Mit dem Inkrafttreten der KI-Verordnung am 1. August 2024 hat die Europäische Union einheitliche Regeln für den Einsatz von KI-Systemen geschaffen. Ein zentrales Element ist der risikobasierte Ansatz, der bestimmte KI-Anwendungen wegen ihres inakzeptablen Risikos seit dem 2. Februar 2025 verbindlich verbietet. Am 4. Februar 2025 veröffentlichte die EU-Kommission nun Leitlinien zu diesen Verboten nach Art. 5 KI-Verordnung– mit dem Ziel, Rechtsklarheit zu schaffen und die einheitliche Anwendung in der Praxis zu erleichtern.
Ziel: Rechtsklarheit und einheitliche Anwendung
Das Hauptziel dieser Leitlinien ist die Erhöhung der Rechtsklarheit hinsichtlich der in Artikel 5 des KI-Verordnung (KI-VO) genannten Verbote. Mit der Bereitstellung einer praktischen Orientierungshilfe für die zuständigen Behörden soll eine konsistente, effektive und einheitliche Anwendung in der gesamten EU gewährleistet werden. Gleichzeitig soll sie Anbietern und Betreibern von KI-Systemen bei der Sicherstellung der Einhaltung ihrer Pflichten gemäß der KI-VO unterstützen. Ziel ist dabei eine verhältnismäßige Auslegung der Verbote. Der Schutz von Grundrechten und Sicherheit soll mit der Förderung von Innovation und Rechtssicherheit in Einklang gebracht werden.
Es ist jedoch entscheidend zu verstehen, dass diese Leitlinien keine rechtsverbindlichen Vorschriften darstellen. Die Leitlinien geben die Sichtweise der Kommission wieder und dienen als wichtige Interpretationshilfe. Aktuell hat die Kommission die Entwurfsleitlinien zwar genehmigt, aber noch nicht formell angenommen.
Struktur der Leitlinie
Die Leitlinie umfasst 140 Seiten und dient damit eher als Nachschlagwerk zur Beantwortung konkreter Detailfragen. Aufgebaut ist die Leitlinie zunächst in einen allgemeinen Hintergrund und einen Überblick über die Verbote (Abschnitte 1 und 2). Anschließend wird jedes der Verbote in eigenen Abschnitten (3 bis 9) detailliert analysiert. Diese Analyse umfasst jeweils die Begründung und Ziele des Verbots, die wichtigsten Konzepte und Komponenten, Ausnahmen vom Anwendungsbereich und das Zusammenspiel mit anderem Unionsrecht. Ein gesonderter Abschnitt (10) widmet sich den Schutzmaßnahmen und Bedingungen für die Ausnahmen im Bereich der Echtzeit-RBI. Die Leitlinien schließen mit Informationen zum Inkrafttreten und zur Überprüfung und Aktualisierung ab.
Überblick über die verbotenen KI-Praktiken
Die Leitlinien geben einen umfassenden Überblick über die in Art. 5 Absatz 1 der KI-Verordnung genannten verbotenen Praktiken:
Schädliche Manipulation und Täuschung – lit. a
Das AI-Gesetz verbietet drei alternative Arten von Manipulationstechniken. Erstens unterschwellige Techniken außerhalb des Bewusstseins einer Person, zweitens absichtlich manipulative Techniken und drittens täuschende Techniken. Um in den Anwendungsbereich von Artikel 5 Abs 1 Buchstabe a der KI-VO zu fallen, muss ein KI-System eine oder mehrere dieser Techniken anwenden. Die von dem KI-System eingesetzten Techniken müssen das Ziel oder die Wirkung haben das Verhalten einer Person oder einer Gruppe von Personen wesentlich zu beeinflussen. Das verzerrte Verhalten muss dieser Person, einer anderen Person oder einer Gruppe von Personen einen erheblichen Schaden zufügen oder mit hinreichender Wahrscheinlichkeit zufügen.
Schädliche Ausnutzung von Schwachstellen – 1 lit. b
Verboten sind KI-Systeme, die Schwachstellen einer natürlichen Person oder einer bestimmten Gruppe von Personen aufgrund ihres Alters, ihrer Behinderung oder ihrer spezifischen sozialen oder wirtschaftlichen Situation ausnutzen. Ziel oder Wirkung muss auch hier sein, das Verhalten dieser Person oder einer Person, die dieser Gruppe angehört, wesentlich zu beeinflussen, und die erheblichen Schäden verursachen oder wahrscheinlich verursachen.
