Kategorie: Künstliche Intelligenz
4. Dezember 2023
Die Dynamik der Künstlichen Intelligenz (KI) fordert einen klaren rechtlichen Rahmen, besonders im Hinblick auf den Datenschutz. In diesem Kontext stellt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Forderung nach einer umfassenden und klaren Verantwortlichkeitsregelung für Hersteller und Betreiber von KI-Systemen auf. Hierbei geht es Insbesondere über das geplante europäische Gesetz über Künstliche Intelligenz (KI-Verordnung). In einer Pressemitteilung vom 29.11.2023 betont die DSK, dass eine Selbstregulierung für KI nicht reicht.
Hintergrund
Die Verhandlungen über die europäische KI-Verordnung befinden sich in einer entscheidenden Phase. Das Europäische Parlament forderte zuletzt, Basismodelle in den regulatorischen Rahmen einzubeziehen. Diese Modelle sind KI-Systeme, die mit einer großen Datenmenge trainiert wurden und für verschiedene Aufgaben angepasst werden können. Hierunter fallen zum Beispiel KI-Systeme wie GPT, LaMDA oder LLaMA. Das Parlament fordert, dass Anbieter dieser Systeme wenigstens Mindestanforderungen erfüllen. Doch Deutschland, Frankreich und Italien haben sich in einem im Oktober bekanntgewordenen Positionspapier für einen innovationsfreundlicheren Ansatz ausgesprochen. Unbeachtet diverser Kritik plädieren sie für eine sanktionslose Selbstregulierung solcher Modelle.
Die Position der DSK: Verantwortlichkeiten klar definieren
Nun äußert sich auch die DSK und stellt klar, dass eine Selbstregulierung für KI nicht reicht. Sie sieht bei der Schaffung der KI-Verordnung die Notwendigkeit, klar definierte Verantwortlichkeiten für Hersteller genauso wie für Betreiber festzulegen. Das begründe sich durch die vielfältige KI-Landschaft, die keine verantwortungsfreien Räume zu lässt. „Nur so können die Grundrechte der Betroffenen geschützt werden, deren Daten durch KI verarbeitet werden“. Anderenfalls bestünde die Gefahr von Rechtsunsicherheiten für die Bürger und kleine und mittlere Unternehmen. Insofern stellt sie sich gegen eine bloße Selbstregulierung von Basismodellen. Ihr Standpunkt ist geprägt von der Überzeugung, dass Datenschutz und Wirtschaftlichkeit Hand in Hand gehen müssen. Die Forderung nach einer sachgerechten Verteilung von Verantwortlichkeiten auf sämtliche Stufen, regle die rechtlichen Pflichten am fairsten. Dies führe im Umkehrschluss auch zu einer Akzeptanz und einem hohen Vertrauensniveau in die neue Technologie.
Positionierung von Landesbeauftragen für den Datenschutz
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, spricht sich für den aktuellen Entwurf des europäischen Parlaments aus und schließet sich somit der DSK an. Um effektiv Datenschutz zu betreiben brauche man einen klaren Rahmen, der eine Verantwortlichkeit nicht nur auf die Anwender abwälzt, sondern auch schon bei den Entwicklern und Herstellern anknüpft.
Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Prof. Dr. Tobias Keber, schließt sich dem an. Zudem würden „ohne durchgängig fair austarierte Regelungen zur Verantwortlichkeit aller KI-Akteure […] die Rechte der Bürgerinnen und Bürger geschwächt“. Anderenfalls könnten kleine und mittlere Unternehmen nur schwer die Risiken, die durch KI-Anwendung entstehen, beherrschen.
Zuletzt äußert sich auch der Bayrische Landesbeauftragte für den Datenschutz, Thomas Petri, befürwortend. Man erlebe zurzeit einen bahnbrechenden Prozess des Einzugs von KI in unsere Gesellschaft. Diesen Prozess müsse man Menschenverträglich gestalten, um individuelle Freiheiten zu schützen.
Fazit
Die DSK setzt sich entschieden für eine umfassende und klare Verantwortlichkeitsregelung in der KI-Regulierung ein. Die Debatte um die KI-Verordnung verdeutlicht, dass unterschiedliche Interessen aufeinandertreffen. Datenschutz, Wirtschaftlichkeit und Innovation sind aufeinander abzustimmen. Nur so kann man die KI-Entwicklung vertrauenswürdig gestalten. Die kommenden Entscheidungen im Europäischen Parlament werden zeigen, inwiefern klare Verantwortlichkeiten in der KI-Regulierung verankert werden und welchen Weg Europa in der Balance zwischen Innovation und Datenschutz einschlägt. Der Trilog zur KI-Verordnung soll am 06.12.2023 enden. Ob man bis dahin einen Kompromiss findet, bleibt abzuwarten.
