KI und Datenschutz: KI-Systeme rechtssicher nutzen
Einführung in Künstliche Intelligenz
Künstliche Intelligenz (KI) ist mittlerweile ein integraler Bestandteil des Unternehmensalltags, insbesondere in Bereichen wie Buchhaltung und Human Resources. Der rechtliche Rahmen für Künstliche Intelligenz wird durch den am 1. August 2024 in Kraft getretenen AI Act definiert. Dieser enthält in Artikel 3, Nummer 1, die erste rechtliche Definition von KI. Ein KI-System muss demnach sieben Merkmale aufweisen:
- Maschinengestütztes System
- Autonomer Betrieb (in unterschiedlichem Grad)
- Anpassungsfähigkeit
- Explizite oder implizite Ziele
- Fähigkeit zur Ableitung (Inferenz)
- Generierung von Ausgaben
- Beeinflussung der physischen oder virtuellen Umgebung
Zusammengefasst bestehen KI-Systeme aus autonomen, adaptiven Komponenten mit einer Schlussfolgerungsfähigkeit. Diese breite Definition ist jedoch umstritten, da sie nicht klar zwischen herkömmlicher Software und KI-Systemen unterscheidet. Eine Präzisierung dieser Definition wurde in den „Commission Guidelines on the definition of an artificial intelligence system“ vorgenommen, die das Ziel haben, eine klare Abgrenzung zwischen KI- und Nicht-KI-Technologie zu ermöglichen.
Datenschutz im Kontext von Künstlicher Intelligenz
Die Effektivität von KI-Systemen ist stark von der Qualität und Quantität der verwendeten Daten abhängig. Häufig bestehen diese Daten aus personenbezogenen Informationen, welche durch die Datenschutz-Grundverordnung (DSGVO) geschützt sind. Im Rahmen der KI-Nutzung können an verschiedenen Stellen personenbezogene Daten verarbeitet werden, was den Datenschutz zu einem zentralen Thema macht.
Jede Datenverarbeitung muss auf einer rechtlichen Grundlage beruht, sei es durch Einwilligung, vertragliche Vereinbarungen oder berechtigte Interessen. Neben dem Grundsatz der Rechtmäßigkeit gem. Artikel 5 der DSGVO sind auch die Prinzipien der Transparenz, Zweckbindung, Datenrichtigkeit und Datenminimierung von hoher Relevanz. Die Berücksichtigung dieser Prinzipien ist für die datenschutzkonforme Implementierung von KI unerlässlich und erfordert eine sorgfältige Planung und Begleitung des gesamten Prozesses.
Relevante Gesetze für den Einsatz von Künstlicher Intelligenz
Der Einsatz von Künstlicher Intelligenz fällt unter verschiedene rechliche Rahmenbedingungen. Der AI Act ist für allgemeine KI-Systeme anwendbar, während im Bereich Datenschutz sowohl die DSGVO als auch das Bundesdatenschutzgesetz (BDSG) greifen, wenn personenbezogene Daten verarbeitet werden. Auch das Urheberrechtsgesetz (UrhG) spielt eine Rolle, insbesondere wenn urheberrechtlich geschützte Werke zum Training von KI genutzt werden sollen.
Zusätzlich müssen im Gesundheitssektor die Medical Device Regulation (MDR) und der European Health Data Space (EHDS) beachtet werden, die ab Mitte 2025 in Kraft treten. Die Anwendung der verschiedenen Gesetze variiert je nach spezifischer Nutzung von KI und erfordert eine umfassende Kenntnis der jeweiligen Vorschriften.
Der AI Act und seine Kerninhalte
Der AI Act stellt den ersten umfassenden Rechtsrahmen für Künstliche Intelligenz dar. Am 12. Juli 2024 veröffentlicht, trat er am 1. August 2024 in Kraft. Mit gestaffelten Übergangsfristen sollen die Regelungen schrittweise umgesetzt werden, wobei bestimmte Bestimmungen bereits ab dem 2. Februar 2025 anwendbar sind. Ziel des AI Act ist es, Vertrauen in KI-Systeme zu schaffen, innovative Entwicklungen zu fördern und gleichzeitig die Sicherheit und Grundrechte der Bürger zu gewährleisten.
Das Konzept hinter dem AI Act basiert auf einem risikobasierten Ansatz, was bedeutet, dass die Compliance-Anforderungen an KI-Systeme strenger sind, je höher der potenzielle Eingriff in die Grundrechte ist. Hochrisiko-KI-Systeme stehen hierbei im Mittelpunkt. Die Pflichten für Unternehmen unterscheiden sich je nachdem, ob sie Anbieter oder Betreiber von KI-Systemen sind. Anbieter, die KI-Systeme entwickeln und vertreiben, unterliegen strengeren Vorgaben als Betreiber, die solche Systeme eigenverantwortlich nutzen.
Anwendung der DSGVO auf KI-Systeme
Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten im Kontext von KI. Die rechtliche Grundlage für die Datenverarbeitung muss klar festgelegt sein, wobei der AI Act selbst keine eigene Grundlage für die Verarbeitung bietet. Die Einwilligung der Betroffenen gemäß Artikel 6 Abs. 1 lit. a DSGVO zählt zu den Möglichkeiten der zulässigen Verarbeitung, jedoch können praktische Probleme auftreten, insbesondere bei der Datenbeschaffung.
Ein häufig angewendetes Konzept ist das berechtigte Interesse. Dieses erlaubt die Verarbeitung personenbezogener Daten, solange die Interessen und Grundrechte der betroffenen Personen nicht überwiegen. Bei der Nutzung bereits vorhandener Daten für das KI-Training ist der Grundsatz der Zweckbindung zu berücksichtigen. Die ursprünglichen Verarbeitungszwecke müssen klar definiert werden, um eine Zweckänderung zu vermeiden.
Schutzmaßnahmen für den Datenschutz bei KI-Nutzung
Um eine datenschutzkonforme Nutzung von KI zu gewährleisten, sind verschiedene Maßnahmen notwendig. Diese umfassen die Schaffung von Bewusstsein durch Schulungen zur KI-Ethischen Verantwortung, die Sicherstellung der Datenqualität und -integrität, restriktive Zugriffs- und Sicherheitskontrollen sowie die Durchführung von Datenschutzfolgenabschätzungen (DSFA). Jeder dieser Schritte trägt dazu bei, potenzielle Risiken im Umgang mit personenbezogenen Daten zu minimieren und die Rechte der Betroffenen zu schützen.
Fazit: Die Herausforderung der Kombination von KI und Datenschutz
Die Integration von Künstlicher Intelligenz in Unternehmen stellt sowohl Chancen als auch Herausforderungen dar. Der AI Act und die DSGVO bilden dabei die rechtlichen Rahmenbedingungen, die beachtet werden müssen. Unternehmen sind gefordert, innovative Lösungen zu entwickeln, die gleichzeitig rechtskonform und ethisch vertretbar sind. Ein bewusster und verantwortungsvoller Umgang mit personenbezogenen Daten ist dabei unabdingbar für den langfristigen Erfolg und das Vertrauen in KI-Systeme.