Die KI-Verordnung der EU

In der KI-VO wird ein risikobasierter Ansatz verfolgt. KI-Praktiken, die mit fundamentalen Werten der EU nicht vereinbar sind und ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, werden verboten. Darunter fällt beispielsweise das sogenannte „Social Scoring“, die Bewertung natürlicher Personen auf Grundlage ihres Sozialverhaltens, aber auch die Erstellung von Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet.

KI-Systeme in bestimmten anderen Bereichen werden als mit hohem Risiko behaftet klassifiziert. Das umfasst etwa KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden, aber auch solche KI-Systeme, die zur biometrischen Fernidentifizierung oder bei der Prüfung von Asylanträgen zum Einsatz kommen. Für solche Hochrisiko-KI-Systeme gelten spezifische Anforderungen, beispielsweise an die Qualität der verwendeten Daten, die Genauigkeit, die Robustheit und die Cybersicherheit. Zusätzlich muss es für Hochrisiko-KI-Systeme eine technische Dokumentation, eine Protokollierungsfunktion und ein Risikomanagement geben. Weitere Anforderungen sind Transparenz und menschliche Aufsicht.

Bestimmte Transparenzanforderungen müssen auch von KI-Systemen, die mit natürlichen Personen interagieren, Emotionserkennungssystemen, biometrischen Kategorisierungssystemen und KI-Systemen mit allgemeinem Verwendungszwecke erfüllt werden. KI-Systeme, die nur mit geringen Risiken verbunden sind, sind nicht von der KI-VO betroffen. Das bedeutet allerdings nicht, dass für diese KI-Systeme keine Gesetze gelten. KI befand sich auch vor der KI-VO nicht in einem rechtsfreien Raum. Die DSGVO ist technologieneutral und gilt insbesondere auch für KI-Systeme, das wird auch mit der KI-VO weiterhin der Fall sein. Die KI-VO ergänzt bestehende rechtliche Vorgaben. Wegen der hohen Komplexität von KI-Systemen und der im Vergleich zu herkömmlicher Software geringeren Nachvollziehbarkeit und Transparenz sind die KI-spezifischen Vorgaben aus der KI-VO für den Schutz der Grundrechte sinnvoll. Auch die Datenschutzaufsichtsbehörden erhalten durch die KI-VO neue Aufgaben und Befugnisse.

Informationen, Befugnisse und Aufgaben für Datenschutzaufsichtsbehörden

Als für den Schutz der Grundrechte zuständige Behörden erhalten sie Zugriff auf für die Erfüllung ihrer Aufgaben erforderliche Dokumente, die zur Einhaltung der KI-VO erstellt werden müssen. Bei ihren bestehenden Aufsichtstätigkeiten werden die Datenschutzaufsichtsbehörden zudem unterstützt, indem sie, falls erforderlich, technische Untersuchungen durch die Marktüberwachungsbehörden für KI anfragen können. Außerdem sind sie von diesen über Meldungen schwerwiegender Vorkommnisse zu informieren. Einige Hochrisiko-KI-Systeme müssen grundsätzlich von den Anbietenden in einer EU-Datenbank registriert werden. Diese Registrierungen sind in bestimmten Fällen nicht öffentlich, die Datenschutzaufsichtsbehörden dürfen diese aber einsehen.

Bei der Aufsicht über staatliche Strafverfolgungsbehörden ist eine weitere Ergänzung vorgesehen. So muss auf Nachfrage die Dokumentation der Anwendung biometrischer Fernidentifizierungssysteme gegenüber der zuständigen Datenschutzaufsichtsbehörde offengelegt werden. Zudem müssen den Datenschutzaufsichtsbehörden zusammengefasste Jahresberichte über die Verwendung von biometrischen Fernidentifizierungssystemen vorgelegt werden.

Eine weitere Aufgabe für die Datenschutzaufsichtsbehörden ergibt sich im Rahmen der Reallabore, die in der KI-VO zur Innovationsförderung vorgesehen sind. Reallabore sollen eine kontrollierte Umgebung bieten, die die Entwicklung, das Training, das Testen und die Validierung innovativer KI-Systeme für einen begrenzten Zeitraum erleichtert. Wenn in einem solchen Reallabor personenbezogene Daten verarbeitet werden, sind die Datenschutzaufsichtsbehörden einzubeziehen.