30. November 2023
Der Bereich der Künstlichen Intelligenz (KI) nimmt weiter an Fahrt auf. Erst kürzlich haben die G7-Länder Leitlinien für KI festgelegt. Auf EU-Ebene wird unter Hochdruck auf die Schaffung einer KI-Verordnung hingearbeitet. Nun haben 18 Staaten eine neue globale KI-Richtlinie unterzeichnet und am 27.11.2023 veröffentlicht. Im Gegensatz zu der geplanten KI-Verordnung hat die Richtlinie allerdings keinerlei bindenden Charakter.
„Secure by design“-Richtlinie unterzeichnet von 18 Ländern
In einer gemeinsamen Initiative haben Deutschland und 17 weitere Länder – darunter auch die USA und Großbritannien – eine bahnbrechende Richtlinie für die Entwicklung von KI unterzeichnet. Ziel ist es, KI-Systeme bereits während ihrer Entstehung sicher zu gestalten. Lindy Cameron, CEO des britischen National Cyber Security Centres (NCSC), hält diesen Schritt für notwendig, um der rasanten Entwicklung von KI nachzukommen. Nur so könne man globale Risiken richtig einschätzen und passende Strategien zu deren Eindämmung entwickeln.
Sicherheit als oberste Priorität bei KI-Entwicklung
Als erste globale KI-Richtlinie, um sichere KI-Entwicklung zu gewährleisten, bezeichnet die britische Regierung die neue Vereinbarung. Die Richtlinie solle Entwickler-Unternehmen dabei unterstützen, informierte Entscheidungen für die Schaffung sicherer KI-Systeme zu treffen. Der „secure by design“ Ansatz bedeute, dass der Sicherheitsaspekt den gesamten Entwicklungs-, Einführungs- und Betriebsprozess bestimmen und sich die Unternehmer hieran orientieren sollen.
Keine Unterscheidung von KI-Arten
Die von Großbritannien veröffentlichte Vereinbarung legt Wert darauf, dass KI-Anwendungen, unabhängig von ihrer Art, sicher sind. Neben den KI-Systemen selbst, gilt die Richtlinie deswegen auch für Produkte, die KI nur verwenden, nicht aber selbst entwickelt haben. Das wird damit begründet, dass informierte Entscheidungen in Bezug auf Cybersicherheit ebenso für Anwendungen getroffen werden müssen, die auf bereits bestehenden KI-Modellen basieren. Im Umkehrschluss bedeute das aber auch, dass gleichsam Entwickler kleinerer KI-Dienste verantwortlich sind.
Richtlinieninhalt: Vier Sicherheitsbereiche
Die neuen Regelungen lassen sich in vier Hauptbereiche unterteilen.
Entwurfsphase
Zum einen soll sichergestellt werden, dass KI-Systeme sicher designt werden. Dafür müssen betroffene Unternehmen zunächst ihre Mitarbeiter über Gefahren und Risiken aufgeklären. Dann soll das System angepasst an die Risiken unter Abwägung der Vor- und Nachteile für Sicherheitsaspekte entworfen werden.
Entwicklungsphase
Zudem muss auch in der anschließenden Entwicklungsphase dieser Aspekt beachtet werden. Werden für die Entwicklung andere KI-Systeme verwendet, muss ihre Sicherheit analysiert und überwacht werden. Im nächsten Schritt muss jeder weitere Vorgang, der bei der KI-Entwicklung vorgenommen wird, dokumentiert, verwaltet und auf Risiken geprüft werden.
Bereitstellungsphase
Im Rahmen der Bereitstellungphase sollen die KI-Unternehmen zunächst Cybersicherheitsmaßnahmen implementieren. Daneben müssen auch Prozesse für das Vorgehen in einem Sicherheitsvorfall festgelegt werden. Zudem dürfen Betreiber das System für die öffentliche Nutzung erst bereitstellen, nach sorgfältiger Prüfung. Nach Veröffentlichung müssen die Nutzer bei der sachgemäßen Verwendung des Produkts unterstützt werden. Dazu gehört auch das sie Leitlinien in die Hand bekommen, die ihnen zeigen, welche Beschränkungen und rechtlichen Vorgaben sie einhalten müssen.
Betrieb und Wartung
Zuletzt sind Risiken auch nach der Bereitstellung kontinuierlich zu minimieren. Das beinhaltet eine ununterbrochene Systemüberwachung, Kontrolle von Missbrauchsfällen, regelmäßige Updates und eine Berichterstattung.
Verhaltenskodex statt Innovationsbremse
Passend zu den aktuellen Hemmnissen bei der Schaffung der europäischen KI-Verordnung, haben die KI-Richtlinien keine Bindungswirkung. Vielmehr sollen sie Unternehmen als Orientierung und Empfehlung für eine sichere KI-Entwicklung dienen. Das auch Deutschland und Frankreich diesen Ansatz unterstützen überrascht vor dem Hintergrund nicht, dass sie mit Hinblick auf die KI-Verordnung sich in einem Positionspapier für eine verpflichtende Selbstregulierung statt einer strengen Regulierung einsetzen.
