[datensicherheit.de, 04.10.2025] Unter dem Motto „Artificial Intelligence in our daily lives: Data and Privacy Issues” („Künstliche Intelligenz in unserm Alltagsleben: Daten- und Datenschutzfragen“) fand Mitte September 2025 in Seoul die 47. Jahreskonferenz der „Global Privacy Assembly“ (GPA) statt. Um die internationale Zusammenarbeit der Aufsichtsbehörden zu stärken, hat der Stellvertretende Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine gemeinsame Erklärung mit dem Gastgeber, der Personal Information Protection Comission (PIPC) Südkorea, und der französischen Datenschutzaufsichtsbehörde Commission Nationale de L`Informatique et des Libertes (CNIL) und weiteren Delegationen unterzeichnet.

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider betont: Eine Vernetzung und Kompetenzbündelung der Datenschutzaufsichtsbehörden auf internationaler Ebene ist nötig, um auf vertrauenswürdige, innovative Anwendungen im Bereich der Künstlichen Intelligenz hinzuwirken!

KI trägt zu erheblichen technologischen Fortschritten und zur weiteren Digitalisierung unseres Lebens bei

Die unterzeichnenden Behörden haben demnach darin festgehalten, sich für eine vertrauenswürdige Regulierung von Anwendungen Künstlicher Intelligenz (KI) einzusetzen und dabei die Aspekte der Innovationsfreundlichkeit und eine nachhaltige Gewährleistung des Datenschutzes im Auge zu behalten.

„In unserer heutigen Gesellschaft trägt die Künstliche Intelligenz zu erheblichen technologischen Fortschritten und zur weiteren Digitalisierung unseres Lebens bei. Solche Anwendungen sind oft mit grenzüberschreitenden Datenflüssen verbunden. Eine Vernetzung und Kompetenzbündelung der Datenschutzaufsichtsbehörden auf internationaler Ebene ist nötig, um auf vertrauenswürdige, innovative Anwendungen im Bereich der Künstlichen Intelligenz hinzuwirken“, kommentiert die BfDI, Prof. Dr. Louisa Specht-Riemenschneider.

„Network of Networks“: Erfahrungsaustausch über gemeinsame relevante Themen

Erstmals fand im Rahmen der GPA unter der Leitung von BfDI und PIPC ein Treffen in dem neuen Format „Network of Networks“ statt, in welchem regionale Datenschutz-Netzwerke aus Europa, Afrika, Lateinamerika und Asien einen Erfahrungsaustausch über gemeinsame relevante Themen beginnen konnten.

Die GPA trifft sich jährlich und hat derzeit über 130 Mitglieder aus aller Welt: Sie ist die größte internationale Vereinigung von Datenschutzbehörden. Die Mitglieder diskutieren weltweit relevante datenschutzpolitische und datenschutzrechtliche Themen.

Weitere Informationen zum Thema:

GPA Global Privacy Assembly
Mission and Vision

GPA 2025 SEOUL
47th GLOBAL PRIVACY ASSEMBLY / 15-19 SEPTEMBER 2025 | SEOUL, KOREA

datensicherheit.de, 05.09.2025
KI-Kontrolle: Scharfe Kritik der Landesdatenschutzbehörden am BMDS / Berliner Beauftragte für Datenschutz und Informationsfreiheit warnt vor Schwächung des Grundrechtsschutzes und verweist auf „KI-Verordnung“

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

datensicherheit.de, 22.01.2024
AI Act: EU-Exportschlager mit Potenzial zum weltweiten Standard für KI-Regulierung / Hybride EAID-Veranstaltung anlässlich des Europäischen Datenschutztags 2024

datensicherheit.de, 11.12.2023
AI Act: Politische Einigung zur Regulierung von Künstlicher Intelligenz in der EU / Ansatz enthält eine teilweise Verlagerung der Compliance-Verpflichtung entlang der KI-Lieferkette

[datensicherheit.de, 04.07.2025] Fast drei Viertel der europäischen IT- und Cybersicherheitsexperten geben nach aktuellen ISACA-Erkenntnissen an, dass ihre Mitarbeiter bereits Generative KI (GenAI) bei der Arbeit nutzen – dies sei ein Anstieg um zehn Prozentpunkte innerhalb eines Jahres. Laut einer neuen ISACA-Studie haben jedoch nur knapp ein Drittel der Unternehmen hierzu formelle Richtlinien eingeführt. Es sei klar, dass der Einsatz von KI am Arbeitsplatz zunehme und die Regulierung ihrer Nutzung daher die beste Lösung sei. Dennoch verfüge nicht einmal ein Drittel (31%) der Unternehmen über eine formelle, umfassende KI-Richtlinie. „Dies verdeutlicht die Diskrepanz zwischen der Häufigkeit des Einsatzes von KI und der Intensität ihrer Regulierung am Arbeitsplatz.“

Abbildung: ISACA

ISACA: „Taking the Pulse of AI in 2025“ (europäische Ausgabe) publiziert

Optimistische Erwartung, dass sich KI im nächsten Jahr positiv auf ihr Unternehmen auswirken wird

KI wirke sich indes bereits positiv auf den Arbeitsalltag aus: „Mehr als die Hälfte (56%) der Befragten gibt an, dass sie die Produktivität des Unternehmens gesteigert hat. 71 Prozent berichten von Effizienzsteigerungen und Zeiteinsparungen.“ Mit Blick auf die Zukunft seien 62 Prozent der Befragten optimistisch, dass sich KI im nächsten Jahr positiv auf ihr Unternehmen auswirken werde.

Doch genau diese Geschwindigkeit und dieser Umfang machten diese Technologie auch zu einem „Magneten für böswillige Akteure“. Fast zwei Drittel (63%) der Befragten seien „sehr“ oder „äußerst“ besorgt, dass Generative KI gegen sie eingesetzt werden könnte. 71 Prozent erwarteten zudem, dass sogenannte Deepfakes im kommenden Jahr noch stärker verbreitet sein würden.

