Editorial : Was die KI-Verordnung für den betrieblichen Datenschutz bedeutet : aus der RDV 1/2024, Seite 3
Die Europäische Union (EU) wird ein KI-Gesetz erhalten. Im Sommer 2024 soll sie gelten und danach zeitlich gestuft wirksam werden. Die EU steht bei der Schaffung eines Rechtsrahmens für den Einsatz der Künstlichen Intelligenz (KI) unter Druck und steckt zugleich in einem Dilemma. Schreitet die Technik unreguliert voran, ist man im internationalen Vergleich lediglich Beckenrandschwimmer. Setzt man dagegen Regeln, bevor man eine Entwicklung und deren Auswirkungen begriffen hat, bleibt der Rechtsrahmen womöglich unausgegoren und politische Grabenkämpfe unter vielen Beteiligten um die Reichweite der Regulierung in der datengetriebenen Welt lähmen die Prozesse. Man greift bei der KI-Verordnung auf Bewährtes zurück, denn die Grundprinzipien der Regulierung der „autonomen“ Technik sind weltweit sehr ähnlich. Sie sind hierzulande seit dem Abschlussbericht der Datenethikkommission von 2019 fixiert, weltweit dominieren die Vorüberlegungen der OECD. Die Konzepte der Transparenz, der Robustheit der Systeme und der Dokumentations- und Rechenschaftspflichten sind auch die Basis des bald zur Abstimmung stehenden Textdokuments. Wenn der Plan aufgeht, dann werden elementare Werte der Identität eines Europas in der Digitalisierung ins Werk gesetzt und der Welt vermittelt. Zu hoffen ist, dass die Regelungen mit Blick auf die Praxistauglichkeit nicht mehr Probleme schaffen, als sie lösen. Gut ist, dass der Schwerpunkt der Regulierung nun klarer auf neuen und „echten“ KI-Technologien, etwa sog. Machine und Deep Learning liegt. KI muss insbesondere (teil)autonom „agieren“. Klassische Software ist nicht erfasst. Das entspricht internationalen Standards für KI.
Wie gefährlich eine Risikotechnologie ist, hängt vom Kontext ab. Dem trägt der risikobasierte Ansatz des geplanten Gesetzes Rechnung. Für die Wirtschaft ist die Rechtslage aber dennoch ungewiss. Dass eine Anwendung nicht von der KI-Verordnung erfasst wird, bedeutet noch lange nicht, dass sie einfach so eingesetzt werden darf. Wer sich etwa als Unternehmen einen personalisierten Werbetext auf Basis von ChatGPT erstellen lässt, der muss zusätzlich das Datenschutzrecht beachten. Wer einen Bot zur Personalgewinnung einsetzt, der in den Anwendungsbereich der Verordnung fällt, weil er spezifisch gefährlich ist, der muss die genannten allgemeinen Anforderungen zusätzlich zur KI-Verordnung beachten. Rechtsunterworfene haben es also mit einem ganzen Bündel von parallel geltenden rechtlichen Regularien zu tun. Die Überschneidungen und Wechselwirkungen der neuen KI-Verordnung mit bestehenden und künftigen Rechtsvorschriften führen zu parallelen Verpflichtungen für Anbieter, die nicht immer widerspruchsfrei sind. Das neue Gesetz wird keine konsolidierte Lösung zwischen den Rechtsakten schaffen. Seine Durchsetzung wird sektorspezifisch hauptsächlich von den zuständigen nationalen Behörden überwacht. Das komplexe Zusammenspiel mit sektoralen Stellen und anderen EU-Agenturen ist verwirrend und wird einen enormen Abstimmungsbedarf auslösen. Der schwache Koordinierungsmechanismus auf EU-Ebene (KI-Ausschuss) wird unterschiedlichen Auslegungen des Rechts in den Mitgliedstaaten der Union sowie unterschiedlichen Auffassungen von Regulierungsstrenge wenig entgegenzusetzen haben. Diese Entwicklung ist misslich und selbst unter der DS-GVO, wo es einen Mechanismus zur einheitlichen Auslegung des Datenschutzrechts gibt, ist die einheitliche Rechtsanwendung bisweilen ein Problem. Akteure des innovativen Regulierungsansatzes werden auch die Datenschutzbehörden sein, wenn sie sich in den Reallaboren konstruktiv und eng am Entwicklungsprozess und der wirtschaftlichen Praxis einbringen.
Prof. Dr. Rolf Schwartmann leitet die Kölner Forschungsstelle für Medienrecht an der TH Köln und ist Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Prof. Dr. iur. Tobias Keber ist Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg.
Axel Voss ist Berichterstatter der EVP für die KI-Verordnung.
Kai Zenner Büroleiter und Digitalreferent für MdEP Axel Voss und als Experte des AI Netzwerks der OECD tätig.