Schlagwort: EU-Parlament

Erster Entwurf der KI-Verordnung im EU-Parlament vorgelegt

14. Juni 2023

Die EU strebt mit ihrer KI-Verordnung erstmals an, einen rechtlichen Rahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz zu etablieren. Heute steht die lang erkämpfte Vorlage zur Abstimmung im Parlament.

Die europäische KI-Verordnung stellt den weltweit ersten Versuch dar, ein umfassendes Gesetz zur Regulierung von Künstlicher Intelligenz zu schaffen. Damit geht die EU als Vorreiter voran. Die EU-Kommission hofft, dass dieses Gesetz ähnlich wie die Datenschutzverordnung international Nachahmer finden wird. Jedoch war es für die Gesetzgeber in Brüssel eine Herausforderung, die Verordnung in ausgewogener Form zu verfassen. Die relevanten Ausschüsse im EU-Parlament haben 18 Monate lang um eine Position zu dem Vorschlag der EU-Kommission gerungen.

Klassifizierung der KI

Die Verordnung sieht vor, dass Künstliche Intelligenz je nach den damit verbundenen Risiken in verschiedene Kategorien eingestuft wird, darunter risikoarm, begrenzt riskant, riskant und verboten. Jegliche Form von Künstlicher Intelligenz, die Menschen unterdrücken kann, soll vollständig verboten werden. Hierzu gehören beispielsweise “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten, die automatisierte Erkennung von Emotionen bei Verhören von Verdächtigen sowie eine umfassende Überwachung der Öffentlichkeit mittels biometrischer Echtzeitdaten.

Gemäß dem derzeitigen Entwurf darf jedoch auf Anordnung eines Richters im Nachhinein auf die Daten zugegriffen werden, sofern es sich um schwere Straftaten handelt.

Risikobasierter Ansatz maßgebend

Die Bestimmungen basieren auf einem risikobasierten Ansatz und legen Verpflichtungen für Anbieter und Nutzer fest, die sich nach dem potenziellen Risiko richten, das von KI-Systemen ausgeht. KI-Systeme, die ein unakzeptables Sicherheitsrisiko für Menschen darstellen, wären strikt untersagt. Dazu zählen Systeme, die unterschwellige oder absichtlich manipulative Techniken einsetzen, die die Schwächen von Menschen ausnutzen oder für Social Scoring verwendet werden, bei dem Menschen aufgrund ihres sozialen Verhaltens, ihres sozioökonomischen Status oder persönlicher Merkmale klassifiziert werden.

Die Abgeordneten haben die Liste der Verbote für aufdringliche und diskriminierende Anwendungen von KI-Systemen erheblich überarbeitet. Dazu gehören:

  • Biometrische Erkennungssysteme in Echtzeit in öffentlich zugänglichen Räumen.
  • Biometrische Erkennungssysteme im Nachhinein, mit Ausnahme von Strafverfolgungsbehörden zur Verfolgung schwerer Straftaten und nur mit richterlicher Genehmigung.
  • Biometrische Kategorisierungssysteme, die sensible Merkmale wie Geschlecht, Rasse, ethnische Zugehörigkeit, Staatsangehörigkeit, Religion und politische Orientierung verwenden.
  • Prädiktive Polizeisysteme, die auf Profilerstellung, Standort oder früherem kriminellen Verhalten basieren.
  • Systeme zur Erkennung von Emotionen bei der Strafverfolgung, beim Grenzschutz, am Arbeitsplatz und in Bildungseinrichtungen.
  • Unbefugtes Auslesen biometrischer Daten aus sozialen Medien oder Videoüberwachungsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken, was Menschenrechte und das Recht auf Privatsphäre verletzt.

