phonlamaiphoto - stock.adobe.com
Der Artificial Intelligence Act der EU und der Datenschutz
Die neue KI-Verordnung der EU soll sicherstellen, dass die Europäerinnen und Europäer dem vertrauen können, was die KI zu bieten hat. Doch was bedeutet das für den Datenschutz?
Bei mehr als jedem zweiten Unternehmen (56 Prozent) sind neue, innovative Projekte aufgrund der DSGVO gescheitert – entweder wegen direkter Vorgaben oder wegen Unklarheiten in der Auslegung der DSGVO, so eine Umfrage des Digitalverbands Bitkom. Bei drei von zehn (31 Prozent) scheiterte dadurch der Einsatz neuer Technologien wie Künstliche Intelligenz.
Mehrere Wirtschaftsverbände hatten deshalb in der Vergangenheit gefordert, dass es für die Nutzung von KI spezielle Datenschutzvorgaben geben sollte, um die Datennutzung zu diesem Zweck zu erleichtern.
Nun hat die EU-Kommission neue Vorschriften und Maßnahmen vorgeschlagen, die Europa zum globalen Zentrum für vertrauenswürdige künstliche Intelligenz (KI) machen sollen. Durch die Kombination aus einem Rechtsrahmen für KI und einem neuen mit den Mitgliedstaaten koordinierten Plan sollen die Sicherheit und die Grundrechte der Menschen und Unternehmen gewährleistet und gleichzeitig die KI-Verbreitung gefördert sowie Investitionen und Innovationen im Bereich der KI in der gesamten EU verstärkt werden.
Doch was bedeutet dieser Artificial Intelligence Act der EU nun für den Datenschutz? Sind spezielle Regeln vorgesehen, wie von Wirtschaftsvertretern gewünscht?
Das europäische Konzept für vertrauenswürdige KI
Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin in der EU-Kommission, erklärte: „Bei künstlicher Intelligenz ist Vertrauen ein Muss und kein Beiwerk. Mit diesen wegweisenden Vorschriften steht die EU an vorderster Front bei der Entwicklung neuer weltweiter Normen, die sicherstellen sollen, dass KI vertrauenswürdig ist.“ Die Ziele des Artificial Intelligence Act der EU beschreibt Margrethe Vestager so: „Mit der Schaffung der Standards können wir weltweit den Weg für ethische Technik ebnen und dafür sorgen, dass die EU hierbei wettbewerbsfähig bleibt. Unsere Vorschriften werden zukunftssicher und innovationsfreundlich sein und nur dort eingreifen, wo dies unbedingt notwendig ist, nämlich wenn die Sicherheit und die Grundrechte der EU-Bürger auf dem Spiel stehen.“
Grundlegend für das neue EU-Konzept für vertrauenswürdige KI ist ein risikobasierter Ansatz. Unterschieden werden dabei:
- Unannehmbares Risiko: KI-Systeme, die als klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen gelten, werden verboten. Dazu gehören KI-Systeme oder -Anwendungen, die menschliches Verhalten manipulieren, um den freien Willen der Nutzer zu umgehen (zum Beispiel Spielzeug mit Sprachassistent, das Minderjährige zu gefährlichem Verhalten ermuntert), sowie Systeme, die den Behörden eine Bewertung des sozialen Verhaltens (Social Scoring) ermöglichen.
- Hohes Risiko: KI-Systeme, bei denen ein hohes Risiko besteht, wenn KI-Technik in bestimmten Bereichen eingesetzt wird, darunter Schul- oder Berufsausbildung, wenn der Zugang einer Person zur Bildung und zum Berufsleben beeinträchtigt werden könnte (zum Beispiel Bewertung von Prüfungen); Beschäftigung, Personalmanagement und Zugang zu selbstständiger Tätigkeit (zum Beispiel Software zur Auswertung von Lebensläufen für Einstellungsverfahren); wichtige private und öffentliche Dienstleistungen (zum Beispiel Bewertung der Kreditwürdigkeit, wodurch Bürgern die Möglichkeit verwehrt wird, ein Darlehen zu erhalten).
