{"id":6699,"date":"2024-04-26T12:40:27","date_gmt":"2024-04-26T10:40:27","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6699"},"modified":"2024-04-26T12:38:15","modified_gmt":"2024-04-26T10:38:15","slug":"schluss-mit-datenmissbrauch-wie-die-ki-verordnung-unsere-privatsphaere-schuetzt","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/schluss-mit-datenmissbrauch-wie-die-ki-verordnung-unsere-privatsphaere-schuetzt\/","title":{"rendered":"Schluss mit Datenmissbrauch: Wie die KI-Verordnung unsere Privatsph\u00e4re sch\u00fctzt"},"content":{"rendered":"

Was ist die KI-Verordnung?<\/h2>\n

Die KI-Verordnung (Artificial Intelligence Act – AI Act)<\/strong> der Europ\u00e4ischen Union ist ein Gesetz, das klare Regeln und Anforderungen f\u00fcr Unternehmen festlegt, die KI-Systeme<\/strong> entwickeln oder nutzen. Das Ziel dieser Verordnung ist es, Missbrauch von Daten zu verhindern<\/strong> und unsere Privatsph\u00e4re zu sch\u00fctzen.<\/p>\n

KI, also k\u00fcnstliche Intelligenz, ist heute aus unserem Alltag nicht mehr wegzudenken. Es gibt viele unterschiedliche Anwendungen von KI, wie dem Streaming-Dienst<\/strong>, der uns auf Basis unserem bisherigen Nutzungsverhalten den n\u00e4chsten Film vorschl\u00e4gt, bis hin zu solchen, die einen gr\u00f6\u00dferen Einfluss auf unser Leben haben k\u00f6nnen, wie zum Beispiel KI-basierte Tools<\/strong>, die dar\u00fcber entscheiden, ob wir einen Kredit bekommen oder einen Job.<\/p>\n

Besonders seit der Ver\u00f6ffentlichung von ChatGPT<\/strong> ist die Diskussion \u00fcber K\u00fcnstliche Intelligenz in der breiten \u00d6ffentlichkeit angekommen.<\/p>\n

Ziele der KI-Verordnung<\/h3>\n

Die KI-Verordnung hat mehrere Ziele:<\/p>\n

    \n
  1. Schutz der Grundrechte:<\/strong> Sie soll sicherstellen, dass KI-Systeme die W\u00fcrde, Privatsph\u00e4re und andere Grundrechte von Menschen respektieren und keine Diskriminierung, Manipulation oder anderweitigen Schaden verursachen.<\/li>\n<\/ol>\n
      \n
    1. Vertrauensbildung:<\/strong> Die Verordnung zielt darauf ab, das Vertrauen der Menschen in KI-Systeme zu st\u00e4rken. Es soll eine \u00dcberwachung der Systeme durch die Menschen erfolgen, wodurch die Transparenz, Rechenschaftspflicht und Verst\u00e4ndlichkeit gef\u00f6rdert werden. Das bedeutet, dass KI-Systeme verst\u00e4ndlich und erkl\u00e4rbar sein sollten.<\/li>\n<\/ol>\n
        \n
      1. F\u00f6rderung von Innovation und Wettbewerbsf\u00e4higkeit:<\/strong> Die Verordnung soll die europ\u00e4ische Wirtschaft unterst\u00fctzen, indem sie einen einheitlichen Rechtsrahmen f\u00fcr den Einsatz von KI in der EU schafft. Unternehmen sollen ermutigt werden, KI-Technologien zu entwickeln und einzusetzen.<\/li>\n<\/ol>\n

        Was regelt die KI-Verordnung?<\/h3>\n

        Die KI-Verordnung regelt den Umgang mit KI-Systemen je nach Risikoklasse<\/strong>. Je h\u00f6her das Risiko eines KI-Systems, umso h\u00f6her die Anforderungen und Pflichten an das jeweilige KI-System. Grunds\u00e4tzlich wird zwischen vier verschiedenen Risikoklassen unterschieden:<\/p>\n

