Der Artificial Intelligence Act der EU und der Datenschutz

Das europäische Konzept für vertrauenswürdige KI

Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin in der EU-Kommission, erklärte: „Bei künstlicher Intelligenz ist Vertrauen ein Muss und kein Beiwerk. Mit diesen wegweisenden Vorschriften steht die EU an vorderster Front bei der Entwicklung neuer weltweiter Normen, die sicherstellen sollen, dass KI vertrauenswürdig ist.“ Die Ziele des Artificial Intelligence Act der EU beschreibt Margrethe Vestager so: „Mit der Schaffung der Standards können wir weltweit den Weg für ethische Technik ebnen und dafür sorgen, dass die EU hierbei wettbewerbsfähig bleibt. Unsere Vorschriften werden zukunftssicher und innovationsfreundlich sein und nur dort eingreifen, wo dies unbedingt notwendig ist, nämlich wenn die Sicherheit und die Grundrechte der EU-Bürger auf dem Spiel stehen.“

Grundlegend für das neue EU-Konzept für vertrauenswürdige KI ist ein risikobasierter Ansatz. Unterschieden werden dabei:

• Unannehmbares Risiko: KI-Systeme, die als klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen gelten, werden verboten. Dazu gehören KI-Systeme oder -Anwendungen, die menschliches Verhalten manipulieren, um den freien Willen der Nutzer zu umgehen (zum Beispiel Spielzeug mit Sprachassistent, das Minderjährige zu gefährlichem Verhalten ermuntert), sowie Systeme, die den Behörden eine Bewertung des sozialen Verhaltens (Social Scoring) ermöglichen.
• Hohes Risiko: KI-Systeme, bei denen ein hohes Risiko besteht, wenn KI-Technik in bestimmten Bereichen eingesetzt wird, darunter Schul- oder Berufsausbildung, wenn der Zugang einer Person zur Bildung und zum Berufsleben beeinträchtigt werden könnte (zum Beispiel Bewertung von Prüfungen); Beschäftigung, Personalmanagement und Zugang zu selbstständiger Tätigkeit (zum Beispiel Software zur Auswertung von Lebensläufen für Einstellungsverfahren); wichtige private und öffentliche Dienstleistungen (zum Beispiel Bewertung der Kreditwürdigkeit, wodurch Bürgern die Möglichkeit verwehrt wird, ein Darlehen zu erhalten).

Für KI-Systeme mit hohem Risiko sollen strenge Vorgaben gelten, die erfüllt sein müssen, bevor sie auf den Markt gebracht werden dürfen:

• Angemessene Risikobewertungs- und Risikominderungssysteme;
• hohe Qualität der Datensätze, die in das System eingespeist werden, um Risiken und diskriminierende Ergebnisse so gering wie möglich zu halten;
• Protokollierung der Vorgänge, um die Rückverfolgbarkeit von Ergebnissen zu ermöglichen;
• ausführliche Dokumentation mit allen erforderlichen Informationen über das System und seinen Zweck, damit die Behörden seine Konformität beurteilen können;
• klare und angemessene Informationen für die Nutzer;
• angemessene menschliche Aufsicht zur Minimierung der Risiken;
• hohes Maß an Robustheit, Sicherheit und Genauigkeit.

Anders sieht es bei diesen Risikostufen für eine KI aus:

• Geringes Risiko, das heißt. KI-Systeme, für die besondere Transparenzverpflichtungen gelten: Beim Umgang mit KI-Systemen wie Chatbots sollte den Nutzern bewusst sein, dass sie es mit einer Maschine zu tun haben, damit sie in voller Kenntnis der Sachlage entscheiden können, ob sie die Anwendung weiter nutzen wollen oder nicht.
• Minimales Risiko: Der Legislativvorschlag soll die freie Nutzung von Anwendungen wie KI-gestützten Videospielen oder Spam-Filtern ermöglichen. Die große Mehrheit der KI-Systeme fällt in diese Kategorie. Der Verordnungsentwurf will hier nicht eingreifen, denn diese KI-Systeme stellen nur ein minimales oder kein Risiko für die Bürgerrechte oder die Sicherheit dar.

Datenschutz und damit die DSGVO bilden Fundament für KI-Regulierung

Der Vorschlag der EU ergänzt die DSGVO (Verordnung (EU) 2016/679) um eine Reihe harmonisierter Regeln für die Gestaltung, Entwicklung und Verwendung von bestimmten Hochrisiko-KI-Systemen.

Die geplante KI-Regulierung der EU geht mit dem risikobasierten Ansatz einen Weg, der aus dem Datenschutz und der Datenschutz-Grundverordnung (DSGVO) wohl bekannt ist: Vor der Nutzung neuer Technologien steht eine Datenschutzfolgenabschätzung (DSFA) und damit eine Risikoanalyse. Auch weist der geplante AI Act der EU auf die notwendige DSFA hin, wenn KI-Anwendungen mit hohem Risiko vorgesehen sind (Article 29 Obligations of users of high-risk AI systems).

Explizit besagt die geplante KI-Regulierung zudem: Abgesehen von den vielen nützlichen Anwendungen künstlicher Intelligenz kann diese Technologie auch missbraucht werden und neuartige und leistungsstarke Werkzeuge für manipulative, ausbeuterische und soziale Kontrollpraktiken bereitstellen. Solche Praktiken sind besonders schädlich und sollten verboten werden, da sie den Werten der Union hinsichtlich der Achtung der Menschenwürde, der Freiheit, der Gleichheit, der Demokratie und der Rechtsstaatlichkeit sowie der Grundrechte der Union, einschließlich des Rechts auf Nichtdiskriminierung, Datenschutz und Privatsphäre widersprechen.

Die Verarbeitung personenbezogener Daten besonderer Kategorien ist laut Entwurf zur KI-Regulierung „vorbehaltlich angemessener Schutzmaßnahmen für die Grundrechte und -freiheiten natürlicher Personen, einschließlich technischer Einschränkungen bei der Wiederverwendung und Anwendung modernster Sicherheits- und Datenschutzmaßnahmen wie Pseudonymisierung oder Verschlüsselung“.

Es zeigt sich: Der Artifical Intelligence Act der EU versteht sich als Ergänzung der DSGVO in speziellen Fragestellungen der KI, hat aber nicht zum Ziel, die Vorgaben des Datenschutzes abzuwandeln, um die KI-Nutzung zu erleichtern. Vielmehr soll die Erleichterung der KI-Nutzung durch eine spezifische Regelung stattfinden, die die bestehende Rechtsunsicherheit bei Unternehmen mindern soll.