Fazit
Die globale Unterzeichnung einer neuen KI-Richtlinie ist zweifellos ein Schritt in Richtung Sicherheit im KI-Bereich. Es bleibt jedoch die Frage, ob nicht-bindende Empfehlungen ausreichen, um die wachsenden Herausforderungen im KI-Bereich zu bewältigen. Während auf EU-Ebene weiterhin Verhandlungen über die KI-Verordnung stattfinden, zeigen Länder wie Deutschland, Frankreich und Italien eine Zurückhaltung gegenüber verpflichtenden Regulierungen für Basismodelle. Die Debatte um die Sicherheit von KI-Systemen wird zweifellos weitergehen.
22. November 2023
Am 20. und 21. November 2023 fand erneut der Digital-Gipfel (früher IT-Gipfel) der Bundesregierung statt – unteranderem zum Thema Künstliche Intelligenz (KI). Dazu luden Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck, und Bundesminister für Digitales und Verkehr, Volker Wissing, rund 1.000 Teilnehmer nach Jena ein. Dieses Jahr trägt die Veranstaltung den Titel “Digitale Transformation in der Zeitenwende“. Auf dem Digital-Gipfel 2023 wurde auch über die Zukunft einer KI-Regulierung diskutiert. In einem weiteren Beitrag berichten wir auch über die Besprechungen zur geplanten e-Patientenakte.
Bundesregierung über Notwendigkeit einer KI-Regulierung für Europa
Bundeswirtschaftsminister Robert Habeck betonte die Notwendigkeit einer ausgewogenen KI-Verordnung auf europäischer Ebene. Ähnlich wie die Bundesregierung in einem im Oktober bekanntgewordenem Positionspapier ausdrückt, sollen die neuen Regelungen laut Habeck innovationsfreundlich sein. In einem Podcast des Digitalverbandes Bitkoms zum Auftakt des Gipfels betont er die Bedeutung einer vernünftigen und ausgewogenen KI-Verordnung auf europäischer Ebene. Hingegen könne eine übermäßige Regulierung den Fortschritt behindern. Anderenfalls sei es so, als ob man die “besten Verkehrsvorschriften, aber keinen Verkehr auf der Straße” hätte. Zudem will er Investitionen der Privatwirtschaft in die neue Technologie fördern. Deswegen dürfe ein Gesetz lediglich die Anwendung nicht jedoch die Technologie selbst betreffen, um dem Bedürfnis an Innovation und Sicherheit nachzukommen. Weiterhin sprach sich Habeck für eine erhöhte Datenverfügbarkeit aus. Zu dem enormen Bedarf an Datenmengen für neue Technologien passe der Ansatz der Datensparsamkeit nicht mehr. Diese Daten müsse man selbstverständlich anonymisieren.
Auch Volker Wissing erkennt die Bedeutung der Zukunftstechnologie. In einer Pressemitteilung betont er die Relevanz von KI für anhaltende Wettbewerbsfähigkeit und Wohlstand. Man solle chancenorientiert Handeln und lokale Unternehmen in der Entwicklung stärken.
Parallel hierzu wurde laut LTO am Montag ein Positionspapier bekannt, in dem sich Deutschland, Italien und Frankreich gegenüber der spanischen Ratspräsidentschaft für eine risikobasierte Herangehensweise einsetzen. Heise online berichtet, dass die Bundesregierung auf eine unmittelbare “Regulierung von Foundation Models verzichten” wolle.
Kritik an der Richtung der Bundesregierung
Die Positionierung der Bundesregierung führte zu viel Kritik, wie heise online berichtet. Matthias Spielkamp von Algorithm Watch unterstelle der Bundesregierung gar keine echte Regulierung, sondern nur Selbstregulierung zu wollen. Dies sei allerdings nicht gerechtfertigt, da es sich nicht um bloße Grundlagenforschung handle. Habeck habe dem entgegnet, dass auch Atomforschung erlaubt sei. Heise online weist in diesem Zusammenhang allerdings darauf hin, dass Atomforschung “fast auf der ganzen Welt strenger Regulierung” unterliegt.
Kritik sei auch von EU-Abgeordneten Axel Voss (CDU) gekommen. Selbst wenn man eine Selbstregulierung ausreichen lasse, müssten jedenfalls minimale Transparenz- und Cybersicherheitsstandards gegeben sein. So stünde dies aktuell schon im Entwurf zum AI Act.
DGB fordert Mitbestimmung beim KI-Einsatz
Andererseits betone der Deutsche Gewerkschaftsbund (DGB) in Bezug auf den Digital-Gipfel die Bedeutung der Mitbestimmung der Sozialpartner bei der KI-Anwendung. Das rechtfertige sich dadurch, dass der Einsatz von KI am Arbeitsplatz „hochsensibel“ sei. Die DGB-Vorsitzende Yasmin Fahimi kritisierte gegenüber der dpa die geplante KI-Verordnung der EU. Der Entwurf bestimme keine Mitspracherechte der Sozialpartner, was sogar zu einer Reduzierung der bereits bestehenden Gestaltungsrechte führen könne. Deswegen fordere Fahimi – vergleichbar zur Datenschutzgrundverordnung (DSGVO) – die Schaffung einer Öffnungsklausel, um Beschäftigte zu schützen.