Diese Aspekte ergänzen bereits bestehende Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde und stärken den Schutz der Grundrechte und die Einhaltung des Datenschutzes. Der BfDI begrüßt diese Änderungen und freut sich auf die neuen Aufgaben.
Grundsätzlich bleibt die Zuständigkeit der Datenschutzaufsichtsbehörden für den Datenschutz aber von der KI-VO unberührt. Bei Beschwerden über Datenschutzverletzungen im Zusammenhang mit KI-Systemen sind weiterhin die Datenschutzaufsichtsbehörden die zuständigen Ansprechpartner. Bürgerinnen und Bürger können entsprechende Beschwerden an die für sie bereits zuständige Datenschutzaufsichtsbehörde richten.

Aufsichtsstrukturen für die KI Aufsicht

Die KI-VO beinhaltet allerdings auch umfassende neue Regeln für KI. Die Aufsicht über die Einhaltung dieser Vorgaben ist grundsätzlich nach Sektoren aufgeteilt. Für einige KI-Systeme wird die Zuständigkeit bei der EU Kommission liegen, die dafür ein Büro für KI einrichtet. Dieses wird KI-Modelle mit allgemeinem Verwendungszweck und KI-Systeme mit allgemeinem Verwendungszweck, die auf einem Modell desselben Anbieters basieren, beaufsichtigen. Darunter fallen zum Beispiel Chatbots, die auf einem großen Sprachmodell (engl. Large Language Model) des gleichen Herstellers beruhen.

Für Hochrisiko-KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden für die es bereits EU Produktregulierungen gibt, werden die dafür zuständigen Marktüberwachungsbehörden der Mitgliedstaaten auch die Einhaltung der zusätzlichen Vorgaben aus der KI-VO durchsetzen. Für den Finanzbereich sieht die KI-VO vor, dass die für die Finanzaufsicht zuständigen Behörden in diesem Bereich auch für die KI-VO zuständig sind. Für Hochrisiko-KI-Systeme, die im Bereich der Strafverfolgung, Migration, Asyl oder Grenzkontrolle, sowie bei der Rechtspflege und im Zusammenhang mit demokratischen Prozessen eingesetzt werden, sind die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden vorgesehen.

Ein spannender Aspekt und noch offen ist, welche nationalen Behörden die Aufsicht über die KI-Systeme mit allgemeinem Verwendungszweck haben werden, die nicht unter die Zuständigkeit des Europäischen Büros für KI fallen. Außerdem ist nicht festgelegt, welche Behörden die Marktüberwachungsbehörden für die KI-Systeme zur biometrischen Fernidentifizierung oder Kategorisierung und zur Emotionserkennung sein werden. Auch die Zuständigkeiten für Hochrisiko-KI-Systeme in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung, Arbeitnehmermanagement, sowie Zugang zu und Inanspruchnahme grundlegender privater Dienstleistungen und grundlegender öffentlicher Dienste und Leistungen sind noch nicht festgelegt.  

Insgesamt sind die Aufsichtsstrukturen für KI sehr komplex. Insbesondere in Deutschland führt das föderale System zu einer besonders hohen Anzahl an Behörden, die in die KI-Aufsicht involviert sein werden. Damit es für Interessenträger dennoch nur einen zentralen Kontaktpunkt bei Anliegen im Kontext der KI-VO gibt, soll jeder Mitgliedstaat einen sogenannten Single-Point-of-Contact benennen. Dieser ist für Bürgerinnen und Bürger besonders relevant im Hinblick auf das Recht auf Einreichung einer Beschwerde bei einer Marktüberwachungsbehörde, da solche Beschwerden dann an diesen Single-Point-of-Contact gerichtet werden können. Zukünftig sollen zudem Verstöße gegen die KI-VO dort gemeldet werden. Welche Behörde diese Aufgabe in Deutschland übernehmen wird ist noch nicht festgelegt.

Ausblick

Die noch offenen Zuständigkeiten unterliegen jetzt einer Umsetzung auf nationaler Ebene. In engem Austausch mit den in Frage kommenden Behörden wird aktuell eine entsprechende Zuordnung ausgehandelt, die den jeweiligen Besonderheiten der einzelnen Bereiche entsprechen und eine möglichst reibungslose Zusammenarbeit der verschiedenen Stellen gewährleisten soll. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat dazu ein Positionspapier veröffentlicht.

Behörden und Firmen haben zunächst eine Übergangsfrist zur Umsetzung der Vorgaben aus der KI-VO. Die Verbote von KI-Praktiken, die ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, gelten bereits 6 Monate nach Inkrafttreten der KI-VO. Die übrigen Vorgaben werden nach einem bis drei Jahren gelten.

Bei einigen Aspekten lässt die KI-VO Raum für nationale Anpassungen. Der BfDI empfiehlt der Bundesregierung diese Möglichkeit im Kontext der biometrischen Fernidentifizierung zu nutzen und striktere nationale Verbote umzusetzen.