Die Mitgliedsstaaten der Europäischen Union haben Anfang Februar die Europäische Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung, AI-Act) gebilligt und mittlerweile liegt auch der finale Text der Verordnung vor. Mit der KI-Verordnung wird erstmals ein regulatorischer Rahmen für den Einsatz Künstlicher Intelligenz geschaffen, der aufgrund seines breiten Anwendungsbereichs sowohl für Hersteller als auch Nutzer von KI-Lösungen eine erhebliche Bedeutung erlangen wird.
Auch wenn die meisten Regelungen der KI-Verordnung voraussichtlich erst ab dem Frühjahr 2026 gelten werden, sollten sich Unternehmen bereits heute mit diesen künftigen Regelungen vertraut machen. Ferner gilt es zu beachten, dass sich beim Einsatz von KI regelmäßig schwierige Fragen des Daten – und Geheimnisschutzes stellen, die Unternehmen prüfen sollten, um ihre Haftungs- und Geschäftsrisiken richtig einzuschätzen.
Was regelt die KI-VO und ab wann gilt sie?
Die KI-Verordnung wird insbesondere Anbietern („Provider“) und Nutzern („Deployer“) von KI-Systemen Compliance- und Informationspflichten auferlegen, deren Umfang davon abhängt, welcher Risikokategorie das jeweilige KI-System zuzuordnen ist.
Bestimmte KI-Anwendungen (z.B. Manipulative KI, Social Scoring) werden generell verboten sein (Art. 5 KI-VO). Für sog. Hochrisiko-KI führt die Verordnung insbesondere die Pflicht zur Implementierung eines Risikomanagementsystems sowie weitreichende Transparenz- und Dokumentationspflichten einschließlich einer Risikofolgenabschätzung ein (Art. 8 bis 29a KI-VO). Zu den Hochrisiko-Systemen zählen nach Anhang III der Verordnung etwa diagnostische Geräte und Software im medizinischen Bereich, aber auch Rekrutierungs- oder Bewertungssysteme, Kreditwürdigkeitsbewertungssysteme und Systeme zur biometrischen Identifizierung oder Authentifizierung, soweit hierbei KI eingesetzt wird. Aber auch für KI-Systeme, die keine Hochrisiko-KI sind, können Informations- und Kennzeichnungspflichten bestehen (Art. 52 KI-VO). Der Begriff der KI selbst ist in der Verordnung sehr weit und technikoffen definiert, beschränkt sich also nicht auf herkömmliche Anwendungsfälle Künstlicher Intelligenz wie dem Maschine Learning und Deep Learning.
Die KI-Verordnung muss noch vom Europäischen Parlament und dem Rat der EU angenommen werden, dies gilt aber als sicher. Die meisten Regelungen werden zwei Jahre nach dem Inkrafttreten der KI-Verordnung anwendbar sein, also voraussichtlich im Frühjahr 2026. Für bestimmte KI-Systeme, die bereits auf dem Markt eingeführt sind oder sein werden, gilt eine Übergangsfrist bis Ende 2030 (Art. 83 KI-VO). Einige Regelungen, wie die Verbote von KI-Praktiken oder die Kennzeichnungspflichten, werden jedoch bereits sechs Monate nach dem Inkrafttreten der KI-Verordnung verpflichtend.
Wie ist das Verhältnis der KI-VO zum Datenschutzrecht?
Auch wenn die Regelungen der KI-VO (z.B. die Transparenz- und Dokumentationspflichten, aber auch die Bußgeldtatbestände nach Art. 71 KI-VO) vielfach an die Datenschutzgrundverordnung (DSGVO) erinnern, handelt es sich bei der KI-VO um kein Datenschutzgesetz. Die KI-VO ist unabhängig davon anwendbar, ob im KI-System personenbezogenen Daten verarbeitet werden. Umgekehrt regelt die KI-VO nicht, unter welchen datenschutzrechtlichen Voraussetzungen die Verarbeitung personenbezogener Daten in einem KI-System zulässig ist. Zu den datenschutzrechtlichen Anforderungen an KI-Systeme haben die Datenschutzaufsichtsbehörden in jüngerer Zeit verschiedene Empfehlungen veröffentlicht.
KI-Systeme werfen verschiedene, teils schwierige datenschutzrechtliche Fragen auf. So kann es insbesondere im Falle des Trainierens von KI mit personenbezogenen Daten fraglich sein, ob hierfür die erforderliche Rechtsgrundlage gegeben ist und statt einer Auftragsverarbeitung bereits eine Gemeinsame Verantwortlichkeit der beteiligten Unternehmen vorliegt. Auch muss beim Einsatz von KI die Transparenz und Diskriminierungsfreiheit sichergestellt, die Erfüllung von Betroffenenrechten (z.B. auf Auskunft oder Löschung) gewährleistet und das Verbot automatisierter Einzelfallentscheidungen (Art. 22 DSGVO) beachtet werden.
Besondere Schwierigkeiten bereitet regelmäßig auch das datenschutzrechtliche Gebot der Datenminimierung, in dessen Rahmen sorgfältig geprüft werden muss, inwieweit das Training oder Finetuning eines KI-Systems mittels anonymisierter, synthetischer oder zumindest pseudonymer Daten möglich ist.
Handlungsempfehlung
Unternehmen sollten sich bereits heute mit den künftigen Regelungen der KI-VO vertraut machen. Die künftigen Restriktionen können wesentlich für Investitionsentscheidungen sein und die von der KI-VO (auch dem Nutzer) vorgeschriebene Dokumentation – etwa im Hinblick auf die eingesetzten Korpus- und Trainingsdaten – muss typischerweise bereits mit Beginn der Entwicklung des KI-Systems sichergestellt sein.
Aus datenschutzrechtlicher Sicht ist es besonders wichtig, frühzeitig das richtige technische Setup bzw. den richtigen Provider für den Einsatz von KI-Lösungen auszuwählen, weil sich die technischen und vertraglichen Kontrollmöglichkeiten bei den unterschiedlichen Anbietern bzw. KI-Produkten stark unterscheiden. Dies betrifft neben datenschutzrechtlichen Aspekten auch Fragen des Geheimnisschutzes.
Um ihre Haftungs- und Geschäftsrisiken zu reduzieren, sollten Unternehmen den Einsatz und das Training von KI durch ihre Beschäftigten verbindlich regeln und Maßnahmen zur Qualitätssicherung treffen, die KI-typischen Risiken vorbeugen.
Sprechen Sie uns gerne an, wenn wir Sie hierbei unterstützen können oder Sie Fragen dazu haben.
