Sorge über Vernachlässigung des Datenschutzes durch EU

Die Datenschutzaufsichtsbehörden sind einhellig der Auffassung, dass es ihre Aufgabe ist, Behörden und Unternehmen, die KI einsetzen, mit ihrer Expertise für den Schutz personenbezogener Daten eng und praxisorientiert zu begleiten. Dies beginnt bereits mit dem Training von generativen KI-Modellen, die ganz offensichtlich das Kernelement der meisten in der Praxis eingesetzten KI-Systeme bilden werden. Wer ihre Funktionsbedingungen rechtlich und technisch genauer analysiert, wird feststellen, dass schon hier in den allermeisten Fällen eine Verarbeitung personenbezogene Daten nicht auszuschließen ist. Daran schließen sich eine Vielzahl datenschutzrechtlicher Fragen an, wie der aktuelle Fall eines baden-württembergischen Journalisten vor Augen führt, der in den Ergebnissen eines gängigen KI-Produkts vom Berichterstatter zum Täter verschiedener kriminelle Handlungen gemacht wird und um den Schutz seiner Persönlichkeitsrechte kämpfen muss.

Die Datenschutzaufsichtsbehörden waren sich in Speyer einig in der Sorge, dass die bisherigen Ankündigungen der digitalpolitischen Schwerpunkte für die jetzt beginnende europäische Legislaturperiode den Datenschutz vernachlässigen. Tatsächlich ergeben sich aus der Nutzung von Künstlicher Intelligenz grundlegende Veränderungen der Durchsetzungsbedingungen für die Rechte und Freiheiten der Bürgerinnen und Bürger. Für ein kohärentes europäisches Daten-, Digital- und KI-Recht bedarf es einer sorgfältigen Analyse und Diskussion über passgenau spezifische datenschutzrechtliche Anforderungen, die beim Ringen um die KI-Verordnung ausgeblendet wurden. Auch um die notwendige Analyse des rechtspolitischen Handlungsbedarfs zu unterstützen werden die Datenschutzaufsichtsbehörden bis Jahresende die Weichenstellungen für die Anpassung ihrer Arbeits- und Abstimmungsprozesse etwa durch einen neuen Arbeitskreis für Fragen Künstlicher Intelligenz einleiten. Der Arbeitskreis wird die erfolgreiche Arbeit der bestehenden Task Force verstetigen. Auf europäischer Ebene gilt es, für ähnliche Strukturanpassungen zu werben. Ziel bleibt es, weiterhin gemeinsam und rasch auf neue Herausforderungen zu reagieren und Handlungsempfehlungen für die datenschutzgerechte Nutzung neuer Technologien bereitzustellen.

Neben Fragestellungen zur Nutzung Künstlicher Intelligenz beschäftigten sich die Datenschutzaufsichtsbehörden in ihrer Strategieklausur mit aktuellen Entwicklungen in der Rechtsprechung des Europäischen Gerichtshofs, insbesondere der Grenzziehung zwischen der Verarbeitung anonymer und personenbezogener Daten. Außerdem wurde über biometrische Gesichtserkennung im Zusammenhang mit repressiver Videoüberwachung durch die Sicherheitsbehörden diskutiert sowie ersten Erfahrungen bei der Modernisierung der Krankenhausgesetze der Länder zur Verbesserung der Rahmenbedingungen für die Nutzung medizinischer Daten zu Forschungszwecken ausgetauscht.

Dieser Text ist ursprünglich als Pressemitteilung der Datenschutzkonferenz erschienen.

Über die Datenschutzkonferenz: Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Am 1. August 2024 tritt die europäische Verordnung über künstliche Intelligenz – KI-Verordnung – in Kraft. Bereits ab dem 1.2.2025 werden die Kapitel I und II der KI-Verordnung und damit die Verbote bestimmter Praktiken der Künstlichen Intelligenz gelten. Die weiteren Vorschriften werden nach und nach jeweils ab dem 2. August 2025, 2026 und 2027 Geltung erlangen. Alle Adressaten der KI-Verordnung sollten sich daher bereits jetzt mit den Regelungen vertraut machen.

Europa ist es mit der KI-Verordnung (KI-VO) gelungen, das erste spezifische Gesetz zur Künstlichen Intelligenz zu erlassen. Sie legt einen einheitlichen europäischen Rechtsrahmen insbesondere für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen Künstlicher Intelligenz (KI-Systeme) fest.

Der Gesetzgeber verfolgt dabei das Ziel, menschenzentrierte und vertrauenswürdige Künstliche Intelligenz (KI) zu fördern. Sie wollen ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umweltschutz sicherstellen, schädliche Auswirkungen von KI-Systemen vermeiden und gleichzeitig die technische Innovation unterstützen.

