![Konflikt um Essequibo: Venezuela macht mobil [Online-Abo]](https://www.jungewelt.de/img/1100/207482?#)
KI-Verordnung: verbotene Praktiken und die DSGVO
Die Umsetzung der KI-Verordnung wird von der Europäischen Kommission vorangetrieben. Ein Schwerpunkt liegt dabei auf den Praktiken, die nach der KI-Verordnung verboten sind. Zum Teil bietet auch die DSGVO bereits Schutz vor solchen Praktiken. Der Beitrag geht hierauf anhand eines Beispiels genauer ein. Er erklärt außerdem die entsprechenden Regelungen. Das Büro für Künstliche Intelligenz ist […]
Die Umsetzung der KI-Verordnung wird von der Europäischen Kommission vorangetrieben. Ein Schwerpunkt liegt dabei auf den Praktiken, die nach der KI-Verordnung verboten sind. Zum Teil bietet auch die DSGVO bereits Schutz vor solchen Praktiken. Der Beitrag geht hierauf anhand eines Beispiels genauer ein. Er erklärt außerdem die entsprechenden Regelungen.
Das Büro für Künstliche Intelligenz ist am Ball
Die Umsetzung der KI-Verordnung wird von dem Büro für Künstliche Intelligenz vorangetrieben. Dazu gehört auch, über die Verbote der KI-Verordnung aufzuklären. Die Kommission hat im Februar hierfür Leitlinien veröffentlicht. Das Büro für Künstliche Intelligenz widmete diesen jüngst ein Webinar. Die entsprechenden Regelungen aus der KI-Verordnung finden bereits Anwendung – im Gegensatz zu denen für Hochrisiko-KI. Das Thema ist damit gerade besonders praxisrelevant.
Verbote nach der KI-Verordnung: Systeme vs. Praktiken
Bei Diskussionen um die KI-Verordnung wird oft von „verbotener KI“ gesprochen. Das ist unpräzise, denn Art. 5 der KI-Verordnung spricht nicht von verbotenen KI-Systemen, sondern von „Verbotene[n] Praktiken im KI-Bereich“. Dabei beziehen sich die Verbote nicht auf das KI-System selbst, sondern entweder auf sein Inverkehrbringen, seine Inbetriebnahme oder seine Verwendung. Wenn es um biometrische Echtzeit-Fernidentifizierungssysteme geht, dann ist nur die Verwendung verboten – wenn sie im öffentlichen Raum und zu Strafverfolgungszwecken stattfindet. Ausnahmen bestehen.
Verbote in der DSGVO: Bezugspunkt Datenverarbeitung
Die DSGVO orientiert ihre Verbote an den personenbezogenen Daten, die verarbeitet werden. Sie verbietet nicht unabhängig davon schon den Einsatz bestimmter Technologien bzw. Systeme. Im Ergebnis kann aber unter der DSGVO und der KI-Verordnung dasselbe verboten sein.
Vergleich der Verbote am Beispiel von Scraping
Beim sog. „Scraping“ schöpfen Computerprogramme den Inhalt von Websites durch automatisches Auslesen und Speichern ab. Gegenstand dieses Scrapings können z. B. Fotos von Gesichtern sein, mit denen sich Personen identifizieren lassen. Dass das nicht erlaubt ist, ergibt sich in der KI-Verordnung aus Art. 5 Abs. 1 lit. e). Dieser verbietet:
„das Inverkehrbringen, die Inbetriebnahme für diesen spezifischen Zweck oder die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern.“
Demgegenüber regelt die DSGVO in Art. 9 Abs. 1 grundsätzlich, dass die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person verboten ist. Wenn man hier als Gegenstand des Scrapings öffentlich verfügbare Fotos von Gesichtern, insbesondere Profilfotos aus sozialen Medien betrachtet, dann muss man in einem zweiten Schritt aber noch prüfen, ob eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift. Dabei erlaubt Art. 9 Abs. 2 lit. e) DSGVO die Verarbeitung in dem folgenden Fall:
„Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat.“
Man kann sich fragen, ob solche öffentlich sichtbaren Profilfotos hierunter fallen. Dass das nicht ohne Weiteres angenommen werden kann, zeigt der Fall Clearview. Das Unternehmen Clearview bietet KI-basierte Gesichtserkennung an. Es nutzte dafür Scraping von Gesichtsfotos. Wegen Verstoßes gegen Art. 9 DSGVO verhängten mehrere europäische Datenschutzbehörden, darunter zum Beispiel die niederländische, Bußgelder in zweistelliger Millionenhöhe.
Wie verhalten sich die Verbote zueinander?
Die Verbote koexistieren. Art. 2 Abs. 7 KI-VO sagt, dass die KI-Verordnung die DSGVO nicht berührt. In Art. 5 Abs. 8 KI-VO ist außerdem geregelt:
„Dieser Artikel berührt nicht die Verbote, die gelten, wenn KI-Praktiken gegen andere Rechtsvorschriften der Union verstoßen.“
Man erkennt hier den Willen des europäischen Gesetzgebers, nicht in die ausdifferenzierten Regelungen der DSGVO einzugreifen.
Parallelen liegen nahe
Die Verordnungen sind unterschiedlich aufgebaut, dennoch zeigen sich immer wieder Parallelen. Das ist auch naheliegend. Denn der Schutz der Privatheit ist ein Wert, der nicht nur der DSGVO zugrunde liegt. Er zieht sich durch die europäische Digitalgesetzgebung. Am Beispiel des Scrapings zeigt sich für die Praxis: Schutz kommt aus unterschiedlichen Richtungen. Auch wenn die KI-Verordnung viel Aufmerksamkeit auf sich zieht: Es lohnt sich weiterhin, nach links und rechts gucken.
Webinar zum Thema „DSGVO und Künstliche Intelligenz“
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „DSGVO und Künstliche Intelligenz – Datenschutzkonformer Umgang mit KI-Systemen“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen.
Mittwoch, den 07.05.2025
von 09:30 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
:quality(80)/p7i.vogel.de/wcms/61/c3/61c3e1099a186424ae13b8a60a16b8f5/0123816982v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/fd/7c/fd7cced894f7698731fadcf549e0e036/0123614136v2.jpeg?#)