Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Die neue Ausgabe der RDV ist da!

 

  

RDV 6/2023

 

Editorial

Was die KI-Verordnung für den betrieblichen Datenschutz bedeutet

Die Europäische Union (EU) wird ein KI-Gesetz erhalten. Im Sommer 2024 soll sie gelten und danach zeitlich gestuft wirksam werden. Die EU steht bei der Schaffung eines Rechtsrahmens für den Einsatz der Künstlichen Intelligenz (KI) unter Druck und steckt zugleich in einem Dilemma. Schreitet die Technik unreguliert voran, ist man im internationalen Vergleich lediglich Beckenrandschwimmer. Setzt man dagegen Regeln, bevor man eine Entwicklung und deren Auswirkungen begriffen hat, bleibt der Rechtsrahmen womöglich unausgegoren und politische Grabenkämpfe unter vielen Beteiligten um die Reichweite der Regulierung in der datengetriebenen Welt lähmen die Prozesse. Man greift bei der KI-Verordnung auf Bewährtes zurück, denn die Grundprinzipien der Regulierung der „autonomen“ Technik sind weltweit sehr ähnlich. Sie sind hierzulande seit dem Abschlussbericht der Datenethikkommission von 2019 fixiert, weltweit dominieren die Vorüberlegungen der OECD. Die Konzepte der Transparenz, der Robustheit der Systeme und der Dokumentations- und Rechenschaftspflichten sind auch die Basis des bald zur Abstimmung stehenden Textdokuments. Wenn der Plan aufgeht, dann werden elementare Werte der Identität eines Europas in der Digitalisierung ins Werk gesetzt und der Welt vermittelt. Zu hoffen ist, dass die Regelungen mit Blick auf die Praxistauglichkeit nicht mehr Probleme schaffen, als sie lösen. Gut ist, dass der Schwerpunkt der Regulierung nun klarer auf neuen und „echten“ KI-Technologien, etwa sog. Machine und Deep Learning liegt. KI muss insbesondere (teil)autonom „agieren“. Klassische Software ist nicht erfasst. Das entspricht internationalen Standards für KI.

Wie gefährlich eine Risikotechnologie ist, hängt vom Kontext ab. Dem trägt der risikobasierte Ansatz des geplanten Gesetzes Rechnung. Für die Wirtschaft ist die Rechtslage aber dennoch ungewiss. Dass eine Anwendung nicht von der KI-Verordnung erfasst wird, bedeutet noch lange nicht, dass sie einfach so eingesetzt werden darf. Wer sich etwa als Unternehmen einen personalisierten Werbetext auf Basis von ChatGPT erstellen lässt, der muss zusätzlich das Datenschutzrecht beachten. Wer einen Bot zur Personalgewinnung einsetzt, der in den Anwendungsbereich der Verordnung fällt, weil er spezifisch gefährlich ist, der muss die genannten allgemeinen Anforderungen zusätzlich zur KI-Verordnung beachten. Rechtsunterworfene haben es also mit einem ganzen Bündel von parallel geltenden rechtlichen Regularien zu tun. Die Überschneidungen und Wechselwirkungen der neuen KI-Verordnung mit bestehenden und künftigen Rechtsvorschriften führen zu parallelen Verpflichtungen für Anbieter, die nicht immer widerspruchsfrei sind. Das neue Gesetz wird keine konsolidierte Lösung zwischen den Rechtsakten schaffen. Seine Durchsetzung wird sektorspezifisch hauptsächlich von den zuständigen nationalen Behörden überwacht. Das komplexe Zusammenspiel mit sektoralen Stellen und anderen EU-Agenturen ist verwirrend und wird einen enormen Abstimmungsbedarf auslösen. Der schwache Koordinierungsmechanismus auf EU-Ebene (KI-Ausschuss) wird unterschiedlichen Auslegungen des Rechts in den Mitgliedstaaten der Union sowie unterschiedlichen Auffassungen von Regulierungsstrenge wenig entgegenzusetzen haben. Diese Entwicklung ist misslich und selbst unter der DS-GVO, wo es einen Mechanismus zur einheitlichen Auslegung des Datenschutzrechts gibt, ist die einheitliche Rechtsanwendung bisweilen ein Problem. Akteure des innovativen Regulierungsansatzes werden auch die Datenschutzbehörden sein, wenn sie sich in den Reallaboren konstruktiv und eng am Entwicklungsprozess und der wirtschaftlichen Praxis einbringen.

 
 
Prof. Dr. Rolf Schwartmann

Prof. Dr. Rolf Schwartmann

leitet die Kölner Forschungsstelle für Medienrecht an der TH Köln und ist Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

  

Prof. Dr. iur. Tobias Keber

Prof. Dr. iur. Tobias Keber

ist Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg.

  

Axel Voss

Axel Voss

ist Berichterstatter der EVP für die KI-Verordnung.

  

Kai Zenner

Kai Zenner

Büroleiter und Digitalreferent für MdEP Axel Voss und als Experte des AI Netzwerks der OECD tätig.

       Editorial Was die KI-Verordnung für den betrieblichen Datenschutz bedeutet Die Europäische Union (EU) wird ein KI-Gesetz... mehr erfahren »
Fenster schließen
Die neue Ausgabe der RDV ist da!