Transparenzmaßnahmen

Die Abgeordneten haben Anforderungen für Anbieter von Foundation-Modellen, einem aufstrebenden Bereich der KI, eingeführt. Diese Anforderungen zielen darauf ab, einen soliden Schutz der Grundrechte, Gesundheit, Sicherheit, Umwelt, Demokratie und Rechtsstaatlichkeit sicherzustellen. Die Anbieter sind verpflichtet, Risiken zu bewerten und zu mindern, Vorschriften zur Auslegung, Information und Umwelt einzuhalten sowie sich in der EU-Datenbank zu registrieren.

Generative Foundation-Modelle wie GPT müssen zusätzliche Transparenzanforderungen erfüllen. Es ist beispielsweise erforderlich, offen zu legen, dass die Inhalte von KI generiert wurden. Diese Modelle müssen auch so entwickelt sein, dass sie keine illegalen Inhalte generieren und keine Zusammenfassungen urheberrechtlich geschützter Daten veröffentlichen.

ChatGPT bliebe erlaubt

Neben der verbotenen KI wird es weitere Kategorien von Künstlicher Intelligenz geben. Hochrisikobehaftete, mäßig riskante und niedrig riskante Anwendungen wie beispielsweise KI-betriebene Spielzeuge sollen grundsätzlich erlaubt sein. Dies gilt auch für generative KI wie den Chatbot ChatGPT, der eigenständig Artikel verfassen kann, basierend auf im Internet gesammelten Informationen. Jedoch gelten für diese Anwendungen bestimmte Prinzipien: Je riskanter die KI ist, desto strenger sind die Anforderungen. Hersteller müssen die Risiken ihrer Produkte bewerten und bestimmte Standards für Trainingsdaten erfüllen. Die Überwachung dieser Vorgaben obliegt den Prüfbehörden.

Die Verordnung zielt auch darauf ab sicherzustellen, dass Künstliche Intelligenz nicht auf verzerrte Datensätze zurückgreift und somit keine Diskriminierung von Personen erfolgt. Zum Beispiel darf KI bei der Kreditwürdigkeitsprüfung oder bei der Personalakquise nicht diskriminierend wirken.

Spannungsfeld zwischen Innovationsförderung und Rechtschutz der Bürger

Um die Förderung von KI-Innovation zu unterstützen, haben die Abgeordneten Ausnahmen für Forschungstätigkeiten und KI-Komponenten unter Open-Source-Lizenzen in die Vorschriften integriert. Das neue Gesetz legt Wert auf die Schaffung von Reallaboren (regulatory sandboxes) oder kontrollierten Umgebungen, die von öffentlichen Behörden etabliert werden, um KI vor ihrer Implementierung zu testen.

Die Abgeordneten beabsichtigen, das Recht der Bürgerinnen und Bürger zu stärken, Beschwerden über KI-Systeme einzureichen und Erklärungen zu erhalten, die auf risikoreichen KI-Systemen basieren und ihre Rechte erheblich beeinträchtigen. Zudem haben sie die Rolle des EU-Amtes für künstliche Intelligenz neu definiert, das für die Überwachung der Umsetzung des KI-Regelwerks zuständig sein soll.

Bedenken und Erwartungen an das KI-Gesetz

Die Erwartungen an das europäische KI-Gesetz sind hoch, genauso wie die Bedenken. Sam Altman, CEO des Unternehmens OpenAI, das ChatGPT entwickelt hat, hat vor existenziellen Gefahren bei unregulierter KI gewarnt. Kleine Entwickler haben hingegen Bedenken, dass sie die umfangreichen Dokumentationsanforderungen nicht erfüllen können. Bürgerrechtler hoffen, dass das KI-Gesetz keine Diskriminierung und Benachteiligung weiter vorantreibt.

Nach der Abstimmung im Parlament können anschließend Verhandlungen mit den EU-Mitgliedsstaaten beginnen. Besonders die Regeln für den Einsatz von Künstlicher Intelligenz in der Strafverfolgung dürften für Kontroversen sorgen.

Wenn eine Einigung vor den Europawahlen im kommenden Jahr erzielt wird, könnte die KI-Verordnung voraussichtlich im Jahr 2026 in Kraft treten. Bis dahin wird sich die Künstliche Intelligenz weiterentwickeln. Es ist absehbar, dass in der Europäischen Union weitere KI-Regulierungen folgen werden.

