[datensicherheit.de, 12.12.2025] Die Europäische Kommission beabsichtigt, mit dem „Digitalen Omnibus“ Bürokratie in der Digitalgesetzgebung abzubauen. Doch der Verbraucherzentrale Bundesverband (VZ BV) warnt in einer aktuellen Stellungnahme, dass die geplanten Änderungen an der „KI-Verordnung“ Verbraucherrechte massiv schwächen könnten, und fordert daher, dass Transparenz und Schutzmechanismen erhalten bleiben müssten.

Abbildung: Verbraucherzentrale Bundesverband

VZ BV moniert: Die Vorschläge der Europäischen Kommission zum „Digitalen Omnibus“ für KI gefährden zentrale Verbraucherrechte und erschweren eine effektive Rechtsdurchsetzung!

Enormer Nutzen der Registrierung von „Hochrisiko-KI“ für Behörden, Zivilgesellschaft und Verbraucher

Künstliche Intelligenz (KI) sei längst Teil unseres Alltags. Gerade deswegen sei es wichtig, die Rechte der Verbraucher in diesem Bereich ausreichend zu schützen. „Die Vorschläge der Europäischen Kommission gehen in die falsche Richtung: Wenn der EU-Gesetzgeber die Registrierungspflicht für Ausnahmen von ,Hochrisiko-KI’ streicht, können Unternehmen sich stillschweigend von wichtigen Regeln befreien.“

Diese Registrierung sei die einzige Möglichkeit nachzuvollziehen, welche Anbieter sich selbst von Verpflichtungen ausnehmen. Der Aufwand für die Unternehmen sei minimal, der Nutzen für Behörden, Zivilgesellschaft und Verbraucher aber enorm. Dem erklärten Ziel jedenfalls, Bürokratie abzubauen und Regeln praxistauglicher zu machen, komme die Europäische Kommission mit diesem Vorhaben nicht näher.

Der Verbraucherzentrale Bundesverband stellt unter anderem folgende Forderungen auf:

• Transparenz und Rechtsdurchsetzung sichern!
  Ausnahmen von Verpflichtungen für sog. Hochrisiko-KI müssten öffentlich einsehbar registriert werden.
• Kennzeichnungspflicht und Recht auf Erklärung von KI-Entscheidungen nicht aufschieben!
  Verbraucher müssten erkennen können, ob und wie KI über sie entscheidet.
• Definition von Emotionserkennung auf nicht-biometrische Systeme ausweiten!
  Verbraucher sollten besser vor emotionaler Manipulation, etwa durch Chatbots, geschützt werden.

Hintergrund zum Gesetzesrahmen für den „Digitalen Omnibus“

Am 19. November 2025 hatte die Europäische Kommission ihre Vorschläge für den Gesetzesrahmen zum „Digitalen Omnibus“ vorgestellt – eigentlich, um Bürokratie abzubauen und Regeln praxistauglicher zu machen.

In diesen Gesetzen sind demnach unter anderem Änderungen der „Datenschutzgrundverordnung“ (DSGVO), der „e-Privacy-Reform“ und der „KI-Verordnung“ vorgesehen.

Weitere Informationen zum Thema:

Verbraucherzentrale
Stark für mich: Das kann die Verbraucherzentrale für mich tun

Verbraucherzentrale Bundesverband, 08.12.2025
Digitaler Omnibus zu KI: Keine Vereinfachung, sondern Freifahrtschein für Big Tech / Stellungnahme des Verbraucherzentrale Bundesverbands (vzbv) zum Vorschlag der Europäischen Kommission zum Digitalen Omnibus zu Künstlicher Intelligenz (KI) zur Änderung der Verordnung über Künstliche Intelligenz EU 2024/1689 (KI-Verordnung) (COM(2025) 836)

NETZPOLITIK.ORG, Daniel Leisegang & Ingo Dachwitz, 07.11.2025
„Digitaler Omnibus“: EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen / In weniger als zwei Wochen will die EU-Kommission einen umfassenden Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende Datenschutz- und Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