Für KI-Systeme mit hohem Risiko sollen strenge Vorgaben gelten, die erfüllt sein müssen, bevor sie auf den Markt gebracht werden dürfen:
- Angemessene Risikobewertungs- und Risikominderungssysteme;
- hohe Qualität der Datensätze, die in das System eingespeist werden, um Risiken und diskriminierende Ergebnisse so gering wie möglich zu halten;
- Protokollierung der Vorgänge, um die Rückverfolgbarkeit von Ergebnissen zu ermöglichen;
- ausführliche Dokumentation mit allen erforderlichen Informationen über das System und seinen Zweck, damit die Behörden seine Konformität beurteilen können;
- klare und angemessene Informationen für die Nutzer;
- angemessene menschliche Aufsicht zur Minimierung der Risiken;
- hohes Maß an Robustheit, Sicherheit und Genauigkeit.
Anders sieht es bei diesen Risikostufen für eine KI aus:
- Geringes Risiko, das heißt. KI-Systeme, für die besondere Transparenzverpflichtungen gelten: Beim Umgang mit KI-Systemen wie Chatbots sollte den Nutzern bewusst sein, dass sie es mit einer Maschine zu tun haben, damit sie in voller Kenntnis der Sachlage entscheiden können, ob sie die Anwendung weiter nutzen wollen oder nicht.
- Minimales Risiko: Der Legislativvorschlag soll die freie Nutzung von Anwendungen wie KI-gestützten Videospielen oder Spam-Filtern ermöglichen. Die große Mehrheit der KI-Systeme fällt in diese Kategorie. Der Verordnungsentwurf will hier nicht eingreifen, denn diese KI-Systeme stellen nur ein minimales oder kein Risiko für die Bürgerrechte oder die Sicherheit dar.
Datenschutz und damit die DSGVO bilden Fundament für KI-Regulierung
Der Vorschlag der EU ergänzt die DSGVO (Verordnung (EU) 2016/679) um eine Reihe harmonisierter Regeln für die Gestaltung, Entwicklung und Verwendung von bestimmten Hochrisiko-KI-Systemen.
Die geplante KI-Regulierung der EU geht mit dem risikobasierten Ansatz einen Weg, der aus dem Datenschutz und der Datenschutz-Grundverordnung (DSGVO) wohl bekannt ist: Vor der Nutzung neuer Technologien steht eine Datenschutzfolgenabschätzung (DSFA) und damit eine Risikoanalyse. Auch weist der geplante AI Act der EU auf die notwendige DSFA hin, wenn KI-Anwendungen mit hohem Risiko vorgesehen sind (Article 29 Obligations of users of high-risk AI systems).
Explizit besagt die geplante KI-Regulierung zudem: Abgesehen von den vielen nützlichen Anwendungen künstlicher Intelligenz kann diese Technologie auch missbraucht werden und neuartige und leistungsstarke Werkzeuge für manipulative, ausbeuterische und soziale Kontrollpraktiken bereitstellen. Solche Praktiken sind besonders schädlich und sollten verboten werden, da sie den Werten der Union hinsichtlich der Achtung der Menschenwürde, der Freiheit, der Gleichheit, der Demokratie und der Rechtsstaatlichkeit sowie der Grundrechte der Union, einschließlich des Rechts auf Nichtdiskriminierung, Datenschutz und Privatsphäre widersprechen.
Die Verarbeitung personenbezogener Daten besonderer Kategorien ist laut Entwurf zur KI-Regulierung „vorbehaltlich angemessener Schutzmaßnahmen für die Grundrechte und -freiheiten natürlicher Personen, einschließlich technischer Einschränkungen bei der Wiederverwendung und Anwendung modernster Sicherheits- und Datenschutzmaßnahmen wie Pseudonymisierung oder Verschlüsselung“.
Es zeigt sich: Der Artifical Intelligence Act der EU versteht sich als Ergänzung der DSGVO in speziellen Fragestellungen der KI, hat aber nicht zum Ziel, die Vorgaben des Datenschutzes abzuwandeln, um die KI-Nutzung zu erleichtern. Vielmehr soll die Erleichterung der KI-Nutzung durch eine spezifische Regelung stattfinden, die die bestehende Rechtsunsicherheit bei Unternehmen mindern soll.