Corona-Testseite des EU-Parlaments nicht datenschutzkonform

11. Januar 2022

Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.

Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation “noyb (None of Your Business)” um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.

Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.

Die Beschwerdegründe stellen einen Verstoß gegen die “DSGVO für EU-Institutionen” fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.

Die neue Datenbank der EU

17. April 2019

Im Europäischen Parlament wurde am Dienstag der Weg für eine zentrale Suchmaschine eröffnet, mithilfe in Zukunft jeder Polizeibeamte und Fahnder feststellen kann, ob sich eine zu überprüfende Person legal oder illegal in der EU aufhält. Dieses Vorhaben ist datenschutzrechtlich nicht ganz unproblematisch.

Es soll keine neue Informationssammlung erstellt werden, sondern eine Art Suchmaschine, mit der die Sicherheitsbehörden alle vorhandenen Informationen schneller abrufen können. Bislang waren die Speicher strikt voneinander getrennt.

Es handelt sich vor allem um folgende Datenbanken: Visa-Informationssystem VIS, Schengen-Staaten Angaben über Kurzzeit-Visa, Eurodac (Datei, in der Fingerabdrücke und Daten von Asylsuchenden erfasst werden), Schengen-Informationssystem (SIS) und das Europäische Strafregisterinformationssystem ECRIS. 2021 kommt noch das Europäische Reiseinfomrationssystem- und -genehmigungssystem ETIAS und das Ausreisesystem EES hinzu.

Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, sieht die Datenbank äußerst kritisch. Es entstehen erhebliche Risiken für die Betroffenen, denn nach der DSGVO müssen Betroffene im Zeitpunkt der Datenerhebung über die Verarbeitung informiert werden. Dies würde jedoch nicht geschehen. Auch Unbeteiligte werden erfasst, die beispielsweise auf Einladung eines EU-Bürgers ein Kurzzeit-Visum benötigen. Der frühere Bundesdatenschutzbeauftragte Peter Schaar spricht deshalb sogar von einer „umfassenden Massenüberwachung, die sich nicht auf diejenigen beschränkt, die über die EU-Außengrenze einreisen“.


EU wird japanisches Datenschutzsystem anerkennen

27. Juli 2018

Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der “umstrittene Privacy-Shield” zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.

Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden,  welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.

Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.

Ausschuss des EU Parlaments kritisiert Privacy Shield

14. Juni 2018

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.

Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.

Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen.  Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.

Kritische Resolution des Europäischen Parlaments zum “Privacy Shield”

12. April 2017

In der vergangenen Woche hat das EU-Parlament eine sehr kritische Resolution zum EU-US Privacy Shield angenommen und damit die bereits seit der Existenz des Übereinkommens existierenden Zweifel an seiner Vereinbarkeit mit europäischen Datenschutzgrundsätzen bekräftigt.

Zwar erkennt es Verbesserungen im Vergleich zu dem vor dem Privacy Shield bestehenden Verfahren nach der “Safe-Harbour”-Entscheidung, jedoch werden nach wie vor gravierende Mängel bei der Weitergabe von personenbezogenen Daten in die USA gesehen. Vor allem kritisieren die Parlamentarier

  • einen ungenügenden Schutz personenbezogener Daten von Betroffenen aus der EU vor dem Zugriff durch US-Geheimdienste,
  • keine durchsetzbaren und damit wirkungsvollen Rechte von Betroffenen auf Widerspruch, Löschung oder Auskunft gegenüber US-Unternehmen.

Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses des EU-Parlaments, fordert die EU-Justizkommissarin Jourovà auf, umgehend zu handeln und den Druck auf die US-Regierung zu erhöhen. Das Privacy Shield müsse zu einem echten Schutzschild gemacht werden, andernfalls gehe die Europäische Kommission das Risiko ein, dass der Europäische Gerichtshof die Regelung zukünftig (erneut – wie schon bei “Safe Harbour” geschehen -) für ungültig erklärt.