Fazit
Der Digital-Gipfel 2023 bietet ein facettenreiches Bild der aktuellen Herausforderungen und Chancen im digitalen Zeitalter insbesondere mit Blick auf die noch ausstehende KI-Regulierung. Die Diskussionen von verschiedenen Seiten zeigt, wie komplex und vielschichtig das Thema ist.
Während zu begrüßen ist, dass die Bundesregierung das große Potential dieser Zukunftstechnologie erkannt zu haben scheint, darf die Schaffung von Schutzmechanismen hierbei nicht außer Acht gelassen werden. Neben des von der DGB zu Recht erkannten Schutz der Arbeiterschaft, müssen auch ganz allgemein Datenschutzaspekte eingehalten werden. Dabei steht bei der Zuführung von Trainingsdaten vor allem die sorgfältige Anonymisierung personenbezogener Informationen im Vordergrund. Auch ganz generell birgt unregulierte KI politisch, gesellschaftlich, sozial und wirtschaftlich genauso große Gefahren wie Potentiale.
Die auseinandergehenden hier dargestellten Meinungen sowie die aktuellen Probleme, die sich bei der Schaffung der KI-Verordnung zeigen, verdeutlichen, dass hier noch einiges an Konfliktpotential besteht. Es bleibt zu hoffen, dass man einen Ansatz finden wird, der sowohl Fortschritt gewährleistet, als auch ausreichenden Schutz bietet. Wie eine konkrete Regulierung am Ende aussehen wird, bleibt spannend.
21. November 2023
Am 15.11.2023 hat die größte europäische Zusammenkunft von Privatsphäre- und Datenschützern stattgefunden. Die International Association of Privacy Professionals (IAPP) berichtet, dass der IAPP Europe Date Protection Congress (DPC) mit fast 3.000 Teilnehmern in Brüssel zum 12. Mal abgehalten wurde. Im Programm des DPC 2023 ging es unteranderem um die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahren DSGVO. Zudem wurden Themen wie die Vereinbarkeit von personalisierter digitaler Werbung und Datenschutz und die geplante Chatkontrolle behandelt.
Geplante KI-Verordnung
Vertreter des Europäischen Parlaments hätten sich vor allem mit Künstlicher Intelligenz (KI) vor dem Hintergrund der geplanten KI-Verordnung beschäftigt. Kürzlich hatte Euractiv berichtet, dass das KI-Gesetz zur Zeit auf der Kippe stünde nach anonymen Aussagen von EU-Parlamentariern. IAPP berichtet, dass Kai Zenner, Berater des deutschen Europaabgeordneten Axel Voss, gesagt habe, dass er noch letzten Freitag davon ausgegangen sei, dass maximal eine 10 % Chance für die Verabschiedung der Verordnung besteht. Laut IAPP bestünden insbesondere Bedenken von Frankreich und Deutschland hinsichtlich Nachteilen für Betreiber generativer KI. Mittlerweile habe Spanien deswegen Vermittlungen eingeleitet. Der EU-Abgeordnete Dragoș Tudorache betone, dass am 06.12.2023 die letzte Möglichkeit sei sich noch in 2023 über den Gesetzesentwurf zu einigen.
Zukünftige Zusammenarbeit auf internationaler Ebene
Reynders betonte laut Berichterstattung von IAPP, dass man nun mit Inkrafttreten des neuen Datenschutzrahmen EU-USA den Datenfluss in diesem Bereich erweitern will. Der EU-Justizkommissar habe zudem eine globale Konferenz der Europäische Kommission im nächsten Jahr angekündigt. Zu dieser sollten Vertreter aus der ganzen Welt eingeladen werden, um internationale Zusammenarbeit in Datenschutzbereich voranzubringen. So könne man mit geeigneten Staaten Vereinbarungen über einen hinreichend geschützten Datentransfer ermöglichen. Dies sei zu begrüßen, da eine wachsende Gruppe an Partnern mit meinem Angemessenheitsbeschluss einen Netzwerkeffekt habe. So könne man noch mehr potenzielle Kooperationen vorantreiben. Ein gutes Beispiel hierfür sei laut Bruno Gencarelli, Leiter des Referats der Europäischen Kommission für Datenströme und internationale Aspekte der digitalen Wirtschaft, der Angemessenheitsbeschluss für Süd Korea, der die Zusammenarbeit mit 20 weiteren Staaten ermöglicht hat. Im Übrigen äußerte Reynders Zweifel hinsichtlich des zukünftigen Fortbestehens des EU-U.K.-Anegmessenheitsbeschlusses in Anbetracht geplanter Datenschutzänderungen im Vereinigten Königreich.
