Mit der formellen Verabschiedung des “AI Acts” (Gesetz zur Regulierung Künstlicher Intelligenz) am 13. März 2024 durch das Europäische Parlament, stehen Unternehmen vor neuen Auflagen, die es in Kürze zu erfüllen gilt!
Welche Auswirkungen der AIAct auf datenschutzrechtliche Regeln und den Einsatz von KI in Unternehmen hat, erfahren Sie in unserem heutigen Newsletter – let’s go! 🤖
- Was ist der AI Act? Welche Bedeutung hat er für den #Datenschutz und für Unternehmen?
- Kann es zu Geldstrafen kommen?
- Was ist für Unternehmen bereits jetzt bei der Verwendung von KI-Tools zu beachten?
- Welche Herausforderungen kommen auf Compliance-Manager zu?
Was ist der AI Act? Welche Bedeutung hat er für den #Datenschutz und für Unternehmen? 🦾
Unter dem AI Act versteht man ein vom europäischen Parlament erlassenes Gesetz zur Regulierung Künstlicher Intelligenz, das nach der abschließenden Beratung des EU-Ministerrats in Kürze in Kraft treten wird. Es markiert einen bedeutenden Schritt in der Regulierung von KI, teilt KI-Tools in verschiedene Risikogruppen (geringes, begrenztes, hohes und unannehmbares Risiko) ein und definiert welche Verbote bzw. Compliance- und Informationspflichten damit verbunden sind.
Sobald beim Einsatz von KI-Tools personenbezogene Daten verarbeitet werden, sind bereits jetzt Datenschutzgesetze einzuhalten.
Für Unternehmen bedeutet dies konkret, dass sie sich auf neue Anforderungen vorbereiten müssen, um sicherzustellen, dass ihre eingesetzten KITools den neuen Standards entsprechen. Dabei müssen Unternehmen insbesondere sicherstellen, dass ihre KI-Tools der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikations- und Telemedien-Datenschutzgesetz (TTDSG) entsprechen, was die Einhaltung von Grundsätzen wie Rechtmäßigkeit, Zweckbindung, Transparenz, Datenminimierung und Richtigkeit bei der Verarbeitung personenbezogener Daten durch KI-Systeme erfasst.
Rechtmäßigkeit
Für jeden Verarbeitungsschritt, bei dem mit Hilfe eines KI‐Tools personenbezogene Daten verarbeitet werden, ist eine datenschutzrechtliche Rechtsgrundlage erforderlich. Die mögliche Rechtsgrundlage variiert je nachdem, ob es sich beim Verantwortlichen um eine öffentliche oder private Stelle handelt und ob die Anwendung im Personalwesen, Gesundheitswesen oder im Rahmen eines Verbraucher- oder Dienstleistungsvertrags erfolgt.
Transparenz
Der Einsatz von KI-Tools stellt Verantwortliche in Bezug auf ihre Informations- und Transparenzpflichten vor besondere Herausforderungen. Verantwortliche, die KI-Tools nicht selbst entwickeln, müssen sicherstellen, dass der Anbieter ihnen genügend Informationen zur Verfügung stellt, um die Transparenzanforderungen zu erfüllen. Hersteller sind verpflichtet, die erforderlichen Dokumentationen bereitzustellen.
Betroffenenrechte
Verantwortliche müssen sicherstellen, dass betroffene Personen unter anderem ihre Rechte auf Berichtigung (Art. 16 DSGVO) und Löschung (Art. 17 DSGVO) ausüben können. Dafür sind organisatorische und technische Verfahren notwendig, die den datenschutzkonformen Technikvorgaben entsprechen. Beim Einsatz von KI-Anwendungen kann es vorkommen, dass unrichtige personenbezogene Daten verarbeitet werden. Anbieter von KI-Tools, insbesondere LLM-Chatbots, weisen oft darauf hin, dass die Richtigkeit der Ergebnisse überprüft werden muss. Betroffene haben auch ein Recht auf Berichtigung unrichtiger Daten, das durch Korrektur oder Nachtraining der KI umgesetzt werden muss.
Keine automatisierte Entscheidungsfindung
Entscheidungen mit #Rechtswirkung dürfen gemäß Art. 22 Abs. 1 DSGVO grundsätzlich nur von Menschen getroffen werden. Ausnahmen sind nur in bestimmten Fällen zugelassen, etwa bei einer Einwilligung der betroffenen Person. Erarbeitet eine KI-Anwendung Vorschläge, die für eine betroffene Person Rechtswirkung entfalten, muss das Verfahren so gestaltet sein, dass der entscheidende Mensch einen tatsächlichen Entscheidungsspielraum hat und nicht hauptsächlich aufgrund des KI-Vorschlags entscheidet. Unzureichende Personalressourcen, Zeitdruck und fehlende Transparenz über den Entscheidungsweg der KI-gestützten Vorarbeit dürfen nicht dazu führen, dass Ergebnisse ungeprüft übernommen werden. Eine lediglich formelle Beteiligung eines Menschen im Entscheidungsprozess ist nicht ausreichend.