Bundesnetzagentur
KI-Service Desk Der KI-Service Desk unterstützt Unternehmen, Behörden und Organisationen bei der Umsetzung der KI-Verordnung in Deutschland

datensicherheit.de, 20.11.2025
Bitkom publiziert Positionspapier zum „Digitalen Omnibus“ der EU / Laut Bitkom ist das vorliegende „Digitale Omnibus“-Paket nicht ausreichend, um Europas Regulierungsdschungel zu lichten – Europa müsse aber digital wettbewerbsfähig und souverän werden

datensicherheit.de, 20.11.2025
Digitaler Omnibus: eco setzt auf mehr Klarheit bei Europas Digitalregeln / Laut dem eco-Vorstandsvorsitzenden,Oliver Süme, braucht Europa ein digitalpolitisches Gesamtbild – klar, konsistent und anwendbar

[datensicherheit.de, 17.10.2025] Der Verbraucherzentrale Bundesverband (vzbv) hat Stellung zur KI-Verordnung bezogen und betont, dass Künstliche Intelligenz (KI) immer stärker auch in den Verbraucheralltag eingreife: „Umso wichtiger ist es, Verbraucherrechte im KI-Bereich zu schützen!“ Die europäische KI-Verordnung verbiete nicht tolerierbare KI-Anwendungen und mache Vorgaben für hochriskante KI-Anwendungen sowie für KI-Modelle, auf denen etwa „ChatGPT“ basiere. Eine nationale KI-Aufsicht solle kontrollieren, ob Unternehmen diese Vorgaben einhalten. Aus vzbv-Sicht geht der Referentenentwurf der Bundesregierung zur Umsetzung der europäischen KI-Verordnung in die „richtige Richtung“. Allerdings müsse die Aufsicht die Interessen von Verbrauchern noch stärker berücksichtigen.

vzbv begrüßt Einrichtung eines KI-Beschwerdeportals für Verbraucher

Der vzbv begrüßt, dass die Bundesnetzagentur als zentrale KI-Aufsicht ein Beschwerdeportal für Verbraucher einrichten solle. So könnten sich die Menschen über KI-Anwendungen beschweren – „wenn sie denken, dass diese gegen Vorgaben der KI-Verordnung verstoßen“. Ein Beschwerdeportal müsse die Bedürfnisse der Verbraucher berücksichtigen und für diese leicht zugänglich sein.

• „Für Verbraucherinnen und Verbraucher sollte ihre Beschwerde nicht in einem ,Behörden-Ping-Pong’ enden, bei dem sie sich über verschiedene Kanäle mit unterschiedlichen Stellen auseinandersetzen müssen. Wir brauchen eine Kommunikation mit allen Behörden aus einem Guss über den gesamten Beschwerdeprozess hinweg“, fordert Lina Ehrig, Leiterin des vzbv-Teams „Digitales und Medien“.

Es müsse klar sein, wohin sich die Menschen für Beschwerden, aber auch für praktische Unterstützung bei der Wahrnehmung ihrer Rechte wenden könnten. „Diese Rolle muss die Bundesnetzagentur als zentrale KI-Aufsichtsbehörde ausfüllen!“, unterstreicht Ehrig.

Der vzbv fordert im Kontext der KI-Verordnung unter anderem:

1. Bündelung aller Kommunikation im zentralen Beschwerdeportal
   Auch bei der Weiterleitung einer Beschwerde an eine zuständige andere Behörde sollte die Kommunikation über das zentrale Portal erfolgen.
2. Bundesnetzagentur als Ansprechpartnerin für praktische Information und Hilfe für Verbraucher
   Nur wenn Verbraucher informiert sind, könnten sie ihr Recht auf Beschwerde und ihr Recht auf Erklärung von KI-Entscheidungen überhaupt wahrnehmen.
3. Einrichtung eines unabhängigen nationalen KI-Beirats bei der Bundesnetzagentur
   Der KI-Beirat sollte die Berücksichtigung zivilgesellschaftlicher Interessen in der KI-Aufsicht sicherstellen und mit Vertretern aus Wissenschaft, Zivilgesellschaft und Wirtschaft besetzt werden.

Weitere Informationen zum Thema:

Verbraucherzentrale Bundesverband
Über uns / Gemeinsam stark für Verbraucherrechte!