5 Jahre DSGVO
In seiner abschließenden Schlusssitzung habe EU-Justizkommissar Didier Reynders laut IAPP betont, dass trotz der zahlreichen neuen digitalen EU-Regeln die Datenschutz-Grundverordnung (DSGVO) nach wie vor der der wichtigste Grundbaustein für die Verarbeitung personenbezogener Daten im europäischen Raum sei. Es handle sich sogar um ein weltweites Musterbeispiel.
Wie wir im Oktober berichteten vergaben Unternehmer hingegen nur die Note „ausreichend“ und zogen somit eher eine durchwachsende Bilanz. Ähnlich sehe dies Axel Voss, der auf eine Reihe von Problemen hingewiesen habe. Es bestünde vor allem eine mangelnde Harmonisierung zwischen den einzelnen Mitgliedstaaten. Oliver Micol, Leiter des Referats der Europäischen Kommission für Datenschutz in den Bereichen der Polizei, Strafjustiz und Grenzen, halte zurzeit eine Reform noch nicht für notwendig. Zunächst wolle man nächstes Jahr einen Bericht veröffentlichen, der die DSGVO und ihre Einführung vollumfänglich analysiert.
Deutsche Vertreter vor Ort
Von deutscher Seite hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, angegeben an der Diskussionsrunde zum Thema „Wie können digitale Sicherheit, fairer Wettbewerb, das Wohl des Kindes, Cyber-Sicherheit und Transparenz in Einklang gebracht werden?” teilzunehmen. Weiterhin diskutierte laut einem Mastadon-Beitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, über personalisierte Werbung und die Folgen des Digital Markets Acts (DMA) und des Digital Services Acts (DSA) auf den Datenschutz.
Fazit
Insgesamt ermöglichte der Kongress einen intensiven Blick auf die aktuellen Entwicklungen im Datenschutzbereich. Schwerpunkt des DPC 2023 war besonders die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahre DSGVO. Die Veranstaltung zeigte, dass Datenschutzherausforderungen weiterhin komplex sind, besonders die Uneinheitlichkeit in der EU-Regelumsetzung. Die geplante KI-Verordnung ist unsicher, was die Schwierigkeiten bei einem gemeinsamen Ansatz für komplexe Technologien verdeutlicht. Auch die Diskussion um den EU-U.K.-Angemessenheitsbeschluss und Bedenken von Didier Reynders zu Datenschutzänderungen im Vereinigten Königreich könnten in Zukunft zu Problemen führen.
Insgesamt zeigt der Kongress, dass die Datenschutzlandschaft in Europa in Bewegung bleibt. Die Herausforderung besteht darin, einen ausgewogenen Ansatz zu finden, der Innovation fördert und gleichzeitig Privatsphäre gewährleistet. Es bleibt abzuwarten, wie die Diskussionen den Datenschutz in den kommenden Jahren beeinflussen.
31. Oktober 2023
Die Gruppe der sieben größten demokratischen Volkswirtschaften (G7) hat am 30.10.2023 einen wegweisenden Schritt unternommen, um die Verwendung von Künstlicher Intelligenz (KI) sicherer zu gestalten. Die Staats- und Regierungschefs der G7-Länder setzen neue Leitlinien für KI, die die Notwendigkeit betonen, Risiken im Zusammenhang mit dieser aufstrebenden Technologie zu reduzieren und die Menschen vor missbräuchlicher Nutzung zu bewahren.
Inhalt der Leitlinie
In der gemeinsamen Erklärung wurden elf Leitprinzipien erarbeitet. Diese sollen unteranderem einen freiwilligen Verhaltenskodex für KI-Anbieter wie OpenAI, Microsoft und Google darstellen. Ziel ist es die Sicherheit und Vertrauenswürdigkeit dieser neuen Technologien voranzubringen. KI-Betreiber werden aufgefordert, potenzielle Gefahren und Schwachstellen von KI-Anwendungen herauszuarbeiten und regelmäßig hierüber zu berichten. Darüber hinaus sollen effektive Maßnahmen ergriffen werden, um KI-Inhalte beispielsweise durch spezielle Kennzeichen zu markieren.
Aktuelle rechtliche Entwicklungen
Die Europäische Kommission äußerte sich positiv gegenüber der Erklärung der G7-Länder. Die Leitlinien würden zu international geltenden Regeln beitragen, die gerade im KI-Bereich im Vergleich von regionalen Gesetzen zu bevorzugen seien. Diese Aussage überrascht nicht vor dem Hintergrund, dass die EU zurzeit selbst an einer KI-Verordnung arbeitet, die noch bis Ende des Jahres fertiggestellt werden soll. Der schwierige Gesetzgebungsprozess verdeutlicht, welche Hürden die Legislative bei der Regelung dieser neuen Technologie zu meistern hat. Dabei ist vor allem von entscheidender Bedeutung, einen ausgewogenen Ansatz zu finden, der die Entwicklung von KI nicht erstickt, sondern sicherstellt, dass sie zum Wohl der Gesellschaft eingesetzt werden kann.
