steve-johnson-ZPOoDQc8yMw-unsplash
Schluss mit Datenmissbrauch: Wie die KI-Verordnung unsere Privatsphäre schützt

Schluss mit Datenmissbrauch: Wie die KI-Verordnung unsere Privatsphäre schützt

Was ist die KI-Verordnung?

Die KI-Verordnung (Artificial Intelligence Act – AI Act) der Europäischen Union ist ein Gesetz, das klare Regeln und Anforderungen für Unternehmen festlegt, die KI-Systeme entwickeln oder nutzen. Das Ziel dieser Verordnung ist es, Missbrauch von Daten zu verhindern und unsere Privatsphäre zu schützen.

KI, also künstliche Intelligenz, ist heute aus unserem Alltag nicht mehr wegzudenken. Es gibt viele unterschiedliche Anwendungen von KI, wie dem Streaming-Dienst, der uns auf Basis unserem bisherigen Nutzungsverhalten den nächsten Film vorschlägt, bis hin zu solchen, die einen größeren Einfluss auf unser Leben haben können, wie zum Beispiel KI-basierte Tools, die darüber entscheiden, ob wir einen Kredit bekommen oder einen Job.

Besonders seit der Veröffentlichung von ChatGPT ist die Diskussion über Künstliche Intelligenz in der breiten Öffentlichkeit angekommen.

Ziele der KI-Verordnung

Die KI-Verordnung hat mehrere Ziele:

  1. Schutz der Grundrechte: Sie soll sicherstellen, dass KI-Systeme die Würde, Privatsphäre und andere Grundrechte von Menschen respektieren und keine Diskriminierung, Manipulation oder anderweitigen Schaden verursachen.
  1. Vertrauensbildung: Die Verordnung zielt darauf ab, das Vertrauen der Menschen in KI-Systeme zu stärken. Es soll eine Überwachung der Systeme durch die Menschen erfolgen, wodurch die Transparenz, Rechenschaftspflicht und Verständlichkeit gefördert werden. Das bedeutet, dass KI-Systeme verständlich und erklärbar sein sollten.
  1. Förderung von Innovation und Wettbewerbsfähigkeit: Die Verordnung soll die europäische Wirtschaft unterstützen, indem sie einen einheitlichen Rechtsrahmen für den Einsatz von KI in der EU schafft. Unternehmen sollen ermutigt werden, KI-Technologien zu entwickeln und einzusetzen.

Was regelt die KI-Verordnung?

Die KI-Verordnung regelt den Umgang mit KI-Systemen je nach Risikoklasse. Je höher das Risiko eines KI-Systems, umso höher die Anforderungen und Pflichten an das jeweilige KI-System. Grundsätzlich wird zwischen vier verschiedenen Risikoklassen unterschieden:

  • Minimales Risiko: Die meisten KI-Systeme fallen in diese Kategorie. Anwendungen mit minimalem Risiko wie Empfehlungssysteme oder Spam-Filter erhalten einen Freifahrtschein und haben keine weiteren Verpflichtungen. Unternehmen können sich jedoch freiwillig zu zusätzlichen Verhaltenskodizes verpflichten.
  • Begrenztes Risiko: KI-Systeme, die ein begrenztes Risiko aufweisen, sind solche, die mit Menschen interagieren. Hierunter fallen u.a. Emotionserkennungssysteme oder auch biometrische Kategorisierungssysteme. Unternehmen müssen sicherstellen, dass eine ausreichende Information gegenüber den Anwendern erfolgt, d.h. die Informationspflicht muss erfüllt sein.
  • Hohes Risiko: KI-Systeme, die als risikoreich eingestuft werden, müssen strenge Anforderungen erfüllen, um Risiken zu minimieren. Das beinhaltet beispielsweise die Sicherstellung einer hohen Datenqualität, Protokollierung der Aktivitäten, ausführliche Dokumentation, klare Benutzerinformationen, menschliche Aufsicht und hohe Robustheit, Genauigkeit und Cybersicherheit. Hierunter fallen auch die kritischen Infrastrukturen wie Wasserversorgung, Gas- und Stromversorgung, medizinische Geräte, Zugangssysteme zu Bildungseinrichtungen oder Personalrekrutierungssysteme.
  • Inakzeptables Risiko: KI-Systeme, die eine eindeutige Bedrohung für Grundrechte darstellen, sind verboten. Dazu gehören Systeme, die menschliches Verhalten manipulieren, gefährliche Handlungen von Minderjährigen fördern oder „soziales Scoring“ ermöglichen. Auch bestimmte Anwendungen der vorausschauenden Polizeiarbeit oder biometrische Systeme zur Erkennung von Emotionen am Arbeitsplatz sind verboten. Systeme in den Bereichen Strafverfolgung, Grenzkontrolle, Rechtspflege und demokratische Prozesse sowie biometrische Identifizierungssysteme und auch solche Systeme, die die altersbedingten oder krankheitsbedingten Schwächen von bestimmten Personengruppen erkennen, tragen ein inakzeptables Risiko inne.

