Das wegweisende Datenschutzgesetz der EU enthält entscheidende Bestimmungen für KI-Systeme, die personenbezogene Daten verarbeiten, einschließlich Regeln zur automatisierten Entscheidungsfindung.
Die Datenschutz-Grundverordnung (DSGVO), in Kraft seit dem 25 May 2018, ist das umfassende Datenschutzgesetz der EU. Obwohl es sich nicht speziell um eine KI-Verordnung handelt, enthält die DSGVO mehrere Bestimmungen, die tiefgreifende Auswirkungen auf KI-Systeme haben, die personenbezogene Daten verarbeiten, was sie zu einer der wirkungsmächtigsten Verordnungen für die KI-Konformität weltweit macht.
Artikel 22 der DSGVO gewährt natürlichen Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Diese Bestimmung regelt unmittelbar KI-gestützte Entscheidungssysteme, die in Bereichen wie Bonitätsbewertung, Versicherungstarifierung, Personalbeschaffung und der Erbringung öffentlicher Dienstleistungen eingesetzt werden. Organisationen müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung bereitstellen.
Die Anforderungen an die Rechtsgrundlage gemäß den Artikeln 6 und 9 sind für KI-Systeme besonders anspruchsvoll. Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen, Anforderungen, die schwer zu erfüllen sind, wenn die KI-Verarbeitung komplex und undurchsichtig ist. Bewertungen des berechtigten Interesses müssen die Bedürfnisse der Organisation gegen die Rechte der Einzelnen abwägen, was ein Verständnis dafür erfordert, wie sich KI-Systeme auf die betroffenen Personen auswirken.
Die Datenminimierung (Artikel 5 Absatz 1 Buchstabe c) steht in einem grundlegenden Spannungsverhältnis zur KI-Entwicklung, die häufig von großen Datensätzen profitiert. Organisationen müssen sicherstellen, dass sie nur Daten erheben, die dem Zweck angemessen und erheblich sowie auf das für den festgelegten Zweck notwendige Maß beschränkt sind. Dies wirkt sich auf die Strategien für KI-Trainingsdaten aus und erfordert eine sorgfältige Begründung des Umfangs der Datensätze.
Das Recht auf Erläuterung und die Transparenzanforderungen (Artikel 13 bis 15) verpflichten Organisationen, aussagekräftige Informationen über die automatisierte Entscheidungsfindung bereitzustellen. Bei komplexen KI-Modellen, insbesondere bei Deep-Learning-Systemen, stellt die Bereitstellung verständlicher Erläuterungen darüber, wie Entscheidungen zustande kommen, eine erhebliche technische und rechtliche Herausforderung dar.
Datenschutz-Folgenabschätzungen (DSFA) gemäß Artikel 35 sind verpflichtend für Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Einzelnen zur Folge haben. Die meisten KI-Systeme, die personenbezogene Daten in großem Umfang verarbeiten, lösen die Anforderungen an eine DSFA aus. Die DSFA muss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, die Risiken für die Einzelnen und die Maßnahmen zur Bewältigung dieser Risiken bewerten.
Die Zweckbindung (Artikel 5 Absatz 1 Buchstabe b) beschränkt die Nutzung personenbezogener Daten auf die Zwecke, für die sie erhoben wurden. KI-Entwickler müssen sorgfältig prüfen, ob das Training von KI-Modellen einen vereinbaren Zweck darstellt, und die jüngsten Änderungen der DSGVO sowie regulatorische Leitlinien haben eine gewisse Flexibilität für die wissenschaftliche Forschung und für statistische Zwecke geschaffen.
Auch die Bestimmungen zu internationalen Übermittlungen (Kapitel V) betreffen KI-Systeme, insbesondere cloudbasierte KI-Dienste und Modelle, die mit Daten aus mehreren Rechtsordnungen trainiert wurden. Organisationen müssen für jede Übermittlung personenbezogener Daten außerhalb des EWR angemessene Garantien sicherstellen.
Datenschutzbehörden in ganz Europa setzen die DSGVO zunehmend aktiv gegenüber KI-Systemen durch. Bemerkenswerte Durchsetzungsmaßnahmen richteten sich gegen Unternehmen der Gesichtserkennung, KI-gestützte Werbesysteme und die automatisierte Bonitätsbewertung und schufen Präzedenzfälle, die prägen, wie Organisationen die Verarbeitung personenbezogener Daten durch KI steuern müssen.
Eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in KI-Systemen schaffen (Artikel 6)
Garantien für die automatisierte Entscheidungsfindung im Einzelfall umsetzen (Artikel 22)
Aussagekräftige Informationen über die KI-Logik, die Tragweite und die Auswirkungen bereitstellen (Artikel 13 bis 15)
Das Recht auf menschliches Eingreifen bei automatisierten Entscheidungen ermöglichen
Datenschutz-Folgenabschätzungen für KI-Verarbeitungen mit hohem Risiko durchführen (Artikel 35)
Grundsätze der Datenminimierung auf KI-Trainings- und Betriebsdaten anwenden
Die Zweckbindung für das Training und die Inferenz von KI-Modellen sicherstellen
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in KI-Systemen umsetzen (Artikel 25)
Ein Verzeichnis von Verarbeitungstätigkeiten führen, an denen KI beteiligt ist (Artikel 30)
Betroffenenrechte ermöglichen: Auskunft, Berichtigung, Löschung, Übertragbarkeit für durch KI verarbeitete Daten
Einen Datenschutzbeauftragten benennen, sofern dies für die KI-Verarbeitungstätigkeiten erforderlich ist
Rechtmäßige internationale Datenübermittlungen für KI-Dienste sicherstellen (Kapitel V)
Angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen (Artikel 32)
Verletzungen des Schutzes personenbezogener Daten, die KI-Systeme betreffen, innerhalb von 72 hours melden (Artikel 33)
Ja, aber Sie benötigen eine gültige Rechtsgrundlage (z. B. das berechtigte Interesse, die Einwilligung oder die Ausnahme für Forschungszwecke). Sie müssen außerdem die Datenminimierung anwenden, bei Bedarf DSFA durchführen und Transparenz über die Nutzung personenbezogener Daten für das Training gewährleisten.
Bei automatisierten Entscheidungen gemäß Artikel 22 müssen Sie aussagekräftige Informationen über die involvierte Logik bereitstellen. Dies erfordert nicht zwangsläufig eine vollständige technische Erklärbarkeit, aber die betroffenen Personen sollten die wesentlichen Faktoren, die die Entscheidungen beeinflussen, sowie die allgemeine Logik des Systems verstehen.
Der EU AI Act ergänzt die DSGVO, ohne sie zu ersetzen. KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide einhalten. Der EU AI Act fügt Anforderungen an das Risikomanagement, die Konformitätsbewertung und die Transparenz hinzu, die über den Datenschutz hinausgehen. DSFA gemäß der DSGVO und Grundrechte-Folgenabschätzungen gemäß dem EU AI Act können sich überschneiden.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.