Die Europäische Union hat einen neuen Rechtsrahmen für Künstliche Intelligenz (KI) geschaffen. Der sogenannte AI Act, der seit August 2024 in Kraft ist, soll den Umgang mit sensiblen persönlichen Daten durch Algorithmen transparenter und sicherer machen. Diese neue Verordnung markiert einen wichtigen Schritt im Schutz der Verbraucherinteressen in einer zunehmend algorithmengesteuerten Welt.
Wichtigste Punkte
- Sensible Daten umfassen Gesundheitszustand, sexuelle Orientierung, Herkunft und biometrische Informationen.
- Algorithmen nutzen diese Daten zunehmend für automatisierte Entscheidungen.
- Der AI Act der EU reguliert den Einsatz von KI-Systemen, die sensible Daten verarbeiten.
- Die Verordnung verfolgt einen risikobasierten Ansatz mit strengeren Auflagen bei höherem Risiko.
- Verbraucherzentralen fordern eine starke nationale Umsetzung und eine zentrale Aufsichtsbehörde in Deutschland.
Was sind sensible Daten und warum sind sie wichtig?
Sensible Daten sind äußerst persönliche Informationen, die Rückschlüsse auf Ihre Identität und private Lebensbereiche zulassen. Dazu gehören Angaben zu Ihrem Gesundheitszustand, Ihrer sexuellen Orientierung, Ihrer ethnischen Herkunft, Ihrer religiösen oder politischen Überzeugung sowie Ihrer Gewerkschaftszugehörigkeit.
Auch genetische und biometrische Daten fallen in diese Kategorie. Biometrische Daten sind einzigartige körperliche Merkmale, die zur eindeutigen Identifizierung dienen, wie Ihr Fingerabdruck, Ihr Gesichts-Scan oder Ihre Stimme. Das Recht auf informationelle Selbstbestimmung gibt Ihnen die Kontrolle darüber, wer diese Daten erhält und wie sie verwendet werden.
Faktencheck: Sensible Daten
- Gesundheitsdaten: Informationen über Krankheiten, Behandlungen.
- Biometrische Daten: Fingerabdruck, Gesichtserkennung, Stimmerkennung.
- Ethnische Herkunft: Angaben zur Abstammung.
- Politische/religiöse Überzeugung: Zugehörigkeit zu Parteien oder Glaubensgemeinschaften.
Die Rolle von Algorithmen bei der Datenverarbeitung
Algorithmen sind aus unserem Alltag nicht mehr wegzudenken. Sie leiten uns mit Navigationssystemen, schlagen uns Produkte vor oder helfen sogar bei der Partnerwahl. Immer häufiger analysieren und verwenden Algorithmen auch sensible Daten. Dies geschieht beispielsweise im Finanzsektor, bei der Kreditvergabe, oder im Gesundheitswesen, um Prognosen zu erstellen. Diese Systeme treffen Entscheidungen, oft ohne menschliches Eingreifen, was als automatisierte Entscheidung bezeichnet wird.
Die Auswirkungen dieser automatisierten Prozesse können weitreichend sein. Ein Algorithmus kann darüber mitentscheiden, ob Sie einen Kredit erhalten, wie hoch Ihre Versicherungsprämie ausfällt oder ob Ihre Bewerbung in einem Auswahlverfahren berücksichtigt wird. Ein bekanntes Beispiel aus dem Universitätskrankenhaus Stanford zeigte die Tücken solcher Systeme, als ein Algorithmus die Reihenfolge der Corona-Impfungen für das Klinikpersonal festlegte und dabei ein Debakel verursachte.
„Algorithmen sind nicht objektiv oder wissenschaftlich. Sie können genauso fehlerhaft oder diskriminierend sein wie die Menschen, die sie programmiert und mit Daten versorgt haben.“
Warum Algorithmen oft undurchsichtig sind
Die Funktionsweise von Algorithmen bleibt für uns oft eine sogenannte „Blackbox“. Es gibt mehrere Gründe dafür. Zum einen ist die Technik selbst bei bestimmten Verfahren wie dem Deep Learning sehr komplex. Hierbei nutzen Computer neuronale Netze, um selbstständig zu lernen. Der Prozess zwischen der Eingabe von Informationen und dem Ergebnis ist für den Menschen nicht immer nachvollziehbar.
