Verordnung zur Künstlichen Intelligenz und der Datenschutz

Am 1. August 2024 tritt die europäische Verordnung über künstliche Intelligenz – KI-Verordnung – in Kraft. Bereits ab dem 1.2.2025 werden die Kapitel I und II der KI-Verordnung und damit die Verbote bestimmter Praktiken der Künstlichen Intelligenz gelten. Die weiteren Vorschriften werden nach und nach jeweils ab dem 2. August 2025, 2026 und 2027 Geltung erlangen. Alle Adressaten der KI-Verordnung sollten sich daher bereits jetzt mit den Regelungen vertraut machen.

Europa ist es mit der KI-Verordnung (KI-VO) gelungen, das erste spezifische Gesetz zur Künstlichen Intelligenz zu erlassen. Sie legt einen einheitlichen europäischen Rechtsrahmen insbesondere für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen Künstlicher Intelligenz (KI-Systeme) fest.

Der Gesetzgeber verfolgt dabei das Ziel, menschenzentrierte und vertrauenswürdige Künstliche Intelligenz (KI) zu fördern. Sie wollen ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umweltschutz sicherstellen, schädliche Auswirkungen von KI-Systemen vermeiden und gleichzeitig die technische Innovation unterstützen.

Um diese unterschiedlichen Ziele in Einklang zu bringen, verfolgt die Verordnung einen stark risikoorientierten Ansatz. Insgesamt unterscheidet die Verordnung vier Risikostufen. Die in die höchste Risikostufe eingeordneten Praktiken der Künstlichen Intelligenz haben ein nicht akzeptables Risiko und sind verboten gemäß Artikel 5 KI-VO. Dazu gehören unter anderem Social-Scoring-Systeme und biometrische Echtzeit-Identifizierung in öffentlichen Räumen.

Ein hohes Risiko weisen KI-Systeme auf, die erhebliche schädliche Auswirkungen auf die Gesundheit, die Sicherheit oder die Grundrechte der Menschen haben können. KI-Systemen, die direkt mit natürlichen Personen interagieren, wird ein begrenztes Risiko zugewiesen und allen anderen KI-Systemen in geringes Risiko.

Ergänzend enthält die KI-Verordnung Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck, also beispielsweise Large-Language-Modelle wie GPT oder Llama, da diese ein systemisches Risiko aufweisen. Je höher die Risiken eines KI-Systems für die Gesundheit, Sicherheit oder Grundrechte ist, desto umfassender und strenger sind die rechtlichen Vorgaben der KI-Verordnung.

Die KI-Verordnung ist im Kern regulierendes Technikrecht, das Aspekte der Marktüberwachung, der Produktsicherung, der Haftung, aber auch des Datenschutzes umfasst. Die Datenschutz-Grundverordnung ist und bleibt uneingeschränkt neben der KI-Verordnung anwendbar (s. Erwägungsgrund 10 KI-VO).

KI-Systeme müssen daher bereits jetzt unter Berücksichtigung der datenschutzrechtlichen Vorschriften entwickelt und eingesetzt werden. Wie bei allen technischen Innovationen bietet es sich an, den Datenschutz vor allem durch eine datenschutzfreundliche Technikgestaltung umzusetzen. Die KI-Verordnung enthält nur einige wenige ergänzende Datenschutzvorschriften, zum Beispiel zur Verarbeitung besonderer Kategorien personenbezogener Daten zur Optimierung von Hochrisiko-KI-Systemen (s. Artikel 10 KI-VO) oder für KI-Reallabore (s. Artikel 59 KI-VO). Darüber hinaus finden sich in der KI-Verordnung zahlreiche Bezüge zum Datenschutzrecht.

Die Datenschutzaufsichtsbehörden sind bereits seit einiger Zeit vielfältig mit der datenschutzrechtlichen Bewertung von KI-Systemen beschäftigt. Durch die KI-Verordnung wird ihnen bereits die Marktüberwachung für weite Teile des Katalog an Hochrisiko-KI-Systemen übertragen. Welche Behörden in Deutschland für die weiteren Vorgaben der KI-Verordnung zuständig sein werden, ist in einem noch zu erlassenden Bundesgesetz zu regeln. Sowohl der EDSA als auch die DSKhaben sich bereits in Stellungnahmen für die Übertragung dieser neuen Aufgaben an die Datenschutzaufsichtsbehörden stark gemacht.