Das KI-Tool muss zudem in das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO) aufgenommen werden, und zwischen dem Anbieter und dem Betreiber der KI muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden. Der KI-Anbieter ist hierbei Auftragsverarbeiter und das Unternehmen, welches die KI einsetzt, Verantwortlicher iSd. DSGVO. Entwickelt der Verantwortliche das KI-Tool weiter, gilt dieser dann als eigenständig verantwortlicher KI-Anbieter, wodurch die AI-Act – Vorgaben unmittelbar zur Anwendung kommen.
Und nicht vergessen: Beim Einsatz von KI ist die Durchführung einer #DSFA (Datenschutzfolgeabschätzung) zwingend erforderlich!
Da der AI Act auch einen zeitlich gestuften Zeitplan mit sich bringt, der die schrittweise Umsetzung der Regelungen vorsieht, müssen Unternehmen daher vorbereitet sein, ihre KI-Tools entsprechend den vorgesehenen Fristen anzupassen und zu aktualisieren. Vor dem Einsatz der KI-Tools im Unternehmen ist zwingend eine Datenschutz-Folgenabschätzung (DSFA) erforderlich, um das Risiko zu beurteilen und Maßnahmen zu ergreifen, die den Schutz der persönlichen Daten der Betroffenen und Nutzer*innen gewährleisten. Dies erfordert eine gründliche Überprüfung der KI-Tools, damit diese den neuen Anforderungen entsprechen und der Datenschutz sichergestellt ist.
Kann es zu Geldstrafen kommen? 💶
Kommt es zum Einsatz einer verbotenen KI, kann mit einer Geldstrafe von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes gerechnet werden.
Es ist daher ratsam, sich bereits jetzt mit dem Thema auseinanderzusetzen und den Datenschutzbeauftragten bereits vor dem Einsatz der KI-Tools einzubinden.
Was ist für Unternehmen bereits jetzt bei der Verwendung von KI-Tools zu beachten? 🙋🏼
KI wird oftmals in verschiedenen Unternehmens-Bereichen eingesetzt, angefangen beim Recruiting bis hin zur Erledigung von Aufgaben durch Mitarbeiter*innen. Arbeitgeber haben die Freiheit, über die Nutzung zulässiger KI-Tools im Arbeitsverhältnis zu entscheiden. Dies beinhaltet auch das Recht, Mitarbeiter*innen zur Nutzung solcher Tools anzuhalten oder deren Verwendung ganz zu untersagen.
Für den Einsatz von KI-Tools im Arbeitsverhältnis sind Arbeitgeber angehalten, angemessene Schulungen und kontinuierliche Weiterbildungen für Mitarbeiter*innen anzubieten. Dies wird sowohl im neuen KI-Gesetz als auch im Arbeitsschutzgesetz nahegelegt.
Zudem sollten Richtlinien für den verantwortungsvollen Einsatz von KI festgelegt werden. Diese sollten nicht nur die Einhaltung gesetzlicher Vorschriften, sondern auch ethische Grundsätze und die Sicherstellung menschlicher Kontrolle über die KI-Anwendungen umfassen.
Außerdem ist beim Einsatz von KI-Tools die Einbindung des Betriebsrates von Bedeutung. Während allgemeine Rahmenregelungen zur Einführung von KI-Technologien freiwillig sind, bestehen in Einzelfällen Mitbestimmungsrechte des Betriebsrats bei der Einführung konkreter KI-Tools gemäß dem Betriebsverfassungsgesetz.
Welche Herausforderungen kommen auf Compliance-Manager zu? 🤖
Trotz der vielfältigen Vorteile, die solche Tools bieten, werden sie gemäß EU-Gesetzgebung als Hochrisikosysteme betrachtet, insbesondere im Hinblick auf potenzielle Auswirkungen auf Karriereaussichten und Lebensgrundlagen der Einzelpersonen. Was passiert beispielsweise, wenn die KI, die im Personalwesen für das Recruiting eingesetzt wird, einen Bewerber aufgrund seines Geschlechts oder seiner Hautfarbe diskriminiert? Tatsächlich hängt dieses Risiko von den historischen Daten ab: Die KI trifft anhand der Daten eine Entscheidung, mit denen sie trainiert wird. Wenn die KI gelernt hat, dass vorwiegend weiße Männer für eine Führungsposition bevorzugt werden, schlägt die KI diese auch vor. Wenn sie mit schlechten Daten gefüttert oder gar von Hackern manipuliert wird, kann es zu Fehlentscheidungen und Fehlfunktionen kommen.
Daher bleibt die menschliche Erfahrung unersetzlich und die Kontrolle der Ergebnisse sowie eine regelmäßige Überprüfung des Tools unerlässlich. Eine hybride Lösung, die KI-Effizienz mit menschlichem Anwendungswissen verbindet, verspricht eine erfolgreiche und Compliance-konforme Zukunft!
Sie haben Fragen zur Umsetzung der neuen Auflagen und Anforderungen aus dem AI Act? 👀
Wir von der Kanzlei Krüger stehen Ihnen mit Rat und Tat zur Seite und unterstützen Sie beim richtigen Umgang mit KI-Tools in Bezug auf Datenschutz & Compliance!
Kanzlei Krüger
Bahnhofstraße 46 | 65185 Wiesbaden