Vor diesem Hintergrund ist es nach wie vor empfehlenswert, alternative rechtliche Absicherungen neben einem Beitritt im EU-US Privacy Shield für solche Unternehmen vorzusehen, für die eine Übermittlung von personenbezogenen Daten in die USA relevant ist.

EU-Parlament verabschiedet Datenschutzgrundverordnung

15. April 2016

EU-Parlament verabschiedet Datenschutzgrundverordnung

Diesen Donnerstag hat das Parlament der Europäischen Union die Datenschutzgrundverordnung verabschiedet. Damit endet nach über vier Jahren der Gesetzgebungsprozess. Die Datenschutzgrundverordnung ersetzt die seit 1995 geltende EU-Datenschutz-Richtlinie.

Die Mitgliedsstaaten haben nun zwei Jahre lang Zeit die EU-Datenschutzgrundverordnung in nationales Recht zu integrieren. Im Unterschied zu der bislang geltenden Datenschutz-Richtlinie, die den Mitgliedsstaaten lediglich umzusetzende Mindeststandards vorschreibt, werden durch die Grundverordnung ab 2018 europaweit einheitliche Standards gelten.

Wie bereits auf datenschutzticker.de berichtet, sollen durch die Grundverordnung zum einen die Rechte der EU-Bürger gestärkt und Rechtsklarheit und -sicherheit für Unternehmen hergestellt werden, die Daten von Europäern verarbeiten und nutzen.

EU-Parlament: Abstimmungstermin über die EU-Datenschutzgrundverordnung wird allmählich konkret

11. Januar 2016

Im April 2016 soll das Parlament schlussendlich über die neue EU-Datenschutzgrundverordnung abstimmen. Beobachter gehen fest davon aus, dass das Parlament seine Zustimmung erteilt – nach drei Jahren intensiver Verhandlungen, zahlreicher Debatten und etlicher Entwürfe soll dann das finale Gesetz verabschiedet werden. Damit wird die zweijährige Umsetzungsphase im April 2018 enden, sodass die neuen Regelungen innerhalb der 28 Mitgliedstaaten der Europäischen Union verbindlich werden.

EU-Parlament: Votum zur Entflechtung von Suchmaschinen

27. November 2014

Das EU-Parlament hat am Donnerstag über einen Entschließungsantrag abgestimmt, der die EU-Kommission zum Handeln im Suchmaschinen-Markt auffordern soll. Gegenstand dieses Antrages war der Aufruf des EU-Parlaments, jeglichen Missbrauch bei der Vermarktung von verknüpften Dienstleistungen durch Suchmaschinenbetreiber zu unterbinden. Betont wurde dabei insbesondere das Erfordernis einer nicht-diskriminierenden Online-Suche. So forderten die Abgeordneten, dass die Auflistung, Bewertung, Darbietung und Reihenfolge von Ergebnissen bei Suchmaschinen frei von Verzerrungen und transparent sein müsse. Langfristig seien Vorschläge in Betracht zu ziehen, die darauf abzielen, Suchmaschinen von anderen kommerziellen Dienstleistungen abzukoppeln. Das Ziel einer derartigen Entflechtung ergebe sich zum einen aus der Rolle der Suchmaschinen bei der gewerblichen Weiterverwendung von Informationen, zum anderen jedoch auch aus der Notwendigkeit der Durchsetzung von EU-Wettbewerbsregeln. Dem Online-Magazine Heise zufolge, stehe insbesondere Google seit längerem in Europa in Verdacht, eigene Spezialdienste wie den Kartendienst Maps, Preisvergleiche oder die Suche nach Hotels und Restaurants ungebührlich zu bevorzugen. Der Antrag des EU-Parlaments wurde mit 384 Ja-Stimmen, 174 Nein-Stimmen und 56 Enthaltungen angenommen.