In der dynamischen Landschaft der Digitalwirtschaft nimmt die Bedeutung des Datenschutzes, verstärkt durch den Einsatz Künstlicher Intelligenz (KI), kontinuierlich zu. In diesem Blogeintrag setzen wir uns eingehend mit den komplizierten Interaktionen zwischen der neuesten EU-KI-Verordnung (KI-VO) und der Datenschutz-Grundverordnung (DSGVO) auseinander. Unser Fokus liegt dabei auf den sich daraus ergebenden Herausforderungen und Chancen für Unternehmen und Datenschutzbeauftragte
Wechselwirkungen mit Synergien und Doppelverpflichtungen
Die KI-Verordnung und die DSGVO stehen in enger Beziehung zueinander, was sowohl zu Synergien als auch zu Herausforderungen führt. Letztlich bringt die parallele Geltung dieser Regelwerke Doppelverpflichtungen mit sich.
Konkret bedeutet dies, dass bestimmte Vorgaben der KI-VO, wie die Überprüfung von Trainingsdaten gemäß den Qualitätskriterien des Art. 10 Abs. 3 KI-Verordnung:
"Training, validation and testing data sets shall be relevant, sufficiently representative, and to the best extent possible, free of errors and complete in view of the intended purpose. They shall have the appropriate statistical properties, including, where applicable, as regards the persons or groups of persons in relation to whom the high-risk AI system is intended to be used. Those characteristics of the data sets may be met at the level of individual data sets or at the level of a combination thereof."
oder die Aufzeichnungspflichten aus Art. 12 KI-Verordnung, eine Datenverarbeitung notwendig machen, die wiederum die Grundsätze der DSGVO berücksichtigen muss.
Entscheidend ist hierbei, dass die KI-VO selbst keine Rechtsgrundlage für die Datenverarbeitung bietet.
Unternehmen müssen daher andere Rechtsgrundlagen heranziehen, wie beispielsweise die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
Wie kann ich datenschutzrechtliche Haftungsrisiken minimieren?
Um datenschutzrechtliche Risiken zu minimieren, wird beispielsweise die Pseudonymisierung oder Anonymisierung der Daten empfohlen. Darüber hinaus bietet sich die Verwendung von synthetischen Daten an, die zwar auf echten Datensätzen basieren, aber keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen.
Welche Informations- und Transparenzpflichten gelten hier?
Grundsätzlich können sich Transparenzpflichten der DSGVO und KI-VO ergänzen: Informationen zur Funktionsweise einer KI, die im Rahmen der KI-VO erforderlich sind, können auch für die Zwecke der DSGVO genutzt werden. Dies stellt eine bedeutende Schnittstelle dar, die Unternehmen bei der Umsetzung der beiden Verordnungen berücksichtigen müssen.
Ein wichtiger Aspekt ist die Einhaltung spezieller Informationspflichten, insbesondere im Hinblick auf die automatisierte Entscheidungsfindung und Profiling gemäß Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO. Hierbei ist es essenziell, Betroffene angemessen über die Funktionsweise der KI sowie über die Logik und Tragweite der Datenverarbeitung zu informieren.
Dies erfordert eine Balance zwischen Genauigkeit und Verständlichkeit und ein auf den Empfänger zugeschnittenes Informationskonzept.
KI-Verordnung und DSGVO als Chance für Reputationsgewinn
Die Anforderungen, die sich aus der KI-Verordnung und der DSGVO ergeben, sollten nicht nur als regulatorische Hürden, sondern vielmehr als Chancen gesehen werden. Die EU strebt mit der KI-Verordnung an, die Verwendung von vertrauenswürdiger Künstlicher Intelligenz innerhalb ihrer Grenzen zu gewährleisten. Dies bedeutet, dass Unternehmen, die sich konsequent an diese Vorgaben halten, nicht nur rechtlich abgesichert sind, sondern sich auch einen entscheidenden Wettbewerbsvorteil sichern können.
Die Einhaltung der Bestimmungen der KI-Verordnung und der DSGVO signalisiert Stakeholdern, Kunden und der Öffentlichkeit ein hohes Maß an Verantwortungsbewusstsein und Engagement für ethische Standards.
In einer Zeit, in der Verbraucher und Geschäftspartner zunehmend Wert auf Datenschutz und ethische Geschäftspraktiken legen, kann die konforme Umsetzung dieser Verordnungen als Reputationsgewinn und Vertrauensbeweis angesehen werden.
Indem Unternehmen die Vorgaben nicht nur als Pflicht, sondern als Chance zur Verbesserung ihrer Prozesse und zur Stärkung ihres Ansehens begreifen, können sie sich in der digitalen Wirtschaft als Vorreiter positionieren. In einer Ära, in der vertrauenswürdige KI zunehmend zum Schlüssel für nachhaltigen Geschäftserfolg wird, ist die Einhaltung der KI-VO und DSGVO kein bloßer Compliance-Aspekt, sondern ein strategischer Vorteil, der die Weichen für die Zukunft stellt.