierung, müssen zwar schon jetzt bei dem Einsatz von KI beachtet werden, allerdings war unklar, ob überhaupt eine KI vorliegt.
Teil des AI Act’s ist auch die Defintion, wann überhaupt eine KI vorliegt. Eine KI im Sinne des AI Act’s liegt bei folgenden Kriterien vor:
- Maschinengestütztes System
- Unterschiedlicher Grad an Autonomie
- Anpassungsfähigkeit
- Die Fähigkeit, aus Eingaben Ergebnisse und Vorhersagen abzuleiten
Der entscheidende Unterschied zu einem algorithmenbasierten System liegt dabei in der Fähigkeit, aus eingegebenen Daten zu „lernen“ und die Leistung zu verbessern.
Die Regulierung von KI soll künftig darauf basieren, wie risikoreich eine KI ist. Dazu sollen KI’s in verschiedene Risikosphären eingestuft werden:
- KI mit inakzeptablem Risiko
- Dazu gehören Anwendungen, die den Lebensunterhalt und die Rechte betroffener Personen eindeutig gefährden
- diese Art von KI soll verboten werden
- Hochrisiko-KI
- Hierzu gehören Systeme, die beispielsweise in der kritischen Infrastruktur eingesetzt werden
- Vermutlich gehört auch ChatGPT dazu
- Hier soll in Zukunft eine strenge Regulierung und Überprüfung stattfinden, bevor solche Systeme auf den Markt gebracht werden
- KI mit geringem Risiko
- Diese Systeme können unter Berücksichtigung der derzeitigen Regelungen entwickelt und auf den Markt gebracht werden.
- KI-Systeme mit Transparenzrisiko
- Bezieht sich auf Systeme wie einen Chatbot. Hier sollen lediglich Transparenz- und Hinweispflichten auferlegt werden.
Diese Regulierungen kann ich aus datenschutzrechtlicher Sicht nur begrüßen, denn hierdurch werden viele Konfliktpotenziale mit der DSGVO vermieden.
Ein weiterer Aspekt der Regulierung ist die Wahrung ethischer Standards. KI-Systeme sollen so entwickelt werden, dass menschliche Werte und Normen, wie Privatsphäre und Nichtdiskriminierung, mehr geachtet werden. Auch diesbezüglich kann ich den AI Act nur gutheißen.
Schon länger fordern Datenschutzbeauftragte zudem, dass die Verantwortlichkeit und die Frage der Haftung bei der Nutzung von KI festgelegt werden muss. Der AI Act soll begleitet werden von der sogenannten KI-Haftungsrichtlinie, welcher solche Rechtsverletzungen regelt.
Positiv ist zudem anzumerken, dass der AI Act extraterritoriale Wirkung entfalten soll. Konkret bedeutet das, dass Unternehmen, welche KI-Systeme außerhalb der EU entwickeln oder betreiben, die jedoch in der EU genutzt werden, den Regularien des AI Act’s entsprechen müssen.
Durch diesen internationalen Einfluss ist es denkbar, dass andere Länder ähnliche Regelungen einführen und der AI Act zu einem internationalen Standard wird.
Kritik
Kritisch zu betrachten ist der AI Act in Bezug auf die Wettbewerbsfähigkeit im Vergleich zu anderen asiatischen beziehungsweise amerikanischen Unternehmen, wo weitaus mildere Datenschutzvorschriften gelten. Dennoch ist dies kein Grund gegen den AI Act. Stattdessen sollten die IT-Abteilungen von Unternehmen stärker mit den Rechts-und Compliance-Abteilungen zusammenarbeiten, um Rechtsvorschriften einzuhalten und Haftungsrisiken zu minimieren. Nur so kann schließlich das volle Potenzial von KI ausgeschöpft werden.
Zudem ist kritisch, dass der AI Act erst 2026 vollständig umgesetzt werden soll. Das ist insofern problematisch, dass die EU-Kommission bis zur Umsetzung lediglich auf „freiwillige Absprachen“ mit Unternehmen setzt. Zudem könnten angesichts der raschen Entwicklung der Technologie bis 2026 bereits neue Regelungen erforderlich sein.
Nicht gänzlich verboten werden soll die biometrische Echtzeit-Identifizierung mittels KI. Dies ist besonders kritisch, da hier besonders sensible Daten verarbeitet werden.
Fazit
Es steht außer Frage dass KI reguliert werden muss. Kritischster Punkt ist die richtige Balance zwischen Risikominimierung und Innovation bzw. Wettbewerbsfähigkeit. Wie erfolgreich der AI Act letzten Endes sein wird, hängt maßgeblich von der konsequenten Umsetzung und Überwachung der EU abhängen.