Editorial : KI durch die Brille des Datenschutzrechts : aus der RDV 5/2024, Seite 255
Die KI-Verordnung (KI-VO) ist in Kraft getreten. Wer als Unternehmer seine Mitarbeiter oder Kunden per Sprach-KI anspricht oder sich einen Werbeflyer von einer Bild-KI erzeugen lässt, muss das neue Recht beachten. Auch wenn die Normen nicht alle sofort Geltung beanspruchen (vgl. dazu den „Fahrplan“ auf S. 260 in diesem Heft), werden zwei wichtige Pflichten für Unternehmen im Februar 2025 wirksam. Zum einen muss jeder, der KI beruflich verwendet, sprich betreibt, „nach besten Kräften sicherstellen, dass (sein) Personal (…) über ein ausreichendes Maß an KI-Kompetenz (verfügt)“. Hierbei ist gem. Art. 4 KI-VO unter anderem die Schulung der Beschäftigten zu berücksichtigen. Nur wer KI-Kompetenz besitzt, kann KI auch verantwortlich
Diese Kompetenz sollte schon im Februar 2025 vorliegen, denn ab dann gilt eine zweite wichtige Vorschrift über verbotene KI. Alles, was Art. 5 KI-VO verbietet, muss man dann meiden, wenn man nicht hohe Bußgelder riskieren möchte. Wann KI verboten oder „nur“ hochriskant und ihre Verwendung unter strengen Anforderungen erlaubt ist, ist manchmal nur schwer zu erkennen. Wer Emotionserkennung für seine Fahrzeugflotte einsetzt, um die Müdigkeit eines LKW-Fahrers zu erkennen, der verwendet ein KI-System zur Ableitung von Emotionen am Arbeitsplatz aus Sicherheitsgründen. Das dürfte nicht verboten sein. Aber ist es auch erlaubt, wenn Emotionen ausgewertet werden, um Beschäftigten medizinische Hilfe bei der Früherkennung von Burnout anzubieten? Selbst wenn man das annimmt, hat man lediglich eine Aussage zur KI-VO getroffen.
Weil Emotionen, die auf eine Erkrankung hinweisen, auch personenbezogene Daten sind, die automatisiert ausgewertet werden, muss neben der KI-VO auch die DS-GVO beachtet werden. Allerdings ist das Verhältnis zwischen KI-VO und DS-GVO durchaus komplex. Grundsätzlich berührt die KI-VO nicht die Vorschriften der DS-GVO. So eindeutig das auch klingt, das konkrete Verhältnis von KI-VO und DS-GVO ist in einigen Fällen unklar. Wer für den betrieblichen oder behördlichen Datenschutz zuständig ist, der muss sich auch gut in der KI-VO auskennen und die KI-VO durch die Brille der DS-GVO betrachten und ihre Probleme sicher einordnen können.
Die Beiträge in diesem Schwerpunktheft zu KI und Datenschutz tragen dieser Anforderung Rechnung. Nach einem FAQ zu den Grundbegriffen der KI-VO (S. 257 ff.) wird der Fokus auf die KI-Kompetenz gelegt (S. 261 ff.). Danach beleuchten wir die Anforderungen der KI-VO an den behördlichen Einsatz (S. 267 ff.) und befassen uns schließlich mit dem Verhältnis von KI-VO und DS-GVO: Wir benennen die für den betrieblichen Datenschutz relevanten Normen der KI-VO und stellen sie korrespondierenden Normen der DS-GVO gegenüber (S. 271 ff).
Prof. Dr. Rolf Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht an der TH Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit GDD) e.V.