Wie adressiert der AI-Act Ihrer Meinung nach die Datenschutzrisiken, die durch den Einsatz von KI-Systemen entstehen?

Ivana Bartoletti: Der AI-Act ist – in gewisser Hinsicht – eine produktbasierte Gesetzgebung. Dies bedeutet, dass er die Risiken bezüglich möglicher Auswirkungen auf Gesundheit und Sicherheit im Einklang mit bestehenden europäischen Rechtsvorschriften adressiert. Die Verordnung geht jedoch darüber hinaus, indem eine Reihe von Hoch-Risiko- sowie verbotener KI-Systeme definiert werden, die einen negativen Einfluss auf die Grundrechte der Europäerinnen und Europäer haben könnten – in Anlehnung an die Charta der Grundrechte der EU. Dies ist zentral, denn Privatsphäre stellt ein wesentliches europäisches Grundrecht dar.

Die europäische KI-Verordnung deckt den Aspekt der Privatsphäre ab, indem die Datenschutz-Grundverordnung (DSGVO) Anwendung findet und als wesentlicher Bestandteil von Instrumenten wie beispielsweise der Konformitätsanalyse für KI mit hohem Risiko gilt. Der springende Punkt ist dabei, dass Rechtsverletzungen im Kontext von KI in gewisser Weise Verletzungen des Persönlichkeitsrechts sind. So könnten Menschen beispielsweise grundlegende Dienstleistungen – eine Krankenhausbehandlung oder Beförderung – verweigert werden, wenn ein unkritischer Gebrauch von persönlichen Daten zu Voreingenommenheit führt.
Mit diesem neuen Gesetz wird die Relevanz von Datenschutzbehörden zukünftig steigen, da sie mit Blick auf Hoch-Risiko-KI in allen Mitgliedstaaten eine Schlüsselrolle spielen werden.

Inwiefern könnte der AI-Act den Innovationsprozess durch zusätzliche Regulierungen bremsen? Sehen Sie Risiken, dass der Rechtsrahmen die Entwicklung neuer KI-Produkte verlangsamt?

Bartoletti: Innovation und Regulierung stehen nicht grundlegend im Gegensatz zueinander. Ich denke sogar, dass Regulierung Innovation anregen kann. Schauen wir nur einmal auf eine stark regulierte Branche wie die Pharmaindustrie: Obwohl die Produkte vor ihrer Markteinführung eine Prüfung durchlaufen müssen, war Innovation nie ein Hindernis. Sichere KI bedeutet eine KI, die von Menschen genutzt werden kann, und je mehr Personen diese nutzen, desto mehr Nachfrage kann sie generieren – und damit letztendlich Wachstum.

Wie können Unternehmen den Spagat zwischen Einhaltung der Vorschriften und Förderung von Innovation meistern? 

Bartoletti: Indem sie in Datenschutz und Sicherheit sowie in Regulation-by-Design investieren. Vor uns liegt eine gute Gelegenheit, Technologien zur Verbesserung von Datenschutz und Sicherheit einzusetzen. In diesem Kontext kommt Datenschutzbehörden eine bedeutende Rolle zu, und zwar in zweierlei Hinsicht: Erstens, indem sie einen sicheren Raum für Innovation schaffen, in dem Unternehmen experimentieren können. Zweitens, indem sie immer wieder die Art und Weise infrage stellen , wie wir Gesetze auf neue Produkte wie Large Language Models anwenden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat beispielsweise kürzlich dargelegt, dass die Verarbeitung von Tokens und Vektorbeziehungen (Embeddings) durch LLMs keine »Speicherung personenbezogener Daten« im Sinne der DSGVO darstelle. Die Position der Behörde ist interessant und konstruktiv, weil sie die Debatte voranbringt.

Der AI-Act fordert mehr Transparenz bei der Nutzung von KI-Systemen. Welche Maßnahmen sollten Unternehmen ergreifen, um den Datenschutz transparenter zu gestalten und die Rechte der Nutzer zu wahren?