Soziales Scoring – lit. c
Des Weiteren sind KI-Systeme zur Bewertung oder Klassifizierung natürlicher Personen oder Personengruppen über einen bestimmten Zeitraum hinweg, basierend auf ihrem sozialen Verhalten oder bekannten, abgeleiteten oder vorhergesagten persönlichen oder Persönlichkeitsmerkmalen verboten. Vorausgesetzt das Social Scoring führt zu einer nachteiligen oder ungünstigen Behandlung in unabhängigen sozialen Kontexten oder zu einer Behandlung, die ungerechtfertigt oder unverhältnismäßig zur Schwere des sozialen Verhaltens ist.
Individuelle Risikobewertung und Vorhersage von Straftaten – 1 lit. d
Nach Buchstabe d sind KI-Systeme zur Bewertung oder Vorhersage des Risikos, dass eine natürliche Person eine Straftat begeht, verboten. Hierfür ist weitere Voraussetzung, dass diese Vorhersage ausschließlich auf der Profilerstellung einer natürlichen Person oder der Bewertung ihrer Persönlichkeitsmerkmale beruht. Das Verbot gilt wiederum nicht für KI-Systeme, die eine menschliche Bewertung unterstützen, die bereits auf objektiven und überprüfbaren Fakten beruht, die direkt mit einer kriminellen Aktivität verbunden sind.
Ungezieltetes Auslesen von Gesichtsbildern – lit. e
KI-Systeme, die Gesichtserkennungsdatenbanken durch das ungezieltete Auslesen von Gesichtsbildern aus dem Internet oder Überwachungskameraaufnahmen erstellen oder erweitern sind ebenfalls verboten.
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen – lit. f
Über das Verbot von KI-Systemen zur Ableitung von Emotionen einer natürlichen Person am Arbeitsplatz und in Bildungseinrichtungen hatte zuletzt auch die niederländische Datenschutzbehörde eine Handreichung veröffentlicht. Ausnahme dieses Verbots sind die Nutzung des KI-Systems aus medizinischen oder Sicherheitsgründen.
Biometrische Kategorisierung bestimmter „sensibler“ Merkmale – lit. g
Biometrische Kategorisierungssysteme, die einzelne natürliche Personen aufgrund ihrer biometrischen Daten kategorisieren, um deren Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugungen, Sexualleben oder sexuelle Orientierung abzuleiten oder zu inferieren sind gemäß Art. 5 Abs. 1 lit. g KI-Verordnung verboten. Dies gilt nicht für die Kennzeichnung oder Filterung rechtmäßig erworbener biometrischer Datensätze, einschließlich im Bereich der Strafverfolgung.
Echtzeit-Fernbiometrie-Identifizierung für Strafverfolgungszwecke – lit. h
Die Echtzeit-Fernbiometrie-Identifizierung (Real-time Remote Biometric Identification kurz: RBI) in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken ist mittels KI-Systeme verboten. Auch hier gilt eine Ausnahme: Die Maßnahme ist unbedingt erforderlich für die gezielte Suche nach spezifischen Opfern, die Abwehr spezifischer Bedrohungen, einschließlich Terroranschlägen, oder die Suche nach Verdächtigen spezifischer Straftaten (wobei zusätzliche Verfahrensanforderungen gelten).
Bedeutung für Unternehmen
Für Unternehmen ist die Kenntnis dieser Leitlinien von Bedeutung, um sicherzustellen, dass ihre entwickelten oder eingesetzten KI-Systeme nicht gegen die Verbote der KI-VO verstoßen, die seit dem 2. Februar 2025 unmittelbar gelten. Denn die Auslegung der Verbote ist insbesondere für Unternehmen nicht einfach und der Interpretationsspielraum groß. Hier können die Leitlinen der EU-Kommission weiterhelfen, um konkret zu bestimmen, welche KI-Praktiken verboten sind und welche noch als Hochrisiko-KI-Systeme zulässig sind. Die in den Leitlinien dargelegten Kriterien und Beispiele sollten genutzt werden, um die Anwendbarkeit der Verbote auf ihre spezifischen Anwendungsfälle zu bewerten.
Auch wenn die Leitlinie eine wichtige Orientierungshilfe darstellt, sollten Unternehmen auch die Rechtsprechung des EuGH und nationaler Gerichte aufmerksam verfolgen. Bei Unsicherheiten ist es empfehlenswert rechtlichen Rat einholen, um die Konformität ihrer KI-Systeme mit dem KI-Gesetz sicherzustellen. Nicht zuletzt sind die wechselseitigen Beziehungen der Verbote untereinander sowie mit anderem Unionsrecht, wie beispielsweise dem Datenschutzrecht und dem Verbraucherschutzrecht, zu berücksichtigen.
