TLfDI: KI-Verordnung und Datenschutz

Mit der Verordnung für Künstliche Intelligenz (KI-Verordnung) steht die EU kurz davor, wegweisende Regelungen für den Umgang mit KI-Anwendungen zu etablieren. Hierzu hat am 28.02.2024 der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) eine Pressemitteilung zum Thema KI-Verordnung und Datenschutz veröffentlich. Darin weist er auf die Bedeutung des Datenschutzes auch im Kontext von KI hin.

Ausbreitung von KI

Die Bedeutung von KI hat in den letzten Jahren in fast allen Lebens-, Arbeits- und Lernbereichen enorm zugenommen. Mit der Ausdehnung der Anwendungsgebiete dieser Technologie wachsen stetig auch die Gefahren, die hieraus entstehen können. Das umfasst nach der Pressemitteilung (abrufbar hier) neue Herausforderungen für informationelle Selbstbestimmung, Sicherheit, Gesundheit und dem Schutz personenbezogener Daten.

Die KI-Verordnung

Die schon lange geplante KI-Verordnung hat im letzten Monat mit der Absegnung durch zwei relevante Ausschüsse eine der letzten formalen Hürden zur offiziellen Verabschiedung genommen. Nun muss noch die Annahme des AI-Acts auf Ministerebene im Rat der Mitgliedstaaten erfolgen. Außerdem fehlt noch ein Beschluss durch das Parlament. Die Abstimmung hierüber ist laut der Agenda des Parlaments für nächste Woche Mittwoch, den 13.03.2024, angesetzt. Bei beiden Anforderungen handelt es sich regelmäßig, um bloße Formalien. Mit dem finalen Inkrafttreten der KI-Verordnung ist im Mai 2024 zurechnen.

Verhältnis von KI-Verordnung und Datenschutz

Der TLfDI weist darauf hin, dass der europäische Gesetzgeber „die fortgeltende Anwendbarkeit der Datenschutzgrundverordnung“ (DSGVO) geregelt hat, so etwa in Art. 2 Ziff. 5a. Ausnahmen soll es nur in besonders geregelten Fällen geben. Dazu zählt etwa das Trainieren von KI-Systemen, um bestimmte Diskriminierungen zu unterbinden. Erleichterte Regeln sollen zudem auch in besonderen Entwicklungsumgebungen (sognannten Sandboxes) existieren. Insgesamt normiert das Regelwerk aber auch verschiedene Sicherheitsmaßnahmen und Transparenzpflichten.

Der AI-Act geht insofern in verschiedenen Aspekten über die Vorgaben der DSGVO hinaus. Außerdem konkretisiert er verschiedene Maßnahmen, die nach der DSGVO offener gehalten sind und definiert spezifische Anforderungen für die Entwicklung und Nutzung von KI-Anwendungen. Trotzdem nutzt die KI-Verordnung an verschiedenen Stellen auch Öffnungsklauseln und ermöglicht somit einen tieferen Eingriff in den Schutzbereich der personenbezogenen Daten als zuvor, wie der TLfDI erklärt. Nichtsdestotrotz müssten die Vorgaben der DSGVO weiterhin beachtet werden. Eine Einschränkung von Betroffenenrechten fände nicht statt und ein nach der KI-Verordnung „zertifiziertes oder geprüftes System ist damit nicht automatisch auch datenschutzkonform“.

Zuständige Aufsichtsbehörde

Zuletzt folgt der Hinweis, dass dem TLfDI auch im Bereich der KI die Durchsetzung der Datenschutzbestimmungen obliegt. Er sei somit „für künstliche Intelligenz die zuständige Aufsichtsbehörde“ innerhalb seiner Zuständigkeit.

Fazit

Wie andere zuvor, erkennt auch der TLfDI das angespannte Verhältnis von KI-Verordnung und Datenschutz. Zwar betont die geplante Gesetzgebung die Bedeutung des Datenschutzes bei KI-Anwendungen. Allerdings gibt sie auch mittels der Öffnungsklauseln in verschiedenen Bereichen deutlich weitere Eingriffsbefugnisse als zunächst in der DSGVO vorgesehen. Sie erweitert insgesamt die Vorgaben der DSGVO und legt immerhin klare Maßnahmen zur Sicherstellung von Datenschutz und Transparenz fest.