In der rasanten Entwicklung der künstlichen Intelligenz stehen Unternehmen in der Europäischen Union vor einer komplexen regulatorischen Landschaft, die maßgeblich von zwei Säulen geprägt wird: der Datenschutz-Grundverordnung (DSGVO) und der neuen Verordnung über Künstliche Intelligenz (KI-VO). Während die DSGVO bereits seit Jahren den Umgang mit personenbezogenen Daten regelt und sich als Standard für den Datenschutz etabliert hat, tritt die KI-VO nun als erste umfassende Regulierung speziell für KI-Systeme auf den Plan. Auf den ersten Blick scheinen beide Regelwerke ähnliche Ziele zu verfolgen, wie den Schutz von Grundrechten und die Schaffung von Vertrauen in neue Technologien. Doch wie verhalten sich diese beiden umfangreichen Gesetze zueinander? Diese Frage wird insbesondere dann relevant, wenn KI-Systeme auf Basis personenbezogener Daten trainiert werden oder agieren. Personenbezogene Daten sind häufig der „Treibstoff“ von KI-Systemen. Diese doppelte Regulierung wirft entscheidende Fragen auf: Reicht die Einhaltung der einen Verordnung aus, oder entstehen hier neue, sich überschneidende Pflichten, die zu teuren Fallstricken führen können? Wenn Unternehmen auf den Einsatz von KI setzen wollen, sollten sie sich zunächst Klarheit über die Unterschiede und Gemeinsamkeiten von DSGVO und KI-VO verschaffen.
Anwendungsbereiche von DSGVO und KI-VO?
Die DSGVO konzentriert sich auf die Verarbeitung personenbezogener Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Eine Verarbeitung ist somit so gut wie jeder Umgang mit den personenbezogenen Daten, von Auslesen über Speichern und Übermitteln bis hin zur Löschung. Die DSGVO ist technologieneutral konzipiert, was bedeutet, dass ihre Bestimmungen unabhängig von der verwendeten Technologie gelten, solange personenbezogene Daten verarbeitet werden. Dagegen reguliert die KI-VO primär die KI-Systeme und KI-Modelle selbst. Ein KI-System wird definiert als ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können (Art. 3 Nr. 1 KI-VO). Was ein KI-Modell ist, wird von der KI-VO nicht direkt definiert. Aus Erwägungsgrund 97 der Verordnung ergibt sich allerdings das KI-Modelle zentrale Bestandteile eines KI-Systems sind, die durch zusätzliche Komponenten wie eine Nutzerschnittstelle zu einem KI-System werden. Das KI-Modell ist demnach vereinfacht ausgedrückt das neuronale Netz und damit der Kern des KI Systems.
Unterschiede und Gemeinsamkeiten
Das Hauptziel der DSGVO ist der Schutz der Grundrechte natürlicher Personen vor Risiken, die sich aus einer Datenverarbeitung ergeben können. Die DSGVO verpflichtet Datenverantwortliche, sowohl technische als auch organisatorische Maßnahmen zu ergreifen, um den Risiken für die Betroffenen zu begegnen (Art. 25 und Art. 32 DSGVO). Personenbezogene Daten dürfen nur unter Einhaltung der von der DSGVO festgelegten Grundsätze für die Verarbeitung verarbeitet werden. Der Verantwortliche ist den Betroffenen hierbei Rechenschaft schuldig (Art. 5 Abs. 2 DSGVO). Die Rechtmäßigkeit für eine Verarbeitung muss hierbei in jedem Einzelfall geprüft werden. Im Fall der Verwendung neuer Technologien, unter die KI zweifelsohne fällt ist hierbei auch an eine gut dokumentierte Datenschutz-Folgenabschätzung zu denken (Art. 35 DSGVO). Die KI-VO hat zum Ziel, dass KI vertrauenswürdig und sicher ist und im Einklang mit den Grundrechten entwickelt und verwendet wird. Die KI-VO ist dabei in erster Linie Produktsicherheitsrecht, das einheitliche Regeln für das Inverkehrbringen, die Inbetriebnahme oder die Nutzung von KI-Systemen und KI-Modellen innerhalb der EU festlegt. In der Umsetzung setzt die KI-VO vor allem auf eine Einteilung von KI-Systemen und KI-Modellen in Bestimmte Risikoklassen, die unterschiedlichen Rechtsrahmen unterworfen werden. Ein Risiko definiert die KI-VO als die Kombination aus der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Schadens (Art. 3 Nr. 2 KI-VO). Den von KI ausgehenden Risiken beregnet die KI-VO, indem spezifische Regeln für KI-Technologien und deren Anwendung festlegt. Obwohl Die Schwerpunkte von DSGVO und KI-VO unterschiedlich sind, sind sie in Bereichen, in denen KI-Systeme personenbezogene Daten verarbeiten, eng miteinander verknüpft. Beide Gesetze haben die Risikominimierung zum Ziel. Die KI-VO ergänzt die DSGVO, indem spezifische Risiken von KI-Technologien adressiert werden. Auch wenn die Einhaltung der KI-VO auch dazu beitragen kann, den Anforderungen der DSGVO gerecht zu werden, ist KI-VO-Compliance allein hierfür regelmäßig nicht ausreichend.
Rechtsanwalt Anton Schröder
Newsletter abonnieren-
Gelungener Booklaunch bei FIN LAW für das neue MiCAR Handbuch von Dr. Johannes Meier
Vorstellung des neuen MiCAR Handbuchs von Dr. Johannes Meier auf der Booklaunch Veranstaltung von FIN LAW. -
Die neue FIN LAW Website – Gewohnte Qualität im neuen Gewand
Wir freuen uns die neue Website von FIN LAW präsentieren zu können. Unsere Website ist nun schneller und moderner als jemals zuvor. -
Erneute WiWO Auszeichnung für Lutz Auffenberg und FIN LAW
Die WirtschaftsWoche (WiWO) zeichnet erneut Rechtsanwalt Lutz Auffenberg, LL.M. als Top Anwalt und FIN LAW als Top Kanzlei aus.