          \n
        • Minimales Risiko:<\/strong> Die meisten KI-Systeme fallen in diese Kategorie. Anwendungen mit minimalem Risiko wie Empfehlungssysteme oder Spam-Filter<\/strong> erhalten einen Freifahrtschein und haben keine weiteren Verpflichtungen. Unternehmen k\u00f6nnen sich jedoch freiwillig zu zus\u00e4tzlichen Verhaltenskodizes verpflichten.<\/li>\n<\/ul>\n
            \n
          • Begrenztes Risiko:\u00a0<\/strong>KI-Systeme, die ein begrenztes Risiko aufweisen, sind solche, die mit Menschen interagieren. Hierunter fallen u.a. Emotionserkennungssysteme<\/strong> oder auch biometrische Kategorisierungssysteme. Unternehmen m\u00fcssen sicherstellen, dass eine ausreichende Information gegen\u00fcber den Anwendern erfolgt, d.h. die Informationspflicht muss erf\u00fcllt sein.<\/li>\n<\/ul>\n
              \n
            • Hohes Risiko:<\/strong> KI-Systeme, die als risikoreich<\/strong> eingestuft werden, m\u00fcssen strenge Anforderungen erf\u00fcllen, um Risiken zu minimieren. Das beinhaltet beispielsweise die Sicherstellung einer hohen Datenqualit\u00e4t, Protokollierung der Aktivit\u00e4ten, ausf\u00fchrliche Dokumentation, klare Benutzerinformationen, menschliche Aufsicht und hohe Robustheit, Genauigkeit und Cybersicherheit.\u00a0Hierunter fallen auch die kritischen Infrastrukturen wie Wasserversorgung, Gas- und Stromversorgung, medizinische Ger\u00e4te, Zugangssysteme zu Bildungseinrichtungen oder Personalrekrutierungssysteme.<\/li>\n<\/ul>\n
                \n
              • Inakzeptables Risiko:<\/strong> KI-Systeme, die eine eindeutige Bedrohung f\u00fcr Grundrechte<\/strong> darstellen, sind verboten. Dazu geh\u00f6ren Systeme, die menschliches Verhalten manipulieren, gef\u00e4hrliche Handlungen von Minderj\u00e4hrigen f\u00f6rdern oder „soziales Scoring“ erm\u00f6glichen. Auch bestimmte Anwendungen der vorausschauenden Polizeiarbeit oder biometrische Systeme zur Erkennung von Emotionen am Arbeitsplatz sind verboten. Systeme in den Bereichen Strafverfolgung, Grenzkontrolle, Rechtspflege und demokratische Prozesse sowie biometrische Identifizierungssysteme und auch solche Systeme, die die altersbedingten oder krankheitsbedingten Schw\u00e4chen von bestimmten Personengruppen erkennen, tragen ein inakzeptables Risiko inne.<\/li>\n<\/ul>\n

                Des Weiteren enth\u00e4lt die Verordnung auch spezifische Transparenzanforderungen<\/strong>. Bei der Nutzung von KI-Systemen wie Chatbots<\/strong> sollten die Nutzer wissen, dass sie mit einer Maschine interagieren. KI-generierte Inhalte wie Deep Fakes<\/strong> m\u00fcssen als solche kenntlich gemacht<\/strong> werden. Zudem m\u00fcssen Anbieter sicherstellen, dass synthetische Audio-, Video-, Text- und Bildinhalte als k\u00fcnstlich erzeugt oder manipuliert erkennbar sind.<\/p>\n

                Neuerungen<\/h4>\n

                Es gibt einige neue Regelungen, die eingef\u00fchrt wurden. Dazu geh\u00f6ren bestimmte Pflichten zur Dokumentation, Governance und zum Risikomanagement<\/strong>. Au\u00dferdem wird sichergestellt, dass menschliche Kontrollinstanzen<\/strong> vorhanden sind.<\/p>\n

                Eine wichtige Neuerung ist die verpflichtende Durchf\u00fchrung einer Pr\u00fcfung, ob die Grundrechte gewahrt<\/strong> werden. Diese Pr\u00fcfung \u00e4hnelt der Datenschutz-Folgenabsch\u00e4tzung<\/strong> und dient dazu, negative Auswirkungen auf Grundrechte durch den Einsatz von KI besser zu erkennen, zu bewerten und zu verhindern. Dar\u00fcber hinaus erhalten diejenigen, die von KI-Systemen betroffen sind, ein gesetzliches Recht auf Beschwerde und Auskunft<\/strong> bei Entscheidungen, die von KI-Systemen getroffen werden. Dies erg\u00e4nzt die bereits bestehenden datenschutzrechtlichen Informationspflichten im Rahmen der Datenschutz-Grundverordnung (DSGVO) bei automatisierter Entscheidungsfindung<\/strong>.<\/p>\n

