KI stellt den Datenschutz vor neue Herausforderungen

Der EU AI Act, der mit dem August dieses Jahres Gültigkeit bekommen hat, konfrontiert die Datenschützer mit einer neuen Dimension. Was genau der AI Act beinhaltet und welche Konsequenzen das für Datenschutzbehörden mit sich bringt, hier im Kompaktüberblick.

AI Act als umfassendes Regelwerk

Einmal mehr erweist sich die EU als Vorreiter und hat für ihr Hoheitsgebiet den EU AI Act erlassen, der die Entwicklung, den Einsatz und die Nutzung von AI-Systemen reglementiert. Ziel des Gesetzes ist es, ein hohes Maß an Sicherheit und Vertrauen in KI-Systeme zu gewährleisten und gleichzeitig die Innovation zu fördern. Der AI Act unterscheidet zwischen verschiedenen Risikokategorien von KI-Anwendungen, von geringem bis hin zu untragbarem Risiko, und legt strenge Anforderungen an die Entwicklung, den Einsatz und die Überwachung von KI fest. Neben der Risikobewertung sind auch klare Verbote von KI-Konzepten formuliert worden, die nun von den entsprechenden Aufsichtsbehörden kontrolliert und sanktioniert werden. Verboten sind beispielsweise:

• Systeme zur biometrischen Kategorisierung, die auf sensiblen Merkmalen, wie politischer Meinung, religiöser oder philosophischer Weltanschauung, sexueller Ausrichtung oder ethnischer Herkunft, basieren
• Ungezielte Erfassung von Gesichtsbildern aus dem Internet oder von Überwachungskameras zur Erstellung einer Datenbank zur Gesichtserkennung
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
• Social-Scoring-Systeme, die Personen anhand ihres Sozialverhaltens oder ihrer persönlichen Merkmale bewerten
• Systeme, die das Verhalten von Personen manipulieren und deren freien Willen beeinträchtigen • Anwendungen, die Schwächen bestimmter Personengruppen – insbesondere aufgrund von Alter, Behinderung oder sozioökonomischem Status – ausnutzen

Quelle: Deloitte, Artikel „EU AI Act: Das KI-Gesetz der Europäischen Union“

Der Datenschutz muss agil reagieren

Eine besondere Herausforderung für effektiven Datenschutz beinhaltet die Tatsache, dass die Datenmengen, die mithilfe von KI transportiert und versendet werden, um ein Vielfaches größer sind, als herkömmlich erzeugte und gespeicherte Daten. KI-Modelle, insbesondere solche, die auf maschinellem Lernen basieren, erfordern oft enorme Datenmengen, um effektiv zu funktionieren. Diese Daten müssen nicht nur gesammelt und verarbeitet, sondern auch auf eine Weise geschützt werden, die den geltenden Datenschutzgesetzen entspricht. Das kann nur gelingen, wenn die mit KI praktizierenden Unternehmen kooperieren.

Ein zusätzliches Problem entsteht durch die Lernfähigkeit aktueller KI-Systeme. Diese führt nämlich dazu, dass Entscheidungen, die eine KI fällt, nach und nach schwerer nachzuvollziehen sind, selbst für die Entwickler der Systeme. Diese „Black Box“-Eigenschaft von KI-Systemen stellt eine ernsthafte Herausforderung für den Datenschutz dar, da sie die Nachvollziehbarkeit und Verantwortlichkeit bei der Verarbeitung personenbezogener Daten erschwert. So kann eine KI, da sie keine natürliche Person ist, juristisch nicht belangt werden, auch wenn sie „eigene“ Entscheidungen trifft.

Der EU AI ACT macht konkrete Vorschläge und definiert Prinzipien:

• Datensparsamkeit: Nur die Daten erheben und verarbeiten, die für die jeweilige KI-Anwendung unbedingt erforderlich sind.
• Anonymisierung und Pseudonymisierung: Wo immer möglich, sollten personenbezogene Daten anonymisiert oder pseudonymisiert werden, um das Risiko eines Datenschutzverstoßes zu minimieren.
• Transparenz und Erklärbarkeit: Unternehmen sollten sicherstellen, dass ihre KI-Systeme so transparent wie möglich sind. Dies kann durch die Implementierung von erklärbaren KI-Modellen erreicht werden, die es den Nutzern ermöglichen, zu verstehen und nachzuvollziehen, wie und aufgrund welcher Systematik Entscheidungen von den KI-Systemen getroffen werden.
• Risikobewertung und Überwachung: Vor der Einführung eines KI-Systems sollte eine umfassende Risikobewertung durchgeführt werden. Darüber hinaus ist eine kontinuierliche Überwachung erforderlich, um sicherzustellen, dass die KI-Systeme weiterhin den Datenschutzanforderungen entsprechen.

Quelle: EU AI Act

Fazit

Durch die Einführung von KI-Systemen in allen Ländern der EU wachsen die Anforderungen an die Datenschützer und ihre Organe. Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen sicherstellen, dass sie die neuen gesetzlichen Anforderungen erfüllen und gleichzeitig die Privatsphäre der Nutzer schützen. Durch die Implementierung von Best Practices und einer kontinuierlichen Überwachung können Unternehmen die Herausforderungen meistern und gleichzeitig die Chancen nutzen, die KI bietet. Mit dem EU AI Act hat die EU-Kommission nicht nur eine regulative Grundlage geschaffen. Der EU KI Act ist auch gleichsam eine Option, Nutzern Vertrauen zu vermitteln und sichere KI-Systeme zu schaffen, von denen künftig alle profitieren.