GDPR-Durchsetzung: Wie EU-Regulatoren die KI-Governance gestalten
Die rasante Einführung von künstlichen Intelligenz (KI)-Systemen in der Europäischen Union (EU) hat das Datenschutzrecht in den Mittelpunkt der KI-Governance gerückt. Da viele KI-Systeme auf der großflächigen Verarbeitung personenbezogener Daten basieren, hat die Datenschutz-Grundverordnung (DSGVO) in der Praxis als effektiver Durchsetzungsrahmen für KI fungiert, lange bevor das EU-Künstliche-Intelligenz-Gesetz (KI-Gesetz) in Kraft trat.
Mehr als sieben Jahre nach Inkrafttreten der DSGVO wenden nationale Datenschutzbehörden (DPAs) die Datenschutzregeln konkret auf KI-bezogene Praktiken an. In der gesamten EU haben DPAs Ermittlungen eingeleitet, Korrekturmaßnahmen ergriffen und in einigen Fällen erhebliche Geldstrafen in Bezug auf eine Vielzahl von KI-gestützten Technologien verhängt, einschließlich biometrischer Identifikation, Gesichtserkennung, automatisierter Entscheidungsfindung und Profiling sowie dem Training und Einsatz von KI-Modellen.
Durchsetzung der DSGVO in KI-Fällen
DPAs haben Erfahrungen im Umgang mit KI-bezogenen Fragen durch Richtlinien, Best Practices und konkrete Durchsetzungsmaßnahmen auf nationaler und internationaler Ebene gesammelt. Mehrere Maßnahmen in der EU zeigen, dass die DSGVO als faktischer Durchsetzungsrahmen für KI funktioniert.
Die Europäische Datenschutzbehörde (EDPB) erkannte in einer Erklärung an, dass DPAs eine herausragende Rolle bei der Durchsetzung im Zusammenhang mit KI spielen sollten. Die EDPB ermutigte die Mitgliedstaaten, DPAs als Marktüberwachungsbehörden für bestimmte Hochrisiko-KI-Systeme zu benennen, und betonte deren Erfahrung in der Aufsicht über grundrechtsbasierte Themen.
Biometrische Technologien, die KI nutzen, wurden strengen Durchsetzungsmaßnahmen unterzogen. Gesichtserkennungssysteme, die auf der großflächigen Erfassung von Bildern aus öffentlichen Websites und sozialen Medien basieren, haben grundlegende DSGVO-Prinzipien verletzt, einschließlich des Fehlens einer gültigen Rechtsgrundlage und der unrechtmäßigen Verarbeitung besonderer Datenkategorien.
Automatisierte Entscheidungsfindung und Profiling
Ein weiteres zentrales Durchsetzungsgebiet sind automatisierte Entscheidungsfindung (ADM) und Profiling. DPAs haben Organisationen sanktioniert, die Personen zu kommerziellen Zwecken ohne gültige Rechtsgrundlage oder angemessene Transparenz ansprechen. Beispielsweise wurde eine Finanzinstitution 2022 von der spanischen DPA mit 3 Millionen Euro wegen unrechtmäßiger Verarbeitung und unzureichender Informationen im Zusammenhang mit kommerziellem Profiling bestraft.
Die Durchsetzung hat sich auch auf KI-gesteuerte Systeme konzentriert, die Minderjährige betreffen. Eine italienische DPA verhängte eine Geldstrafe von 5 Millionen Euro gegen einen KI-Entwickler wegen mehrerer Verstöße im Zusammenhang mit einem virtuellen Begleiter, einschließlich des Fehlens angemessener Altersverifikationsmechanismen.
Leitlinien von EU-Behörden zur Entwicklung und Nutzung von KI-Systemen
Auf EU-Ebene hat die EDPB klargestellt, dass KI-Modelle und automatisierte Entscheidungsfindungssysteme der vollen Reihe von DSGVO-Prinzipien unterliegen. Die Verantwortlichen sollten Risiken über den gesamten Lebenszyklus der KI bewerten, von der Erhebung und dem Training bis hin zur Bereitstellung und nachgelagerten Nutzung.
Die Identifizierung einer geeigneten Rechtsgrundlage für KI-bezogene Verarbeitung und insbesondere für das Modelltraining ist zu einem zentralen Thema geworden. Die EDPB wies darauf hin, dass die Abhängigkeit von berechtigtem Interesse nicht ausgeschlossen ist, jedoch strenge Notwendigkeit und einen Abwägungstest erfordert.
Von der DSGVO-Durchsetzung zum KI-Gesetz
Das KI-Gesetz ersetzt nicht die bereits bestehende Rolle der DPAs bei der Aufsicht über KI-gesteuerte Systeme, die personenbezogene Daten betreffen. Es weist DPAs spezifische Aufsichtspflichten für bestimmte KI-Anwendungen zu. Während bestimmte KI-Systeme sowohl unter die DSGVO als auch unter das KI-Gesetz fallen können, haben die EU-Gesetzgeber vermieden, ein einheitliches Durchsetzungsregime zu schaffen.
Wettbewerbsfähigkeit, Durchsetzung und regulatorische Vereinfachung
Die Durchsetzungsaktivitäten der DSGVO sind in eine breitere politische Debatte über die Wettbewerbsfähigkeit Europas und die regulatorische Belastung eingebettet. Der Draghi-Bericht identifiziert regulatorische Komplexität und Compliance-Kosten als strukturelle Faktoren in der Innovations- und Produktivitätslücke Europas.
Vor diesem Hintergrund hat die Europäische Kommission eine „Digital Omnibus“-Initiative ins Leben gerufen, um die Umsetzung der EU-Digitalgesetzgebung, einschließlich des KI-Gesetzes, neu zu kalibrieren. Vorschläge zur Anpassung der Anwendung von hochriskanten Verpflichtungen sowie zur Erweiterung des Zugangs zu Testumgebungen und realen Tests sollen die Herausforderungen der frühen Durchsetzung und Compliance angehen.