                Der Anwendungsbereich der KI-Verordnung: Welche Unternehmen sind betroffen?<\/h3>\n

                Die Umsetzung der Verordnung bringt neue Anforderungen und Pflichten f\u00fcr Unternehmen mit sich, je nach Risikoklasse ihrer KI-Systeme. Unternehmen m\u00fcssen zun\u00e4chst ihre KI-Systeme identifizieren und klassifizieren<\/strong>. Es gibt auch bereits andere gesetzliche Vorgaben f\u00fcr den Einsatz von KI, wie Datenschutz, Urheberrecht und Schutz von Gesch\u00e4ftsgeheimnissen<\/strong>, die beachtet werden sollten.<\/p>\n

                Schl\u00fcsselbestimmungen der KI-Verordnung: Transparenz und Verantwortlichkeit bei Datenverarbeitung<\/h3>\n

                Eine der Schl\u00fcsselbestimmungen der KI-Verordnung ist die Transparenz und Verantwortlichkeit bei der Datenverarbeitung<\/strong> durch KI-Systeme. Unternehmen, die solche Systeme einsetzen oder anbieten, m\u00fcssen sicherstellen, dass ihre Entscheidungen und Prozesse nachvollziehbar<\/strong> und gesetzeskonform<\/strong> sind. Dies erfordert eine umfangreiche Dokumentation<\/strong> und regelm\u00e4\u00dfige \u00dcberwachung<\/strong>. Die Verordnung schafft jedoch auch einheitliche Standards<\/strong> f\u00fcr den Umgang mit personenbezogenen Daten und st\u00e4rkt das Vertrauen der Verbraucher.<\/p>\n

                Sanktionen bei Verst\u00f6\u00dfen gegen die KI-Verordnung<\/h3>\n

                Bei Verst\u00f6\u00dfen drohen hohe Bu\u00dfgelder<\/strong> von bis zu 40 Millionen Euro<\/strong> oder bis zu sieben Prozent des gesamten weltweit erzielten Umsatzes<\/strong> des vorangegangenen Gesch\u00e4ftsjahres. Unternehmen sollten daher das weitere Verfahren beobachten und sich fr\u00fchzeitig<\/strong> mit den auf sie zukommenden Pflichten auseinandersetzen.<\/p>\n

                Wann tritt die KI-Verordnung in Kraft?<\/h3>\n

                Die KI-Verordnung wurde am 8. Dezember 2023 politisch vereinbart. Der Text des AI Acts wird derzeit finalisiert<\/strong> und muss noch vom Europ\u00e4ischen Parlament und vom Rat angenommen werden. Es wird einen \u00dcbergangszeitraum<\/strong> geben, bevor die Verordnung in Kraft tritt. Die Europ\u00e4ische Kommission wird zudem einen KI-Pakt<\/strong> ins Leben rufen, um KI-Entwickler dazu zu ermutigen, die wichtigsten Verpflichtungen des Gesetzes vor Ablauf der Fristen freiwillig umzusetzen.<\/p>\n

                Die genauen Regelungen der KI-Verordnung werden erst nach ihrer Verabschiedung<\/strong> bekannt sein. Die Verordnung soll grunds\u00e4tzlich zwei Jahre nach ihrem Inkrafttreten anwendbar sein. Einige Bestimmungen k\u00f6nnten jedoch fr\u00fcher anwendbar sein.<\/p>\n

                Da es sich um eine Verordnung handelt, gelten die darin enthaltenen Regeln unmittelbar in allen EU-Mitgliedstaaten<\/strong>, ohne dass sie in nationales Recht umgesetzt werden m\u00fcssen.<\/p>\n

                Herausforderungen im Zusammenhang mit dem Datenschutz durch die KI-Verordnung<\/h3>\n

