Zum Inhalt springen Zur Navigation springen
KI-Gesetz im Überblick: DSGVO-Vergleich und Gesetzestext

KI-Gesetz im Überblick: DSGVO-Vergleich und Gesetzestext

Artikel von Dr. Nils Christian Haag·23. April 2024

Die europäische Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz befindet sich auf den letzten Metern des Gesetzgebungsverfahren. Zudem beschäftigen und äußern sich auch immer mehr Datenschutzaufsichtsbehörden ausgiebig zu dem Thema KI. Daher haben wir auf ai-act-law.eu den Text des KI-Gesetzes zusammen mit den Erwägungsgründen und Anhängen strukturiert aufbereitet und wollen zu diesem im folgenden Beitrag einen Überblick geben und Ähnlichkeiten und Unterschiede der Verordnung zur DSGVO herausarbeiten.

Der aktuelle Stand beim KI-Gesetz (engl. „AI-Act“)

Das „Gesetz über künstliche Intelligenz“ (KI-Gesetz), das auch KI-Verordnung (KI-VO) genannt wird, wurde am 13. März 2024 vom Europäischen Parlament verabschiedet. Nun fehlt nur noch die Zustimmung des EU-Ministerrats, die in Kürze erwartet wird. Aus den vorgeschalteten Beratungen im Ministerrat könnten sich noch kleinere Anpassungen des Gesetzestextes ergeben.

Nach Zustimmung im EU-Ministerrat tritt das Gesetz am 20. Tag nach Veröffentlichung im EU-Amtsblatt in Kraft. Die dann geltenden Umsetzungsfristen sind gemäß Art. 113 KI-Gesetz gestaffelt:

  • Das Verbot von KI-Systemen, die unakzeptable Risiken darstellen, greift bereits 6 Monate nach Inkrafttreten.
  • Governance-Vorschriften sowie Transparenzanforderungen für KI-Systeme mit „allgemeinem Verwendungszweck“ müssen nach 12 Monaten beachten werden.
  • Die meisten anderen Regelungen sind 24 Monate nach Inkrafttreten anzuwenden, abgesehen von den besonderen Anforderungen für Hochrisiko-KI-Systeme, die erst nach 36 Monaten gelten.

Parallelen des KI-Gesetzes zur DSGVO

Auf den ersten Blick finden sich im KI-Gesetz einige Parallelen zur DSGVO:

  • Direkte Anwendbarkeit:
     Beide Gesetze sind unmittelbar anwendbar und müssen nicht erst in nationales Recht umgesetzt werden, wie es bei europäischen Richtlinien der Fall ist (wie z.B. die NIS2-Richtlinie).
  • Anwendungsbereich:
    Der räumliche Anwendungsbereich des KI-Gesetzes ist ähnlich weit wie der der DSGVO: Ähnlich wie beim Marktortprinzip aus Art. 3 Abs. 2 DSGVO gilt das KI-Gesetz gemäß Art. 2 Abs. 1 lit. und c) KI-Gesetz auch für nicht-europäische Anbieter, wenn ein System innerhalb der EU in Betrieb genommen wird oder Ergebnisse dort verwendet werden.
  • Aufsicht:
     Für die Überwachung der Einhaltung sollen wie im Datenschutz Aufsichtsbehörden eingerichtet werden. Die zentrale Koordination der Aufsicht erfolgt durch das Europäische AI-Büro, das durch nationale Aufsichtsbehörden unterstützt werden soll. Die nationalen Zuständigkeiten sind noch offen. Nach Ansicht des Hamburger Datenschutzbeauftragten Thomas Fuchs kommen nur die Datenschutzbehörden für die KI-Aufsicht in Betracht.
  • Bußgelder:
    Die Sanktionen erinnern am deutlichsten an die DSGVO allerdings mit der Besonderheit, dass die Maximalwerte noch höher angesiedelt worden sind. Die Obergrenzen liegen gemäß Art. 99 KI-Gesetz in der Regel bei 15 Mio. Euro oder 3% des weltweiten Jahresumsatzes (Abs. 4), je nachdem, welcher Betrag höher ist. Beim Einsatz verbotener KI-Systeme können sogar Bußgelder bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes verhängt werden.