Des Weiteren enthält die Verordnung auch spezifische Transparenzanforderungen. Bei der Nutzung von KI-Systemen wie Chatbots sollten die Nutzer wissen, dass sie mit einer Maschine interagieren. KI-generierte Inhalte wie Deep Fakes müssen als solche kenntlich gemacht werden. Zudem müssen Anbieter sicherstellen, dass synthetische Audio-, Video-, Text- und Bildinhalte als künstlich erzeugt oder manipuliert erkennbar sind.

Neuerungen

Es gibt einige neue Regelungen, die eingeführt wurden. Dazu gehören bestimmte Pflichten zur Dokumentation, Governance und zum Risikomanagement. Außerdem wird sichergestellt, dass menschliche Kontrollinstanzen vorhanden sind.

Eine wichtige Neuerung ist die verpflichtende Durchführung einer Prüfung, ob die Grundrechte gewahrt werden. Diese Prüfung ähnelt der Datenschutz-Folgenabschätzung und dient dazu, negative Auswirkungen auf Grundrechte durch den Einsatz von KI besser zu erkennen, zu bewerten und zu verhindern. Darüber hinaus erhalten diejenigen, die von KI-Systemen betroffen sind, ein gesetzliches Recht auf Beschwerde und Auskunft bei Entscheidungen, die von KI-Systemen getroffen werden. Dies ergänzt die bereits bestehenden datenschutzrechtlichen Informationspflichten im Rahmen der Datenschutz-Grundverordnung (DSGVO) bei automatisierter Entscheidungsfindung.

Der Anwendungsbereich der KI-Verordnung: Welche Unternehmen sind betroffen?

Die Umsetzung der Verordnung bringt neue Anforderungen und Pflichten für Unternehmen mit sich, je nach Risikoklasse ihrer KI-Systeme. Unternehmen müssen zunächst ihre KI-Systeme identifizieren und klassifizieren. Es gibt auch bereits andere gesetzliche Vorgaben für den Einsatz von KI, wie Datenschutz, Urheberrecht und Schutz von Geschäftsgeheimnissen, die beachtet werden sollten.

Schlüsselbestimmungen der KI-Verordnung: Transparenz und Verantwortlichkeit bei Datenverarbeitung

Eine der Schlüsselbestimmungen der KI-Verordnung ist die Transparenz und Verantwortlichkeit bei der Datenverarbeitung durch KI-Systeme. Unternehmen, die solche Systeme einsetzen oder anbieten, müssen sicherstellen, dass ihre Entscheidungen und Prozesse nachvollziehbar und gesetzeskonform sind. Dies erfordert eine umfangreiche Dokumentation und regelmäßige Überwachung. Die Verordnung schafft jedoch auch einheitliche Standards für den Umgang mit personenbezogenen Daten und stärkt das Vertrauen der Verbraucher.

Sanktionen bei Verstößen gegen die KI-Verordnung

Bei Verstößen drohen hohe Bußgelder von bis zu 40 Millionen Euro oder bis zu sieben Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres. Unternehmen sollten daher das weitere Verfahren beobachten und sich frühzeitig mit den auf sie zukommenden Pflichten auseinandersetzen.

Wann tritt die KI-Verordnung in Kraft?

Die KI-Verordnung wurde am 8. Dezember 2023 politisch vereinbart. Der Text des AI Acts wird derzeit finalisiert und muss noch vom Europäischen Parlament und vom Rat angenommen werden. Es wird einen Übergangszeitraum geben, bevor die Verordnung in Kraft tritt. Die Europäische Kommission wird zudem einen KI-Pakt ins Leben rufen, um KI-Entwickler dazu zu ermutigen, die wichtigsten Verpflichtungen des Gesetzes vor Ablauf der Fristen freiwillig umzusetzen.

Die genauen Regelungen der KI-Verordnung werden erst nach ihrer Verabschiedung bekannt sein. Die Verordnung soll grundsätzlich zwei Jahre nach ihrem Inkrafttreten anwendbar sein. Einige Bestimmungen könnten jedoch früher anwendbar sein.