Um diese unterschiedlichen Ziele in Einklang zu bringen, verfolgt die Verordnung einen stark risikoorientierten Ansatz. Insgesamt unterscheidet die Verordnung vier Risikostufen. Die in die höchste Risikostufe eingeordneten Praktiken der Künstlichen Intelligenz haben ein nicht akzeptables Risiko und sind verboten gemäß Artikel 5 KI-VO. Dazu gehören unter anderem Social-Scoring-Systeme und biometrische Echtzeit-Identifizierung in öffentlichen Räumen.

Ein hohes Risiko weisen KI-Systeme auf, die erhebliche schädliche Auswirkungen auf die Gesundheit, die Sicherheit oder die Grundrechte der Menschen haben können. KI-Systemen, die direkt mit natürlichen Personen interagieren, wird ein begrenztes Risiko zugewiesen und allen anderen KI-Systemen in geringes Risiko.

Ergänzend enthält die KI-Verordnung Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck, also beispielsweise Large-Language-Modelle wie GPT oder Llama, da diese ein systemisches Risiko aufweisen. Je höher die Risiken eines KI-Systems für die Gesundheit, Sicherheit oder Grundrechte ist, desto umfassender und strenger sind die rechtlichen Vorgaben der KI-Verordnung.

Die KI-Verordnung ist im Kern regulierendes Technikrecht, das Aspekte der Marktüberwachung, der Produktsicherung, der Haftung, aber auch des Datenschutzes umfasst. Die Datenschutz-Grundverordnung ist und bleibt uneingeschränkt neben der KI-Verordnung anwendbar (s. Erwägungsgrund 10 KI-VO).

KI-Systeme müssen daher bereits jetzt unter Berücksichtigung der datenschutzrechtlichen Vorschriften entwickelt und eingesetzt werden. Wie bei allen technischen Innovationen bietet es sich an, den Datenschutz vor allem durch eine datenschutzfreundliche Technikgestaltung umzusetzen. Die KI-Verordnung enthält nur einige wenige ergänzende Datenschutzvorschriften, zum Beispiel zur Verarbeitung besonderer Kategorien personenbezogener Daten zur Optimierung von Hochrisiko-KI-Systemen (s. Artikel 10 KI-VO) oder für KI-Reallabore (s. Artikel 59 KI-VO). Darüber hinaus finden sich in der KI-Verordnung zahlreiche Bezüge zum Datenschutzrecht.

Die Datenschutzaufsichtsbehörden sind bereits seit einiger Zeit vielfältig mit der datenschutzrechtlichen Bewertung von KI-Systemen beschäftigt. Durch die KI-Verordnung wird ihnen die Marktüberwachung für weite Teile des Katalogs an Hochrisiko-KI-Systemen übertragen. Welche Behörden in Deutschland für die weiteren Vorgaben der KI-Verordnung zuständig sein werden, ist in einem noch zu erlassenden Bundesgesetz zu regeln. Sowohl der EDSA als auch die DSK haben sich bereits in Stellungnahmen für die Übertragung dieser neuen Aufgaben an die Datenschutzaufsichtsbehörden stark gemacht.

In dieser Situation weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) darauf hin, dass die KIVO in vielen Fällen bereits eine sektorspezifische Zuständigkeit der Datenschutzbehörden als Marktüberwachungsbehörden vorsieht. Ziel ist eine einheitliche Anwendung der KI-VO. Die Datenschutzkonferenz hält es für sinnvoll, aufgrund der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene grundsätzlich die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO zu benennen. Ausgenommen sind einzelne Sektoren wie etwa der Finanzsektor oder die kritische Infrastruktur.

Mit dieser Konzeption können Doppelstrukturen und zusätzlicher Bürokratieaufwand vermieden werden. Die Datenschutzaufsichtsbehörden haben ohnehin in allen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, die Aufsicht nach der Datenschutz-Grundverordnung. Nur durch die Zuständigkeit der Datenschutzaufsichtsbehörden nach KI-VO wird eine Beratung und Aufsicht aus einer Hand möglich.

Unabhängig davon, welche Behörden die Marktüberwachung im Bereich der KI übernehmen sollen, müssen diese mit angemessenen Ressourcen ausgestattet werden. Die Datenschutzkonferenz empfiehlt, als Marktüberwachungsbehörden nach der KIVO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) 2 sowie die Landesdatenschutzbehörden zu benennen. Der BfDI soll nach Vorstellungen der Datenschutzkonferenz Deutschland im Europäischen Ausschuss für KI vertreten. Das Positionspapier „Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)“, das die Zuständigkeitsempfehlungen näher erläutert, ist auf der Website der Datenschutzkonferenz abrufbar:

https://www.datenschutzkonferenz-online.de/media/dskb/20240503_DSK_Positionspapier_Zustaendigkeiten_KI_VO.pdf

Über die Datenschutzkonferenz:

Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.