Verbraucherzentrale Bundesverband
Digitales & Medien / Neue Rollen der Verbraucher:innen fördern

Verbraucherzentrale Bundesverband, 08.10.2025
Stellungnahme „Verbraucher:innen bei KI-Aufsicht berücksichtigen!“

datensicherheit.de, 04.02.2025
„AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft / Eigentlich sollte der „AI Act“ für Rechtssicherheit in Europa sorgen – aktuell droht das genaue Gegenteil, so die Bitkom-Kritik

datensicherheit.de, 02.08.2024
EU-KI-Verordnung: Auf den Menschen ausgerichtete und vertrauenswürdige Künstliche Intelligenz als Ziel / Der LfDI RLP kommentiert die am 1. August 2024 in Kraft getretene Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für KI

datensicherheit.de, 24.07.2024
KI-Verordnung tritt am 1. August 2024 in Kraft / Auch Datenschutzbehörden werden KI-VO umsetzen

datensicherheit.de, 09.05.2024
Nationale Zuständigkeiten für die KI-Verordnung: Datenschutzkonferenz fordert Aufsicht aus einer Hand / Die DSK empfiehlt, als Marktüberwachungsbehörden nach der KI-VO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie die Landesdatenschutzbehörden zu benennen

datensicherheit.de, 18.03.2024
Schluss mit Datenmissbrauch: IT-Sicherheitsexpertin Patrycja Schrenk begrüßt KI-Verordnung / Die EU hat mit der KI-Verordnung (AI Act) bedeutenden Schritt unternommen, um Missbrauch von Daten zu unterbinden und Privatsphäre der Bürger zu schützen

[datensicherheit.de, 02.08.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ging in seiner Stellungnahme vom 1. August 2024 auf die an diesem Tag in Kraft getretene Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI) ein: „Damit findet ein umfangreiches und langwieriges Gesetzgebungsvorhaben seinen Abschluss. Hersteller, Anbieter, Betreiber und Händler von KI-Systemen haben nun einen Orientierungsrahmen, der die Anforderungen an KI-Systeme in den einzelnen Phasen der Wertschöpfungskette klarstellt.“

Verhältnis von KI zum Datenschutz ein Schwerpunkt der LfDI-Behörde

Das Verhältnis von KI zum Datenschutz sei ein Schwerpunkt seiner Behörde, so Prof. Dr. Dieter Kugelmann, der LfDI. Er führt hierzu aus: „Schon 2019 haben wir in unserer ,Hambacher Erklärung’ als deutsche Datenschutzaufsichtsbehörden eine humanistische und damit grundrechtsschützende Ausrichtung von KI als Standard gefordert. Ich freue mich sehr, dass dieser Anspruch sich nun im europäischen Regulierungsrahmen wiederfindet.“ Die KI-Verordnung stelle nun sicher, „dass die Entwicklung und Verwendung von KI-Systemen einen menschenzentrierten, vertrauenswürdigen und damit wertebasierten Ansatz verfolgt“. In der EU solle die KI den Menschen dienen und nicht umgekehrt.

In den zahlreichen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, blieben das Datenschutzrecht und der damit gesicherte Grundrechtsschutz von der KI-Verordnung unberührt. Dabei seien die Synergien offenkundig: „Viele Mechanismen, die zu einer transparenten und vertrauenswürdigen KI beitragen, sind bereits aus der Datenschutz-Grundverordnung und der Richtlinie für Polizei und Justiz bekannt.“ Wer über ein gutes Datenschutzmanagement verfügt, könne dieses für die Umsetzung der Anforderungen der KI-Verordnung nutzbar machen.

Risikomanagementsysteme nach Art. 9 KI-VO könnten mit Datenschutzmanagement kombiniert werden…

Mittels Transparenz- und Dokumentationsvorgaben werde Vertrauen in die Systeme geschaffen, zudem hätten die betroffenen Personen ein Recht auf Erläuterung der Entscheidungsfindung, „das zu den Betroffenenrechten der DS-GVO hinzutritt“. Auch wenn die Risiko-Klassifizierung der KI-Verordnung einem strikteren Konzept folge als in der Datenschutz-Grundverordnung (DS-GVO), könnten die Instrumente, mit denen Risiken gemanagt werden, sinnvoll ineinandergreifen:

„Risikomanagementsysteme nach Art. 9 KI-VO könnten etwa mit dem Datenschutzmanagement kombiniert werden, die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme öffentlicher Stellen nach Art. 27 KI-VO lässt sich gegebenenfalls mit der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verbinden.“