Zudem gibt es auch in den USA entsprechende Bestrebungen. So hat US-Präsident Joe Biden ein Dekret erlassen, dass KI-Betreiber zu Tests verpflichtet, wenn Gefahren für die nationale Sicherheit und die öffentliche Gesundheit und Sicherheit bestehen. Zudem sind hierin auch Standards für den Datenschutz vorgesehen.
Fazit
KI bietet das Potenzial, in verschiedenen Bereichen einen wichtigen Beitrag zu leisten, einschließlich Klimaschutz, Energieeffizienz, Gesundheitsvorsorge und selbst Datenschutz. Gleichzeitig ist es jedoch erforderlich, die Verwendung von KI zu regulieren, um Missbrauch und Risiken zu verhindern. Das bezieht sich nicht zuletzt auf die Gefahren, die KI-Systeme wie ChatGPT auf den Schutz personenbezogener Daten haben kann.
Die G7-Länder setzen nun neue Leitlinien für KI. Die gemeinsame Erklärung ist ein bedeutender Schritt in Richtung sicherer KI-Anwendungen auf internationaler Ebene. Sie zeigt die Notwendigkeit des verantwortungsvollen Umgangs mit dieser zukunftsweisenden Technologie, ohne zu hohe Hürden für die KI-Entwicklung zu stellen.
30. Oktober 2023
Die Debatte um Datenschutz und Künstliche Intelligenz (KI) geht weiter. Diesmal wurden Fragen von Landesdatenschutzbeauftragten an das KI-Sprachmodell ChatGPT gesendet. Sowohl Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel sendeten Fragebögen zur Datenverarbeitung an OpenAI, den Betreiber des Chatsystems. Der Fragenkatalog enthält 79 Fragen und wurde innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Er baut auf einem ersten Auskunftsersuchen auf, das die DSK bereits im April 2023 erarbeitet hatte.
Datenschutzrechtliche Relevanz des Auskunftsersuchens
Kugelmann betont am 26.10.2023, dass die Prüfung des KI-Systems von Bedeutung ist, um sicherzustellen, dass die Datenschutz-Grundverordnung (DSGVO) und das informationelle Selbstbestimmungsrecht bei der Datenverarbeitung durch ChatGPT eingehalten werden. Roßnagel gab am 24.10.2023 an, dass OpenAI auf den ersten Fragebogen bereits im Juni ausführlich und kooperativ eingegangen ist. Dennoch sind sich beide einig, dass die Auswertung der Antworten verdeutlicht, dass es weiteren Klärungsbedarf gibt.
Weitere Prüfung notwendig
Trotz der umfangreichen Beantwortung der ursprünglichen Fragen bestehen für Roßnagel weiterhin Zweifel an der Rechtmäßigkeit der Datenerhebung aus dem Internet für das KI-Training. Deswegen will er weitere Erkenntnisse über das KI-System sammeln, um die Gewährleistung des Datenschutzes sicherzustellen. Auch laut Kugelmann ist es erforderlich die Hintergrundprozesse des Programms transparent begreifen zu können. Der neue Fragebogen solle nun zu mehr Nachvollziehbarkeit dessen führen, was hinter der Oberfläche passiere.
Beide wollen dabei den besonders sensiblen Datenkategorien gemäß Art. 9 DSGVO besondere Aufmerksamkeit widmen, die unter anderem Informationen zur Religion, politischen Meinung oder sexuellen Orientierung betreffen. Ebenso kontrolliere man die Umsetzung der Rechte der Betroffenen, wie das Auskunfts- oder Löschungsrecht. Die Landesdatenschutzbeauftragten wollen auch erfahren, inwieweit persönliche Daten während des Trainings und bei der Chatverwendung als solche identifiziert und entsprechende Schutzvorkehrungen getroffen werden.
Laut Roßnagel sollen durch die Fragen Datenschutzmissachtungen identifiziert und im Anschluss durch entsprechende Maßnahmen verhindert und gegebenenfalls bestraft werden. Er verlangt von amerikanischen KI-Betreibern die gleiche datenschutzrechtliche Sorgfalt wie von europäischen Unternehmen.
Zuständigkeit für rechtliche Bewertung
Solange OpenAI keine Niederlassung in der EU hat, bleiben sämtliche europäischen Datenschutzaufsichtsbehörden in ihrem jeweiligen örtlichen Zuständigkeitsbereich verantwortlich. Auch wenn der Betrieb in Zukunft eine Niederlassung in der EU eröffnen sollte, würde die datenschutzrechtliche Prüfung nicht enden, da die Kontrolle die aktuellen und vergangenen Verhältnisse betrifft. Selbst für zukünftige Situationen würden deutsche Datenschutzbehörden zuständig bleiben, solange ChatGPT weiterhin in Deutschland angeboten wird. Allerdings würde die Kontrolle dann in Zusammenarbeit mit der Behörde am Ort der Hauptniederlassung in der EU erfolgen. Aktuell ist es denkbar, dass dies die in letzter Zeit stark kritisierte irische Data Protection Commission werden könnte.