Da es sich um eine Verordnung handelt, gelten die darin enthaltenen Regeln unmittelbar in allen EU-Mitgliedstaaten, ohne dass sie in nationales Recht umgesetzt werden müssen.

Herausforderungen im Zusammenhang mit dem Datenschutz durch die KI-Verordnung

Die Umsetzung der Verordnung bringt einige Herausforderungen mit sich. Es kann schwierig sein, alle Anforderungen zu erfüllen und sich an die neuen Vorschriften anzupassen. Auch die Überwachung und Durchsetzung der Regelungen kann eine Herausforderung sein. Es liegt nun an Unternehmen und Einzelpersonen, Verantwortung zu übernehmen und sicherzustellen, dass KI-Systeme transparent und datenschutzkonform betrieben werden.

Fazit: Eine starke Grundlage für den Schutz unserer Privatsphäre

Die KI-Verordnung bietet eine starke Grundlage zum Schutz unserer Privatsphäre. Unternehmen müssen bestimmte Anforderungen und Regeln einhalten, andernfalls drohen ihnen Sanktionen. Die Verordnung legt Wert auf Transparenz und Rechenschaftspflicht bei der Datenverarbeitung und stärkt so das Vertrauen der Verbraucher. Obwohl es noch Herausforderungen gibt, ermutigen uns die Fortschritte in diesem Bereich. Wir hoffen, dass die Europäische Kommission und das Europäische Parlament weiterhin zusammenarbeiten, um sicherzustellen, dass unsere Privatsphäre geschützt bleibt und wir uns bei der Nutzung von KI sicher fühlen können.

 

UPDATE

EU-Parlament stimmt für KI-Verordnung

Das Europäische Parlament hat am 13.03.24 der neuen Verordnung über künstliche Intelligenz (KI) in der EU zugestimmt. Die Verordnung erlaubt den Einsatz biometrischer Gesichtserkennung in der EU. In anderen Bereichen haben Behörden und Unternehmen jedoch weiterhin große Freiheiten. Ursprünglich wollte das EU-Parlament die Grundrechte besser schützen, stimmte aber schließlich dem Kompromiss zu. Mit dieser Regelung will die Europäische Union künftig den Standard für KI-Anwendungen setzen. Die Abgeordneten stimmten mit großer Mehrheit für den Gesetzestext. 523 Abgeordnete stimmten dafür, 46 dagegen. Der Kompromiss war bereits im Dezember letzten Jahres nach langen und schwierigen Verhandlungen mit den EU-Mitgliedstaaten ausgehandelt worden. Damit ist der Weg frei für das Gesetz, das voraussichtlich noch in diesem Jahr in Kraft treten wird.

Drei Jahre lang hat das Europäische Parlament an dem Gesetz gearbeitet. Die Diskussion um die endgültigen Regeln wurde zu einer der größten Lobbyschlachten in Brüssel. Große Technologieunternehmen wie Google und Microsoft haben viel Geld investiert, um ihre Interessen zu verteidigen.

Das Gesetz soll Regeln für Unternehmen und Behörden festlegen, die KI-Technologien entwickeln und einsetzen. Je risikoreicher eine Anwendung ist, desto strenger sind die Anforderungen, etwa an die Datenqualität oder an Risikobewertungen. Bestimmte Anwendungen sollen sogar ganz verboten werden, wie zum Beispiel Social Scoring.

Basis-Modelle umstritten

Umstritten waren auch die Basismodelle von KI-Systemen wie das Sprachmodell GPT-4. Einige wollten, dass auch für diese Modelle strenge Regeln gelten. Doch es gab Widerstand, vor allem aus Deutschland und Frankreich. Sie wollten verhindern, dass das Gesetz auch für Basismodelle gilt.

Schutz sieht anders aus

Die Schlussverhandlungen im Dezember waren sehr schwierig. Es ging um grundsätzliche Fragen der Grund- und Freiheitsrechte in der EU. Einige Bestimmungen wurden stark verwässert. So gibt es beispielsweise kein Verbot von biometrischer Überwachung und Lügendetektoren. Auch Menschen auf der Flucht werden kaum geschützt. Trotz dieser Zugeständnisse war unklar, ob das Gesetz am Widerstand Frankreichs und Deutschlands scheitern könnte. Doch Anfang Februar stimmte der Rat zu, am Mittwoch auch das Parlament.

Wie geht es jetzt weiter?

Die neuen Regeln werden in wenigen Monaten in Kraft treten. Die meisten Regeln werden in zwei Jahren wirksam, aber einige Verbote könnten schon in sechs Monaten in Kraft treten.

