Datenschutz : Wie lässt sich Technologieoffenheit mit Rechtsklarheit verbinden?

„Unser Gesetz über Künstliche Intelligenz ist bereits eine Blaupause für die ganze Welt“, wie EU-Kommissionspräsidentin Ursula von der Leyen es in ihrer Rede zur Lage der Union 2023 formuliert hat. Ein grundlegender Anspruch im Sinne einer menschenzentrierten, ausgewogenen KI-Regulierung, den es in der Praxis allerdings noch umzusetzen gilt. Sollten sich die Trilog-Verhandlungen noch vor den Neuwahlen des EU-Parlaments im Juni 2024 abschließen lassen, müssen sich Unternehmen spätestens im nächsten Jahr mit der Implementierung des AI Acts befassen.

Entsprechende Vorbereitungen sollten bereits in vollem Gange sein. Gerade für Anwendungsbereiche von KI-Systemen, die zukünftig als hochriskant eingestuft werden, ist dies von Bedeutung, etwa im Personalwesen, beim Betrieb kritischer Infrastrukturen oder Kreditwürdigkeitsprüfungen. An solche Systeme werden erhöhte Transparenz-, Datenqualitäts- und Dokumentationsanforderungen gestellt, die zu operativem und administrativem Aufwand führen. Hinzu tritt die Sicherstellung einer wirksamen menschlichen Aufsicht bei der Entwicklung und Anwendung von KI-Systemen.

Wesentliche Fragen sind noch offen

Kann das bedeuten, dass KI-Systeme zukünftig vollständig erklärbar sein müssen? Oder man die Begrenzungen eines KI-Systems bei der Kontrolle vollständig erfassen können muss? Im Zuge der Positionierungen und Verhandlungen auf EU-Ebene ist durchaus erkennbar, dass man hier angesichts der Komplexität der Systeme und fortlaufenden Weiterentwicklung der Technologie einen realistischen Ansatz finden könnte. Damit verwässert man nicht den grundsätzlichen Anspruch auf Transparenz. Vielmehr geht es bei dessen Umsetzung darum, den technologischen Fortschritt basierend auf dem jeweiligen Stand der Wissenschaft zu begleiten und Schritt für Schritt mit verfügbaren Risikomaßnahmen zu adressieren.

Können Unternehmen also zuversichtlich auf die Umsetzung des AI Acts blicken? De facto sind in diversen Bereichen noch wesentliche Fragen offen. Gerade die durch ChatGPT & Co. beförderte Diskussion um eine Adressierung der mit generativer KI verbundenen Risiken erschwert eine zügige Finalisierung der Verordnung. Wenn auch bislang nicht per se als hohes Risiko eingestuft, sind die Anforderungen für generative KI noch unklar, insbesondere auch die Verteilung von Verantwortlichkeiten zwischen Anbietern und Nutzern. Dabei ist auch bei den vorgeschlagenen Begriffen mehr Rechtsklarheit geboten. Werden als Anbieter nur die Entwickler von Basismodellen definiert, oder auch Unternehmen, die diese Modelle gezielt für ihre geschäftlichen Zwecke ausrichten?

Um Probleme rund um „Black Box AI“ und Verzerrungen bei mit Daten aus dem Internet trainierten Basismodellen angemessen zu adressieren, sollten neue Anforderungen an Transparenz, Datenqualität und Fairness zunächst bei den grundlegenden Entwicklern ansetzen. Ein auf spezifische Anwendungsfälle ausgerichtetes Risikomanagement der Nutzer setzt zudem voraus, dass die Entwickler ausreichend über die Behandlung der Risiken von Basismodellen informieren.

Es braucht eine klare Behördenstruktur

Darüber hinaus ist die präzisere Klärung der behördlichen Zuständigkeiten unumgänglich für eine gelingende Umsetzung der neuen Regulierung. Hier bestehen Unklarheiten gleich auf mehreren Ebenen: Neben nationalen Behörden soll es einen Europäischen KI-Ausschuss geben, dessen Aufsichtsmandat nach wie vor unklar ist. Auf nationaler Ebene sind die zuständigen Behörden zwar der Funktion nach beschrieben (zum Beispiel Marktüberwachungsbehörde), jedoch ist nach wie vor offen, inwieweit auf bestehende Aufsichtsstrukturen zurückgegriffen wird. Zunächst würden die Datenschutzbehörden nahe liegen, zumal diese sowieso die Einhaltung der DSGVO bei Big-Data- & AI-Lösungen überwachen.

Für die bereits stark regulierte Finanzindustrie soll allerdings die nationale Finanzaufsicht zuständig sein, wobei sich die Frage stellt, ob dies nur für finanzspezifische KI-Systeme gilt (und nicht etwa für KI-Systeme im Personalwesen). Welche Rolle spielen zudem Behörden der Informationssicherheit – und vor allem: Wie arbeiten diese Behörde so zusammen, dass die Einführung und Anwendung von KI-Systemen nicht ohne Not verzögert wird? Haben die Mitgliedstaaten hier ausreichende Ressourcen vorgesehen? Für international tätige Unternehmen ist im Übrigen wesentlich, dass nicht jeder Mitgliedstaat die Verwaltungsverfahren unterschiedlich ausgestaltet.

Während sich diese Fragen in den nächsten Wochen und Monaten hoffentlich zielführend klären, sollten Unternehmen die Zeit nutzen, die Fundamente für ihre KI-Governance zu überprüfen. Prinzipien wie Transparenz, Fairness, menschliche Kontrolle, Datenschutz und Rechenschaftspflicht sind nicht nur durch die High-Level-Expert Group der EU-Kommission bereits vor Jahren als Grundlage für einen vertrauensvollen Umgang mit KI definiert worden. Auch geltende Gesetze, allen voran die DSGVO, bieten bereits einen technologieneutralen Rahmen, um Herausforderungen im digitalen Raum anzupacken.

Sarah Johanna Zech ist Head of Global Privacy Advisory & Data Ethics bei der Allianz SE. Bei der Privacy-Konferenz des Bitkom diskutiert sie darüber, wie Datenschutz, Datennutzung und Innovationen im KI-Bereich vereinbar sind.