Daten-Governance in der KI-Verordnung – im Konflikt mit der DSGVO?

Drei Jahre nach in Kraft treten der Datenschutzgrundverordnung (DSGVO) steht das nächste Prestigeprojekt der EU in den Startlöchern: Das Gesetz über die Regulierung von KI-System (KI-Verordnung), das einen Rahmen für die Verwendung und Entwicklung von Künstlicher Intelligenz (KI) schaffen soll. Wie die DSGVO, normiert auch die KI-Verordnung Anforderungen an den Umgang mit Daten. Während jedoch bei der DSGVO der Schutz personenbezogener Daten im Vordergrund steht, gibt die KI-Verordnung den Rahmen für den generellen Umgang mit Daten vor (Daten-Governance).

 

Anforderungen an die Datenverarbeitung durch KI-Systeme

  • Ob als virtueller Assistent oder Expertensystem in der Medizin – besonders bei zukunftsorientierten KI-Systemen, die durch Methoden wie Deep Learning selbstständig lernen und schlussfolgern sollen, ist die Erwartungshaltung der Anbieter und der Gesellschaft hoch. Wie erfolgreich diese Systeme im Realbetrieb tatsächlich sind, hängt maßgeblich von der Menge, dem Umfang und der Präzisierung der angelernten Daten ab. Doch selbst wenn diese Parameter bestmöglich erfüllt sind, ist dem Verhalten von KI-Systemen ein gewisses Maß an Unberechenbarkeit und teilweiser Autonomie immanent. Der sich hieraus ergebenden Gefahr – insbesondere der Fehleranfälligkeit ­– möchte die Kommission durch entsprechende Regulierung entgegenwirken und setzt ihren Fokus dabei auf KI-Systeme, die ein hohes Risiko für Grundrechte, Gesundheit und Sicherheit der Bürger darstellen (sogenannte Hochrisiko-KI-Systeme[1]).
  • Die zentrale Regulierungsvorschrift findet sich in Art. 10 KI-Verordnung. Sofern Hochrisiko-KI-Systeme mit Daten trainiert werden, müssen Trainings-, Validierungs- und Testdatensätze verwendet werden, die den in den Absätzen 2 bis 5 genannten Qualitätskriterien entsprechen. So sollen geeignete Daten-Governance- und Datenverwaltungsverfahren gelten, die unter anderem die Datenerfassung, relevante Datenaufbereitungsvorgänge und eine vorherige Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze betreffen (Absatz 2). Ebenso müssen die Datensätze relevant, repräsentativ, fehlerfrei und vollständig sein (Absatz 3) und, soweit dies für die Zweckbestimmung erforderlich ist, den Merkmalen oder Elementen entsprechen, die für die besonderen geografischen, verhaltensbezogenen oder funktionalen Rahmenbedingungen, unter denen das Hochrisiko-KI-System bestimmungsgemäß verwendet werden soll, typisch sind (Absatz 4).
  • Allerdings definiert die Kommission weder diese Merkmale noch ihr Verständnis von „Daten-Governance“. Somit bleibt offen, welche objektiven Anforderungen hieran hinsichtlich der Einhaltung zu stellen sind, wann beispielsweise Datensätze repräsentativ sind oder sie typischen Merkmalen im Sine des Absatzes 4 entsprechen.
  • Hieraus ergibt sich eine Rechtsunsicherheit, die mitunter fatale Folgen mit sich bringen kann. Denn bei einem Verstoß gegen die Anforderungen aus Artikel 10 sieht die neue KI-Verordnung noch höhere Geldbußen[2] als die DSGVO vor, nämlich bis zu 30 000 000 EUR oder – im Falle von Unternehmen – bis zu 6 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Verhältnis zwischen KI-Verordnung und DSGVO

  • In der Begründung zu dem Gesetzesentwurf stellt die Kommission klar, dass die DSGVO durch die KI-Verordnung unberührt bleibt. Demnach gelten beide Verordnungen nebeneinander. Sofern sie zur Entwicklung ihrer Hochrisiko-KI-Systeme personenbezogene Daten verwenden, werden Anbieter verpflichtet, die Vorgaben der KI-Verordnung für den Umgang mit Daten sowie die Vorgaben der DSGVO für die Verarbeitung personenbezogener Daten einzuhalten.

