Navigation durch das EU-Digitalrecht: DSGVO trifft auf EU AI Act
Die Ära der Künstlichen Intelligenz (KI) bringt enorme Chancen, aber auch rechtliche Komplexität mit sich. Wer heute KI-Systeme entwickelt oder einsetzt, muss nicht nur den Datenschutz (DSGVO) beherrschen, sondern auch die neuen Anforderungen des EU AI Acts (KI-Verordnung) verstehen.
1. Die DSGVO: Das Fundament für Datenvertrauen
Die seit 2018 geltende DSGVO bleibt auch im Zeitalter der KI das maßgebliche Regelwerk für den Schutz personenbezogener Daten.
- Zweck: Schutz der Grundrechte natürlicher Personen bei der Datenverarbeitung.
- KI-Relevanz: Da KI-Systeme fast immer auf (personenbezogenen) Daten basieren, greifen hier Prinzipien wie Zweckbindung, Datenminimierung und das Recht auf Auskunft.
- Automatisierte Entscheidungen: Artikel 22 DSGVO schützt Personen davor, Entscheidungen unterworfen zu sein, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten.
2. Der EU AI Act: Sicherheit durch Risikokategorisierung
Der im Juni 2024 verabschiedete EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er verfolgt einen risikobasierten Ansatz.
- Verbotene Praktiken: Bestimmte KI-Anwendungen, die ein unannehmbares Risiko darstellen (z. B. Social Scoring oder manipulative Techniken), sind strikt untersagt.
- Hochrisiko-KI: Systeme in kritischen Bereichen (z. B. Biometrie, kritische Infrastruktur, Bildung oder Personalwesen) müssen strenge Anforderungen an das Qualitätsmanagement, die Transparenz und die menschliche Aufsicht erfüllen.
- KI-Modelle mit allgemeinem Verwendungszweck (GPAI): Für leistungsstarke Modelle wie LLMs gelten spezifische Transparenzpflichten und die Einhaltung des Urheberrechts.
3. Wie beide Gesetze ineinandergreifen (Rechtssicherheit)
Das wichtigste Learning für Unternehmen: Der EU AI Act ersetzt die DSGVO nicht, sondern ergänzt sie.
- Komplementarität: Während die DSGVO den Schutz der Daten fokussiert, konzentriert sich der AI Act auf die Sicherheit und Vertrauenswürdigkeit des Systems an sich.
- Daten-Governance: Für Hochrisiko-KI schreibt der AI Act eine hohe Datenqualität vor, um Verzerrungen (Bias) zu vermeiden. Hier erlaubt der AI Act unter strengen Bedingungen sogar die Verarbeitung sensibler Daten (z. B. zur Korrektur von Diskriminierung), was unter der DSGVO allein oft schwierig wäre.
- Transparenz: Beide Gesetze fordern Transparenz. Nutzer müssen wissen, dass sie mit einer KI interagieren (AI Act) und wie ihre Daten dabei verwendet werden (DSGVO).
Fazit für die Praxis
Rechtssicherheit erreichen Sie nur durch einen integrierten Ansatz. Wer ein KI-Projekt plant, muss eine Datenschutz-Folgenabschätzung (DSGVO) mit den Konformitätsanforderungen des AI Acts (wie technischer Dokumentation und Risikomanagementsystemen) kombinieren.
Dieser Beitrag dient der allgemeinen Information und stellt keine individuelle Rechtsberatung dar.