Publikation –
17.8.2022
DSGVO, TTDSG, ePrivacy-Verordnung, BDSG (neu/alt), Trans-Atlantic Privacy Agreement, CLOUD Act, AI-Act, Chatkontrollen-Gesetz…… Dies ist ein kleiner Einblick in die Welt von Datenschützern.
Neben den oben genannten nationalen und internationalen Regelwerken reihen sich Landesdatenschutzgesetze, Sonderrechte für bspw. Rundfunk und Kirche und die allgemeinen Vorschriften des BGB und der öffentlichen Gesetze ein. Ständige Änderungen und Erneuerungen gehören zu unserer Disziplin und lassen selbst manchen Experten die Stirn runzeln.
Dieser Dschungel aus Vorschriftenmuss für einen Laien eine schier endlose Masse an Gesetzestext und Vorschriftendarstellen, die kaum zu durchdringen ist. Gibt es eine Möglichkeit dieses Geflecht aus Regelungen für einen Laien auseinanderzuziehen?
Diese Frage haben wir uns in den vergangenen Wochen sehr oft gestellt und möchten eine Serie von Blogbeiträgen starten, welche zum besseren Verständnis der Datenschutz- und IT-welt beitragen soll.
Einmal im Monat, beginnend im August, möchten wir eine der datenschutz- und IT-rechtlichen Grundlagenwerke erläutern und Ihre Verbindungen zueinander aufzeigen.
Beginnen werden wir mit dem geplanten AI – Act der EU, welcher Künstliche Intelligenz (englisch „Artificial Intelligence“ (AI)) fairer, transparenter und sicherer machen soll.
Der AI – ACT
Die EU-Kommission hat mit der Vorstellung am 21.04.2021 eine umfassende Regulierung der Verwendung von KI-Systemen angestoßen. Sie verfolgt dabei einen risikobasierten Ansatz ähnlich gelagert zu der DS-GVO. Hierbei soll künstliche Intelligenz nicht reguliert, sondern kontrolliert werden.
Die Anwendungsbereiche sind beinahe endlos. Medizin, Ansprechpartner auf Websites, Instrumente zur Fälschung von Dokumenten, in der automatisierten Fertigung, bei juristischen Entscheidungsprozessen, in der Finanzberatung etc.
Zweck dieser Verordnung ist es, das Funktionieren des Binnenmarkts zu verbessern, indem ein einheitlicher Rechtsrahmen insbesondere für die Entwicklung, Vermarktung und Nutzung künstlicher Intelligenz im Einklang mit den Werten der Union festgelegt wird.
Den bereits erwähnten risikobasierten Ansatz gliedert der Gesetzgeber im Wesentlichen in drei Risikoklassen, beginnend mit einem inakzeptablen Risiko bis hin zu einem niedrigen Risiko, wozu Videospiele zählen.
Systeme welches ein inakzeptables Risiko für Menschen mit sich bringen sind beispielsweise unterschwellige Techniken zur Verhaltensbeeinflussung oder das Ausnutzen der Verletzlichkeit bestimmter Bevölkerungsgruppen. Das Scoring von Menschen, welches beispielsweise bei der Kreditvergabe entscheidend ist, soll abgeschafft werden ebenso wie die Gesichtserkennung im öffentlichen Raum.
Die Verordnung selbst toppt die Bußgeldandrohungen der DS-GVO und sieht Bußgelder von bis zu 30 Mio. EUR oder 6% des Jahresumsatzes vor. Der Europäische Datenschutzbeauftragte soll zudem Bußgelder gegen, die seiner Aufsicht unterstellten Stellen der Europäischen Union verhängen können. Hier liegt die Deckelung bei 500.000 EUR.
Bedenklich ist, dass die KI-Verordnung die Betroffenen nicht gesondert definiert und ihnen keine eigenen Rechte oder Beschwerdemöglichkeiten einräumt. Insbesondere sieht die KI-Verordnung (anders als die DS-GVO) derzeit keine Schadensersatz- und Unterlassungsansprüche vor. Auch kennt die KI-Verordnung auch kein Einwilligungs-Konzept, d. h. Einwilligungen von Individuen können den Einsatz von KI nach dem Kommissionentwurf nicht rechtfertigen. Anders als im Datenschutzrecht, dem ein grundrechtlicher Anspruch auf informationelle Selbstbestimmung zugrunde liegt, lässt sich ein individueller Anspruch auf „vertrauensvolle KI“ nicht ohne Weiteres aus den Grundrechten und -freiheiten herleiten.
Auch wenn die Verordnung den Schutz der Menschen vor erheblichen Schäden garantieren soll, spricht sie nur an wenigen Stellen von der Verletzlichkeit der Daten und Personen.
Es zeigt sich in den Formulierungen der Verordnung, dass deren praktische Bedeutung häufig unklar bleibt und die Formulierungen für jeden Einzelfall neu zu bewerten sind. Das öffnet einer Fülle von Auslegungen und einem gerichtlichen Ermessensspielraum Tür und Tor. Mit diesem großen Spielraum verabschiedet sich die Rechtssicherheit und-klarheit für Anbieter, die dazu führen würde, dass ein effektiver Schutz der Anwender von der VO ausgehen würde.
Viele Fragen der Mitgliedsstaaten bleiben bisher unbeantwortet und ob die Verordnung wie geplant 2023 in Kraft treten wird scheint bisher mehr als fraglich.