Jetzt sind die Mitgliedstaaten am Zug. Sie können strengere Regeln als die EU-Vorgaben erlassen, zum Beispiel bei der biometrischen Kontrolle. In Deutschland haben die Regierungsparteien angekündigt, zumindest keine Echtzeitüberwachung zuzulassen.

Einige Organisationen fordern Nachbesserungen am Gesetz. Sie kritisieren, dass bestimmte Bereiche wie Strafverfolgung und Migration nicht transparent sein sollen, wenn sie riskante KI-Systeme einsetzen. Es bleibt abzuwarten, wie sich das Gesetz in der Praxis auswirken wird.

 

UPDATE

Am 13. März 2024 wurde das „Gesetz über künstliche Intelligenz“ (KI-Gesetz) oder auch KI-Verordnung (KI-VO) vom Europäischen Parlament verabschiedet. Nur noch die Zustimmung des EU-Ministerrats steht aus, die Anfang Mai erwartet wird. Möglicherweise werden noch einige kleinere Anpassungen des Gesetzestextes nach den vorangegangenen Beratungen im Ministerrat vorgenommen.

Nach der Zustimmung des EU-Ministerrats tritt das Gesetz 20 Tage nach seiner Veröffentlichung im EU-Amtsblatt in Kraft.

Die Umsetzungsfristen sind in Artikel 113 des KI-Gesetzes festgelegt:

Das Verbot von KI-Systemen, die unzumutbare Risiken darstellen, tritt bereits 6 Monate nach Inkrafttreten in Kraft.

Governance-Vorschriften und Transparenzanforderungen für KI-Systeme mit „allgemeinem Verwendungszweck“ müssen innerhalb von 12 Monaten eingehalten werden.

Die meisten anderen Bestimmungen sind 24 Monate nach Inkrafttreten anzuwenden, abgesehen von den speziellen Anforderungen für Hochrisiko-KI-Systeme, die erst nach 36 Monaten gelten.

Ähnlichkeiten zwischen dem KI-Gesetz und der Datenschutz-Grundverordnung (DSGVO)

Auf den ersten Blick zeigen das KI-Gesetz und die DSGVO einige Parallelen:

  • Direkte Anwendbarkeit: Beide Gesetze sind unmittelbar anwendbar und müssen nicht erst in nationales Recht umgesetzt werden, im Gegensatz zu europäischen Richtlinien.
  • Anwendungsbereich: Der räumliche Anwendungsbereich des KI-Gesetzes ist ähnlich weit wie der der DSGVO.
  • Aufsicht: Es sollen Aufsichtsbehörden eingerichtet werden, ähnlich wie im Datenschutz.
  • Bußgelder: Die Sanktionen sind vergleichbar mit denen der DSGVO, jedoch mit höheren Höchstwerten.

Der EU folgt mit dem KI-Gesetz wie bei der DSGVO das Ziel, weltweit einen Regulierungsstandard zu setzen.

Risikobasierter Ansatz des KI-Gesetzes

Das KI-Gesetz verfolgt eine rein risikobasierte Strategie. Je nach Kategorie gelten verschiedene Anforderungen:

  • Inakzeptables Risiko: Bestimmte Praktiken sind vollständig verboten.
  • Hohes Risiko: Eine Vielzahl von Vorschriften regeln Hochrisiko-Systeme.
  • Geringes Risiko: Für KI-Systeme mit geringem Risiko gelten Transparenzpflichten.
  • Minimales Risiko: Verbleibende Systeme unterliegen keinen Einschränkungen. KI-Systeme mit „allgemeinem Verwendungszweck“ haben spezielle Anforderungen im KI-Gesetz.

Wesentlicher Unterschied zwischen KI-Gesetz und DSGVO

Obwohl beide Gesetze einen risikobasierten Ansatz verfolgen, berücksichtigt die DSGVO verschiedene Interessen bei der Zulässigkeit einer Verarbeitung, während das KI-Gesetz hauptsächlich als Produkthaftungsgesetz gestaltet ist.

Die Nichtberücksichtigung anderer Aspekte als das Risiko ist die größte Schwäche des KI-Gesetzes. Kritiker bemängeln, dass der allgemeine Nutzen für die Gesellschaft nicht ausreichend berücksichtigt wird.

Strukturierte Darstellung des Gesetzestextes

Um den Zugang zum Gesetzestext zu erleichtern, sind alle Artikel, Erwägungsgründe und Anhänge des KI-Gesetzes in strukturierter Form auf folgender Website verfügbar:

https://ai-act-law.eu/de/

Zukünftige Aktualisierungen und Ausführungsbestimmungen werden ebenfalls berücksichtigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert