AI Act und Datenschutz

AI Act DSEV

Seit kurzem hat Europa ein Regelwerk zum Einsatz Künstlicher Intelligenz. Was im AI Act steht und wie das Gesetz aus Datenschutzsicht zu bewerten ist.

Europa ist der erste Wirtschaftsraum, der den Einsatz Künstlicher Intelligenz reguliert. Der Staatenverbund nimmt damit eine Vorreiterrolle ein und wird wohl einen globalen Standard setzen. Rund drei Jahre haben die Beratungen gedauert. Nun steht der AI Act und kann in Kraft treten. Doch was steht im AI Act und wie ist das Gesetz aus Datenschutz-Sicht zu bewerten?

Bisher agierten die Anbieter von Systemen und Anwendungen Künstlicher Intelligenz „im rechtsfreien Raum“. Was KI darf und was nicht, war weitgehend unreguliert. Das galt beispielsweise auch für den Microsoft 365 Copilot, für den es aus datenschutzrechtlicher Sicht zwar grünes Licht gibt, der aber dennoch für einen DSGVO-konformen Einsatz Konventionen eingehalten muss.

Diese Unklarheit schließt die EU nun mit dem AI Act.

Was ist der AI Act?

Mit dem Artificial Intelligence Act (AIA) hat die EU den Rahmen für ein Gesetz zur Regulierung Künstlicher Intelligenz geschaffen.

Die wesentlichen Eckpunkte:

  • KI-Systeme werden in verschiedene Risikogruppen eingeteilt. Je höher die potenziellen Gefahren, desto höher die Risikogruppe der Anwendungen.
  • Automatische Kategorisierungssysteme, die sensible Merkmale etwa über politische, religiöse, philosophische Überzeugungen, die sexuelle Orientierung oder zur ethnischen Herkunft verwenden, werden grundsätzlich verboten.
  • Für die Strafverfolgungsbehörden kann es im Einzelfall Ausnahmen geben.

Im Wesentlichen teilt der AI Act die Anwendungen künstlicher Intelligenz in drei Bereiche ein, die unterschiedlich reguliert werden:

1. Anwendungen und Systeme, die die ein inakzeptables Risiko darstellen

Anwendungen und Systeme, die die ein inakzeptables Risiko darstellen, werden verboten. Dazu zählen laut EU-Kommission alle KI-Systeme, die als eindeutige Bedrohung für die Sicherheit, den Lebensunterhalt und die Rechte von Menschen angesehen werden. Auch Spielzeuge, die Sprachhilfe verwenden, die gefährliches Verhalten fördern und Systeme, welche die soziale Bewertung durch Regierungen ermöglichen fallen hierunter. Ein Beispiel dafür ist Social Scoring, wie es in China eingesetzt wird. Die chinesische Regierung überwacht die Bevölkerung im öffentlichen Raum und vergibt Punkte für gutes und schlechtes Verhalten. Diese Punkte haben dann Auswirkungen beispielsweise auf den Zugang zu sozialen Sicherungssystemen.

Verboten wird auch Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Diese Systeme verraten beispielweise, ob jemand gelangweilt dreinschaut oder abgelenkt ist.

2. Anwendungen und Systeme mit hohem Risiko

Anwendungen und Systeme mit hohem Risiko werden streng reguliert. Darunter fallen beispielsweise KI-Systeme, die in der kritischen Infrastruktur eingesetzt werden. Also etwa dem Verkehrssektor oder der Energiewirtschaft. Weiter werden biometrische Identifizierungssysteme streng reguliert. Genauso wie solche, die eine Bewertung von Personen vornehmen. Sei es beim Scannen von Lebensläufen möglicher BewerberInnen oder der Kreditwürdigkeit von Bankkunden. All diese Systeme unterliegen strengen Verpflichtungen, bevor sie auf den Markt gebracht werden können.Auch die Strafverfolgung darf nicht alles, was möglich ist, umsetzen. Vorausschauende Polizeiarbeit, die auf Basis von Profilerstellung vorhersagt, ob jemand möglicherweise eine Straftat begehen könnte, bleibt verboten. In Einzelfällen darf die Polizei aber via Gesichtserkennung nach SträfterInnen fanden. Auch eine Echtzeit-Identifikation, etwa bei der Suche nach vermissten Personen oder zur Vereitelung von terroristischen Straftaten ist im Einzelfall erlaubt.

3. Begrenztes Risiko

Ein begrenztes Risiko bezieht sich auf die Risiken, die mit mangelnder Transparenz bei der KI-Nutzung verbunden sind. So sollten zum Beispiel Menschen, die mit einem Chatbot interagieren darauf aufmerksam gemacht werden, dass sie nicht mit einem Menschen, sondern mit einer Maschine sprechen. So können sie entscheiden, ob sie das möchten, oder lieber nicht. 

4. Alle weiteren Anwendungen und Systeme

Alle anderen Anwendungen, die nicht ausdrücklich verboten sind oder als risikoreich eingestuft werden, bleiben weitgehend unreguliert.

Rechte und Strafen

Neben den Bestimmungen welche Anwendung verboten oder reguliert werden, regelt der AI Act auch, welche Rechte Bürgerinnen und Bürger gegenüber Anwendungen künstlicher Intelligenz haben. So erhält die Bevölkerung das Recht, Beschwerden über KI-Systeme einzureichen. Außerdem müssen Entscheidungen, die auf Basis von KI-Systemen getroffen wurden, erklärt werden. Etwa, warum eine Lebens- oder Krankenversicherung nicht abgeschlossen wurde.

Um Verstöße zu ahnden und präventiv abzuschrecken, müssen Hersteller und Anbieter von KI-Systemen ähnlich wie bei der DSGVO mit hohen Strafen rechnen, wenn sie gegen das Gesetz verstoßen: Bußgelder von bis zu 30 Millionen Euro bzw. bis zu 6% des weltweiten Jahresumsatzes sind vorgesehen.

AI Act und Datenschutz

Eine KI braucht, um zu lernen, Daten. Doch die Grenzen, welche die DSGVO aufzeigt, müssen eingehalten werden. Der AI Act wird die Datenschutzvorgaben der DSGVO nicht ersetzen, sondern stellt eine zusätzliche Regulierung dar.

© 2024 DSEV

DSEV Consulting & Akademie GmbH hat 4,67 von 5 Sternen 121 Bewertungen auf ProvenExpert.com
Navigation