Jetzt Richtlinien entwickeln und einführen
Künstliche Intelligenz spielt eine immer größere Rolle in Unternehmen und in den unterschiedlichsten Prozessen. Jetzt ist auch der AI Act (KI-Verordnung) in Kraft, der den Einsatz von KI regeln soll.
Bereits im Februar 2025 laufen die ersten Fristen zu Umsetzungen aus. Daher ist es Zeit, sich nun mit der Umsetzung von KI-Richtlinien zu beschäftigen – davon betroffen ist auch der Datenschutz.
BLOG-TIPP: DIGITALE HERAUSFORDERUNGEN – NEUE ANFORDERUNGEN AN DEN DATENSCHUTZ
Was ist der EU AI Act?
Der EU AI Act ist eine Verordnung, die von der Europäischen Kommission vorgeschlagen und beschlossen wurde, um einen einheitlichen Rechtsrahmen für die Entwicklung und den Einsatz von KI in der Europäischen Union zu schaffen.
Das Hauptziel dieses Gesetzes ist es, die Sicherheit, die Grundrechte und ethische Standards bei der Nutzung von KI-Technologien zu wahren. Die Verordnung unterteilt KI-Anwendungen in verschiedene Risiko-Kategorien:
- unannehmbar: KI-Systeme, die eine erhebliche Bedrohung für die Sicherheit, Lebensqualität oder Grundrechte darstellen, sind verboten.
- hoch: Systeme, die in kritischen Bereichen wie Gesundheitswesen, Rechtsprechung oder Beschäftigung eingesetzt werden, unterliegen strengen Anforderungen an Sicherheit und Transparenz.
- gering/minimal: Für diese Systeme gelten weniger strenge Vorgaben.
BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG: WANN UND WIE?
Umsetzung in Deutschland
In Deutschland wird der EU AI Act in die bestehende Rechtsordnung integriert. Dies erfolgt hauptsächlich über Anpassungen in bestehenden Gesetzen, wie dem Bundesdatenschutzgesetz (BDSG) und anderen relevanten Regelwerken. Federführend sollen das Bundeswirtschaftsministerium (BMWK) und das Bundesjustizministerium (BMJ) dabei sein, so heißt es von Seiten der Bundesregierung.
KI-Richtlinien und Compliance
Die Umsetzung von Compliance-Richtlinien bedeutet, dass rechtliche und vertragliche, aber auch unternehmerische Ziele vor allem im Bereich der IT-Sicherheit umgesetzt werden. Compliance stellt sicher, dass dies auch umfassend und rechtskonform geschieht. Es gilt nun also auch den AI Act in diese Compliance-Vorgaben zu integrieren und umzusetzen.
Ein wichtiger Baustein ist dabei das Wissen der Mitarbeiter. Auch wenn nicht jeder ein KI-Fachmann oder Beauftragter sein muss, es muss verständlich und klar festgelegt sein, was Mitarbeiter im Bereich der KI-Nutzung dürfen, und was verboten ist. Gerade dann, wenn es um personenbezogene Daten geht, sollte bei der Nutzung von KI sehr klar sein, wo die Grenzen liegen.
BLOG-TIPP: CYBERVERSICHERUNG: SCHUTZ VOR DEN GEFAHREN DER DIGITALEN WELT
KI-Systeme nicht eigenmächtig und ungeprüft einführen
Die Nutzung von KI-Systemen unterliegt im Datenschutz, aber auch in anderen gesetzlichen Vorgaben, nicht zuletzt durch den AI Act strengen Vorgaben. Daher sollte ein KI-System nie eigenmächtig durch einen Mitarbeiter genutzt oder in die Abläufe eingeführt werden. Das sollte unbedingt auch kommuniziert werden.
Aber auch alle anderen Organe eines Unternehmens, sollten immer mit einem Fachmann sowohl die Nutzung als auch die Sicherheit der entsprechenden Systeme vor der Einführung prüfen. Zu den wichtigen Stellen, die hier eingebunden werden, gehören Datenschutzbeauftragter und auch IT-Abteilung und Compliance-Management.