Fazit
Im Mittelpunkt der Untersuchungen steht der Schutz der Privatsphäre und die Einhaltung der DSGVO. Mit dem Senden der Fragen an ChatGPT durch die Landesdatenschutzbeauftragten ist man erneut bestrebt, sicherzustellen, dass solche KI-Systeme transparent und nachvollziehbar sind. Die Prüfung und der Dialog mit KI-Unternehmen sind wichtig, um Datenschutz im Zeitalter von KI zu gewährleisten und gleichzeitig technischen Fortschritt nicht zu behindern. Interessant bleibt hierbei insbesondere die Frage, wie sich der Umfang der Behördenprüfung verändern wird, falls sich OpenAI in Irland niederlässt.
19. Oktober 2023
Die Planung von Regulierungen für künstliche Intelligenz (KI) müsse innovationsorientiert bleiben. Das verdeutlichte die Bundesregierung in einem heise online vorliegenden Positionspapier von Bundesministerien für Justiz und Wirtschaft im Rahmen der Debatte über die Entwürfe aus dem EU-Parlament und dem Ministerrat für eine Verordnung für Systeme mit KI. Während das EU-Parlament strengere Regeln für KI-Systeme wie ChatGPT vorschlägt, warnt die Bundesregierung davor hierdurch die KI-Entwicklung zu behindern.
Innovationsfreundliche und differenzierte Regulierung
Die Bundesregierung unterstreicht die Bedeutung einer KI-Regulierung, die Innovationen fördert, auf die Zukunft ausgerichtet und ausgeglichen ist. Sie fordert, die Definitionen in den Regeln präzisiert und differenziert auszugestalten. Insbesondere könne man nicht allgemeine KI-Anwendungen mit mehr Entwicklungsfreiraum mit Spezialanwendungen gleichsetzen. Letzteres erfordere speziell zugeschnittene und detailliertere Vorschriften.
Besonders wichtig ist es der Bundesregierung, die Ergebnisse sogenannter „General Purpose AIs“ – wie etwa ChatGPT – sicherzustellen. General Purpose AIs zeichnen sich dadurch aus, dass sie mittels Sprach- oder Bilderkennung ohne besonderes Fachwissen der Nutzer eine breite Palette von Aufgaben erfüllen können. Beim Training dieser KIs ist das zu erwartenden Aufgabenspektrum häufig weder bekannt noch vorhersehbar. Die Ausgestaltung der Regeln solcher KIs müsste weiterhin ihre Funktionsfähigkeit gewährleisten.
Regulierungsvorschläge im Bund
Die Bundesregierung fordert für KI-Anwendungen mit allgemeinen Zwecken eindeutige Regelungen. Zum einen sei an eine Risikobewertung hinsichtlich des Datenmanagements und der Transparenz zu denken. Auch eine Informationspflicht sei wünschenswert. Dabei müsse man Auskünfte über die Datengrundlage, den Trainingsprozess, den Schutz der Privatsphäre und das Urheberrecht geben. Nützlich könnten laut des Positionspapiers auch Erklärungen über die Funktionalität des KI-Systems und Auswirkungen auf die Umwelt sein. Zudem zöge man Kennzeichnungspflichten für Deepfakes in Betracht, wobei es Ausnahmetatbestände zum Beispiel für Sicherheitsbehörden geben solle. Warnhinweise sollten auch in besonders sensiblen Bereichen wie Medizin existieren. Weiterhin wurde ein Anspruch auf Berichtigung angedacht. Für kleine und mittlere Unternehmen, zivilgesellschaftliche und dem Gemeinwohl dienende Organisationen sowie akademische Verwender sollten Ausnahmen in Betracht gezogen werden.
Strengerer Ansatz der EU
Das EU-Parlament strebt einen anderen Ansatz an, der nicht zwangsläufig mit dem der Bundesregierung über innovationsfreundliche KI-Regeln übereinstimmt. So hatte es bereits im Juni seinen Standpunkt zum geplanten “AI Act” festgelegt und besonders strenge Regeln für KI-Systeme wie ChatGPT verlangt. Betreiber von KI-Anwendungen, die mit einer sehr großen Menge unsortierter Daten trainiert wurden, müssten sie auf besondere Risiken prüfen und bei Bedarf Abwendungsmaßnahmen treffen.
