Die Lücke in den EU-Vorschriften für KI erfordert einen gut dokumentierten Ansatz
Die Vorschriften der Europäischen Union (EU) für künstliche Intelligenz (KI) schaffen komplexe Herausforderungen für Organisationen, die KI unter Verwendung von sensiblem persönlichen Daten zur Erkennung und Korrektur von Vorurteilen einsetzen.
Mit dem EU KI-Gesetz, das die Technologie reguliert, und der etablierten Allgemeinen Datenschutzverordnung (DSGVO), die persönliche Daten reguliert, stehen juristische Praktiker und Unternehmensleiter vor der Aufgabe, eine doppelte Compliance sicherzustellen. Insbesondere mit dem Anstieg der KI-Verarbeitung sensibler persönlicher Daten.
Regulatorische Herausforderungen beruhen oft auf der grundlegenden Spannung zwischen algorithmischer Fairness – der Gewährleistung, dass KI-Systeme alle gleich und frei von Diskriminierung behandeln – und dem Schutz sensibler persönlicher Daten.
Regulatorische Lücke
Um dies anzugehen, erlaubt Artikel 10(5) des KI-Gesetzes die Verarbeitung besonderer Kategorien von persönlichen Daten, wenn dies „strikt notwendig“ zur Erkennung und Korrektur von Vorurteilen in hochrisikobehafteten KI-Systemen ist. Dies scheint jedoch dem allgemeinen Verbot der DSGVO in Artikel 9, das die Verarbeitung solcher Daten ohne ausdrückliche Zustimmung oder eine andere spezifische rechtliche Grundlage verbietet, zu widersprechen.
Stattdessen scheint Artikel 10(5) das zu schaffen, was einige als eine neue rechtliche Grundlage für die Verarbeitung sensibler Daten interpretieren, indem die fairen Verarbeitungsgrundsätze von Artikel 5 auf die Erkennung oder Korrektur von Vorurteilen ausgeweitet werden.
Doch die Ausnahmemöglichkeiten der DSGVO in Artikel 9 enthalten keine ausdrückliche Ausnahme für die Erkennung oder Korrektur von Vorurteilen. Es ist unklar, ob die Erkennung oder Korrektur von Vorurteilen als ein anerkanntes substanzielles öffentliches Interesse angesehen werden kann.
Diese regulatorische Lücke schafft Unsicherheit für Organisationen, die sicherstellen wollen, dass ihre KI-Systeme sowohl fair als auch compliant mit den Anforderungen der EU-Datenschutz- und KI-Vorschriften sind.
Verarbeitungswege
Während das KI-Gesetz die Überlegenheit der DSGVO in Fällen von Konflikten anerkennt, müssen Organisationen die geeigneten rechtlichen Grundlagen gemäß Artikel 9 identifizieren, wenn sie sensible Daten zur Erkennung und Korrektur von Vorurteilen verarbeiten.
In einem kürzlichen Artikel hat der Forschungsdienst des Europäischen Parlaments auf das Zusammenspiel dieser Vorschriften hingewiesen und angedeutet, dass die Gesetzgeber möglicherweise intervenieren müssen. Organisationen müssen jedoch in der Zwischenzeit mit diesem Balanceakt umgehen.
Eine praktische Lösung könnte einen nuancierteren Ansatz zur Interpretation des „substanziellen öffentlichen Interesses“ gemäß Artikel 9(2)(g) der DSGVO beinhalten. Der Europäische Datenschutzbeauftragte erläuterte, wie dieser Artikel die Verarbeitung unter „substanziellen öffentlichen Interessen“ ermöglichen könnte, wobei das KI-Gesetz potenziell als rechtliche Grundlage dienen könnte.
Der Vorschlag des Europäischen Datenschutzbeauftragten für diesen Weg ist ein positiver Schritt, doch diese Interpretation erfordert, dass die Aufsichtsbehörden zu diesem Schluss kommen und zuverlässige rechtliche Sicherheit bieten.
Duale Compliance
In Ermangelung definitiver regulatorischer Leitlinien sollten Organisationen einen umfassenden Ansatz in Betracht ziehen, der beide regulatorischen Rahmenbedingungen berücksichtigt.
Die Implementierung von hochriskanten KI-Systemen erfordert gründliche Risikobewertungen, die sowohl die Anforderungen des KI-Gesetzes als auch der DSGVO berücksichtigen. Dazu gehört die Identifizierung der Hochrisikoklassifikation, die Bestimmung, ob die Verarbeitung besonderer Kategorien von Daten zur Vorurteilsdetektion erforderlich ist, die Durchführung von Datenschutz-Folgenabschätzungen und die Dokumentation von Entscheidungsprozessen sowie Risikominderungsstrategien.
Technische und organisatorische Maßnahmen, die unter der DSGVO wichtig sind, sind entscheidend, wenn sensible persönliche Daten über eine KI-Plattform verarbeitet werden. Es ist fair zu folgern, dass die Aufsichtsbehörden – die einzelnen Datenschutzregulatoren in jedem EU-Land, die das EU-Recht interpretieren und anwenden – und das Europäische Parlament weiterhin die Bedeutung starker Cybersicherheitsmaßnahmen betonen werden.
Organisationen sollten moderne Sicherheitsmaßnahmen anwenden, robuste Zugriffssteuerungen für die Verarbeitung sensibler Daten sicherstellen, strenge Prinzipien der Datenminimierung umsetzen, spezielle Kategorien von Daten umgehend nach der Korrektur von Vorurteilen löschen und wo möglich Anonymisierungstechniken in Betracht ziehen.
Bei der Überlegung geeigneter rechtlicher Grundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten innerhalb einer KI-Plattform könnte ein hybrider Ansatz erforderlich sein. Dies beinhaltet die Einholung ausdrücklicher Zustimmung, wo dies möglich ist, und die Erkundung der Ausnahme des „substanziellen öffentlichen Interesses“, wo eine Zustimmung unpraktisch ist, um zu dokumentieren, wie die Vorurteilsdetektion wichtige gesellschaftliche Interessen dient.
Parallel dazu könnte es auch klug sein, zu dokumentieren, dass die Korrektur von Vorurteilen mit dem fairen Verarbeitungsprinzip der DSGVO gemäß der Perspektive der belgischen Aufsichtsbehörde übereinstimmt.
Keine dieser Analysen ist hilfreich, wenn Dokumentation und Transparenz nicht zeigen, dass die Compliance eingehalten wird. Organisationen müssen detaillierte Aufzeichnungen über die Verarbeitungstätigkeiten führen, die besondere Kategorien von Daten betreffen, Notwendigkeitsbewertungen und rechtliche Grundlageanalysen dokumentieren, klar und transparent kommunizieren, wie sie Daten verwenden, und Governance-Strukturen entwickeln, die die KI-Systeme, die sensible Daten verarbeiten, überwachen.
Das Fehlen regulatorischer Klarheit zur Nutzung sensibler persönlicher Daten zur Minderung von Vorurteilen in KI ist eine Herausforderung für Organisationen, die bestrebt sind, sowohl dem EU KI-Gesetz als auch der DSGVO zu entsprechen. Während die Organisationen auf dringend benötigte Leitlinien von Gesetzgebern und Aufsichtsbehörden warten, müssen sie einen proaktiven und gut dokumentierten Ansatz zur Risikobewertung, Datenminimierung und Transparenz verfolgen.
