Die sich entwickelnde Landschaft der KI-Governance und -Regulierung in Europa: Was Datenschutzbeauftragte wissen müssen

Einleitung

Künstliche Intelligenz ("KI") verspricht, Branchen zu transformieren und Produkte und Dienstleistungen auf unzählige Weise zu verbessern. Allerdings wirft sie auch neue und komplexe Fragen zu Ethik, Transparenz, Verzerrungen und Datenschutz auf. Infolgedessen entwickeln Regierungen weltweit neue Gesetze und Vorschriften, um sicherzustellen, dass KI vertrauenswürdig und mit gesellschaftlichen Werten im Einklang steht.

In Europa haben politische Entscheidungsträger eine führende Rolle bei der Gestaltung der KI-Governance übernommen. Neue von der Europäischen Union vorgeschlagene Regeln zielen darauf ab, Risiken durch KI zu minimieren und zugleich Innovation zu ermöglichen. Während diese Initiativen Gestalt annehmen, tragen Datenschutzbeauftragte eine wichtige Verantwortung dafür, Teams zu schulen und die organisatorische Compliance sicherzustellen. Dieser Beitrag bietet einen Überblick über zentrale Entwicklungen der europäischen KI-Regulierung sowie Handlungsempfehlungen für Datenschutzbeauftragte zur Vorbereitung.

‍

Die Rolle des Datenschutzbeauftragten in der KI-Welt

Viele Organisationen wenden sich inzwischen häufig an ihren Datenschutzbeauftragten, um Orientierung in diesem Bereich zu erhalten, und es besteht ein starker Bedarf, die Kompetenzen schnell auszubauen.

Das sich entwickelnde KI-Regulierungsrahmenwerk der EU   

Im April 2021 veröffentlichte die Europäische Kommission ihren ersten umfassenden Satz rechtlicher Anforderungen für KI-Systeme im Rahmen eines vorgeschlagenen Artificial Intelligence Act (des „EU AIA“). Dieser wegweisende Vorschlag kategorisiert KI nach Risikostufen und führt verbindliche Regeln für Hochrisikoanwendungen ein, etwa für solche in kritischer Infrastruktur, Beschäftigung, Strafverfolgung und mehr.

Anforderungen für Hochrisikosysteme decken Bereiche wie Risikomanagement, Datenqualität, Dokumentation, Transparenz, menschliche Aufsicht und Robustheit ab. Das Gesetz könnte nach legislativer Genehmigung bereits Ende 2023/Q1 2024 in Kraft treten. Mehr darüber können Sie in einem unserer früheren Blogbeiträge ausführlich nachlesen, auf den Sie hier zugreifen können.

Über den AI Act hinaus entwickelt die EU auch zusätzliche Initiativen, um die Regulierungslandschaft zu ergänzen:

• Eine Richtlinie zur KI-Haftung sowie eine Aktualisierung der bestehenden Produkthaftungsgesetzgebung (wir haben dazu ebenfalls einen Blogbeitrag vorbereitet! Siehe hier).

• Der Data Act, der Anfang 2025 in Kraft treten wird, wird neue Anforderungen an den Datenzugang und den Datenaustausch mit sich bringen, die sich auf Trainingsdaten für KI auswirken können.

• Und natürlich gelten weiterhin die Pflichten der DSGVO (mit denen Sie sicherlich alle vertraut sind), wobei der erneute Fokus auf den Bestimmungen zur automatisierten Entscheidungsfindung liegt.

Wir sehen auch, dass in diesem Bereich zahlreiche wichtige Standards entstehen. CEN-CENELEC haben einen Gemeinsamen Technischen Ausschuss gebildet, um an harmonisierten Standards für KI zu arbeiten, und wir erwarten, dass diese künftig eine entscheidende Rolle beim Nachweis der Compliance mit dem EU AI Act spielen werden.

Auswirkungen für Datenschutzbeauftragte

Als Datenschutzbeauftragte*r ist es entscheidend, neue Vorschriften zu beobachten und zu verstehen, wie Ihr Unternehmen KI-Richtlinien, -Prozesse und -Systeme zur Einhaltung anpassen muss. Hier sind einige Best Practices:

• Beginnen Sie damit, ein Inventar darüber aufzubauen, wo und wie KI in Ihrem Unternehmen eingesetzt wird (hier kann Enzai helfen!).

• Erwägen Sie die Einführung einiger Rahmenwerke dafür, wie Sie KI entwickeln und bereitstellen, und stellen Sie sicher, dass die technischen Teams diese kennen und nutzen – gut gestaltete Rahmenwerke decken die rechtlichen Anforderungen ab.

• Prüfen Sie sorgfältig den beabsichtigten Dateneinsatz, automatisierte Entscheidungsfindung und andere Bereiche, die von neuen Vorschriften betroffen sind. Aktualisieren Sie Datenschutz-Folgenabschätzungen bei Bedarf.

• Arbeiten Sie funktionsübergreifend mit Engineering, Produkt, Recht und Führungsebene zusammen, um die erforderlichen Änderungen umzusetzen und eine konforme KI-Governance-Strategie sicherzustellen.

• Überwachen Sie die Compliance dieser Systeme im Laufe der Zeit, denn in diesem Bereich kann sich vieles sehr schnell ändern.

• Überwachen Sie die Durchsetzungsfristen und Maßnahmen der EU-Mitgliedstaaten, sobald die Vorschriften in Kraft treten.

• Bewerten und wählen Sie KI-Systeme, -Dienste und -Anbieter aus, die starken ethischen Grundsätzen und den geltenden rechtlichen Standards entsprechen.

• Setzen Sie sich in Ihrem Unternehmen für einen verantwortungsvollen Dateneinsatz, faire und erklärbare Algorithmen sowie weitere Säulen vertrauenswürdiger KI ein.

Es ist eine spannende Zeit, Datenschutzbeauftragte*r zu sein, und die neuen Chancen und Herausforderungen, die KI mit sich bringt, sind für alle Unternehmen branchenübergreifend nahezu grenzenlos. Wer die Entwicklungen aufmerksam verfolgt, trägt dazu bei, sowohl die Compliance als auch den Wettbewerbsvorteil sicherzustellen.

‍

Um mehr zu erfahren, lesen Sie über Enzais Lösungen für KI-Governance, Modellrisikomanagement, KI-Regelungen, Generative KI und den EU AI Act.

Enzai ist die führende Enterprise-KI-Governance-Plattform, die speziell dafür entwickelt wurde, Unternehmen dabei zu helfen, von abstrakter Richtlinie zu operativer Aufsicht überzugehen. Unsere KI-Risikomanagement-Plattform bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu führen und die Compliance mit dem EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows ermöglicht Enzai Unternehmen, die Einführung von KI vertrauensvoll zu skalieren und gleichzeitig mit globalen Standards wie ISO 42001 und NIST im Einklang zu bleiben.