Fazit
Die Debatte über die Zukunft der KI-Regulierung in der EU bleibt komplex. Es treffen hier verschiedene berechtigte Interessen und Ansichten aufeinandertreffen, die sorgfältig abgewogen werden müssen. Die Bundesregierung warnt zurecht davor, die KI-Entwicklung durch übermäßige Regulierung nicht zu beeinträchtigen. Das Anfordern einer sehr detaillierten Auflistung der verwendeten Trainingsdaten könnte die Entwicklung von KI-Systemen im schlimmsten Fall totregulieren. Insbesondere könnte dies dazu führen, dass Deutschland oder Europa als Niederlassungsstandort nicht mehr attraktiv bleibt und KI-Unternehmen ins Ausland abwandern. Insofern ist der Ansatz der Bundesregierung, innovationsfreundliche KI-Regeln zu fordern, zu begrüßen.
13. Oktober 2023
Niedersachsens Datenschutzbeauftragter, Denis Lehmkemper, der erst am 15.09.2023 ernannt wurde, betritt das Parkett mit klaren Ansichten zur Rolle von Künstlicher Intelligenz (KI) in der modernen Gesellschaft. Bereits nach seiner Ernennung betonte er, dass er einen Schwerpunkt darin sehe „die rasante Entwicklung der Digitalisierung von Wirtschaft, Gesellschaft und Verwaltung – getrieben von Zukunftsthemen wie Künstliche Intelligenz – im Interesse der Bürgerinnen und Bürgern in Niedersachen zu begleiten. In einem Interview mit der Deutschen Presse-Agentur äußerte er nun seine Bedenken hinsichtlich des Einsatzes von KI und betonte die Notwendigkeit einer öffentlichen Diskussion über klare Regeln und Leitlinien.
Die Herausforderungen des KI-Einsatzes
Lehmkemper erkennt die vielfältigen Fragen und Unsicherheiten, die mit dem wachsenden Einsatz von KI verbunden sind. Klar ist für ihn, dass dies in Zukunft ein relevantes Thema in seiner Behörde sein wird. Ein Szenario, das er aufwarf, war die Möglichkeit, dass KI-Systeme über die berufliche Zukunft von Bewerbern oder Arbeitnehmern entscheiden könnten. In solchen Fällen scheinen die datenschutzrechtlichen Hindernisse zu hoch, weshalb viele Unternehmen auf den Einsatz von KI gänzlich verzichten. Laut Lehmkemper, verdeutlicht gerade das Beispiel aus dem Arbeitsleben den Bedarf an klaren und robusten Regeln.
Eine breite Debatte
Auch wenn die Auseinandersetzung mit dem Thema KI zunächst beunruhigend sein kann, warnte der Behördenchef davor, sich bei der Beantwortung der Frage nach Leitlinien von Ängsten leiten zu lassen. Man müsse die Problematik und die konkrete Ausarbeitung der Vorgaben in der gesamten Gesellschaft diskutieren. Dabei will er das Parlament, die Wirtschaft, die Gewerkschaften und sogar die Kirchen einbinden.
Lösungsansatz
Lehmkemper fordert „Regeln“ und „Leitplanken” und ggf. sogar ein spezielles “Gesetz”. Er betonte zum einen, die Wichtigkeit eines hohen Schutzstandards, andererseits dürfe man nicht technischen Fortschritt behindern.
Ein aktuelles vom Bundesministerium für Bildung und Forschung gefördertes Whitepaper der Plattform Lernende Systeme zeigt technische Instrumente, die Privatsphäre und Datenschutz bei der Anwendung von KI-Systemen gewährleisten könnten. Statt Verbote aufzustellen solle man vielmehr Handlungsräume mit gewissen Begrenzungen für die Unternehmen schaffen, die ihnen Rechtssicherheit bieten. Die Autoren fordern, dass diese Verfahren als Ausnahme in die Datenschutzgrundverordnung (DSGVO) einbezogen werden. Für die verschiedenen Methoden sollten zudem Standards und Zertifizierungsmöglichkeiten implementiert werden
Beispielhaft wird etwa das Privacy-Preserving Machine Learning (PPML) empfohlen. Hierbei wird schon bei der Entwicklung des KI-Systems der Datenschutz sichergestellt z. B. durch Anonymisierung oder Verschlüsselung personenbezogener Daten. Eine Alternative sei die Verwendung von Personal Information Management Systemen (PIMS), bei denen der Einzelne die Verfügungsbefugnis über seine Daten behält und sogar von deren wirtschaftlichem Nutzen profitieren könnte.
Fazit
Denis Lehmkemper fordert zu Recht klare Regeln und Leitlinien für den Umgang mit KI. Er hat erkannt, dass KI eine entscheidende Rolle in unserer Zukunft spielen wird, auf die man nicht verzichten sollte. Zum Schutz der Bürger bedarf es allerdings gleichzeitig entsprechender Regeln. Die Entwicklung von KI schreitet schnell voran und ist so komplex, dass es schon jetzt kaum möglich ist, ebenso schnell gesetzliche Regulierungen zu schaffen. Bislang gibt es kaum konkrete begrenzende Gesetze. Die Ansätze des Whitepapers der Plattform Lernende Systeme könnten hierfür gute Impulse geben. Ob und welche Regelungen diesbezüglich tatsächlich kommen werden, bleibt abzuwarten.