Mit Inkrafttreten der KI-Verordnung sind verschiedene Umsetzungsfristen angelaufen

Synergien zwischen den Anforderungen der KI-Verordnung und der DS-GVO habe der Verordnungsgeber auch erkannt, „als er den Datenschutzaufsichtsbehörden die Funktion der Marküberwachung über die ,Hochrisiko-Systeme’ im Bereich der Strafverfolgung, Justiz, Migration und Wahlen zuwies“. Erklärtes Ziel des Verordnungsgebers sei dabei die Sicherstellung einer einheitlichen Aufsicht. „Letzteres sollte auch der deutsche Gesetzgeber anstreben, der in den kommenden Monaten die nationale Aufsichtsstruktur der KI-Verordnung regeln muss.“ Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) habe ihre Bereitschaft zur Übernahme der nationalen Aufsicht über die KI-Verordnung bereits erklärt und entsprechende personelle Ausstattung eingefordert.

Mit dem Inkrafttreten der KI-Verordnung liefen verschiedene mit ihr verbundene Umsetzungsfristen an. „Schon zum 2. Februar 2025 werden bestimmte hochriskante Praktiken der Künstlichen Intelligenz verboten sein. Hierzu zählt das Verbot biometrischer Echtzeit-Fernüberwachung sowie das Verbot von ,Social Scoring’.“ Zum 2. August 2025 müssten die nationalen Aufsichtsbehörden für die KI-Verordnung benannt sein. Weitere Regelungen träten gestaffelt in Kraft, spätestens zum 2. August 2026 entfalte die KI-Verordnung vollumfänglich Wirksamkeit.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz, Datenschutz, 08.05.2024
Datenschutzkonferenz fordert nationale Zuständigkeiten für die KI-Verordnung – Kugelmann: „Wir stehen für diese Zukunftsaufgabe bereit“

DSK DATENSCHUTZKONFERENZ, 03.05.2024
Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) / Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024

datensicherheit.de, 31.07.2024]
EU AI Act ab 1. August 2024 in Kraft: TÜV AI.Lab bietet KI-Compliance-Check an / AI Act als Basis eines globalen Leitmarkts für sichere KI „Made in Europe“

datensicherheit.de, 24.07.2024
KI-Verordnung tritt am 1. August 2024 in Kraft / Auch Datenschutzbehörden werden KI-VO umsetzen

datensicherheit.de, 28.05.2024
Schatten-KI und EU AI Act: Unternehmen müssen sich den Herausforderungen zeitnah stellen / Philipp Adamidis nimmt Stellung zu Aspekten der erfolgreichen KI-Transformation

[datensicherheit.de, 24.07.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am 12. Juli 2024 gemeldet, dass an diesem Tag die KI-Verordnung (KI-VO) im Amtsblatt der Europäischen Union (EU) veröffentlicht wurde. Sie wird demnach zwanzig Tage später, also am 1. August 2024, in Kraft treten. „Damit beginnen die Umsetzungsfristen zu laufen“, so der HmbBfDI.

Art. 5 KI-VO verbietet biometrische Echtzeit-Fernüberwachung des Öffentlichen Raums

Zum 1. Februar 2025 gälten die Verbote bestimmter Praktiken Künstlicher Intelligenz (Art. 5 KI-VO): Darunter falle das grundsätzliche Verbot biometrischer Echtzeit-Fernüberwachungssysteme in Öffentlichen Räumen zur Strafverfolgung.

Abschließend verboten sei dann das „Social Scoring“ – eine Praktik, „bei der Verhalten KI-basiert bewertet wird und daran soziale Benachteiligungen geknüpft werden, zum Beispiel durch den Ausschluss öffentlicher Leistungen“.

Datenschutzaufsichtsbehörden übernehmen Marktüberwachung weiter Teile des KI-Hochrisiko-Katalogs

Bereits jetzt stehe fest, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen übertragen werden soll – so sehe es die KI-Verordnung vor:

In den Sektoren der Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei Wahlen beeinflussender KI seien die Datenschutzbehörden als Marktüberwachungsbehörden gesetzt (Art. 74 Abs. 8 KI-VO). Dies gelte nicht nur für die Behörden, die solche Systeme einsetzen, sondern beispielsweise auch für Software-Unternehmen, „Cloud“-Dienste und Sicherheitsunternehmen, die für diese Sektoren KI-Systeme anbieten, in bestehende Systeme integrieren oder sie vertreiben. Die Marktüberwachungskompetenz erstrecke sich auf die gesamte Wertschöpfungskette.

