Ersetzt das AI-Gesetz die Verpflichtungen der DSGVO?
Nein, das AI-Gesetz (Europäische Verordnung über Künstliche Intelligenz) ist in dieser Hinsicht sehr klar: Es ersetzt nicht die Anforderungen der DSGVO. Tatsächlich zielt es darauf ab, die DSGVO zu ergänzen, indem es klare Anforderungen an das Design und die Nutzung von vertrauenswürdigen KI-Systemen festlegt.
In der Praxis gilt, dass die DSGVO für alle Verarbeitungen personenbezogener Daten Anwendung findet, einschließlich:
Während der Entwicklung: KI-Anbieter oder -Entwickler gelten gemäß dem AI-Gesetz allgemein als verantwortliche Stelle, wenn personenbezogene Daten während des Modelltrainings oder der Systemgestaltung verarbeitet werden.
Während der Bereitstellung: Organisationen, die KI-Systeme einsetzen oder verwenden, die personenbezogene Daten betreffen, sind ebenfalls typischerweise verantwortliche Stellen nach der DSGVO.
Während das AI-Gesetz eigene Compliance-Verpflichtungen einführt, kann die Erfüllung dieser Anforderungen tatsächlich Ihre Bemühungen um die Einhaltung der DSGVO unterstützen und vereinfachen.
AI-Gesetz & DSGVO: Was gilt für Ihre Organisation?
Da das AI-Gesetz nur für KI-Systeme und -Modelle gilt, während die DSGVO alle Verarbeitungen personenbezogener Daten abdeckt, sind vier typische Szenarien möglich:
| Szenario | AI-Gesetz gilt | DSGVO gilt | Beschreibung | Beispiel |
|---|---|---|---|---|
| 1. Nur das AI-Gesetz gilt | ✅ Ja | ❌ Nein | Gilt für hochriskante KI-Systeme, die keine personenbezogenen Daten beinhalten, weder während der Entwicklung noch der Bereitstellung. | Ein KI-System, das zur Optimierung der vorausschauenden Wartung in einem industriellen Fertigungsbetrieb eingesetzt wird. |
| 2. Nur die DSGVO gilt | ❌ Nein | ✅ Ja | Gilt, wenn personenbezogene Daten verarbeitet werden, das KI-System jedoch nicht als hochriskant nach dem AI-Gesetz eingestuft ist. | Ein Kundenservice-Chatbot, der personenbezogene Daten nutzt, jedoch nicht als hochriskante KI gilt. |
| 3. Beide Verordnungen gelten | ✅ Ja | ✅ Ja | Gilt, wenn ein hochriskantes KI-System personenbezogene Daten verarbeitet, entweder während der Entwicklung oder Nutzung. | Ein KI-System, das zur prädiktiven Analyse von medizinischen Aufzeichnungen für diagnostische Zwecke im Gesundheitswesen eingesetzt wird. |
| 4. Keine der beiden Verordnungen gilt | ❌ Nein | ❌ Nein | Gilt, wenn das KI-System niedrigrisiko ist und keine personenbezogene Daten verarbeitet. | Ein KI-Werkzeug, das personalisierte Musik in einer Musikkompositionssoftware generiert. |
Wie beeinflusst das AI-Gesetz die DSGVO?
Das AI-Gesetz und die DSGVO regeln unterschiedliche Aspekte und erfordern verschiedene Ansätze. Dennoch erleichtert die Einhaltung des AI-Gesetzes häufig die Compliance mit der DSGVO oder bereitet sogar den Boden für diese. Zum Beispiel wird die Einhaltung der DSGVO durch ein KI-System in der EU-Konformitätserklärung berücksichtigt, die vom AI-Gesetz gefordert wird (Anhang V).
Darüber hinaus adressiert das AI-Gesetz bestimmte Spannungen zwischen seinen eigenen Anforderungen und denen der DSGVO. Es erweitert und passt einige DSGVO-Regeln auf folgende Weise an:
Das AI-Gesetz ersetzt spezifische DSGVO-Vorschriften bezüglich der Verwendung von Echtzeit-Remote-Biometrie-Identifikation durch Strafverfolgungsbehörden in öffentlich zugänglichen Räumen. Es erlaubt diese Nutzung nur unter höchst außergewöhnlichen und spezifischen Bedingungen (Artikel 5).
Es erlaubt die Verarbeitung sensibler Daten (wie in Artikel 9 der DSGVO definiert) zur Erkennung und Korrektur potenzieller Verzerrungen, sofern dies strikt notwendig ist und angemessene Schutzmaßnahmen unterliegt (Artikel 10).
Es erlaubt die Wiederverwendung personenbezogener Daten, einschließlich sensibler Daten, im Rahmen von „Regulatory Sandboxes“. Diese Sandboxes sind so angelegt, dass sie die Entwicklung von Systemen unterstützen, die einem signifikanten öffentlichen Interesse dienen (wie die Verbesserung des Gesundheitssystems). Sie unterliegen der Aufsicht einer speziellen Behörde, die im Voraus Rücksprache mit den Datenschutzbehörden halten und die Einhaltung verschiedener Anforderungen überprüfen muss (Artikel 59).
Wie können die Anforderungen des AI-Gesetzes und der DSGVO aufeinander abgestimmt werden?
Obwohl das AI-Gesetz und die DSGVO gelegentlich in den Prinzipien überlappen, die sie fördern, nähern sie sich diesen oft aus unterschiedlichen regulatorischen Perspektiven.
Ein bemerkenswertes Beispiel ist das Prinzip der Transparenz und die damit verbundenen Dokumentationspflichten, die veranschaulichen, wie die beiden Rahmenbedingungen sich gegenseitig ergänzen, anstatt zu konfligieren.
🔍 Transparenzanforderungen
Im Rahmen der DSGVO konzentrieren sich die Transparenzpflichten darauf, Einzelpersonen zu informieren, deren personenbezogene Daten verarbeitet werden. Organisationen müssen klar über Details kommunizieren, wie den Zweck der Verarbeitung, die Identität des Verantwortlichen, Verarbeitungsmethoden, Aufbewahrungsfristen und mehr. Diese Verpflichtungen gelten sowohl während der Entwicklung von KI-Systemen als auch deren Bereitstellung, wenn personenbezogene Daten betroffen sind.
Das AI-Gesetz hingegen führt zusätzliche Transparenzpflichten ein—insbesondere für Allzweck-KI-Modelle und Systeme, die direkt mit Einzelpersonen interagieren. Dazu können Anforderungen gehören, die verwendeten Datensätze für das Training offenzulegen oder deutlich darauf hinzuweisen, wann Benutzer mit einem KI-System interagieren.
Auf diese Weise unterstützen beide Vorschriften ein gemeinsames Ziel für vertrauenswürdige, menschenzentrierte KI und verstärken sich gegenseitig durch komplementäre Compliance-Anforderungen.
Was sind die Unterschiede zwischen dem AI-Gesetz und der DSGVO?
Obwohl das AI-Gesetz und die DSGVO viele Gemeinsamkeiten haben und sich gegenseitig ergänzen, sind ihre Ziele und Ansätze unterschiedlich.
Hier ist eine zusammenfassende Tabelle des Vergleichs:
Möchten Sie mehr über das Produktangebot von Dastra erfahren? Hier klicken