Die KI-Verordnung (KI-VO- auf Englisch AI Act), wurde vom Rat der Europäischen Union am 21. Mai 2024 angenommen Während der endgültige Text am 12. Juli 2024 im EU-Amtsblatt veröffentlicht wurde und am 1. August 2024 in Kraft treten wird, gelten zusätzlich zahlreiche weitere andere Vorschriften für Künstliche Intelligenz (KI)bereits.
Auch der interne Zeitplan der Europäischen Kommission, wie sich die EU-Exekutive auf die Umsetzung der KI-VO vorbereitet, wird sich um einige Wochen verschieben. Er basierte auf der Annahme, dass die Verordnung im Juni oder Juli in Kraft treten würde. Die KI-VO wird 24 Monate nach dem Inkrafttreten in vollem Umfang anwendbar sein. Das Verbot von KI-Systemen, die unannehmbare Risiken darstellen, gilt aber beispielsweise bereits sechs Monate nach Inkrafttreten. Das bedeutet, dass Unternehmen ab Februar 2025 keine verbotenen KI-Technologien innerhalb der EU mehr einsetzen dürfen. Bei Verstößen gelten dann analog zur Datenschutzgrundverordnung (DSGVO) hohe Bußgelder.
Unmittelbarer Handlungsbedarf besteht für die KI-Nutzung im Bereich Datenschutz, da u. a. die DSGVO schon jetzt gilt. Auch sind z. B. die Empfehlungen der deutschen Datenschutzkonferenz (DSK) bereits heute für KI relevant: Die Orientierungshilfe der Konferenz der deutschen unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. Mai 2024 „Künstliche Intelligenz und Datenschutz - Version 1.0“ enthält z. B. eine ganze Reihe von Vorgaben. Sie bezieht sich auf jegliche KI-Anwendung , bei der personenbezogene Daten mit Hilfe von KI verarbeitet werden und mithin die DSGVO anzuwenden ist.
Beispielsweise müssen nach der DSK die Verantwortlichen selbst prüfen, ob und inwieweit die eingesetzte KI-Anwendung auf rechtmäßige Weise trainiert wurde. Konkret schlägt die DSK vor, dass die Unternehmen insbesondere bei der Auswahl und der Nutzung generativer KI-Systeme prüfen und dokumentieren müssen, ob das fragliche KI-System im Einklang mit geltendem (Datenschutz-) Recht trainiert wurde. Sofern das Unternehmen das KI-System nicht selbst trainiert hat, muss es nach Ansicht der DSK überprüfen, ob das KI-System fehlerhafte Ergebnisse produziere, was in der Praxis schwierig umzusetzen ist.
Beim Einsatz einer KI-Anwendung müsse festgelegt werden, welche konkreten Anwendungsfelder in Betracht kommen. Die DSK ist der Ansicht, dass geschlossene Systeme gegenüber offenen Systemen (etwa Cloud-basierte Systeme) zu bevorzugen sind, was die Praxis zumindest vor einige Herausforderungen stellen wird. Das gilt vor allem für KI-Systeme, die im Zusammenhang mit rechtlich relevanten Entscheidungen eingesetzt werden, wie z. B. in Bewerbungsverfahren. Die DSK regt an, dass Unternehmen interne Regelungen zum Einsatz von KI aufstellen und ihre Mitarbeiter schulen. Beim Einsatz von KI-Systemen von Drittanbietern regt die Orientierungshilfe an, dass gesonderte datenschutzrechtliche Vereinbarungen zur Auftragsverarbeitung oder zur gemeinsamen Verantwortlichkeit geschlossen werden.
Insgesamt zeigt sich, dass Datenschutz und KI kaum voneinander zu trennen sind. Deshalb müssen Unternehmen darauf achten, dass nur die vollständige Anonymisierung personenbezogener Daten die Anwendung der DSGVO auf diese Datenverarbeitung ausschließt. In der Praxis ist aber eine echte Anonymisierung gemäß den Standards der DSGVO nicht leicht zu erreichen .
Auch die Regeln des neuen AI Office (KI-Büros) in Brüssel, das die Grundlage für ein einheitliches europäisches KI-Governance System sicherstellen soll und damit eine Schlüsselrolle für die Umsetzung des KI-Gesetzes spielen wird, werden sehr bald einschlägig sein. Die Unternehmen sollten die Entwicklung des AI Office genau beobachten und aktiv an der Debatte um KI teilnehmen.
______________