Allgemeine Marktüberwachungsbehörden für KI-VO-Durchsetzung zu benennen

Bis zum 1. August 2025 müssten die Mitgliedstaaten ein Durchführungsgesetz erlassen, „in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden“.

Diese müssten unabhängig, unparteiisch und unvoreingenommen sein, um die Objektivität ihrer Tätigkeiten zu gewährleisten und die Anwendung und Durchführung der KI-VO sicherzustellen.

KI-VO fordert für zuständige Behörden geeignetes Personal

Sämtliche Marktüberwachungsbehörden müssten mit angemessenen technischen, finanziellen und personellen Ressourcen sowie mit einer Infrastruktur ausgestattet werden, um ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen zu können. Die KI-VO sehe vor, „dass die zuständigen Behörden ständig über eine ausreichende Zahl von Mitarbeitenden verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben aus dem Daten- und Produktsicherheitsrecht umfassen“.

Der HmbBfDI erinnert in diesem Zusammenhang daran, dass die Datenschutzkonferenz (DSK) Anfang Mai 2024 ein Positionspapier veröffentlicht hat: Die Datenschutzbehörden in Deutschland sollten danach eine wesentliche Rolle bei der Marktüberwachung nach der KI-VO übernehmen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 03.05.2024
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024 / Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) …

[datensicherheit.de, 09.05.2024] Die Datenschutzkonferenz (DSK) besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder und hat nach eigenen Angaben die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten: „Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.“ In einer aktuellen Meldung erinnert die DSK daran, dass im März 2024 das Europäische Parlament die „Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO)“ angenommen hat – nach Inkrafttreten der KI‐VO müsse in Deutschland innerhalb von zwölf Monaten eine behördliche Aufsichtsstruktur eingerichtet werden. Es bestehe Handlungsbedarf für die Gesetzgeber in Bund und Ländern, um die Frage zu klären, wer die Aufsicht wahrnehmen soll.

Grundsätzlich sollten Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO benannt werden

In diesem Zusammenhang weist die DSK darauf hin, dass die KI-VO in vielen Fällen bereits eine sektorspezifische Zuständigkeit der Datenschutzbehörden als Marktüberwachungsbehörden vorsehe. Ziel sei eine einheitliche Anwendung der KI-VO. Die DSK hält es für sinnvoll, „aufgrund der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene grundsätzlich die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO zu benennen“. Ausgenommen seien einzelne Sektoren wie etwa der Finanzsektor oder die Kritische Infrastruktur (KRITIS).

Mit dieser Konzeption könnten Doppelstrukturen und zusätzlicher Bürokratieaufwand vermieden werden: „Die Datenschutzaufsichtsbehörden haben ohnehin in allen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, die Aufsicht nach der Datenschutz-Grundverordnung.“ Nur durch die Zuständigkeit der Datenschutzaufsichtsbehörden nach KI-VO werde eine Beratung und Aufsicht aus einer Hand möglich. „Unabhängig davon, welche Behörden die Marktüberwachung im Bereich der KI übernehmen sollen, müssen diese mit angemessenen Ressourcen ausgestattet werden.“

Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert einheitlichen Ansprechpartner vor Ort

Die DSK empfiehlt, als Marktüberwachungsbehörden nach der KI-VO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zu benennen. Der BfDI solle nach Vorstellungen der DSK Deutschland im Europäischen Ausschuss für KI vertreten.