Ohne klare Richtlinien und Schulungen zur Risikominderung wird KI zu einer potenziellen Belastung

Trotzdem investierten nur 18 Prozent der Unternehmen Geld in „Tools“ zur Erkennung von Deepfakes – dies sei eine erhebliche Sicherheitslücke. Diese Kluft zwischen dem steigenden Bewusstsein und den mangelnden Investitionen der Unternehmen führe dazu, dass sie in einer Zeit, in der sich KI-gestützte Bedrohungen schnell weiterentwickelten, ungeschützt seien.

KI sei zwar sehr vielversprechend, ohne klare Richtlinien und Schulungen zur Risikominderung werde sie jedoch zu einer potenziellen Belastung. „Erforderlich sind robuste, rollenspezifische Richtlinien – von der Frage, wann KI eingesetzt werden soll, bis hin zur Frage, wie man einen Deepfake erkennt –, damit Unternehmen das Potenzial der KI sicher nutzen können.“

KI-Bedrohungen entwickeln sich schnell weiter

„Mit dem ,EU AI Act’, der neue Standards für Risikomanagement und Transparenz setzt, müssen Unternehmen schnell vom Bewusstsein zum Handeln übergehen”, legt Chris Dimitriadis, „Chief Global Strategy Officer“ von ISACA, nahe. Er führt hierzu weiter aus: „KI-Bedrohungen, von Fehlinformationen bis hin zu Deepfakes, entwickeln sich schnell weiter, doch die meisten Unternehmen haben noch nicht in die entsprechenden ,Tools‘ oder Schulungen investiert. Die Schließung dieser Risiko- und Handlungslücke ist nicht nur eine Frage der ,Compliance’ – sie ist entscheidend für den Schutz von Innovationen und die Aufrechterhaltung des Vertrauens in die digitale Wirtschaft.“

Strategien seien jedoch nur so wirksam, wie die Menschen, die sie verstehen und sicher in die Praxis umsetzen könnten. Da sich aufstrebende Technologien wie KI weiterentwickelten, bestehe die Notwendigkeit, sich weiterzubilden und neue Qualifikationen zu erwerben.

Böswillige Akteure halten mit den KI-Veränderungen durchaus Schritt

42 Prozent glaubten, dass sie ihre Fähigkeiten und Kenntnisse im Bereich KI in den nächsten sechs Monaten erweitern müssten, um ihren Arbeitsplatz zu behalten oder ihre Karriere voranzutreiben – ein Anstieg um acht Prozent gegenüber dem letzten Jahr. Die meisten (89%) würden erkennen, dass dies innerhalb der nächsten zwei Jahre erforderlich sein werde.

Dimitriadis kommentiert: „Ohne Leitlinien, Regeln oder Schulungen, die klären, inwieweit KI am Arbeitsplatz eingesetzt werden kann, könnten die Mitarbeitenden sie weiterhin im falschen Kontext oder auf unsichere Weise nutzen.“ Ebenso könnten sie nicht in der Lage sein, Fehlinformationen oder Deepfakes so leicht zu erkennen, wie es mit den richtigen Kenntnissen und Werkzeugen möglich wäre. „Die Technologie entwickelt sich weiter und böswillige Akteure halten mit den Veränderungen Schritt, um sie als Waffe einzusetzen und immer raffiniertere und fortschrittlichere Angriffe durchzuführen.“

Fortbildung dringend erforderlich: KI-Schulungen müssen Priorität erhalten

Deshalb könne die Fortbildung nicht warten. KI-Schulungen müssten Priorität haben und mit einem angemessenen Budget ausgestattet werden. Gleichzeitig müssten Unternehmen formale und umfassende Richtlinien einführen, „die von allen verstanden werden“, während die Mitarbeiter mit KI in ihrem Arbeitsalltag experimentierten.

Mit besser ausgebildeten Mitarbeitern verfügten Unternehmen über eine Belegschaft, „die bewährte Verfahren besser versteht“. Diese sei eher in der Lage, sich für die Einbettung von Richtlinien einzusetzen und dafür zu sorgen, „dass die Vorschriften eingehalten werden und ein guter Standard gewährleistet ist“.

Weitere Informationen zum Thema:

ISACA
EUROPEAN EDITION: „Taking the Pulse of AI in 2025“

ISACA
Explore Critical Findings From the ISACA 2025 AI Pulse Poll

ISACA
The AAISM Beta Program is in progress / AI is reshaping the security environment. Help lead the way.

datensicherheit.de, 23.05.2025
Sicherer GenAI-Einsatz: Delinea gibt Unternehmen 3 zentrale Tipps / Mittels GenAI erhalten Unternehmen immense Möglichkeit – doch neben Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken

[datensicherheit.de, 16.05.2025]  „Cybersecurity muss in jeden Kopf – zur Not als Ohrwurm“, sagt Dr. Dominik Merli, Professor für IT-Sicherheit an der Technischen Hochschule Augsburg (THA). „Mit dem Song wollen wir Hersteller auf den Cyber Resilience Act aufmerksam machen. Die neue EU-Verordnung schreibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte vor.“ Der Song Cyber Gangsta’s Paradise und das von Merli konzipierte Musikvideo feierten Premiere bei Auxinnos, dem jährlich stattfindenden Forum für innovative Sicherheit der THA, das ebenfalls im Zeichen des CRA stand.

YouTube, Cyber Gangsta’s Paradise | Prof. Merli ft. MC BlackHat [Parody Music Video]

CRA macht digitale Sicherheit von Produkten zur Pflicht

Die digitale Sicherheit von Produkten wird zur Pflicht. Mit dem Cyber Resilience Act (CRA) gibt die EU einen Security-Standard für vernetzte Produkte vor, an den sich Herstellerinnen und Hersteller spätestens ab dem 11. Dezember 2027 halten müssen. Davon betroffen sind auch viele Produkthersteller aus Bayerisch-Schwaben. Am 13. Mai 2025 widmete sich Auxinnos, das Forum für innovative Sicherheit der Technischen Hochschule Augsburg und des Digitalen Zentrum Schwabens (DZ.S), deshalb der praxisnahen Umsetzung des CRA. Dazu beleuchteten Experten in Vorträgen, wie Unternehmen regulatorische Anforderungen erfüllen und sichere sowie widerstandsfähige Produkte entwickeln können.

Ohrwurm als Awareness-Maßnahme

Der vielerwartete Abschluss der Veranstaltung war die Premiere des Songs „Cyber Gangsta’s Paradise“ und des dazugehören Musikvideos von Dominik Merli, Professor für IT-Sicherheit an der Technischen Hochschule Augsburg. Er meint dazu: „Cybersicherheit ist langweilig und nervt nur? Das sehe ich anders. Cybersicherheit braucht Kreativität! Denn Security muss in jeden Kopf – zur Not eben als Ohrwurm.“

Cyber Gangsta’s Paradise, MC Blackhat, Bild: Jonah Stiller/Langesicht Filmproduktion

Eigentlich ist Dominik Merli Professor für IT-Sicherheit an der Technischen Hochschule Augsburg. Im Song „Cyber Gangsta’s Paradise“ schlüpft er in die Rolle des böswilligen Hackers MC BlackHat. In seinem Musikvideo prangert Prof. Merli Missstände bei der Cybersicherheit von Produkten an.

Mindeststandard an Cybersicherheit für vernetzte Produkte sollen sichtbarer werden

Der Song „Cyber Gangsta’s Paradise“ soll den geforderten Mindeststandard an Cybersicherheit für vernetzte Produkte sichtbarer machen. Merli erklärt: „Es gibt immer mehr Geräte und Produkte, die im Internet of Things im Alltag, aber auch in Unternehmen miteinander vernetzt sind. Diese sogenannten IoT-Geräte sind zunehmend von Cyberangriffen betroffen. Dazu fehlt leider noch viel zu oft das Bewusstsein für Cybersicherheit. Der Song beschreibt diese paradiesischen Zustände, auf denen Cyberkriminelle ihr lukratives Geschäftsmodell aufbauen und damit Produkthersteller und Kundinnen und Kunden gleichermaßen gefährden.“

Merli bringt die Botschaft seines Songs auf den Punkt: „Nicht jedes Produkt muss vernetzt werden. Und wenn doch, braucht es eben ein Mindestmaß an Cybersicherheit.“

Musikvideo als Teil einer Awareness- und Informationskampagne

Das Musikvideo ist Teil einer Awareness- und Informationskampagne zum Cyber Resilience Act, die bereits seit Herbst 2024 läuft. Unter dem Hashtag #CRAmitINNOS informierte Merli zweimal wöchentlich auf dem Business-Netzwerk LinkedIn über den CRA. Zudem entstand ein Blog mit aktuellen Informationen zum CRA auf der Webseite des Instituts für innovative Sicherheit der Technischen Hochschule Augsburg.

Merli dazu: „Im Laufe des Jahres wurde klar, dass der Cyber Resilience Act erhebliche Auswirkungen auf die Entwicklung moderner Produkte haben wird. Meine Mitarbeitenden und ich haben deshalb die wichtigsten Informationen leicht verständlich und speziell für Hersteller von Produkten aufbereitet – mit Charts, Schaubildern und einfachen Texten. Damit wollten wir es Herstellern möglichst einfach machen, die Anforderungen zu verstehen, und entsprechende Sicherheitsmaßnahmen einzuführen.“

YouTube-Kanal gestartet

Mit dem Musikvideo zu Cyber Gangsta’s Paradise startete Merli auch seinen YouTube-Kanal, mit dem der Professor für IT-Sicherheit noch mehr Menschen erreichen möchte. Dort findet sich bereits eine Reihe zum Cyber Resilience Act. Hier sagt Merli zum CRA: „Der Gesetzestext ist komplex. Die nötigen Maßnahmen umfangreich. Und die vorgesehene Zeit knapp. Deshalb sollten Hersteller zügig handeln und die Umsetzung des CRA nicht auf die lange Bank schieben.“ In Zukunft sollen auf dem Kanal noch weitere Videos zur sicheren Entwicklung von Produkten erscheinen, mit einfachen Erklärungen, die es Unternehmen leichter machen, Sicherheit in ihren Produkten und Systemen effizient umzusetzen.

Über Auxinnos – das Forum für innovative Sicherheit

Die Veranstaltung AUXINNOS soll das Bewusstsein und Verständnis für Sicherheit im Austausch mit Expertinnen und Experten aus Wirtschaft und Forschung stärken. Veranstaltet wird das Forum von THA_innos, dem Digitalen Zentrum Schwaben (DZ.S) und vom Branchennetzwerk aitiRaum e.V. Mit wissenschaftlichen Fachvorträgen und Impulsen aus der regionalen Wirtschaft steht die Kooperation und das gemeinsame Lernen für mehr Cybersicherheit im Fokus.

Weitere Informationen zum Thema:

#THAinnos
Blog zum CRA von THA_innos

datensicherheit.de, 18.10.2024
Cybersecurity wird zur Pflicht: EU-Regularien setzen neue Maßstäbe in Europa

[datensicherheit.de, 06.11.2024] Für den eco – Verband der Internetwirtschaft e.V. stellt der Beschluss der Bundesregierung vom 6. November 2024 zum „KRITIS-Dachgesetz“ (KRITISDachG) einen wichtigen Schritt dar, um eben den Schutz Kritischer Infrastrukturen in Deutschland weiter zu stärken. Das Gesetz habe das Bundeskabinett passiert und schaffe damit neue Vorgaben für den physischen Schutz bedeutender und Kritischer Einrichtungen. „Da das „NIS-2-Umsetzungsgesetz“ (NIS2UmsuCG) bereits im Juli 2024 verabschiedet wurde und sich aktuell im parlamentarischen Verfahren befindet, betont die Internetwirtschaft jedoch die Notwendigkeit klarer Abgrenzungen und fordert eine Regulierung ohne Überschneidungen, um Doppelstrukturen zu vermeiden.“

Foto: eco e.V.

eco-Vorstand Klaus Landefeld: Internetwirtschaft braucht klar definierten und kohärenten Ordnungsrahmen, um Dienste effizient anbieten zu können!

eco drängt auf Gewährleistung, dass für bereits regulierte Anbieter keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen

eco-Vorstand Klaus Landefeld kommentiert: „Es muss gewährleistet sein, dass Anbietern, die bereits durch andere Gesetze reguliert sind, durch das KRITIS-DachG keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen!“ Der aktuelle Gesetzentwurf beseitige dieses Risiko jedoch nicht vollständig, da der Telekommunikations- und IT-Sektor nach wie vor teilweise vom Gesetz erfasst werde.

Für die Internetwirtschaft, darunter Rechenzentrumsbetreiber und Anbieter von „Cloud“-Diensten, bestünden mit dem NIS2UmsuCG bereits umfassende gesetzliche Vorgaben, ebenso wie für den Telekommunikationssektor unter dem TKG.

Unternehmen der Branche befürchteten nun, dass die im Gesetz festgelegten Zuständigkeiten wie zum gemeinsamen Betrieb eines Meldeportals nicht klar genug verteilt seien und zu Überschneidungen zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur führen könnten.

eco setzt sich weiterhin für klare Regulierungsstrategie ein

„Die Internetwirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten“, unterstreicht Landefeld und führt weiter aus: „Wir begrüßen ausdrücklich, dass es zwischen dem NIS-2-Umsetzungsgesetz zur Cyber-Sicherheitsstärkung und dem KRITIS-Dachgesetz klare Übereinstimmungen für die Schaffung branchenspezifischer Sicherheitsstandards gibt.“

Aber einheitliche und transparente Aufsichtsstrukturen seien auch dabei von essenzieller Bedeutung – das ist immerhin ein erklärtes Ziel der europäischen Harmonisierung, welche in der NIS-2-Richtlinie angestrebt und durch den kürzlich veröffentlichten Durchführungsrechtsakt zumindest für die digitalen Diensteanbieter auch verwirklicht werde.

Der eco setzt sich demnach daher weiterhin für eine Regulierungsstrategie ein, welche klare Grenzen zwischen bestehenden und neuen Vorschriften zieht, um Unsicherheiten bei Unternehmen zu vermeiden und den Schutz Kritischer Infrastrukturen in Deutschland nachhaltig zu stärken.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

[datensicherheit.de, 08.02.2024] Ab dem 17. Februar 2024 wird das „Gesetz über digitale Dienste“ (GdD – „Digital Services Act“ / DSA) in vollem Umfang für Suchmaschinen, Soziale Medien, Video-Apps und Online-Marktplätze in der gesamten EU gelten – darauf weist in einer aktuellen Stellungnahme die Stiftung Neue Verantwortung e.V. (SNV) hin. „Nun müssen sich die neuen Regeln für Online-Plattformen in der Praxis bewähren und beweisen, dass sie das richtige Instrument sind, um die Menschen im Digitalen Raum zu stärken“, kommentiert der SNV-Projektleiter „Policy | Plattformregulierung“, Dr. Julian Jaursch.

Europäische Kommission und neue nationale Regulierungsbehörden in der Verantwortung

Die Europäische Kommission und die neuen nationalen Regulierungsbehörden – die Koordinatoren für digitale Dienste („Digital Services Coordinators“, DSC) – übernehmen demnach bei der Durchsetzung des GdD wichtige Funktionen. So sollen die DSC die zentrale Anlaufstelle für Nutzer sein, welche sich über GdD-Verstöße beschweren möchten.

Zudem akkreditierten die DSC Forscher, „die Daten von Plattformen anfordern wollen“. Aber auch anderen Gruppen komme eine wichtige Rolle zu – „und sie alle werden auf eigene Weise mit den Regulierungsbehörden zusammenarbeiten“, erläutert Dr. Jaursch. Er verweist auf sein neues Papier (s.u.), in dem er der Frage nachgeht, welche Veränderungen auf Plattformnutzer, Forscher, zivilgesellschaftliche Organisationen und Unternehmen zukommen.

Vernetzung auf EU-Ebene als Schlüssel für den Erfolg

Ob es gelingt, eine starke Plattform-Aufsicht aufzubauen, hänge vor allem davon ab, ob zwischen den DSC und den genannten Gruppen ein enger Austausch zustande kommt. In seinem Papier argumentiert Dr. Jaursch, dass Vernetzung der Schlüssel sei, damit das GdD „nicht zu einer bürokratischen Übung mit geringem Nutzen für die Menschen gerät“. Eine Möglichkeit, dieser Gefahr zu begegnen, sei die Einrichtung eines ständigen Beratungsgremiums auf EU-Ebene, um die Regulierungsbehörden mit klar definierten Aufgaben zu unterstützen.

„Sollten Sie Fragen, Anmerkungen oder Kritik zu meinem Papier haben, freue ich mich über eine Nachricht von Ihnen!“, so Dr. Jaursch. Abschließend lädt er noch zu einem online übertragenen „Hintergrundgespräch“ ein: „Am 27. Februar spreche ich übrigens mit Laureline Lemoine, die sich bei der Kanzlei und Beratungsagentur AWO intensiv mit Plattform-Regulierung auseinandersetzt, über die Änderungen, die der DSA bringt.“

„Background talk with Laureline Lemoine: DSA enforcement starts now – what changes can platform users expect?“ (Hintergrundgespräch in Englisch)
27.02.2024, 16.00 bis 17.00 Uhr, online – Anmeldung erforderlich (s.u.)

Weitere Informationen zum Thema:

Stiftung Neue Verantwortung
Background talk with Laureline Lemoine: DSA enforcement starts now – what changes can platform users expect? / Hintergrundgespräch

Stiftung Neue Verantwortung
The Digital Services Act is in effect – now what? / What the establishment of Digital Services Coordinators across the EU means for platform users, researchers, civil society and companies

Europäische Kommission
Gesetz über digitale Dienste / Mehr Sicherheit und Verantwortung im Online-Umfeld

[datensicherheit.de, 22.01.2024] Die Europäische Akademie für Informationsfreiheit und Datenschutz e.V. (EAID) lädt Entscheider und Interessierte aus Politik, Wirtschaft, Forschung, Zivilgesellschaft und Datenschutz anlässlich des „Europäischen Datenschutztags 2024“ zu einer Diskussionsveranstaltung zur Regulierung der Künstlichen Intelligenz (KI) ein. Diese Veranstaltung wird hybrid angeboten.

Am 7. Dezember 2023 wurde EU-weite verbindliche KI-Regelung beschlossen

Am 7. Dezember 2023 – zweieinhalb Jahre nach Vorlage des Entwurfs des Gesetzes über Künstliche Intelligenz (AI Act / KI-Verordnung) – haben sich das Europäische Parlament, der Rat und die Europäische Kommission nach zähen Verhandlungen geeinigt und damit den Grundstein für die EU-weite verbindliche Regelung einer jungen, aber rasant wachsenden Technologie gelegt. EU-Kommissar Thierry Bréton habe diesen Kompromiss sogar als „historischen Schritt“ bezeichnet.

Strittig seien bis zuletzt Fragen der Regulierung von KI-Basismodellen und biometrischer Verfahren wie etwa der Echtzeit-Gesichtserkennung im Öffentlichen Raum gewesen. „Nur wenige Wochen zuvor hatte US-Präsident Biden mit einer ,Executive Order’ einen umfassenden Rahmen für die Anwendung von Künstlicher Intelligenz in der Wirtschaft wie auch im öffentlichen Sektor festgelegt.“

Erörterung, ob der europäische Gesetzgeber einen geeigneten Weg zur Regulierung im Spannungsfeld von Bürgerrechten und Innovation aufzeigt

Auch wenn das europäische KI-Gesetz erst in ca. zwei Jahren in Kraft treten werde, stellten sich bereits jetzt zahlreiche Fragen der Konkretisierung und Umsetzung in die Praxis. Bei dieser Veranstaltung werde es aber in erster Linie um die Frage gehen, „ob der europäische Gesetzgeber tatsächlich einen Weg gefunden hat, um den notwendigen zukunftsfähigen Ausgleich zwischen dem Schutz der Bürgerrechte und der Ermöglichung von Innovation herbeizuführen“.

Dabei soll es laut EAID vor allem um diese Fragen gehen:

• „Ist der Ansatz des europäischen Gesetzgebers, KI-Technologien in (abstrakte) Risikoklassen einzuteilen, sinnvoll ? Was wäre die Alternative gewesen?“
• „Wie verhält sich die KI-Verordnung zur Datenschutz-Grundverordnung (DS-GVO), die ihrerseits bereits weitreichende Informations- und Transparenzvorgaben für Systeme der automatisierten Entscheidungsfindung enthält, wie der EuGH jüngst festgestellt hat? Welchen Mehrwert bringt die KI-Verordnung gegenüber der DS-GVO?“
• „Räumt die KI-Verordnung der Selbstregulierung durch ,Codes of Practice’ einen zu hohen Stellenwert ein?“
• „Welche Folgen hat die verzögerte Behandlung der KI-Haftungsrichtlinie?“
• „Kann die KI-Verordnung – ähnlich wie die DS-GVO für den Datenschutz – zu einem internationalen Goldstandard für die Regulierung der Künstlichen Intelligenz werden?“

Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?

Montag, 29. Januar 2024, 18.00 Uhr bis 20.00 Uhr
(im Anschluss Gelegenheit zu einem ,Get Together’ bei kleinem Imbiss und Getränken)
Europäische Akademie Berlin, Bismarck-Allee 46/48, 14193 Berlin
Präsenzveranstaltung mit begleitendem Internet-Streaming. Teilnahme kostenlos – Anmeldung erforderlich:

Zur Präsenz-Veranstaltung per E-Mail an dst24 [at] eaid-berlin [dot] de
oder
zur Online-Teilnahme per E-Mail an dst24-online [at] eaid-berlin [dot] de
(Zugangsdaten für die Online-Teilnahme: https://meet.goto.com/465113565)

Alternativ Einwahl per Telefon mit dem Zugangscode 465-113-565:
Germany: +49 721 9881 4161

Einführungsstatements und anschließende Paneldiskussion (ohne Gewähr):

• Dr. Sergey Lagodinsky, MdEP, Stellv. Vorsitzender des Rechtsausschusses des Europäischen Parlaments
• Axel Voss, MdEP, Mitglied des Rechtsausschusses des Europäischen Parlaments
• Prof. Dr. Ute Schmid, Leiterin des Lehrstuhls für Kognitive Systeme an der Otto-Friedrich-Universität Bamberg
• Kilian Vieth-Ditlmann, Stellv. Leiter des Advocacy & Policy-Teams, AlgorithmWatch, Berlin
• Marc Rotenberg, Präsident des Center for AI and Digital Policy, Washington D.C.

Moderation: Dr. Alexander Dix, LL.M. (EAID); Begrüßung Peter Schaar (EAID).

Weitere Informationen zum Thema:

EAID
29.1.2024: Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?

Ein Kommentar von Rechtsanwältin Marieke Merkle von der Kanzlei Noerr

[datensicherheit.de, 11.12.2023] Zur politischen Einigung zur Regulierung von Künstlicher Intelligenz (KI) in der EU teilt Rechtsanwältin Marieke Merkle von der Kanzlei Noerr mit:

„Die vorläufige politische Einigung zu Basismodellen (Foundation Models) macht deutlich: die Einführung eines AI Compliance Systems wird zukünftig immer mehr Unternehmen treffen. Der Ansatz enthält eine teilweise Verlagerung der Compliance-Verpflichtung entlang der KI-Lieferkette.

Marieke Merkle, Kanzlei Noerr, Foto: Noerr

Der Einigung zwischen Parlament und Rat dürfte weiterhin nur zu einem kurzen Aufatmen der Parlamentarier des EU-Parlaments führen. Die entscheidende Detailarbeit auf technischer Ebene steht erst jetzt an. Die Ausgestaltung der Vorschriften ist von herausragender Bedeutung für den Wirtschaftsstandort Europa: Es bedarf klarer Vorgaben, die Unternehmen weitestgehende Rechtssicherheit gewähren, um Innovationen nicht im Keim zu ersticken. Dies gilt in besonderem Maße vor dem Hintergrund der im AI Act vorgesehenen Bußgelder.