                Die Umsetzung der Verordnung bringt einige Herausforderungen<\/strong> mit sich. Es kann schwierig sein, alle Anforderungen zu erf\u00fcllen und sich an die neuen Vorschriften anzupassen. Auch die \u00dcberwachung und Durchsetzung der Regelungen kann eine Herausforderung sein. Es liegt nun an Unternehmen und Einzelpersonen, Verantwortung zu \u00fcbernehmen und sicherzustellen, dass KI-Systeme transparent<\/strong> und datenschutzkonform<\/strong> betrieben werden.<\/p>\n

                Fazit: Eine starke Grundlage f\u00fcr den Schutz unserer Privatsph\u00e4re<\/h3>\n

                Die KI-Verordnung bietet eine starke Grundlage<\/strong> zum Schutz unserer Privatsph\u00e4re. Unternehmen m\u00fcssen bestimmte Anforderungen und Regeln einhalten, andernfalls drohen ihnen Sanktionen. Die Verordnung legt Wert auf Transparenz und Rechenschaftspflicht bei der Datenverarbeitung<\/strong> und st\u00e4rkt so das Vertrauen der Verbraucher. Obwohl es noch Herausforderungen gibt, ermutigen uns die Fortschritte in diesem Bereich. Wir hoffen, dass die Europ\u00e4ische Kommission und das Europ\u00e4ische Parlament weiterhin zusammenarbeiten, um sicherzustellen, dass unsere Privatsph\u00e4re gesch\u00fctzt bleibt<\/strong> und wir uns bei der Nutzung von KI sicher f\u00fchlen<\/strong> k\u00f6nnen.<\/p>\n

                 <\/p>\n

                UPDATE<\/h2>\n

                EU-Parlament stimmt f\u00fcr KI-Verordnung<\/h3>\n

                Das Europ\u00e4ische Parlament hat am 13.03.24<\/strong> der neuen Verordnung \u00fcber k\u00fcnstliche Intelligenz (KI) in der EU zugestimmt<\/strong>. Die Verordnung erlaubt den<\/strong> Einsatz biometrischer Gesichtserkennung<\/strong> in der EU. In anderen Bereichen haben Beh\u00f6rden und Unternehmen jedoch weiterhin gro\u00dfe Freiheiten. Urspr\u00fcnglich wollte das EU-Parlament die Grundrechte besser sch\u00fctzen, stimmte aber schlie\u00dflich dem Kompromiss zu. Mit dieser Regelung will die Europ\u00e4ische Union k\u00fcnftig den Standard f\u00fcr KI-Anwendungen setzen. Die Abgeordneten stimmten mit gro\u00dfer Mehrheit<\/strong> f\u00fcr den Gesetzestext. 523<\/strong> Abgeordnete stimmten daf\u00fcr<\/strong>, 46 dagegen<\/strong>. Der Kompromiss war bereits im Dezember letzten Jahres nach langen und schwierigen Verhandlungen mit den EU-Mitgliedstaaten ausgehandelt worden. Damit ist der Weg frei f\u00fcr das Gesetz, das voraussichtlich noch in diesem Jahr<\/strong> in Kraft treten wird.<\/p>\n

                Drei Jahre lang<\/strong> hat das Europ\u00e4ische Parlament an dem Gesetz gearbeitet. Die Diskussion um die endg\u00fcltigen Regeln wurde zu einer der gr\u00f6\u00dften Lobbyschlachten<\/strong> in Br\u00fcssel. Gro\u00dfe Technologieunternehmen wie Google und Microsoft<\/strong> haben viel Geld investiert, um ihre Interessen zu verteidigen.<\/p>\n

                Das Gesetz soll Regeln f\u00fcr Unternehmen und Beh\u00f6rden<\/strong> festlegen, die KI-Technologien entwickeln und einsetzen. Je risikoreicher<\/strong> eine Anwendung ist, desto strenger<\/strong> sind die Anforderungen, etwa an die Datenqualit\u00e4t oder an Risikobewertungen. Bestimmte Anwendungen sollen sogar ganz verboten werden, wie zum Beispiel Social Scoring<\/strong>.<\/p>\n

                Basis-Modelle umstritten<\/h3>\n

                Umstritten waren auch die Basismodelle von KI-Systemen<\/strong> wie das Sprachmodell GPT-4<\/strong>. Einige wollten, dass auch f\u00fcr diese Modelle strenge Regeln gelten. Doch es gab Widerstand<\/strong>, vor allem aus Deutschland und Frankreich. Sie wollten verhindern, dass das Gesetz auch f\u00fcr Basismodelle gilt.<\/p>\n