Auch rechtspolitisch verfolgt die Europäische Union beim KI-Gesetz wie bei der DSGVO das Ziel, weltweit einen Standard für die Regulierung zu setzen.

Risikobasierter Ansatz des KI-Gesetzes

Das KI-Gesetz verfolgt einen rein risikobasierten Ansatz. Je nach Einordnung in die folgenden Kategorien gelten unterschiedlich strenge Anforderungen:

  1. Inakzeptables Risiko:
     In Art. 5 KI-Gesetz werden Praktiken aufgezählt, die gänzlich verboten sind (z.B. Social Scoring oder Crime Prediction).
  2. Hohes Risiko:
     Hier spielt die Musik des KI-Gesetzes. Über die Hälfte aller Vorschriften beschäftigten sich mit der Regulierung von Hochrisiko-Systemen (Art. 6 ff. KI-Gesetz). Hierunter fallen insbesondere Systeme, die in den sensiblen Bereichen eingesetzt werden wie z.B. kritische Infrastruktur, Medizin oder Bildung und in Beschäftigungsverhältnissen.
  3. Anforderungen unabhängig vom Risiko:
    In Art. 50 KI-Gesetz finden sich Transparenzpflichten für KI-Systeme, die bestimmte Voraussetzungen erfüllen. So muss bei Chat-Bots oder der Bilderstellung mit KI-Unterstützung auf den Einsatz von KI hingewiesen werden. Verbleibende KI-Systeme erfahren keinerlei Einschränkungen durch die KI-Verordnung (z.B. Spam-Filter, Videospiele, Controlling- oder Marketingtools).

KI-Modelle mit „allgemeinem Verwendungszweck“, auch GPAIs genannt („General Purpose AI“), haben in Art. 51 ff. KI-Gesetz einen eigenen Abschnitt erhalten. Sie zielen auf Produkte wie GPT-4 ab, die aufgrund ihrer hohen Verbreitung zu einem „systemischen Risiko“ führen.

Wesentlicher Unterschied zwischen KI-Gesetz und DSGVO

Zwar kennt auch die DSGVO einen risikobasierten Ansatz, indem z.B. besondere Kategorien personenbezogener Daten durch Art. 9 DSGVO besonders geschützt werden. Allerdings hängt die Zulässigkeit einer Verarbeitung nicht allein von einer Kategorisierung der Daten oder einer Verarbeitung ab. Vielmehr werden verschiedenste Interessen bei der Beantwortung der Frage berücksichtigt, ob eine Verarbeitung zulässig ist oder nicht. Hierin liegt ein fundamentaler Unterschied zwischen DSGVO und KI-Gesetz. Letzteres ist anders als das Datenschutzgesetz im Wesentlichen als Produkthaftungsgesetz ausgestaltet ist.

Die Nichtberücksichtigung anderer Aspekte als das bloße Risiko eines KI-Systems ist die größte Schwäche des neuen Regulierungswerks. So kritisieren Barbara Prainsack und Nikolaus Forgó in ihrem Kommentar in der „nature medicine“, dass dadurch der allgemeine Nutzen für die Gesellschaft generell ausgeblendet wird. Neben der Betrachtung des Risikos sollte auch der Mehrwert einer neuen Technologie bei ihrer Regulierung berücksichtigt werden.

Gesetzestext von KI-Gesetz in strukturierter Form

Um den Zugang zum Gesetzestext und das Arbeiten mit den einzelnen Vorschriften zu erleichtern, haben wir sämtliche Artikel, Erwägungsgründe und Anhänge des KI-Gesetzes in gewohnt strukturierter Form aufbereitet:

Zukünftige Aktualisierungen werden wir ebenso berücksichtigen wie noch folgende Ausführungsbestimmungen („delegierte Rechtsakte“).

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Prima Beitrag! Mehr davon. Vielleicht einen zweiten zum Thema Konkurrenzen/Querschnitt zu anderen Themenbereichen?
    Wo würden sie die originäre Verantwortlichkeit der Thematik im Unternehmen sehen? Das Thema ist ja eine Querschnittsthematik und verbindet viele Bereiche.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.