Es bleibt zudem abzuwarten, ob die vereinbarten Ausnahmen für kleine und mittlere Unternehmen (KMUs) sowie Open-Source-Modelle ausreichend sind, um innerhalb des europäischen Binnenmarktes KI-Innovationen gedeihen zu lassen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie

[datensicherheit.de, 24.10.2019] Der eco – Verband der Internetwirtschaft e.V. warnt vor einer Algorithmen-Verordnung, welche die Digitalisierung ausbremsen könnte. Der Verband forciert nach eigenen Angaben einen „diskursiven Ansatz zu Fragen digitaler Ethik“.

Warnung vor tiefen Eingriffen in die digitale Welt

Im Juli 2018 habe die vom Innen- und dem Justizministerium eingesetzte Datenethikkommission ihre Arbeit aufgenommen, um Leitfragen zum ethischen Umgang mit Algorithmen, künstlicher Intelligenz (KI) und digitalen Innovationen zu beantworten.
Am 23. Oktober 2019 hätten nun die Experten ihren Abschlussbericht präsentiert: „Mit dem rund 250 Seiten starken Bericht fordert die Kommission tiefe Eingriffe in die digitale Welt.“

Regulierungsphantasien als Digitalisierungs-Bremse

„Mit einigen Forderungen ist die Kommission deutlich übers Ziel hinausgeschossen. Regulierungsphantasien wie eine neue allgemeine europäische Algorithmen-Verordnung (EUVAS) könnten zur echten Digitalisierungs-Bremse werden, denn Algorithmen sind die Basis digitaler Transformation“, kommentiert eco-Vorstand Oliver J. Süme.
Bei einer Verpflichtung zur Interoperabilität für Messenger müsse sogar hinterfragt werden, „inwieweit dadurch die Souveränität von Anwenderinnen und Nutzern eingeschränkt wird“.

Diskursiver Ansatz zu Fragen digitaler Ethik angestrebt

Die Digitalisierung schreite unaufhaltsam voran, dabei stellten sich auch ethische und rechtliche Fragen. Süme: „Wir nehmen diese Fragen zu ethischen Normen und Handlungsleitlinien sehr ernst. Der Einsatz von Algorithmen und künstlicher Intelligenz birgt große Potenziale, doch es ist nachvollziehbar, dass beim Einsatz dieser Technologien auch mitgedacht werden muss, welche Daten Dienstebetreibern zur Verfügung gestellt werden.“ Zur Durchsetzung ethischer Standards brauche es nicht zwingend neue Vorgaben und Kennzeichnungspflichten für digitale Dienste wie Chatbots.
Der eco warnt vor „Unmengen neuer Gesetze und Regeln“ und fordert nach eigenen Angaben „ethische Leitkonzepte an die Verhältnisse der digitalen Welt anzupassen und einen diskursiven Ansatz zu verfolgen“: Eine blinde Überregulierung würde die Entwicklung und den KI-Einsatz als Schlüsseltechnologie massiv beeinträchtigen und die Digitalisierung in Deutschland nur noch weiter verzögern.

Internetunternehmen bereits in der Verantwortung

Der eco unterstreicht in diesem Zusammenhang außerdem, „dass zahlreiche Unternehmen bereits Verantwortung für ethische Herausforderungen im Zusammenhang mit der Digitalen Transformation übernehmen und beispielsweise im Rahmen von Selbstverpflichtungsinitiativen erfolgreich zur Einhaltung ethischer Normen beitragen.“
Ein prominentes Beispiel sei hier die „eco Beschwerdestelle“ zur Bekämpfung unerwünschter und illegaler Internetinhalte.

Weitere Informationen zum Thema:

eco – Verband der Internetwirtschaft e.V.
eco Beschwerdestelle

eco – Verband der Internetwirtschaft e.V. , 2019
Kompendium: Digitale Ethik / Vertrauen in die digitale Welt

eco – Verband der Internetwirtschaft e.V., 13.05.2019
Stellungnahme für die Konsultation des Bundesministeriums für Justiz und Verbraucherschutz zu Interoperabilität und Datenportabilität bei Sozialen Netzwerken

eco – Verband der Internetwirtschaft e.V., 17.09.2018
Leitlinien zum Umgang mit Künstlicher Intelligenz

Bundesministerium der Justiz und für Verbraucherschutz
Datenethikkommission

Hochschule Bonn-Rhein-Sieg
Anmeldung zur Veranstaltung: „Abschlussbericht der Datenethikkommission“ 4. November 2019, 18-20 Uhr – Campus Sankt Augustin – Grantham-Allee 20 – 53757 Sankt Augustin – Audimax (Hörsaal1)

datensicherheit.de, 24.10.2019
VdTÜV begrüßt Abschlussbericht der Datenethikkommission

datensicherheit.de, 23.10.2019
Datenethikkommission: Bitkom kritisiert Abschlussbericht

[datensicherheit.de, 23.10.2019] Laut einer Stellungnahme des Digitalverbands Bitkom schießen die Vorschläge zur Regulierung von Algorithmen „über das Ziel hinaus“ – die Pflicht zur Bereitstellung von Daten muss demnach „die Ausnahme bleiben“.

Deutschland droht Rückbau zu „analogem Inselstaat“

Der Bitkom hat anlässlich des am 23. Oktober 2019 vorgelegten Abschlussberichts der Datenethikkommission der Bundesregierung vor „Regulierungswut“ gewarnt.
Bitkom-Präsident Achim Berg: „Wir begrüßen sehr, dass wir in Deutschland einen breiten gesellschaftlichen Dialog über Datenethik führen. Unser Wertekodex gilt auch in der digitalen Welt und wir müssen ihn dort konsequent zur Geltung bringen – Ziel kann aber nicht sein, den Weg in die digitale Welt zu verstellen und Deutschland zu einem analogen Inselstaat zurückzubauen.“
Bei Algorithmen, dem Umgang mit Daten und Künstlicher Intelligenz (KI) müsse man weg von einer theoretischen Diskussion, die sich nahezu ausschließlich um Risiken und Gefahren drehe und hinein in die Praxis, „um die Chancen neuer Technologien für die Lösung der großen aktuellen Herausforderungen unserer Gesellschaft zu nutzen“.

