Datenschützer und die Digitalexpertin kritisieren KI-Verordnung

"Wieder einmal ist Deutschland zu spät dran – wie schon beim Digital Services Act"
Anders als erwartet: Regeln für Hochrisiko-KI kommen erst 2027
Datenschützer wollen Aufsicht - vor allem dort, wo personenbezogene Daten verarbeitet werden.

Die Digitalpolitikerin Anke Domscheit-Berg und deutsche Datenschützer haben die schleppende Umsetzung der europäischen KI-Verordnung in Deutschland kritisiert. Es fehle bislang an einer gesetzlichen Grundlage für die zuständige Aufsichtsbehörde, sagte Domscheit-Berg MDR AKTUELL. Damit sei auch unklar, ob diese ausreichend Personal und Ressourcen erhalten werde.

"Wieder einmal ist Deutschland zu spät dran – wie schon beim Digital Services Act", sagte die frühere Bundestagsabgeordnete. Domscheit-Berg, die unter anderem die Projektgruppe "KI und Staat" in der Enquete-Kommission des Bundestages leitete, verwies auf zahlreiche rechtliche Unsicherheiten in der Anwendung der Verordnung. So sei etwa unklar, was die vorgeschriebene Einhaltung des Urheberrechts durch generative KI-Modelle konkret bedeute und wie man sie überprüfen kann. Das werde voraussichtlich erst auf dem Rechtsweg geklärt.

Kritik an Übergangsregeln für Hochrisiko-Systeme

Auch dächten viele, "die Regeln für Hochrisiko-KI gelten schon – aber die kommen erst 2026 und 2027, und für Hochrisiko-Systeme, die bis August 2026 auf den Markt kommen, gelten sie überhaupt nie". Kritisch sieht Domscheit-Berg die langen Übergangsfristen für Behörden, die erst ab 2030 Pflichten für Hochrisiko-KI einhalten müssen. "Wie kann man bei einem staatlichen Machtmonopol mit hohen Ansprüchen an die Einhaltung von Grundrechten eine derartige Ausnahme machen?", fragt sie. Da auch die parlamentarische Kontrolle stark eingeschränkt sei und es an unterstützenden Strukturen und standardisierten Prozessen fehle, "rechne ich mit erheblichen Grundrechtsverletzungen beim Einsatz von Hochrisiko KI durch Behörden".

Datenschützer fordern klare Zuständigkeiten

Die Datenschutzkonferenz (DSK) erneuerte auf Anfrage des MDR ihre Forderung, die Datenschutzbehörden als Überwachungsinstanzen für die KI-Verordnung einzusetzen – zumindest in Bereichen, in denen personenbezogene Daten verarbeitet werden, nicht Sektoren wie etwa der Finanzsektor oder die kritische Infrastruktur. "Immer dann, wenn personenbezogene Daten im Spiel sind, sind gemäß Datenschutz-Grundverordnung ohnehin die Datenschutzbehörden zuständig", erklärte die DSK-Vorsitzende. Sie verwies zudem auf jahrelange Erfahrung im Bereich Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene.

Ein Sprecher der sächsischen Landesdatenschutzbeauftragten Juliane Hundert verwies zudem darauf, dass in der Praxis oft nicht eindeutig zu trennen sei, ob KI-Systeme personenbezogene Daten verarbeiten oder nicht. Deshalb wäre es sinnvoll, wenn die Datenschutzbehörden gleich die gesamte Aufsicht über KI-Systeme übernehmen – zumindest überall dort, wo personenbezogene Daten möglicherweise im Spiel sind. Unklare Zuständigkeiten und widersprüchliche Bewertungen verschiedener Behörden müssten vermieden werden – im Interesse von Verwaltung, Wirtschaft und betroffenen Bürgerinnen und Bürgern.

Die EU-KI-Verordnung ist seit Anfang 2024 in Kraft. Erste Regelungen, darunter Transparenzpflichten, greifen seit August dieses Jahres. Weitere zentrale Vorschriften, insbesondere für Hochrisiko-KI, folgen schrittweise bis 2027.

Der AI-Act-Fahrplan

21. Mai 2024: EU-Rat nimmt Verordnung an.
1. August 2024: Die Verordnung tritt offiziell in Kraft - muss aber noch nicht umgesetzt werden.
2. November 2024: EU-Länder müssen die zuständige Behörde einrichten.
2. Februar 2025: Erste Verbote greifen. Betroffen sind sogenannte verbotene KI-Systeme. Verboten sind Systeme, die Menschen unterschwellig manipulieren, die Gesichtsdaten erkennen, die Gefühle erfassen, die das soziale Verhalten von Menschen bewerten (social-scoring) und die biometrische Daten erfassen. Es werden Anforderungen an die sogenannte KI-Kompetenz gestellt: Unternehmen müssen ihre Mitarbeiter zu KI schulen.
2. August 2025: Mehrere Regelungen treten in Kraft: Die EU-Länder müssen bis jetzt zuständige nationale Behörden benennen und der EU-Kommission mitteilen. Die Länder müssen Regeln für Sanktionen und Geldbußen festlegen.
2. Februar 2026: Die Länder müssen Leitlinien für die Umsetzung vorlegen.
2. August 2026: Alle übrigen Bestimmungen treten in Kraft.
(...)
2. August 2031: Die KI-Verordnung wird bis 2031 ausgerollt. Dann will die EU-Kommission die Verordnung evaluieren und Bericht erstatten.

Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke

Datenschützer und die Digitalexpertin kritisieren KI-Verordnung

Kritik an Übergangsregeln für Hochrisiko-Systeme

Datenschützer fordern klare Zuständigkeiten

Der AI-Act-Fahrplan

Verwandte Vorschläge:

Tausende Hotels tun sich gegen Booking.com zusammen

Döner-Streik in Großfabrik: Bleiben jetzt die Spieße stehen?

Trump-Regierung wiegelt bei Zoll-Neuregelungen ab