Skip to content
Simons KI Prompting Notizen

Datenschutz - Eu AI Act und DSVGO

Die EU-KI-Verordnung (AI Act) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Das Ziel ist es, Innovationen in Europa zu fördern und gleichzeitig sicherzustellen, dass KI-Systeme sicher, ethisch und grundrechtskonform eingesetzt werden.

Hier ist die Zusammenfassung der wichtigsten Punkte:

1. Der risikobasierte Ansatz

Section titled “1. Der risikobasierte Ansatz”

Das Herzstück der Verordnung ist die Einteilung von KI-Systemen in vier Risikostufen:

  • Unannehmbares Risiko (Verboten): Systeme, die eine klare Bedrohung für Menschen darstellen, sind komplett untersagt. Dazu gehören z. B. Social Scoring durch Staaten, manipulative Techniken zur Verhaltensbeeinflussung und die biometrische Echtzeit-Überwachung in öffentlichen Räumen (mit engen Ausnahmen).
  • Hochrisiko (Streng reguliert): Diese Systeme sind erlaubt, müssen aber sehr strenge Auflagen erfüllen. Beispiele sind KI in der Kreditauskunft, bei der Personalauswahl (Recruiting), in kritischen Infrastrukturen oder in der Strafverfolgung. Die Anbieter müssen hierfür ein Risikomanagement, eine hohe Datenqualität und eine menschliche Aufsicht sicherstellen.
  • Begrenztes Risiko (Transparenzpflichten): Systeme wie Chatbots oder Deepfakes müssen als solche gekennzeichnet werden. Nutzer müssen wissen, dass sie mit einer Maschine interagieren.
  • Minimales Risiko (Keine Auflagen): Die Mehrheit der heutigen KI-Anwendungen (wie Spam-Filter oder KI in Videospielen) bleibt weitgehend unreguliert.

2. Sonderregeln für Basismodelle (GPAI)

Section titled “2. Sonderregeln für Basismodelle (GPAI)”

Für sehr leistungsfähige Modelle mit allgemeinem Verwendungszweck (z. B. Large Language Models wie GPT) gelten spezifische Regeln. Sie müssen Transparenzpflichten erfüllen, das EU-Urheberrecht achten und technische Dokumentationen bereitstellen. Modelle mit systemischem Risiko (sehr hohe Rechenleistung) müssen zusätzliche Sicherheitsprüfungen durchführen.

3. Zeitplan der Einführung

Section titled “3. Zeitplan der Einführung”

Die Verordnung trat am 1. August 2024 in Kraft, wird aber schrittweise angewendet:

  • Februar 2025: Die Verbote für gefährliche Praktiken treten in Kraft.
  • August 2025: Die Regeln für allgemeine KI-Modelle (GPAI) gelten.
  • Ende 2027 / August 2028: Die meisten Pflichten für Hochrisiko-Systeme werden durch das sogenannte „AI Omnibus“-Paket auf diese Zeitpunkte verschoben, um Unternehmen mehr Zeit zur Anpassung zu geben.

4. Durchsetzung und Strafen

Section titled “4. Durchsetzung und Strafen”

Die Einhaltung wird durch ein neues KI-Amt (AI Office) auf EU-Ebene sowie nationale Behörden überwacht. Bei Verstößen drohen massive Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Wichtig: Der AI Act ersetzt nicht die DSGVO. Wenn eine KI personenbezogene Daten verarbeitet, müssen weiterhin beide Regelwerke gleichzeitig beachtet werden.