Basics der KI-Verordnung (KI-Vo) auf einem Blick.
Die Einführung und Anwendung von künstlicher Intelligenz (KI) in Unternehmen stellen zahlreiche Herausforderungen für den Datenschutz dar. Eine wesentliche Rolle spielt hierbei die KI-Verordnung (auch bekannt als der “AI Act” oder KI-Vo) der Europäischen Union, die voraussichtlich bedeutende Auswirkungen auf den Einsatz von KI in der EU haben wird.
KI-Verordnung – Timeline
- 01.August 2024: KI-Verordnung in kraft getreten
- 02.August 2025: Anwendbarkeit der allgemeinen Bestimmungen und verbotene AI-Praktiken
- 02.August 2025: Anwendbarkeit von Regelungen zu Behörden, GPAI
- 02.August 2026: Anwendbarkeit aller weiteren Verpflichtungen
- 02.August 2027: Anwendbarkeit der Verpflichtungen auf andere AI-Systeme mit hohem Risiko
KI-Verordnung (KI-Vo / AI Act) und Datenschutz gehören zusammen
Die KI-Verordnung zielt darauf ab, einheitliche Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der EU zu schaffen. Sie definiert verschiedene Risikokategorien für KI-Systeme, von minimalem bis hin zu inakzeptablem Risiko. Insbesondere KI-Systeme, die als “hochriskant” eingestuft werden, unterliegen strengen Anforderungen in Bezug auf Transparenz, Sicherheit und Überwachung.
Ein zentrales Thema im Kontext der KI-Verordnung ist der Datenschutz.
KI-Systeme verarbeiten oft große Mengen personenbezogener Daten, um Muster zu erkennen und Vorhersagen zu treffen. Dies kann erhebliche Risiken für die Privatsphäre der betroffenen Personen mit sich bringen, insbesondere wenn Daten unsachgemäß verwendet oder gespeichert werden.
Die Rolle des Datenschutzbeauftragten oder -Berater
Die Datenschutz-Grundverordnung (DS-GVO) schreibt vor, dass Unternehmen, die regelmäßig große Mengen personenbezogener Daten verarbeiten, einen Datenschutzbeauftragten (DSB) benennen müssen. Dieser hat die Aufgabe, die Einhaltung der Datenschutzbestimmungen innerhalb des Unternehmens zu überwachen und sicherzustellen.
Angesichts der KI-Verordnung wird der Datenschutzbeauftragte oder der Datenschutzberater eine zentrale Rolle bei der Bewertung und Überwachung von KI-Systemen spielen.
Zu den Aufgaben eines Datenschutzbeauftragten (DSB) gehören u.a.:
-
Prüfung von KI-Systemen auf Datenschutzkonformität:
Datenschutzbeauftragte oder Datenschutzberater müssen sicherstellen, dass die eingesetzten KI-Systeme den Anforderungen der DS-GVO und der KI-Verordnung (KI-Vo) entsprechen. Dies beinhaltet auch die Durchführung von Datenschutz-Folgenabschätzungen (DPIAs) für hochriskante KI-Systeme.
- Überwachung der Datenverarbeitung:
Unternehmer und DSB oder der Berater müssen überwachen, wie personenbezogene Daten von KI-Systemen im unternehmen verarbeitet werden, um sicherzustellen, dass keine unrechtmäßige oder übermäßige Datenverarbeitung stattfindet.
- Beratung bei der Implementierung von KI-Systemen:
Der DSB oder Berater sollte bereits in der Planungsphase von KI-Projekten eingebunden werden, um datenschutzfreundliche Lösungen zu fördern (Privacy by Design).
- Schulung und Sensibilisierung:
Unternehmer und DSB sind gemeinsam dafür verantwortlich, das Bewusstsein für datenschutzrechtliche Anforderungen bei den Mitarbeitenden zu schärfen, insbesondere in Bezug auf den Einsatz von KI.
-
Zusammenarbeit mit Aufsichtsbehörden:
Der DSB muss gegebenenfalls mit den Datenschutzaufsichtsbehörden zusammenarbeiten, insbesondere wenn es zu datenschutzrechtlichen Vorfällen im Zusammenhang mit KI kommt.
Fazit
Die KI-Verordnung wird voraussichtlich erhebliche Auswirkungen auf den Einsatz von KI in Unternehmen haben, insbesondere in Bezug auf den Datenschutz. Der Datenschutzbeauftragte wird eine entscheidende Rolle bei der Sicherstellung der Einhaltung dieser neuen Vorschriften spielen. Unternehmen sollten daher sicherstellen, dass ihre Datenschutzbeauftragten gut auf die Herausforderungen im Zusammenhang mit KI vorbereitet sind und eng in alle Prozesse rund um die Einführung und Nutzung von KI-Systemen eingebunden werden.
Hier erfahren Sie mehr über die KI-Verordnung.