Die Lücken im Datenschutz und in den Compliance-Regeln des EU-Aktionsplans für KI
Der europäische Kommission wurde am 9. April 2025 der AI Continent Action Plan vorgestellt, der eine industrielle Strategie zur Steigerung der KI-Fähigkeiten in der EU umreißt. Der Plan konzentriert sich auf den Aufbau von Recheninfrastruktur, die Verbesserung des Zugangs zu qualitativ hochwertigen Daten, die Unterstützung der Einführung in verschiedenen Sektoren und die Entwicklung von KI-Talenten.
Obwohl die öffentlichen und privaten Visionen übereinstimmen, fallen beim Vergleich mit den rechtlichen Rahmenbedingungen der EU, insbesondere dem AI Act und der Allgemeinen Datenschutzverordnung (GDPR), erhebliche politische Lücken auf.
Infrastruktur im Fokus, aber die Umsetzung bleibt vage
Die Kommission möchte die Rechenkapazität Europas durch KI-Fabriken und größere Gigafabriken ausbauen, die jeweils für die Unterbringung von 100.000 hochmodernen KI-Chips ausgelegt sind. Diese Einrichtungen sollen KI-Startups und Forschungsgemeinschaften in der gesamten Union unterstützen. Die InvestAI-Initiative in Höhe von 20 Milliarden Euro wird dieses Vorhaben finanzieren.
OpenAI schlägt auch eine signifikante Steigerung der Rechenkapazität vor, mit dem Ziel einer 300%-Steigerung bis 2030, und verknüpft dies ausdrücklich mit sauberer Energie und Nachhaltigkeit. Der Aktionsplan liefert jedoch noch keine Details dazu, wie diese datenschweren Gigafabriken ihren Energieverbrauch verwalten oder einen Zeitplan für die Umsetzung bereitstellen werden.
Datenzugriffsziele im Konflikt mit bestehenden Datenschutzregeln
Sowohl der Aktionsplan als auch OpenAI sind sich einig, dass der Zugang zu nutzbaren, qualitativ hochwertigen Daten entscheidend ist. Die Kommission möchte Datenlabore einrichten und eine Datenunion-Strategie einführen, um Datensätze aus verschiedenen Sektoren zusammenzuführen. OpenAI schlägt KI-Datenräume vor, die Nutzen, Datenschutz und rechtliche Klarheit in Einklang bringen.
Das Problem besteht jedoch darin, dass die aktualisierte GDPR strenge Einschränkungen für die Wiederverwendung von Daten, insbesondere von personenbezogenen Daten, auferlegt. Selbst anonymisierte Daten bringen rechtliche Unsicherheiten mit sich, abhängig davon, wie sie behandelt werden. Der Aktionsplan erklärt nicht, wie diese neuen Dateninitiativen im Einklang mit den bestehenden Datenschutzregeln stehen werden, und es ist keine rechtliche Brücke in Sicht.
Kein klarer Weg zwischen AI Act und GDPR
Derzeit operieren der AI Act und die GDPR parallel, verbinden sich jedoch nicht. Der AI Act konzentriert sich auf die Regulierung von hochriskanten KI-Systemen, während die GDPR behandelt, wie personenbezogene Daten verwendet werden, einschließlich KI-gesteuerten Profiling und automatisierten Entscheidungen. Für Entwickler, die Systeme erstellen, die unter beide Regelwerke fallen, gibt es keine klare Anleitung, wie beide Regelungen erfüllt werden können.
Diese mangelnde Koordination erschwert die Compliance und schafft Unsicherheit für alle, die in der EU tätig sind.
Startups werden erwähnt, aber die Unterstützung bleibt begrenzt
Der Aktionsplan und die Reformen der GDPR sprechen beide darüber, die Lasten für kleine Unternehmen zu verringern. Es gibt Versprechungen für „vereinfachte Compliance“ und weniger Papierkram für KMUs. In der Praxis bestehen diese Unterstützungen jedoch meist aus Dokumentationen und Helpdesks, nicht aus Finanzierungen oder rechtlicher Unterstützung.
OpenAI weist darauf hin, dass diese Arten von Beratungsleistungen für Startups, insbesondere solche, die hochriskante oder grundlegende Modelle entwickeln, selten ausreichen. Es wird eine gezielte rechtliche Unterstützung und ein einfacherer Zugang zu öffentlichen Mitteln vorgeschlagen, um es kleineren Akteuren zu ermöglichen, in regulierten Umgebungen zu agieren.
Grundlagenmodelle passen nicht in das aktuelle rechtliche Modell
Der AI Act klassifiziert KI-Systeme nach Risikostufen zum Zeitpunkt ihrer Erstellung. Dies funktioniert jedoch nicht gut für Grundlagenmodelle, die als allgemeine Modelle konzipiert sind und sich basierend darauf weiterentwickeln, wie sie von Menschen verfeinert oder eingesetzt werden. Diese Modelle können nach der Bereitstellung hochriskant werden, doch das Gesetz berücksichtigt das nicht.
OpenAI fordert adaptive Regulierung und Sandbox-Umgebungen, die es politischen Entscheidungsträgern ermöglichen, diese Modelle während ihrer Nutzung zu überwachen. Der Aktionsplan und die Überarbeitung der GDPR greifen dieses Thema jedoch nicht auf.
Warum das wichtig ist
Die europäische Kommission und OpenAI haben beide eine klare Vision davon, wie die KI-Entwicklung in Europa aussehen sollte. Sie sind sich einig über die Infrastruktur, die Notwendigkeit des Datenzugangs und die Rolle einer verantwortungsvollen Regulierung. Diese Übereinstimmung hat jedoch noch nicht ihren Weg in den rechtlichen Rahmen gefunden.
Lücken in der Durchsetzung, Datenschutzregeln, die mit Innovationen in Konflikt stehen, und kein klarer Weg zur Regulierung von Grundlagenmodellen machen es schwieriger, die KI-Pläne der EU in die Praxis umzusetzen. Für Indien und andere, die noch an der Ausarbeitung von KI-Politiken arbeiten, ist dies eine Erinnerung daran, was passiert, wenn Infrastruktur und Regulierung isoliert entwickelt werden.
Hinweis: Die Überschrift und der vierte Absatz wurden am 14.04.2025 um 15:03 Uhr aufgrund redaktioneller Eingaben zur Klarheit bearbeitet.
