Regulierung der künstlichen Intelligenz in der EU und ihre Folgen für den Datenschutz

06.01.2022 von Leon De Gottardi

Künstliche Intelligenz (KI) wird für Wirtschaft, Politik und Forschung zunehmend wichtiger. Auch für den Datenschutz ist die Verwendung und Regulierung von künstlicher Intelligenz ein wichtiges Thema. Die EU-Kommission hat einen Vorschlag veröffentlicht, der die Verwendung von KI-Systemen regulieren soll: Die KI-Verordnung. Der von der EU-Kommission vorgeschlagene Text ist zwar nur der erste Schritt in einem langwierigen Gesetzgebungsverfahren, er gibt uns aber bereits einen Einblick in das legislatorische Modell, das die EU anstrebt.

Was ist das Ziel der KI-Verordnung?

Der Einsatz von künstlicher Intelligenz ist eine wichtige Treibkraft für den wirtschaftlichen Fortschritt. Der Europäischen Union ist dies bekannt. Sie hat gleichzeitig erkannt, dass der Einsatz künstlicher Intelligenz Risiken und Nachteile mit sich bringen kann. Daher ist die EU bemüht, durch vorausschauende Gesetzgebung einen einheitlichen Rechtsrahmen für KI-Systeme einzuführen. Die EU verfolgt folgende Ziele:

  • Die KI-Systeme müssen die Grundrechte einhalten.

  • Rechtssicherheit im KI-Bereich soll gewährleistet sein, um Investitionen und Innovationen zu fördern.

  • Die Sicherheitsanforderungen an KI-Systeme sollen erhöht und deren Durchsetzung verbessert werden.

  • Ein einheitlicher Binnenmarkt für KI-Systeme, der rechtkonform, sicher und vertrauenswürdig ist, soll entstehen. Eine Marktfragmentierung ist zu vermeiden.

(Quelle: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52021PC0206)

Wie soll die KI-Verordnung diese Ziele erreichen?

Die KI-Verordnung deckt das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen ab. Jede Tätigkeit in diesen Bereichen wird reguliert. Wie intensiv diese regulatorische Kontrolle ausfällt, hängt vom Risiko ab, das mit dem entsprechenden KI-System verbunden ist. Besonders risikoreiche KI-Systeme werden verboten. Risikoreiche KI-Systeme werden stark reguliert und die übrigen KI-Systeme werden leicht reguliert.

Welche KI-Systeme werden verboten?

KI-Systeme, die mit einem für uns inakzeptablen Risiko verbunden sind, werden durch die KI-Verordnung verboten. Zu diesen Systemen zählen insbesondere KI-basiertes «social scoring», «dark patterns» und «micro-trageting».

  • Social scoring-Systeme sind künstliche Intelligenzen, die das Sozialverhalten von Personen bewerten. Wünschenswerte Verhaltensweisen werden mit Punkten belohnt und negatives Auffallen wird mit Punktabzügen bestraft. Das bekannteste Beispiel für den Einsatz von social scoring-Systemen ist die Volksrepublik China. Weitere Informationen dazu findest du hier.

  • Dark patterns sind KI-Systeme die unmerkliche Techniken einsetzen, um das Verhalten einer Person so zu manipulieren, dass sie sich selbst oder einer anderen Person Schaden zufügt.

  • Micro-targeting beschreibt KI-Systeme, die gezielt die Schwächen (Alter, Behinderung etc.) einer Person ausnützten, sodass sie sich oder einer anderen Person Schaden zufügt.

  • Echtzeit-Fernidentifizierungssysteme zur biometrischen Identifizierung in öffentlich zugänglichen Räumen gehören auch zu den verbotenen Systemen. Das sind KI-Systeme, die Personen anhand individueller Köpermerkmale systematisch identifizieren können. In Ausnahmenfällen können solche Systeme dennoch zulässig sein, solange strenge Voraussetzungen erfüllt sind. Echtzeit Fernidentifizierungssysteme dürfen zum Beispiel für die Verhinderung terroristischer Anschläge verwendet werden.

Welche KI-Systeme sind risikoreich und wie werden sie reguliert?

Zu den risikoreichen KI-Systemen zählen solche, die in Produkten eingesetzt werden sollen, die ohnehin bereits unter das bestehende Produktsicherheitsgesetz fallen. Dazu kommen eigenständige KI-Systeme, die ebenfalls als Hochrisikosysteme aufgezählt sind, weil deren Verwendung Auswirkungen auf die Grundrechte haben kann. Dazu zählen insbesondere Systeme, die für die Sicherheit kritischer Infrastrukturen (z.B. Wasserversorgung), für Bildungs- und Beschäftigungszwecke, für die Inanspruchnahme öffentlicher Leistungen, für die Kreditwürdigkeitsprüfung und für den Einsatz von Notdiensten verwendet werden. Auch gewisse KI-Systeme in Bezug auf die Strafverfolgung, Einwanderungskontrolle und Justizverwaltung werden zu den Hochrisikosystemen gezählt. Die EU-Kommission wird berechtigt sein, die Liste mit den aufgezählten risikoreichen KI-Systemen zukünftig zu ergänzen.