Was müssen Unternehmen jetzt tun?
Die rechtlichen Anforderungen des EU AI Act erfordern von Unternehmen eine umfassende Umsetzung. Hier sind einige konkrete Schritte, die Unternehmen angehen sollten, um die Richtlinie erfolgreich zu implementieren:
- Identifikation von KI-Anwendungen: Führen Sie eine umfassende Inventarisierung aller KI-Systeme in Ihrem Unternehmen durch und klassifizieren Sie diese nach ihren Risiko-Kategorien.
- Durchführung von Risikoanalysen: Insbesondere für hochriskante Systeme müssen Unternehmen detaillierte Risikoanalysen durchführen. Dies beinhaltet die Dokumentation erforderlicher Sicherheitsmaßnahmen und die Implementierung von Technischen und Organisatorischen Maßnahmen (TOM).
- Verbotene KI-Praktiken von Beginn an ausschließen: Wenn Sie Praktiken nutzen (wollen), die laut dem AI Act Art5 Abs.1 strikt verboten sind, sollten Sie diese nicht (mehr) nutzen. Dieses Verbot gilt ab Februar 2025.
- Schulung und Sensibilisierung der Mitarbeiter: Die Beschäftigten sollten über die neuen Anforderungen informiert und geschult werden, um ein Bewusstsein für Compliance und ethische Aspekte der KI-Nutzung zu schaffen. Jeder, der mit den KI-Systemen arbeitet muss entsprechend geschult sein und somit eine KI-Kompetenz erlangen.
- Dokumentation und Transparenz: Alle Prozesse zur Einhaltung der Vorschriften sollten dokumentiert werden. Transparenzberichte über die Funktionsweise der KI-Systeme sind unerlässlich, um den gesetzlichen Anforderungen zu genügen.
- Zusammenarbeit mit externen Beratern: Nicht jede Organisation hat einen eigenen KI-Beauftragten. Der Austausch mit externen Datenschutz- und KI-Experten kann wertvolle Unterstützung und Expertise bei der Umsetzung der neuen Regelungen bieten.
- Regelmäßige Überprüfungen und Anpassungen: Unternehmen sollten ihre KI-Anwendungen regelmäßig überprüfen und anpassen, um flexibel auf Veränderungen in der Gesetzgebung und der Technologie reagieren zu können.
BLOG-TIPP: LEITFADEN ZUR UMSETZUNG VON DATENSCHUTZMASSNAHMEN IM UNTERNEHMEN
Datenschutz und die Nutzung von KI
Betrachtet man die unterschiedlichen Einsatzmöglichkeiten von KI-Systemen, dann stellt dies den Datenschutz vor eine Herausforderung. Es gilt zu erkennen, welche Daten verarbeitet werden und in welcher Form. Außerdem muss das Risiko für die Daten und somit den Betroffenen neu bewertet werden.
Die KI-Richtlinie soll dazu beitragen, den Datenschutz umzusetzen und die beteiligten Mitarbeiter dahingehend zu sensibilisieren, zur Umsetzung aktiv beizutragen.
EU AI Act schon jetzt umsetzen
Der EU AI Act stellt einen bedeutenden Schritt in Richtung einer verantwortungsvollen und sicheren Nutzung von künstlicher Intelligenz in Europa dar. Durch die frühzeitige Identifikation und Umsetzung der erforderlichen Maßnahmen können Unternehmen nicht nur die gesetzlichen Vorgaben einhalten, sondern auch das Vertrauen ihrer Kunden und Geschäftspartner stärken.
Wenn Sie Fragen haben oder Unterstützung bei der Umsetzung des EU AI Act in Bezug auf die datenschutzrechtliche Umsetzung benötigen, zögern Sie nicht, uns zu kontaktieren. Gemeinsam können wir sicherstellen, dass Ihr Unternehmen die Chancen der künstlichen Intelligenz verantwortungsvoll und datenschutzkonform nutzen kann
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.