Bartoletti: Transparenz ist ein komplexer Begriff, da er sehr unterschiedliche Bedeutungen haben kann. Wenn ich Patientin in einem Krankenhaus bin, muss ich nicht wissen, wie eine Maschine funktioniert – ich vertraue der Technologie und erwarte vor allem eine Verbesserung meines Gesundheitszustandes. Bin ich aber Ärztin und verlasse mich auf ein KI-System, um mich bei Entscheidungen zu unterstützen, muss dieses System transparent sein, damit ich das Ergebnis mit menschlicher Intelligenz in Frage stellen kann. Was ich damit sagen möchte: Transparenz ist kontextabhängig. Die Bereitstellung komplexer Informationen für Benutzer bedeutet nicht automatisch Transparenz, wenn diese nicht verständlich sind. Für mich besteht der entscheidende Punkt darin, sicherzustellen, dass Systeme getestet und kontrolliert werden, bevor sie auf den Markt kommen, und die Anwender somit wissen, dass eine sorgfältige Prüfung der Produkte stattgefunden hat.

Wie wichtig ist es Ihrer Meinung nach, dass Nutzer darüber informiert werden, wenn sie mit einer KI interagieren, und welche Auswirkungen hat dies auf den Datenschutz?

Bartoletti: Es ist essenziell, Nutzer darüber zu informieren, dass sie mit einer Maschine und nicht mit einem Menschen interagieren. Dies trägt darüber hinaus dazu bei, die Zusammenarbeit zwischen den grundverschiedenen Bereichen der menschlichen und künstlichen Intelligenz zu fördern. Maßgeblich ist auch, sicherzustellen, dass Benutzer wissen, wie sie automatisch getroffene Entscheidungen in Frage stellen oder menschliches Eingreifen anfordern können. Dieser Aspekt stellt eine Anforderung der DSGVO dar und ist hochrelevant. Datenschutzaufsichtsbehörden in ganz Europa haben eine Schlüsselrolle dabei gespielt, die Rechte des Einzelnen im Kontext automatisierter Entscheidungen zu wahren.

Welche Rolle spielt die Verantwortlichkeit der Unternehmen für den Schutz personenbezogener Daten in KI-Systemen unter dem neuen AI-Act?

Bartoletti: Unternehmen spielen eine entscheidende Rolle. Die Implementierung von KI in Übereinstimmung mit der DSGVO ist maßgebend, um Vertrauen und Innovation zu fördern. Insbesondere in risikoreichen Bereichen der KI-Implementierung, wie beispielsweise dem Arbeitsmanagement, müssen Organisationen sicherstellen, dass die richtige Steuerung sowie die notwendigen Fähigkeiten vorhanden sind. Von der Definition klarer Verantwortlichkeiten – beispielsweise verarbeitende und überprüfende Funktionen –, insbesondere bei der Nutzung einer Cloud-Anwendung zur Datenschutz-Folgenabschätzung, bis hin zur Sicherstellung ausreichender technischer und organisatorischer Maßnahmen und Datensicherheits-Instrumente.

Datenschutzteams müssen im Rahmen der Nutzung von Künstlicher Intelligenz in der ersten Reihe stehen. Gleichzeitig ist Flexibilität gefragt und es bedarf einer gewissen Experimentierfreudigkeit, wenn es darum geht, einen Weg zur Umsetzung rechtlicher Anforderungen in derartige Technologien zu finden, ohne dabei Innovation zu behindern.

Wie könnten Unternehmen die neuen Datenschutzanforderungen in ihre bestehenden Datenschutzrichtlinien integrieren?

Bartoletti: Indem sie in zentralen Bereichen wie Privacy by Design Weiterbildung fördern – dieser Aspekt sollte nicht vernachlässigt werden. Der AI-Act führt keine neuen Datenschutzanforderungen ein. Er macht lediglich deutlich, dass die DSGVO eine entscheidende Rolle spielt, wenn bei der Nutzung von Künstlicher Intelligenz personenbezogene Daten involviert sind. Upskilling in datenschutzfördernden Maßnahmen wird von größter Bedeutung sein. Wir müssen Datenschutz im Code festschreiben – und nicht erst im Nachhinein einbauen.

Glauben Sie, dass der AI-Act zur Angleichung internationaler Datenschutzstandards beitragen könnte?

Bartoletti: Durch den AI-Act wird die Diskussion um eine sinnvolle Regulierung von KI vorangetrieben. Datenschutz wird bereits als universeller Wert anerkannt, obwohl dieser unterschiedlich interpretiert werden kann. Bezogen auf KI-Technologien wird dies ein bestimmendes Thema für zukünftige Innovationen sein. Wenn es uns gelingt, den Wert von Privatsphäre zu wahren und personenbezogene Daten sowie die Würde der Menschen zu schützen, dann werden wir eine Form der künstlichen Intelligenz haben, die Menschen weltweit zugutekommt.