„Die Aufsicht über den Einsatz von Künstlicher Intelligenz sollte aus einer Hand erfolgen“, betont Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI). Wenn Berliner Unternehmen und Behörden KI-Systeme einsetzen, sollten sie einen einheitlichen Ansprechpartner vor Ort für die Beratung und Aufsicht haben. Sie erläutert: „Immer dann, wenn personenbezogene Daten im Spiel sind, sind gemäß DSGVO ohnehin die Datenschutzbehörden zuständig. Zur Vermeidung von Doppelstrukturen und zusätzlicher Rechtsuntersicherheiten empfehle ich daher, die Datenschutzbehörden grundsätzlich auch als Aufsicht über KI-Systeme festzulegen.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 03.05.2024
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024 / Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) / Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024

datensicherheit.de, 06.05.2024
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz / Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen

[datensicherheit.de, 18.03.2024] Nach Ansicht von Patrycja Schrenk, Geschäftsführerin der PSW GROUP, hat die Europäische Union (EU) mit der sogenannten KI-Verordnung („Artificial Intelligence Act“ / AI Act) einen bedeutenden Schritt unternommen, um den Missbrauch von Daten zu unterbinden und die Privatsphäre ihrer Bürger zu schützen: „Diese Verordnung ist wegweisend, denn sie legt klare Regeln und Anforderungen für Unternehmen fest, die KI-Systeme entwickeln oder nutzen.“

Foto: PSW GROUP

Patrycja Schrenk: Die zunehmende KI-Präsenz in unserem Alltag erfordert eine angemessene Regulierung, um die Würde, Privatsphäre und andere Grundrechte zu wahren!

Ziele der KI-Verordnung vielfältig

Die Ziele der KI-Verordnung seien vielfältig: „Sie zielt zum einen darauf ab, dass KI-Systeme die Würde, Privatsphäre und andere Grundrechte von Menschen respektieren, zum anderen aber auch darauf, das Vertrauen in KI-Systeme zu stärken.“ Zudem solle diese Verordnung die europäische Wirtschaft unterstützen – indem sie demnach einen einheitlichen Rechtsrahmen für den Einsatz von KI in der EU schafft. Durch die Einstufung von KI-Systemen in verschiedene Risikoklassen würden Anforderungen und Pflichten festgelegt, um das Risiko für den Missbrauch von Daten zu minimieren.

Eine Schlüsselbestimmung der Verordnung sei die Transparenz und Verantwortlichkeit bei der Datenverarbeitung durch KI-Systeme: „Bei Nutzung von KI-Systemen, wie ,Chatbots’ beispielsweise, sollten Nutzende wissen, dass sie mit einer Maschine interagieren. Zudem müssen KI-generierte Inhalte wie ,Deep Fakes’ als solche kenntlich gemacht werden und Anbieter sind angehalten sicherzustellen, dass synthetische Audio-, Video-, Text- und Bildinhalte als künstlich erzeugt oder manipuliert erkennbar sind“, erläutert Schrenk.

Negative Auswirkungen auf Grundrechte durch KI-Einsatz erkennen, bewerten und verhindern

Neue Regelungen in der Verordnung beträfen unter anderem Pflichten zur Dokumentation, „Governance“ und zum Risikomanagement sowie die Einführung einer verpflichtenden Prüfung zur Wahrung der Grundrechte. Diese Prüfung ähnele der Datenschutz-Folgenabschätzung und diene dazu, negative Auswirkungen auf Grundrechte durch den Einsatz von KI besser zu erkennen, zu bewerten und zu verhindern.

„Darüber hinaus erhalten diejenigen, die von KI-Systemen betroffen sind, ein gesetzliches Recht auf Beschwerde und Auskunft bei Entscheidungen, die von KI-Systemen getroffen werden“, so Schrenk. Bei Verstößen gegen die KI-Verordnung drohten hohe Bußgelder von bis zu 40 Millionen Euro oder bis zu sieben Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres.

KI-Verordnung wird Unternehmen vor neue Herausforderungen stellen

„Die KI-Verordnung wird Unternehmen vor neue Herausforderungen stellen. Sie müssen zunächst ihre KI-Systeme identifizieren und klassifizieren. Zudem gibt es auch bereits andere gesetzliche Vorgaben für den Einsatz von KI, wie Datenschutz, Urheberrecht und Schutz von Geschäftsgeheimnissen, die beachtet werden sollten.“

Gleichzeitig eröffnet diese Verordnung laut Schrenk aber auch Chancen für eine transparente und verantwortungsvolle Nutzung von KI-Systemen – denn sie lege Wert auf Transparenz und Rechenschaftspflicht bei der Datenverarbeitung und stärke so das Vertrauen der Verbraucher in KI-Technologien.