Ein solche „Doppelverpflichtung“ liegt beispielsweise bei dem Anlernen von KI-Systemen mit Personaldaten vor. Einerseits muss der Anbieter nach Art. 10 KI-Verordnung die oben genannten Vorgaben hinsichtlich der Datensätze einhalten, wonach sie relevant, repräsentativ, fehlerfrei und vollständig sein müssen. Andererseits wird bereits die Überprüfung der Datensätze auf diese Kriterien in der Regel eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellen. Hieraus folgt, dass der Anbieter, und nunmehr datenschutzrechtliche Verantwortliche, für die Verarbeitung eine Rechtsgrundlage nach Art. 6 DSGVO braucht, die – so erklärt die Kommission in Erwägungsgrund 41 – nicht in der KI-Verordnung verortet ist. Insoweit werden Anbieter auf andere entsprechende Grundlagen, wie etwa die Einwilligung, zurückgreifen müssen. Daneben sind auch die weiteren Vorgaben der DSGVO einzuhalten.

 

Daten-Governance in KI-Reallaboren[3]

  • KI-Reallabore sind von den zuständigen Behörden eingerichtete digitale und kontrollierte Testumgebungen für die Entwicklung, Erprobung und Validierung von KI.
    In dieser Umgebung dürfen – vereinfacht gesagt – personenbezogene Daten, die ursprünglich für andere Zwecke rechtmäßig erhoben wurden, zur Entwicklung von KI benutzt werden, wenn ein besonderes öffentliches Interesse hieran besteht (etwa Umweltschutz, öffentliche Sicherheit und Gesundheit, oder Verfolgung von Straftaten). Rechtsgrundlage hierfür ist Art. 54 KI-Verordnung. Eine solche Verarbeitung darf dann allerdings nur nach den strengen Vorgaben des Art. 54 Absatz 1 lit. b) – j) KI-Verordnung erfolgen, der ergänzend neben die Vorgaben der DSGVO tritt. Eine zusätzliche Anforderung ist etwa, dass sich personenbezogene Daten in einer funktional getrennten, isolierten und geschützten Datenverarbeitungsumgebung unter der Kontrolle der Beteiligten befinden müssen und nur befugte Personen hierauf Zugriff haben (lit. d).

 

Kritik

  • Der grundlegende Ansatz der Kommission, Anbietern Pflichten anhand einer Risikoeinschätzung ihres KI-Systems aufzuerlegen, zeigt sich auch beim Umgang mit Daten. Die zusätzlichen Anforderungen, die bei der Datenverarbeitung gestellt werden, sind zu begrüßen.
  • Es bleibt jedoch Raum für Verbesserungen. An vorderster Stelle steht: Gleiches sollte gleichbehandelt werden. Dies gilt auch für den Umgang mit personenbezogenen Daten. Hinsichtlich eines effektiven Schutzes personenbezogener Daten ist es nicht nachvollziehbar, dass in KI-Reallaboren ein unterschiedliches Schutzniveau in Abhängigkeit der Herkunft der Daten herrschen soll. Aus dem gleichen Grund sollte prinzipiell der Datenschutz in den Vordergrund gestellt werden und damit den risikobasierten Ansatz – zumindest bei personenbezogenen Daten – überlagern.

 

Fazit und Ausblick

  • Es ist noch nicht absehbar, wann die KI-Verordnung tatsächlich in Kraft tritt. Fest steht allerdings schon jetzt, dass sie die Anbieter von KI-Systemen vor zusätzliche Herausforderungen stellen wird. Neben die ohnehin schon komplizierten datenschutzrechtlichen Vorgaben, treten neue, KI-spezifische. Von einem Konflikt mit der DSGVO kann hingegen nicht gesprochen werden. Beide Vorschriften stehen gleichberechtigt nebeneinander.

 

[1] Verweis Plugin Hochrisiko-Systeme

[2] Verweis Plugin Bußgelder

[3] Verweis Plugin KI-Reallabore