                Schutz sieht anders aus<\/h3>\n

                Die Schlussverhandlungen im Dezember waren sehr schwierig. Es ging um grunds\u00e4tzliche Fragen der Grund- und Freiheitsrechte<\/strong> in der EU. Einige Bestimmungen wurden stark verw\u00e4ssert<\/strong>. So gibt es beispielsweise kein Verbot von biometrischer \u00dcberwachung und L\u00fcgendetektoren<\/strong>. Auch Menschen auf der Flucht werden kaum gesch\u00fctzt. Trotz dieser Zugest\u00e4ndnisse war unklar, ob das Gesetz am Widerstand Frankreichs und Deutschlands scheitern k\u00f6nnte. Doch Anfang Februar stimmte der Rat zu, am Mittwoch auch das Parlament.<\/p>\n

                Wie geht es jetzt weiter?<\/h3>\n

                Die neuen Regeln werden in wenigen Monaten<\/strong> in Kraft treten. Die meisten Regeln werden in zwei Jahren wirksam, aber einige Verbote<\/strong> k\u00f6nnten schon in sechs Monaten<\/strong> in Kraft treten.<\/p>\n

                Jetzt sind die Mitgliedstaaten am Zug. Sie k\u00f6nnen strengere Regeln als die EU-Vorgaben<\/strong> erlassen, zum Beispiel bei der biometrischen Kontrolle. In Deutschland haben die Regierungsparteien angek\u00fcndigt, zumindest keine Echtzeit\u00fcberwachung<\/strong> zuzulassen.<\/p>\n

                Einige Organisationen fordern Nachbesserungen<\/strong> am Gesetz. Sie kritisieren, dass bestimmte Bereiche wie Strafverfolgung und Migration nicht transparent<\/strong> sein sollen, wenn sie riskante KI-Systeme einsetzen. Es bleibt abzuwarten, wie sich das Gesetz in der Praxis auswirken wird.<\/p>\n

                 <\/p>\n

                UPDATE<\/h2>\n

                Am 13. M\u00e4rz 2024 wurde das „Gesetz \u00fcber k\u00fcnstliche Intelligenz“ (KI-Gesetz)<\/strong> oder auch KI-Verordnung (KI-VO)<\/strong> vom Europ\u00e4ischen Parlament verabschiedet. Nur noch die Zustimmung des EU-Ministerrats steht aus, die Anfang Mai erwartet<\/strong> wird. M\u00f6glicherweise werden noch einige kleinere Anpassungen des Gesetzestextes<\/strong> nach den vorangegangenen Beratungen im Ministerrat vorgenommen.<\/p>\n

                Nach der Zustimmung des EU-Ministerrats tritt das Gesetz 20 Tage nach seiner Ver\u00f6ffentlichung<\/strong> im EU-Amtsblatt in Kraft<\/strong>.<\/p>\n

                Die Umsetzungsfristen sind in Artikel 113 des KI-Gesetzes festgelegt:<\/strong><\/p>\n

                Das Verbot von KI-Systemen, die unzumutbare Risiken<\/strong> darstellen, tritt bereits 6 Monate<\/strong><\/em> nach Inkrafttreten in Kraft.<\/p>\n

                Governance-Vorschriften und Transparenzanforderungen f\u00fcr KI-Systeme mit „allgemeinem Verwendungszweck“<\/strong> m\u00fcssen innerhalb von 12 Monaten<\/strong><\/em> eingehalten werden.<\/p>\n

                Die meisten anderen Bestimmungen sind 24 Monate<\/strong><\/em> nach Inkrafttreten anzuwenden, abgesehen von den speziellen Anforderungen f\u00fcr Hochrisiko-KI-Systeme<\/strong>, die erst nach 36 Monaten<\/strong><\/em> gelten.<\/p>\n

                \u00c4hnlichkeiten zwischen dem KI-Gesetz und der Datenschutz-Grundverordnung (DSGVO)<\/h3>\n

                Auf den ersten Blick zeigen das KI-Gesetz und die DSGVO einige Parallelen:<\/strong><\/p>\n