Zusammenspiel mit dem Datenschutzrecht und anderem Unionsrecht
Die KI-Verordnung findet neben anderen Unionsrechtsvorschriften Anwendung. Dies ist insbesondere in Bezug auf den Schutz der Grundrechte, den Verbraucherschutz, das Arbeitsrecht und die Produktsicherheit zu berücksichtigen. In diesem Zusammenhang stellt die Kommission auch nochmal duetlich heraus, dass selbst wenn ein KI-System nicht durch das KI-Gesetz verboten ist, könnte seine Verwendung dennoch aufgrund anderen primären oder sekundären Unionsrechts verboten oder rechtswidrig sein.
Das enge Zusammenspiel zwischen den Verboten der KI-VO und der Datenschutzgrundverordnung (DSGVO) wird in der Leitlinie besonders betont. Viele der verbotenen KI-Praktiken beinhalten die Verarbeitung personenbezogener Daten, einschließlich biometrischer Daten. Die Einhaltung des KI-Gesetzes berührt nicht die Anwendbarkeit des Datenschutzrechts. Im Hinblick auf biometrische Kategorisierungssysteme und Echtzeit-RBI-Systeme für Strafverfolgungszwecke wird zudem klargestellt, dass die KI-VO als lex specialis zu Artikel 10 der LED (Law Enforcement Directive) gilt und die Verarbeitung biometrischer Daten in diesem Kontext erschöpfend regelt.
Datenschutzbehörden von Luxemburg und den Niederlanden
In jüngster Vergangenheit haben sich auch nationale Datenschutzbehörden, wie die Commission Nationale pour la Protection des Données (CNPD) in Luxemburg und die Autoriteit Persoonsgegevens (AP) in den Niederlanden, zu den Verboten des Art. 5 der KI-Verordnung geäußert. Insbesondere in Bezug auf deren Auswirkungen auf den Schutz personenbezogener Daten.
Die AP in den Niederlanden hat bereits mehrere „Call for Input“-Initiativen gestartet, um von interessierten Akteuren Informationen und Einblicke zu den verschiedenen Verboten von Art. 5 KI-VO zu sammeln. Darunter waren manipulativen und ausbeuterischen KI-Systemen, zur Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, zum Social Scoring und zu KI-Systemen für Risikobewertungen in Bezug auf Straftaten. In Ihrer Veröffentlichung zum Verbot der Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen meint die AP, dass die Leitlinien der Europäischen Kommission zwar eine Orientierung bieten, aber in der Praxis nur begrenzte Informationen über die Anwendbarkeit der Verbote in bestimmten Fällen bieten würden.
Die Luxemburgische Datenschutzbehörde weist in einer Pressemitteilung darauf hin, dass die meisten der als unvertretbar riskant eingestuften KI-Systeme auch unter den Prinzipien der DSGVO problematisch wären, insbesondere im Hinblick auf den Grundsatz der Transparenz. Die CNPD betont, dass solche Systeme Gegenstand von Beschwerden und Untersuchungen sein könnten, wenn sie in Luxemburg eingesetzt würden, unabhängig von der zukünftigen Rolle der CNPD im Rahmen der nationalen Gesetzgebung zur künstlichen Intelligenz. Sie verweist ebenfalls auf die Leitlinien der Europäischen Kommission für weitere Details zu den verbotenen Praktiken.
Fazit
Die von der Europäischen Kommission veröffentlichten Leitlinien zu den verbotenen Praktiken mit künstlicher Intelligenz stellen ein wichtiges Instrument für Unternehmen dar, um sich mit den Anforderungen der KI-Verordnung vertraut zu machen und die Konformität ihrer KI-Systeme sicherzustellen. Obwohl die Leitlinien nicht rechtsverbindlich sind, bieten sie wertvolle Einblicke in die Interpretation und dienen als praktische Orientierungshilfe. Unternehmen sollten diese Leitlinien beachten, denn Behörden werden diese für ihre Aufsicht nutzen. Das Zusammenspiel mit dem Datenschutzrecht sowie zukünftigen Entwicklungen sollte im Auge behalten werden. Die Auseinandersetzung mit den Verboten ist unerlässlich, um Haftungsrisiken zu minimieren.
