[datensicherheit.de, 24.07.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am 12. Juli 2024 gemeldet, dass an diesem Tag die KI-Verordnung (KI-VO) im Amtsblatt der Europäischen Union (EU) veröffentlicht wurde. Sie wird demnach zwanzig Tage später, also am 1. August 2024, in Kraft treten. „Damit beginnen die Umsetzungsfristen zu laufen“, so der HmbBfDI.

Art. 5 KI-VO verbietet biometrische Echtzeit-Fernüberwachung des Öffentlichen Raums

Zum 1. Februar 2025 gälten die Verbote bestimmter Praktiken Künstlicher Intelligenz (Art. 5 KI-VO): Darunter falle das grundsätzliche Verbot biometrischer Echtzeit-Fernüberwachungssysteme in Öffentlichen Räumen zur Strafverfolgung.

Abschließend verboten sei dann das „Social Scoring“ – eine Praktik, „bei der Verhalten KI-basiert bewertet wird und daran soziale Benachteiligungen geknüpft werden, zum Beispiel durch den Ausschluss öffentlicher Leistungen“.

Datenschutzaufsichtsbehörden übernehmen Marktüberwachung weiter Teile des KI-Hochrisiko-Katalogs

Bereits jetzt stehe fest, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen übertragen werden soll – so sehe es die KI-Verordnung vor:

In den Sektoren der Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei Wahlen beeinflussender KI seien die Datenschutzbehörden als Marktüberwachungsbehörden gesetzt (Art. 74 Abs. 8 KI-VO). Dies gelte nicht nur für die Behörden, die solche Systeme einsetzen, sondern beispielsweise auch für Software-Unternehmen, „Cloud“-Dienste und Sicherheitsunternehmen, die für diese Sektoren KI-Systeme anbieten, in bestehende Systeme integrieren oder sie vertreiben. Die Marktüberwachungskompetenz erstrecke sich auf die gesamte Wertschöpfungskette.

Allgemeine Marktüberwachungsbehörden für KI-VO-Durchsetzung zu benennen

Bis zum 1. August 2025 müssten die Mitgliedstaaten ein Durchführungsgesetz erlassen, „in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden“.

Diese müssten unabhängig, unparteiisch und unvoreingenommen sein, um die Objektivität ihrer Tätigkeiten zu gewährleisten und die Anwendung und Durchführung der KI-VO sicherzustellen.

KI-VO fordert für zuständige Behörden geeignetes Personal

Sämtliche Marktüberwachungsbehörden müssten mit angemessenen technischen, finanziellen und personellen Ressourcen sowie mit einer Infrastruktur ausgestattet werden, um ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen zu können. Die KI-VO sehe vor, „dass die zuständigen Behörden ständig über eine ausreichende Zahl von Mitarbeitenden verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben aus dem Daten- und Produktsicherheitsrecht umfassen“.

Der HmbBfDI erinnert in diesem Zusammenhang daran, dass die Datenschutzkonferenz (DSK) Anfang Mai 2024 ein Positionspapier veröffentlicht hat: Die Datenschutzbehörden in Deutschland sollten danach eine wesentliche Rolle bei der Marktüberwachung nach der KI-VO übernehmen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 03.05.2024
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024 / Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) …

[datensicherheit.de, 05.04.2016] Spätestens im Juni 2016 soll die neue Datenschutz-Grundverordnung vom EU-Parlament verabschiedet werden. Dann beginnt für alle privaten und öffentlichen Stellen, die personenbezogene Daten verarbeiten, die zweijährige Umsetzungsfrist.

Unternehmen sollten jetzt auf neue Datenschutzregeln umstellen

Die neue Datenschutz-Grundverordnung (EU-DSGVO) regelt EU-weit einheitlich, wie Unternehmen und öffentliche Stellen personenbezogene Daten verarbeiten dürfen. Unternehmen sollten sich bereits jetzt mit den neuen Anforderungen vertraut machen, denn sie müssten künftig ihre Informationen umfassender und verständlicher zur Verfügung stellen, erklärt Melanie Braunschweig, TÜV NORD Akademie. Spätestens im Juni 2ß16 solle die neue Datenschutz-Grundverordnung vom EU-Parlament verabschiedet werden. Dann beginne für alle privaten und öffentlichen Stellen, die personenbezogene Daten verarbeiten, die zweijährige Umsetzungsfrist.

Ablösung unterschiedlicher Regelungen in den EU-Ländern

Die neue Verordnung soll die vielen unterschiedlichen Regelungen in den 28 EU-Mitgliedstaaten ablösen. So ersetzt sie in Deutschland die bisherige EG-Datenschutzrichtlinie und weite Teile des Bundesdatenschutzgesetzes.
Für Unternehmen bedeute die Umstellung, dass sie ihren Kunden noch klarer darstellen müssten, welche Daten erhoben werden oder bereits vorhanden sind. Die Daten müssten künftig außerdem in einem gängigen Format gut lesbar zur Verfügung stehen – dies bedeute unter Umständen ein neues Design der datenverarbeitenden Systeme. Deshalb sei es sinnvoll, die Umstellung bereits jetzt anzugehen, so Braunschweig.

Datensparsamkeit geboten

Es dürften nur noch Daten erhoben werden, die für die Erbringung eines Dienstes wirklich benötigt werden. Kundendaten dürften nur verarbeitet und genutzt werden, wenn der Kunde das auf Grundlage der Geschäftsbeziehung zum Unternehmen erwarten kann, nicht aber durch ein „unbeteiligtes“ drittes Unternehmen. Die Datenschutzbehörden koordinieren sich laut TÜV NORD europaweit untereinander – die Unternehmen müssten sich dann nur noch mit der Aufsichtsbehörde im Land ihres Hauptsitzes auseinandersetzen.
Betroffenen Personen würden erweiterte Beschwerde- und Rechtsschutzmöglichkeiten über ihre nationalen Ansprechpartner zugesprochen. Unternehmen müssten einen strengeren Rahmen bei meldepflichtigen Vorfällen berücksichtigen, also schneller über Datenlecks informieren. Außerdem könnten künftig Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden. Neue Risiko- und Folgenabschätzungen lösten die bisherige Vorabkontrolle vor Beginn der Verarbeitung sensibler Daten ab. Für die Weitergabe von Daten an ausländische Behörden von Drittstaaten gälten strenge Vorschriften…