Frage des Datenzugangs berührt Innovationskraft, Datenschutz, Vertragsfreiheit und Marktentwicklungschancen

Der Bitkom begrüßt nach eigenen Angaben „bei der Debatte über einen Datenzugang das Anliegen einer möglichst breiten Beteiligung an vorhandenen Daten, etwa bei Open-Data-Initiativen“. Eine allgemeine Verpflichtung für Unternehmen, eigene Daten allgemein zur Verfügung stellen zu müssen, lehne er aber ebenso wie die Datenethikkommission ab:
„Man sollte deutsche Unternehmen nicht zwingen, die von ihnen erhobenen Daten letztlich auch der Konkurrenz zur Verfügung zu stellen. Unsere internationalen Wettbewerber klopfen sich auf die Schenkel, wenn wir ihnen unsere Datenschätze auf dem Silbertablett überreichen. Datenzugangsregeln können und dürfen nur sehr punktuell greifen“, betont Berg.
Es gehe beim Datenzugang auch um wichtige Fragen von Innovationskraft, Datenschutz sowie Vertragsfreiheit und Marktentwicklungschancen. Nach Ansicht des Bitkom sind die geltenden Gesetze und Vorschriften ausreichend – Datenzugang sollte grundsätzlich auf dem Prinzip der Vertragsfreiheit und damit der Freiwilligkeit beruhen.

Warnung davor, sämtliche Algorithmen unter „Generalverdacht“ zu stellen

Bei den Vorschlägen zur Algorithmen-Regulierung sei die Kommission „über das Ziel hinausgeschossen“. Anstatt eine enge Kategorie von Algorithmen zu identifizieren, die wegen ihres Gefährdungspotenzials einer besonderen Regulierung bedürfen könnten, würden in dem Abschlussbericht fast alle Algorithmen unter einen „Generalverdacht“ gestellt.
„Algorithmen sind bereits heute Teil unseres täglichen Lebens, von der Route des Navigationsgeräts über die Wettervorhersage bis hin zur Empfehlung eines Musiktitels. Die allerwenigsten davon bergen das Risiko von Diskriminierung oder Gefahr für Leib und Leben“, stellt Berg klar. Algorithmen seien die „Grundlage jeglicher Digitalisierung“. Eine Risikobewertung für jeden einzelnen Algorithmus sei nicht nur nicht notwendig, sondern angesichts der Fülle an Anwendungen auch in der Praxis überhaupt nicht durchführbar. Um Missbrauch oder Fehlverhalten auszuschließen, sollte zudem in den meisten Fällen das geltende Recht – wie Vertrags- und Verbraucherrecht, Antidiskriminierungsgesetze, das Haftungsrecht oder Datenschutzgesetze – ausreichend sein.
„Wir brauchen mehr Verständnis von Algorithmen, nicht mehr Verbote“, sagt Berg. Dazu gehöre eine größtmögliche Transparenz, gerade im Bereich der KI und des Maschinellen Lernen, an der nicht zuletzt die Unternehmen selbst interessiert seien.

Publikation zur Nachvollziehbarkeit von KI-Algorithmen veröffentlicht

Um das Verständnis über KI-Algorithmen zu verbessern, hat der Bitkom anlässlich der Vorstellung des Abschlussberichts der Datenethikkommission die Publikation „Blick in die Blackbox – Nachvollziehbarkeit von KI-Algorithmen in der Praxis“ veröffentlicht:
Anhand von Praxisbeispielen, etwa aus der Textilindustrie oder dem Nachweis einer Autorenschaft in einem Gerichtsverfahren, werde aufgezeigt, wann eine Nachvollziehbarkeit von Entscheidungen einer KI überhaupt notwendig ist – und wie diese bereits heute mit sogenannten lokalen Erklärmodellen erreicht werde.
Darüber hinaus wird laut dem Bitkom „auf mehr als 100 Seiten unter anderem die Frage behandelt, wie man KI-Algorithmen vor bewussten Manipulationen schützen kann, und warum Rückverfolgung, Erklärbarkeit und Kommunikation von entscheidender Bedeutung für intelligente Systeme sind“.

Weitere Informationen zum Thema:

Bitkom, 23.10.2019
Leitfaden „Blick in die Blackbox: Nachvollziehbarkeit von KI-Algorithmen in der Praxis“

Bundesministerium der Justiz und für Verbraucherschutz
Datenethikkommission

Hochschule Bonn-Rhein-Sieg
Anmeldung zur Veranstaltung: „Abschlussbericht der Datenethikkommission“ 4. November 2019, 18-20 Uhr – Campus Sankt Augustin – Grantham-Allee 20 – 53757 Sankt Augustin – Audimax (Hörsaal1)

datensicherheit.de, 13.07.2019
Cyber-Abwehr: Erfolgsfaktor Künstliche Intelligenz

[datensicherheit.de, 15.02.2019] Angesichts neuer Überwachungsskandale u.a. unter Verwendung gehackter Smartphones, angezapfter Telefone und entschlüsselten Festplatten hat Reporter ohne Grenzen (ROG) am 15. Februar 2019 gegenüber den Vereinten Nationen dafür plädiert, den Export von Spähtechnologie international zu regulieren. Hintergrund ist demnach eine Initiative des UN-Sonderberichterstatters für Meinungsfreiheit, David Kaye, der die „zwielichtige Rolle der Überwachungsindustrie“ und ihre Geschäfte mit autoritären Staaten beleuchten möchte.

Digitale Überwachung gefährdet Journalisten und deren Quellen

Nachdem die europäische Reform für strengere Exportkontrollen vorerst gescheitert sei, „ist dieser globale Ansatz ein Weckruf für Regierungen“, die das Thema seit Jahren aus vermeintlichen Sicherheits- und Wirtschaftsinteressen kleinhielten.
„Digitale Überwachung ist eine der größten Gefahren, die Journalistinnen und Journalisten, sowie ihre Quellen in physische Gefahr bringen und Berichterstattung verhindern kann“, betont ROG-Geschäftsführer Christian Mihr. Es sei wichtig, dass David Kaye dieses Thema aus der Nische auf die Weltbühne holen möchte. Die Bundesregierung müsse diese Initiative mit aller Kraft unterstützen, fordert Mihr.