 

  

RDV 6/2023

 

Editorial

Was die KI-Verordnung für den betrieblichen Datenschutz bedeutet

Die Europäische Union (EU) wird ein KI-Gesetz erhalten. Im Sommer 2024 soll sie gelten und danach zeitlich gestuft wirksam werden. Die EU steht bei der Schaffung eines Rechtsrahmens für den Einsatz der Künstlichen Intelligenz (KI) unter Druck und steckt zugleich in einem Dilemma. Schreitet die Technik unreguliert voran, ist man im internationalen Vergleich lediglich Beckenrandschwimmer. Setzt man dagegen Regeln, bevor man eine Entwicklung und deren Auswirkungen begriffen hat, bleibt der Rechtsrahmen womöglich unausgegoren und politische Grabenkämpfe unter vielen Beteiligten um die Reichweite der Regulierung in der datengetriebenen Welt lähmen die Prozesse. Man greift bei der KI-Verordnung auf Bewährtes zurück, denn die Grundprinzipien der Regulierung der „autonomen“ Technik sind weltweit sehr ähnlich. Sie sind hierzulande seit dem Abschlussbericht der Datenethikkommission von 2019 fixiert, weltweit dominieren die Vorüberlegungen der OECD. Die Konzepte der Transparenz, der Robustheit der Systeme und der Dokumentations- und Rechenschaftspflichten sind auch die Basis des bald zur Abstimmung stehenden Textdokuments. Wenn der Plan aufgeht, dann werden elementare Werte der Identität eines Europas in der Digitalisierung ins Werk gesetzt und der Welt vermittelt. Zu hoffen ist, dass die Regelungen mit Blick auf die Praxistauglichkeit nicht mehr Probleme schaffen, als sie lösen. Gut ist, dass der Schwerpunkt der Regulierung nun klarer auf neuen und „echten“ KI-Technologien, etwa sog. Machine und Deep Learning liegt. KI muss insbesondere (teil)autonom „agieren“. Klassische Software ist nicht erfasst. Das entspricht internationalen Standards für KI.

Wie gefährlich eine Risikotechnologie ist, hängt vom Kontext ab. Dem trägt der risikobasierte Ansatz des geplanten Gesetzes Rechnung. Für die Wirtschaft ist die Rechtslage aber dennoch ungewiss. Dass eine Anwendung nicht von der KI-Verordnung erfasst wird, bedeutet noch lange nicht, dass sie einfach so eingesetzt werden darf. Wer sich etwa als Unternehmen einen personalisierten Werbetext auf Basis von ChatGPT erstellen lässt, der muss zusätzlich das Datenschutzrecht beachten. Wer einen Bot zur Personalgewinnung einsetzt, der in den Anwendungsbereich der Verordnung fällt, weil er spezifisch gefährlich ist, der muss die genannten allgemeinen Anforderungen zusätzlich zur KI-Verordnung beachten. Rechtsunterworfene haben es also mit einem ganzen Bündel von parallel geltenden rechtlichen Regularien zu tun. Die Überschneidungen und Wechselwirkungen der neuen KI-Verordnung mit bestehenden und künftigen Rechtsvorschriften führen zu parallelen Verpflichtungen für Anbieter, die nicht immer widerspruchsfrei sind. Das neue Gesetz wird keine konsolidierte Lösung zwischen den Rechtsakten schaffen. Seine Durchsetzung wird sektorspezifisch hauptsächlich von den zuständigen nationalen Behörden überwacht. Das komplexe Zusammenspiel mit sektoralen Stellen und anderen EU-Agenturen ist verwirrend und wird einen enormen Abstimmungsbedarf auslösen. Der schwache Koordinierungsmechanismus auf EU-Ebene (KI-Ausschuss) wird unterschiedlichen Auslegungen des Rechts in den Mitgliedstaaten der Union sowie unterschiedlichen Auffassungen von Regulierungsstrenge wenig entgegenzusetzen haben. Diese Entwicklung ist misslich und selbst unter der DS-GVO, wo es einen Mechanismus zur einheitlichen Auslegung des Datenschutzrechts gibt, ist die einheitliche Rechtsanwendung bisweilen ein Problem. Akteure des innovativen Regulierungsansatzes werden auch die Datenschutzbehörden sein, wenn sie sich in den Reallaboren konstruktiv und eng am Entwicklungsprozess und der wirtschaftlichen Praxis einbringen.

 
 
Prof. Dr. Rolf Schwartmann

Prof. Dr. Rolf Schwartmann

leitet die Kölner Forschungsstelle für Medienrecht an der TH Köln und ist Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

  

Prof. Dr. iur. Tobias Keber

Prof. Dr. iur. Tobias Keber

ist Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg.

  

Axel Voss

Axel Voss

ist Berichterstatter der EVP für die KI-Verordnung.

  

Kai Zenner

Kai Zenner

Büroleiter und Digitalreferent für MdEP Axel Voss und als Experte des AI Netzwerks der OECD tätig.

Für die Filterung wurden keine Ergebnisse gefunden!
RDV
Zeitschrift RDV

RA Andreas Jaspers, Prof. Dr. Rolf Schwartmann

Die Fachzeitschrift RDV (Recht der Datenverarbeitung) berichtet aktuell und praxisnah über das Datenschutz-, Informations- und Kommunikationsrecht sowie das entsprechende Computerstrafrecht. Ein Fokus liegt auf rechtspolitische...
179,00 €

Preis für Jahresabonnement Inland

Zuletzt angesehen