Dass man im Rahmen der Verarbeitung personenbezogener Daten die Vorschriften des Datenschutzes, insbesondere also der DSGVO und des BDSG beachten muss, ist bereits Allgemeinwissen. Zwei andere Normenwerke sind nun bald zu beachten: Der AI ACT der EU (Artificial Intelligence Act, also zu Deutsch die KI VO), der/die sich mit der Verarbeitung von Trainings- und Validierungsdaten in autonomen Systemen befasst und der Data Act der EU, der die Nutzung von Daten regelt, die bei der Verwendung von IoT erstellt und verwendet werden.
Trocken gesagt:
- Jedes IT- Unternehmen, das personenbezogene Daten verarbeitet, muss sich mit der DSGVO auseinandersetzen.
- Jedes Unternehmen, das Nutzerdaten, die durch IOT gewonnen werden, muss in Zukunft zusätzlich den Data Act beachten.
- Jedes Unternehmen, das KI- Systeme, insbesondere Hoch- Risiko- Systeme betreibt, muss in Zukunft zusätzlich die KI-VO beachten.
I. KI VO
Das EU Parlament hat am 14.6.2023 den Vorschlag zu den AI ACT (Artificial Intelligence Act, also zu Deutsch die KI VO) vom 21.4.2021 mit Änderungen angenommen. Sobald dieser im Amtsblatt veröffentlicht wird, gelten die Regelungen der KI VO automatisch auch in Deutschland. Die KI VO ist insbesondere für die Verarbeitung von Trainings-, Test- und Validierungsdaten zu beachten, die durch und mit autonom arbeitenden Systemen verarbeitet werden.
1.) Definition „Was ist ein KI-System?
Die Anwendbarkeit der KI VO mit ihren Pflichten setzt die Existenz eines „KI-Systems“ voraus. Es gab einen längeren Streit in dem Gesetzgebungsverfahren darüber, welche Reichweite der Begriff haben sollte. Die ursprüngliche Fassung wurde als zu weit empfunden, weil sie beinahe jede Software erfasste. Die aktuelle Fassung stellt dagegen zusätzlich auf das Maß der Autonomie ab, mit der das Softwaresystem arbeiten kann, Art 3 Abs.1 KI VO – Entwurf (Entwurf des EU Parlaments vom 14.06.2023). Weiterhin aber wird der Begriff kritisiert, weil er jedes autonom arbeitende System erfasst, das „Ergebnisse für explizite oder implizite Ziele wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das physische oder virtuelle Umfeld beeinflussen.“ In der Fassung des EU- Rates ist ebenfalls der Bezug auf den Begriff des Softwaresystems entfallen, aber der Begriff des KI- Systems ist immer noch denkbar weit gefasst. Jedes autonom arbeitende System wird erfasst, unabhängig von dem Grad der Autonomie. Ich schreibe mehr dazu in einem anderen Blog.
2.) Risikobereiche
Die KI VO wählt einen risikobasierten Ansatz, der die Pflichten danach skaliert, welches Risiko aus dem Betrieb der autonomen Systeme erwächst. Auch das wird an anderer Stelle genauer dargestellt werden. Die Regelung folgt im Grundsatz dem Ansatz der Verkehrssicherungspflichten. Es muss ein Risiko- und Qualitätsmanagement der Überwachungsmaßnahmen geben, das kontrollierbar und messbar ist. So gibt es für Hoch-Risiko- Systeme (Art 5-61) Anforderungen an die Trainings- und Testdaten (Art 10 Abs.3), Dokumentations- und Monitoringpflichten (Art 12,14,20). Datensätze, mittels derer die autonomen Systeme trainieren, müssen redundant, repräsentativ, fehlerfrei und vollständig sein Art 10 Abs.3) und die Betriebsvorgänge müssen automatisch geloggt werden, damit die Entwicklung des Systems rückverfolgbar ist, usw. Systeme mit geringem Risiko unterliegen der Selbstregulierung, die Betreiber von Systemen mit einem mittleren Risiko müssen Transparenzpflichten erfüllen.
3.) Örtlicher und persönlicher Anwendungsbereich
Die Verordnung gilt lokal für alle Systeme, die innerhalb der EU betrieben werden, in den Verkehr gebracht werden oder dann, wenn der Betreiber seinen Sitz innerhalb der EU hat. Die Regelungen sind von Anbietern, Herstellern, Händlern und Nutzern zu beachten.
II. Data Act
Der Data Act hat das hehre Ziel, eine gerechtere Verteilung der Wertschöpfung zu erzielen, die mit der Bearbeitung und Verwertung von Daten erfolgt.
1.) Das kommunizierende Gerät und der verbundene Dienst
Die Regelung bezieht sich insbesondere auf die Daten, die durch IOT- Geräte generiert oder bearbeitet werden. Erfasst werden Geräte, die Daten über die Nutzung oder die Umgebung selbst erlangen, erzeugen oder sammeln (Art 2 Nr.2 DA); verbundene Dienste sind digitale Dienste, die so in das Gerät integriert sind, dass das Produkt seine Funktion nicht ohne diesen Abgleich von Daten erfüllen kann. Diese Definitionen umfasst vieles, was wir schon kennen, von der „Alexa“ über das Auto bis über Haushaltsgeräte, die ständig mit dem Hersteller und anderen Geräten kommunizieren. Produkte, mittels derer bewusst Daten verarbeitet oder gespeichert werden, wie Computer, Kameras, Smartphones, etc. sind nicht erfasst.
Erfasst sind (Art 1.) die Bereitstellung von Daten, die bei der Nutzung eines Produktes oder verbundenen Produktes erzeugt werden; die Bereitstellung von Daten durch Dateninhaber für Datenempfänger; die Bereitstellung von Daten von Dateninhabern an öffentliche Stellen, wenn diese wegen einer außergewöhnlichen Notwendigkeit zur Wahrung des öffentlichen Interesses benötigt werden.
2.) Nutzer, Dateninhaber
Dem Nutzer ist der Zugang zu den Daten zu gewähren, soweit keine Geheimhaltungsinteressen des Dateninhabers entgegenstehen. Es muss eine technische Möglichkeit geben, wie der User die Daten erhalten kann (Art 4). Der Dateninhaber darf die Daten nur aufgrund eines Lizenzvertrags nutzen. In Zukunft werden wir beim Erwerb eines Autos also nicht nur eine Datenschutzerklärung, sondern auch einen Lizenzvertrag unterschreiben müssen. Dritte dürfen nur mit Zustimmung des Nutzers Zugang zu den Daten erhalten, auch hier sind wieder die berechtigten Interessen zur Wahrung der Geheimhaltung seitens der Dateninhabers und des Users zu beachten. BMW darf meine Daten also nicht mehr ohne Zustimmung an Dritte weitergeben.