Die KI-Verordnung stellt hohe Anforderungen an die Hochrisikosysteme, dazu zählen insbesondere:

  • Transparenz: Die KI-Systeme müssen so konzipiert sein, dass Nutzer die Ergebnisse verstehen und angemessen nutzen können. Dazu sollen dem Benutzer oder der Benutzerin klare Bedienungsanleitungen und Anweisungen zur Verfügung gestellt werden. Diese müssen umfassend über das KI-System aufklären und die menschlichen Massnahmen zur Kontrolle des Systems beschreiben.

  • Sicherheit: Die KI-Systeme müssen ausreichend geschützt werden. Schwerwiegende Vorfälle (z.B. grosse Datenlecks) sind der zuständigen Markaufsichtsbehörde zu melden.

  • Rechenschaftspflicht: Die Einhaltung der KI-Verordnung durch das KI-System muss jederzeit nachweisbar sein. Zudem müssen die Ergebnisse stets überprüfbar und nachvollziehbar sein.

  • Menschliche Überprüfung: Die KI-Systeme müssen so konzipiert sein, dass eine wirksame menschliche Kontrolle möglich ist.

Welche KI-Systeme sind risikoarm und wie werden sie reguliert?

KI-Systeme, die nicht verboten oder risikoreich sind, fallen automatisch unter die risikoarmen Systeme. Die Vorschriften für die risikoarmen Systeme gelten ebenfalls für die risikoreichen Systeme.

  • Interagierende Systeme: KI-Systeme, die dazu konzipiert sind mit Personen zu interagieren, müssen so ausgestaltet sein, dass die Benutzenden wissen, dass sie mit einem KI-System interagieren (ausser in der Öffentlichkeit und bei der Strafverfolgung).

  • Erkennung von Emotionen: KI-Systeme die Emotionen erkennen oder Personen biometrisch kategorisieren können, müssen die Benutzenden informieren, dass sie dazu in der Lage sind.

  • Deep Fakes: Deep Fakes sind Bilder oder Videos von Personen, die durch Einsatz von KI-Systemen abgeändert oder verfälscht wurden und dennoch realistisch erscheinen. Ein Beispiel findest du hier. Werden Deep Fakes verwendet, müssen die Benutzenden darüber informiert werden, dass der Inhalt «fake» ist.

Warum ist die KI-Verordnung für den Datenschutz relevant?

KI-Systeme sind in der Lage, Informationen aus Daten zu ziehen, die ein Mensch niemals erfassen könnte. Das liegt daran, dass KI-Systeme riesige Datenmengen «intelligent» verarbeiten können.

Ein Beispiel: Die Uni Bern und das Inselspital (Universitätsspital) haben gemeinsam das «Center for Artificial Intelligence in Medicine» (CAIM) gegründet. Das Ziel von CAIM ist es, künstliche Intelligenz zu verwenden, um die Schlüsselmerkmale aus den unzähligen Patientendaten zu ermitteln. Dadurch sollen unnötige medizinische Interventionen vermieden und Behandlungserfolge verbessert werden. Uwe E. Jocham, Direktionspräsident der Insel Gruppe sagt dazu:

«Das CAIM wird helfen, die grossen Datenmengen, die anfallen werden, für die Forschung und Entwicklung neuer Instrumente nutzbar zu machen.»

Und Michael Kaess, Direktor der Universitätsklinik für Kinder- und Jugendpsychiatrie und Psychotherapie an der UPD sagt:

«Methoden der künstlichen Intelligenz spielen (…) eine wichtige Rolle, etwa bei der Verarbeitung und Analyse grosser Datenmengen zur Vorhersage von Krankheitsverläufen oder assoziierten Risiken.»

An diesen Aussagen zeigt sich einerseits, wie wichtig und wertvoll künstliche Intelligenz in Zukunft sein wird. Andererseits zeigt sich, dass die Verarbeitung sensibler persönlicher Daten (wie zum Beispiel Patientendaten) zunehmen wird. Es ist daher wichtig, den Datenschutz in einem engen Zusammenhang mit der Regulierung von künstlicher Intelligenz zu betrachten. Die KI-Verordnung hat somit auch Auswirkungen auf den Datenschutz in der Zukunft.

(Quelle und weiterführende Informationen zum CAIM: https://www.unibe.ch/aktuell/medien/media_relations/medienmitteilungen/2020/medienmitteilungen_2020/berner_zentrum_fuer_kuenstliche_intelligenz_in_der_medizin/index_ger.html)

Fazit

Die KI-Verordnung ermöglicht der Europäischen Union Fortschritt durch regulierte Entwicklung und Förderung von KI-Systemen. Es ist davon auszugehen, dass auch andere Länder dem Ansatz der EU folgen werden. Die KI-Verordnung ist der erste Schritt in einem langwierigen Gesetzgebungsverfahren. Dementsprechend wird es noch einige Entwicklungen in diesem Bereich geben.

In der Schweiz beschränkt sich der Bundesrat indessen auf die Herausgabe von Leitlinien und auf ein KI-Monitoring (vgl. weiterführend: https://www.bakom.admin.ch/bakom/de/home/digital-und-internet/strategie-digitale-schweiz/digitale-schweiz.html).

Datenschutz.law hält Dich über weitere Entwicklungen zur KI-Verordnung auf dem Laufenden.

(Den Vorschlag der EU-Kommission findest Du hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52021PC0206)

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 58 531 20 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum