Der Einsatz von KI-Systemen in Unternehmen stellt sowohl Geschäftsleitungen wie Mitarbeitende vor neue Herausforderungen. Neben datenschutzrechtlichen Bestimmungen ist vor allem auch die KI-Verordnung vom 13.06.2024, die ab dem 1.8.2024 in Kraft getreten ist, zu beachten. Schrittweise, beginnend im Februar 2025, müssen die einzelnen Bestimmungen der Verordnung umgesetzt werden. In diesem Artikel betrachten wir vor allem Aspekte des Zusammenhangs von Datenschutz und künstlicher Intelligenz, Anwendungen, die sich nicht auf personenbezogene Daten beziehen sind von den folgenden Überlegungen nicht betroffen.
KI-Verordnung: Risikobasierter Ansatz
Die KI Verordnung verfolgt einen risikobasierten Ansatz.
Der risikobasierte Ansatz in der EU-KI-Verordnung (AI Act) bedeutet, dass der Umfang der Regulierung und die Anforderungen an KI-Systeme davon abhängen, welches Risikoniveau ein System für die Rechte und die Sicherheit von Menschen darstellt. Die Verordnung unterscheidet dabei vier Risikoklassen:
1. Verbotene KI (inakzeptables Risiko) – Art. 5 KI-VO
Diese Systeme sind grundsätzlich verboten, weil sie fundamentale Rechte verletzen können. Beispiele:
- Soziale Scoringsysteme, die zu einer Benachteiligung von Personen oder Personengruppen führen können
- Manipulative Techniken zur Verhaltensbeeinflussung
- Echtzeit-Biometrieüberwachung im öffentlichen Raum (mit wenigen Ausnahmen)
Das EU-KI-Gesetz verbietet bestimmte Anwendungen von künstlicher Intelligenz (KI). Dazu gehören KI-Systeme, die die Entscheidungen von Menschen manipulieren oder ihre Schwachstellen ausnutzen, Systeme, die Menschen auf der Grundlage ihres Sozialverhaltens oder ihrer persönlichen Eigenschaften bewerten oder klassifizieren, sowie Systeme, die das Risiko einer Person, eine Straftat zu begehen, vorhersagen. Das Gesetz verbietet auch KI-Systeme, die Gesichtsbilder aus dem Internet oder aus Videoüberwachungsanlagen auslesen, auf Emotionen am Arbeitsplatz oder in Bildungseinrichtungen schließen und Menschen auf der Grundlage ihrer biometrischen Daten kategorisieren. Allerdings werden einige Ausnahmen für Strafverfolgungszwecke gemacht, etwa bei der Suche nach vermissten Personen oder der Verhinderung von Terroranschlägen.
(Quelle: https://artificialintelligenceact.eu/de/article/5/)
2. Hochrisiko-KI
Diese Systeme sind erlaubt, aber unterliegen strengen Anforderungen, z. B.:
- Risikomanagement
- Transparenz und Nachvollziehbarkeit
- Datenqualität
- Menschliche Aufsicht
Beispiele:
- KI in der Medizin (z. B. zur Diagnose)
- KI in sicherheitskritischen Infrastrukturen (z. B. Stromnetze)
- Bewerbungs- und Einstellungsverfahren
- Kreditwürdigkeitsprüfung
3. Begrenztes Risiko (geringes Risiko)
Diese Systeme müssen bestimmte Transparenzanforderungen erfüllen – z. B. wenn ein Mensch mit einem Chatbot spricht, muss er darüber informiert werden.
Beispiele:
- KI-basierte Chatbots
- Deepfakes (Kennzeichnungspflicht)
4. Minimales Risiko
Diese Systeme unterliegen keinen spezifischen Anforderungen. Viele KI-Anwendungen fallen in diese Kategorie.
Beispiele:
- Spamfilter
- Empfehlungsalgorithmen für Musik oder Filme
5. Datenschutz und KI
Neben den Regelungen der KI-Verordnung sind, sofern es um die Verarbeitung personenbezogener Daten geht, auch die Regelungen des Datenschutzes zu beachten. Sofern ein hohes Risiko für den Betroffenen besteht, ist nach Art. 35 DSGVO eine Datenschutzfolgeabschätzung für den Verantwortlichen verpflichtend.
Ein Kernproblem bei der Verarbeitung personenbezogener Daten in KI-Systemen ist die Beachtung des Transparenzgebots. Die betroffenen Personen sind entsprechend zu informieren, ggf. sind Einwilligungen einzuholen. Sofern eigene KI-Systeme implementiert sind oder werden, empfiehlt sich, die Anforderungen des Datenschutzes und der Datensicherheit von Beginn an mitzudenken und bei der Implementierung zu berücksichtigen.
6. Mitarbeiterschulungen sind Pflicht
Sowohl die KI-Verordnung als auch die Bestimmungen des Datenschutzes verpflichten Verantwortliche, Mitarbeitende, die mit derartigen Systemen zu tun haben, entsprechend zu schulen. Wir bieten Unternehmen ein fertiges Schulungspaket zu diesen Themen an. Fordern Sie einfach ein entsprechendes Angebot an. Informationen zu unserem Schulungsangebot finden Sie hier.
7. Selbsttest für Unternehmen
Sollten Sie den Einsatz von KI im Unternehmen planen oder bereits realisieren, empfehlen wir die Prüfung mit Hilfe unseres Selbsttests. Die Teilnahme ist anonymisiert möglich, die Auswertung erfolgt automatisiert mit einer Punktwertung. Sie können so den Stand Ihrer Compliance Umsetzung prüfen. Den Test finden Sie auf dieser Seite.