59. Künstliche Intelligenz und Datenschutz – Abkehr von der Technologieneutralität?

Foto von Bernard Hermant

Künstliche Intelligenz stellt nicht nur eine Transformation für unsere Wirtschaft und Gesellschaft dar, sondern auch für das Recht der Informationstechnologien. Im Wettlauf von technischer Innovation und regulatorischer Steuerung vermochte das Prinzip der Technologieneutralität den Geschwindigkeitsnachteil des Gesetzgebers bisher auszugleichen.

Technologieoffenheit – zentrales Prinzip im Datenschutzrecht

Das Prinzip der Technologieneutralität ist so einfach wie innovationsfördernd: Da der Gesetzgeber Innovationstrends weder vorhersehen noch antizipieren (oder mit ihnen auch nur schritthalten) kann, setzt er die rechtlichen Rahmenbedingungen abstrakt und neutral, so dass sie im Idealfall auf jede Technologie passen. Besonders wichtig ist der Grundsatz der Technologieneutralität im Datenschutzrecht, wie Erwägungsgrund 15 zur DSGVO klarstellt:

„Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen“.

Ob die Datenverarbeitung also Cloud-basiert, On-Premise oder in einer Blockchain-Technologie erfolgt, hat auf die Spielregeln im Umgang mit dem Persönlichkeitsschutz betroffener Personen keinen Einfluss.

KI-Regulierung als Gegenmodell zur Technologieneutralität

Der exakte Gegenpol zur Technologieneutralität lässt sich am allseits präsenten Phänomen der KI beobachten. Die Technologie selbst scheint unkontrolliert und bedarf einer technologiebezogenen Regulierung. Wo Systeme selbst lernen und Ergebnisse automatisieren, passt das Abstellen auf abstrakte Spielregeln für Menschen nicht mehr.

Grenzen des Datenschutzrechts – Das Beispiel Chat-GPT

Wie das Datenschutzrecht in seiner Technologieneutralität an seine Grenzen stößt, lässt sich am Fall Chat-GPT veranschaulichen. Weil immer mehr personenbezogene Daten das Chatprogramm trainieren, wächst auch die Gefahr von Verletzungen für die betroffenen Personen. Die Technologie selbst stellt die Gefahr dar, nicht der von Menschen gesteuerte Verarbeitungsvorgang, der sich datenschutzrechtlich erfassen lässt.  Gegen Software OpenAI, den Betreiber von Chat-GPT, wurden in den USA vor diesem Hintergrund Ende Juni dieses Jahres mehrere Klagen aufgrund datenschutzrechtlicher Verletzungen erhoben.

Grenzen des Datenschutzrechts – Beispiel KI-Fake

Ein weiteres Beispiel für die Grenzen der Technologieneutralität im Datenschutzrecht ist die wachsende Gefahr durch KI-generierte Fake-Inhalte. Wo täuschend echte Bilder von Personen inszeniert werden, geht es nicht mehr nur um den Umgang mit (echten) personenbezogenen Daten, sondern vor allem um den Schutz vor (unechten) personenbezogenen Daten.

AI-Act der EU

Erste Ansätze für eine technologiebezogene Regulierung sind erkennbar, aber noch in den Kinderschuhen. Über die Einführung des AI-Acts der EU wurde an dieser Stelle bereits berichtet. Aktuell findet das sog. Trialog-Verfahren zwischen Rat, Kommission und Parlament über die endgültige Ausgestaltung des Gesetzes statt. Bis Ende des Jahres soll eine endgültige Einigung erzielt werden. Im Kern geht es beim AI-Act um folgende Aspekte:

• • Verbote für den Einsatz von KI in bestimmten sensiblen Bereichen (z.B. in der Überwachung des öffentlichen Raums) sowie Diskriminierungsverbote
  • Vornahme einer Risikobewertung und Klassifizierung von Hochrisiko-KI-Systemen
  • Besondere Vorgaben für Unternehmen im Umgang mit Hochrisiko-KI-Systemen
  • Aufbau eines KI-Registers für Hochrisiko-KI-Systeme
  • Transparenzpflichten gegenüber Verbrauchern und Nutzern, wenn es zur Anwendung von KI kommt
  • Förderung der Innovation für KI, insbesondere durch die Bereitstellung von Reallaboren in geschützter Umgebung (mit Sonderregelungen für Start-ups).

Die Anpassung des Datenschutzrechts auf die spezifischen Herausforderungen durch KI hat noch einen langen Weg vor sich. Für die digitale Produkt-Compliance bedeutet dies eine zusätzliche Komplexität. Software-Innovationen unter Einsatz von KI werden nicht nur abstrakte technologieneutrale Kriterien berücksichtigen müssen, sondern die Innovation selbst im Lichte eines entstehenden KI-Rechts messen.