Ein weiterer Grund für die mangelnde Transparenz ist, dass die Funktionsweise vieler Algorithmen unter das Geschäftsgeheimnis fällt. Dies bedeutet, dass die genaue Programmierung und Arbeitsweise zwar prinzipiell verstanden werden könnte, aber aufgrund des rechtlichen Schutzes nicht öffentlich zugänglich ist. Wenn Sie beispielsweise in einem Vergleichsportal nach Angeboten suchen und die Sortierung nicht nachvollziehen können, liegt das oft an einem solchen Geschäftsgeheimnis.
Hintergrund: Geschäftsgeheimnis
Geschäftsgeheimnisse schützen Unternehmen davor, dass ihre Wettbewerber Einblicke in ihre internen Abläufe, Technologien oder Strategien erhalten. Während dies für Innovationen wichtig ist, kann es die Transparenz bei algorithmischen Entscheidungen einschränken, die unser Leben beeinflussen.
Der AI Act: Ein neuer Rechtsrahmen für mehr Transparenz
Der Artificial Intelligence Act (AI Act) der EU, der am 21. Mai 2024 vom Rat der 27 EU-Mitgliedstaaten verabschiedet wurde und seit August 2024 gilt, soll hier Abhilfe schaffen. Erstmals gibt es einen umfassenden Rechtsrahmen, der den Einsatz Künstlicher Intelligenz regelt, insbesondere im Hinblick auf den Schutz sensibler Daten. Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung eingeschätzt wird, desto strenger sind die Auflagen.
Diese strengeren Vorgaben umfassen Risikobewertungen, detaillierte Dokumentationspflichten, die Erstellung von EU-Konformitätserklärungen und eine kontinuierliche Überwachung durch den Betreiber. Ziel ist es, Sicherungsmechanismen, sogenannte „Checks and Balances“, einzuführen, die immer dann greifen, wenn automatisierte Entscheidungen sensible Lebensbereiche von Menschen beeinflussen.
Wesentliche Regelungen des AI Act:
- Risikobasierter Ansatz: Höhere Risikoklassifizierung bedeutet strengere Regeln.
- Transparenzpflichten: Klare Anforderungen an die Dokumentation und Nachvollziehbarkeit von KI-Systemen.
- Verbot bestimmter KI-Praktiken: Einschränkung von KI-Systemen mit unannehmbarem Risiko, wie etwa soziale Scoring-Systeme.
- Menschliche Aufsicht: Sicherstellung, dass Menschen die Kontrolle über Hochrisiko-KI-Systeme behalten.
- Datenschutz: Stärkere Regeln für den Umgang mit sensiblen und biometrischen Daten.
Was bedeutet der AI Act für Verbraucher?
Die Verbraucherzentralen in Deutschland fordern eine konsequente und verbraucherfreundliche Umsetzung des AI Act. Sie betonen die Notwendigkeit einer zentralen koordinierenden Aufsichtsbehörde, an die sich Verbraucher bei Beschwerden über KI-Anwendungen wenden können. Jedes EU-Land muss bis August 2025 eine nationale KI-Aufsichtsbehörde benennen.
Die Bundesregierung hat die Möglichkeit, strengere nationale Vorschriften zu erlassen, als der AI Act vorsieht. Dazu gehört beispielsweise das Verbot des Einsatzes von Gesichtserkennungssystemen an öffentlichen Orten, nicht nur für staatliche Stellen, sondern auch für private Akteure. Solche Maßnahmen würden den Schutz der Privatsphäre weiter stärken und die informationelle Selbstbestimmung der Bürgerinnen und Bürger besser gewährleisten.
Wichtige Fristen und Forderungen
- August 2025: EU-Länder müssen nationale KI-Aufsichtsbehörden benennen.
- Forderung der Verbraucherzentralen: Zentrale Anlaufstelle für Beschwerden zu KI-Anwendungen.
- Potenzielle nationale Verschärfungen: Verbot von Gesichtserkennung an öffentlichen Orten auch für private Akteure.