Stellungnahme soll in Studie des UN-Sonderberichterstatters einfließen

Kaye habe das Thema bereits im Dezember 2018 bei einer Expertenanhörung in Bangkok diskutiert, zu der auch ROG-Referent Daniel Moßbrucker geladen gewesen sei.
Am 15. Februar 2019 habe ROG eine Stellungnahme eingereicht, die in eine Studie des UN-Sonderberichterstatters einfließen werde. Kaye plane, seine Empfehlungen für eine Regulierung der Überwachungsindustrie im Oktober 2019 der UN-Generalversammlung vorzulegen.

Enge, fragwürdige globale Verflechtung

Wie eng die globale Verflechtung zwischen Spähfirmen, demokratischen Regierungen und autokratischen Regimen sei, habe erst vor wenigen Tagen eine große Reuters-Enthüllung erneut gezeigt:
Demnach schickten US-amerikanische Unternehmen mit Billigung der NSA seit Jahren Mitarbeiter in die Vereinigten Arabischen Emirate (VAE), um dort angeblich gegen islamistische Terroristen vorzugehen. Tatsächlich hätten die Hacker im „Project Raven“ moderne Späh-Software jedoch auch gegen Journalisten, Menschenrechtsaktivistinnen und Oppositionelle eingesetzt.

Zugriff auf E-Mails, Bewegungsdaten, Textnachrichten und Fotos

Betroffenen war laut ROG etwa der Journalist Rori Donaghy, der unter anderem für den britischen „Guardian“ wiederholt Menschenrechtsverletzungen in den VAE angeprangert habe. Opfer seien auch der bekannte Menschenrechtsaktivist Ahmed Mansoor und dessen Frau geworden, die aufgrund dessen in sozialer Isolation gefangen sei.
Die Angreifer hätten dabei eine besonders perfide Methode genutzt: Es habe genügte, den Opfern eine „iMessage“ auf ihr „iPhone“ zu senden, um damit Zugriff auf E-Mails, Bewegungsdaten, Textnachrichten oder Fotos zu erhalten. Entwickelt habe diesen Trojaner mutmaßlich eine US-Firma, die eine Sicherheitslücke in Apples „iPhone“ ausgenutzt habe. Sie habe dies jedoch nicht an Apple gemeldet, sondern ihr Werkzeug auf dem zwielichtigen Überwachungsmarkt vertrieben – inklusive Personal für die digitalen Angriffe.

Auch Überwachungssoftware „made in Germany“ sehr gefragt

Auch deutsche Unternehmen machten sich immer wieder zum „Handlager von Unrechtsregimen“. Im Mai 2018 habe die Bürgerrechtsorganisation Access Now enthüllt, dass der Trojaner „FinSpy“ gegen Oppositionelle in der Türkei, der Ukraine, Indonesien und Venezuela eingesetzt werde.
Die Bundesregierung wisse nach eigenen Angaben nicht, wie die Software trotz in Deutschland geltender Exportkontrollen in die Hände der ausländischen Regierungen fallen konnte – und mache bis heute keine Anstalten, dies wirklich zu erforschen. Das zuständige Bundeswirtschaftsministerium ziehe sich darauf zurück, dass das deutsche Unternehmen nicht nach einer Genehmigung gefragt habe.

Handel mit Überwachungstechnologie bis heute nicht ausreichend kontrolliert

Möglich sei dies alles, weil der Handel mit Überwachungssoftware bis heute nicht ausreichend kontrolliert werde. Neben der nationalen Kontrolle in Deutschland gebe es lediglich eine europäische Regulierung, die jedoch aufgrund von zahlreichen Schlupflöchern derzeit überarbeitet werden solle.
Außerdem gebe es das „Wassenaar-Abkommen“, das nur von rund 40 Staaten anerkannt werde und rechtlich nicht bindend sei.

Regierungen und Unternehmen in die Pflicht nehmen!

In der aktuellen ROG-Stellungnahme wird daher an die Vereinten Nationen appelliert, „endlich für global verbindliche Standards zu sorgen, die dann national implementiert werden“. Es gelte dabei, sowohl Staaten als auch Unternehmen in die Pflicht zu nehmen:
Während Regierungen sich vor allem untereinander besser über genehmigte Exporte austauschen müssten und gemeinsame Standards entwickeln sollten, müssten Unternehmen interne Prozesse einführen, um mögliche Menschenrechtsverletzungen durch ihre Produkte frühzeitig erkennen zu können.

Vorwurf: Industrieinteressen vor Menschenrechten

Leider täten sich bis heute auch demokratische Staaten wie Deutschland schwer, hierbei für klare Regeln zu sorgen. Im Oktober 2018 veröffentlichte ROG nach eigenen Angaben gemeinsam mit „netzpolitik.org“ eine Reihe geheimer Regierungsdokumente der Bundesregierung aus laufenden EU-Verhandlungen für eine striktere Exportkontrolle.
Die Haupterkenntnis lt. ROG: Während manche Staaten wie Finnland und Schweden eine Fundamentalopposition gegen schärfere Exportkontrolle einnähmen, habe auch die Bundesregierung, die den Prozess ursprünglich selbst angestoßen habe, schließlich in zentralen Punkten für Industrieinteressen gestimmt.

Frühestens im Herbst 2019 neue Verhandlungen auf EU-Ebene

Mittlerweile seien die Verhandlungen der EU-Mitgliedsstaaten vorerst gescheitert, weil durch eine Kehrtwende Frankreichs selbst ein Minimalkompromiss keine Mehrheit gefunden habe.
Vor den Wahlen des Europäischen Parlamentes im Mai 2019 werde es damit keine neue EU-Regulierung für Spähtechnologie geben. Die Verhandlungen würden frühestens im Herbst 2019 wieder aufgenommen werden – und in der Zwischenzeit könne der globale Technologiehandel nahezu ungestört weitergehen.

Weitere Informationen zum Thema:

REPORTERS WITHOUT BORDERS, 15.02.2019
“The Surveillance Industry and Human Rights” 15 th of February 2019

datensicherheit.de, 06.12.2017
Digitalcourage kritisiert Videoüberwachung auf Bahnhöfen und Toiletten

datensicherheit.de, 02.03.2017
Videoüberwachung: Grenzen der Zulässigkeit und Beaufsichtigung