Die Integration künstlicher Intelligenz (KI) in unseren Alltag, sowohl privat als auch geschäftlich, nimmt stetig zu. Vor diesem Hintergrund beleuchten wir in unserer Beitragsreihe die zentralen Aspekte der rechtlichen Rahmenbedingungen für KI. Dieser Beitrag widmet sich dem regulatorischen Spannungsfeld zwischen dem AI Act, dem Data Act und der DSGVO.
AI Act – Grundstein für KI-Regulierung in Europa
In unserem ersten Beitrag dieser Serie haben wir den AI Act ausführlich betrachtet.
Dieser Gesetzesentwurf der EU zielt darauf ab, einheitliche Regeln für die Entwicklung und Nutzung von KI-Systemen zu etablieren. KI-Anwendungen werden je nach Risikopotenzial für die Gesellschaft in verschiedene Kategorien eingeteilt, mit entsprechenden Vorgaben. Ziele sind die Förderung von Innovationen, die Gewährleistung der Sicherheit und Transparenz von KI-Systemen und der Schutz der Grundrechte der Nutzender:innen.
Besonders bei Hochrisiko-KI-Systemen ist eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unerlässlich.
Der Beitrag ist hier zum Nachlesen.
In Trainingsdatensammlungen für die Entwicklung von KI-Anwendungen sind oftmals personenbezogene Daten enthaöten, sodass die DSGVO ebenfalls zu beachten ist. Das Thema haben wir in unserem letzten Beitrag von Navigating the Future behandelt.
Data Act – Chancen für KMU durch Datenzugang
Der Data Act soll vor allem kleinen und mittleren Unternehmen (KMU) ermöglichen, von den großen Datenmengen, die die Global Player wie Meta, Google oder Apple sammeln, zu profitieren. Diese Daten sollen es den KMU ermöglichen, ihre eigenen Dienstleistungen zu verbessern. Über den Data Act haben wir ebenfalls bereits hier berichtet.
Verbraucher:innen können beispielsweise verlangen, dass die Gesundheitsdaten, die ihre Smartphones über die eigene Fitness-App gespeichert und verarbeitet haben, an ein Start-up-Unternehmen geschickt werden, dessen Fitness-App sie nun nutzen möchten.
In diesem Fall wird das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO durch den Data Act ergänzt. Das Recht auf Datenübertragbarkeit nach der DSGVO gilt nur für personenbezogene Daten, deren Verarbeitung mithilfe automatisierter Verarbeitung vonstatten geht. Durch den Data Act wird dieses Recht auf vernetzte Produkte ausgeweitet, so dass Nutzer:innen auf alle von ihrem Produkt generierten personenbezogenen und nicht personenbezogenen Daten zugreifen und diese übertragen können. Dies erfordert ein umfassenderes Management der Rechte der Betroffenen.
In der Praxis bedeutet das, dass Dateninhaber, Hersteller oder sonstige Dritte Datenlizenzverträge mit den Nutzer:innen abschließen müssen, da nur diese uneingeschränkten Zugang zu diesen Daten haben dürfen. Die Nutzer:innen sind nämlich zentrale Adressat:innen und Berechtigte nach dem Data Act.
Künstliche Intelligenz und IoT: Ein komplexes Zusammenspiel
Generierte Daten aus IoT-Geräten, die als Trainings-, Test- oder Validierungsdaten für KI-Anwendungen genutzt werden sollen, müssen den Bestimmungen des AI Acts entsprechen. Wenn es sich bei der KI-Anwendung nicht um ein Hochrisiko-KI-System handelt, entfallen zwar umfangreiche Anforderungen, jedoch bleiben Transparenzpflichten bestehen. Der Datenlizenzvertrag zwischen den Beteiligten muss klar diese Nutzungszwecke regeln. Zusätzlich muss die DSGVO beachtet werden, wenn es sich dabei um personenbezogene Daten handelt.
Fazit
Die Zukunft der Künstlichen Intelligenz in der EU bleibt weiterhin eine faszinierende Herausforderung. Unternehmen müssen darauf achten, wie Datenlizenzverträge gestaltet werden, um die Rechte der Nutzer:innen umfassend zu wahren. Unsere Serie „Navigating the Future“ wird weiterhin Licht in das komplexe Zusammenspiel von KI-Regulierungen bringen.
Bildnachweis: KI generiert