Bis KI-Verordnung in Kraft tritt, wird es noch etwas dauern

Schrenk begrüßt nach eigenen Angaben diese Entwicklung. Die zunehmende KI-Präsenz in unserem Alltag erfordere eine angemessene Regulierung, um die Würde, Privatsphäre und andere Grundrechte zu wahren. Sie erläutert: „Immerhin ist von Empfehlungssystemen bis hin zu Systemen, die über Kreditvergaben oder Jobangebote entscheiden, die Bandbreite der Anwendungen enorm gewachsen.“

Bis die KI-Verordnung in Kraft tritt, dürfte noch einige Zeit vergehen: „Sie wurde am 8. Dezember 2023 politisch vereinbart, derzeit wird der Text des ,AI Acts’ finalisiert und muss anschließend noch vom Europäischen Parlament und vom Rat angenommen werden.“ Zudem werde es einen Übergangszeitraum geben, bevor die Verordnung in Kraft tritt.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2024
EU AI Act: Peter Sandkuijl kommentiert KI-Gesetz aus IT-Security-Sicht / KI-Gesetz soll Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen

datensicherheit.de, 14.03.2024
EU-KI-Verordnung: BfDI begrüßt Ergänzung zur Datenschutz-Grundverordnung / Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

PSW GROUP Consulting Blog, 10.01.2024
Schluss mit Datenmissbrauch: Wie die KI-Verordnung unsere Privatsphäre schützt

[datensicherheit.de, 14.03.2024] Laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 13. März 2024 hat das Europäische Parlament an diesem Tag die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der BfDI begrüßt demnach die europäische KI-Verordnung „als Ergänzung zur Datenschutz-Grundverordnung (DSGVO)“.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber rät aber auch der Bundesregierung, die Öffnungsklausel für striktere nationale Verbote zu nutzen

Durch die KI-Verordnung wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt

Der BfDI, Professor Ulrich Kelber, kommentiert: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt.“

Insbesondere begrüßt der BfDI nach eigenen Angaben, „dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind“.

Viele Vorgaben für Hochrisiko-KI-Systemeh haben engen Bezug zum Datenschutz

Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung hätten einen „engen Bezug zum Datenschutz“. So werde beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.

Gleichzeitig bedauert der BfDI aber, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme von 2021 geäußerten Kritikpunkte nicht umgesetzt worden seien: „Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im Öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.“

Weitere Informationen zum Thema:

edpb European Data Protection Board, 18.06.2021
EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

datensicherheit.de, 24.05.2022
KI-Whitepaper als Beitrag für kommende Umsetzung gesetzlicher Regulierung Künstlicher Intelligenz in der EU / TÜV-Verband, BSI und Fraunhofer stellen gemeinsames KI-Whitepaper „Towards Auditable AI Systems – From Principles to Practice“ vor

[datensicherheit.de, 04.03.2024] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt nach eigenen Angaben die Verabschiedung der sogenannten eIDAS-Verordnung: Das EU-Parlament hat demnach die intensiv diskutierte Verordnung für eine europäische elektronische Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) beschlossen. „2026 soll neue digitale Identität europaweit vorliegen.“

eIDAS-Verordnung binnen zwei Jahren in allen EU-Staaten umzusetzen

Rechtlich betrachtet soll die eIDAS-Verordnung wenige Wochen nach dem Beschluss in Kraft treten und danach binnen zwei Jahren in allen EU-Staaten umgesetzt sein. Auf technischer Seite seien noch Durchführungsakte der EU-Kommission erforderlich, um z.B. eine einheitliche Umsetzung der geplanten Smartphone-App sicherzustellen.

Der TeleTrusT sieht in diesem Beschluss einen „großen Erfolg für die Schaffung eines europäischen digitalen Vertrauensraums“. Mit dem verbindlichen ID-System im Kontext der „EU Digital Identity Wallet“ als zentraler Komponente könnten elektronische Vertrauensdienste mit qualifizierten Attributen etabliert werden.

Revision der eIDAS-Verordnung ein historischer Meilenstein

Trotz Widerstandes von verschiedenen Seiten seien die Regelungen zur Akzeptanz von „Qualifizierten Webseiten-Zertifikaten“ (QWACs) durch globale Plattformen beibehalten worden. TeleTrusT-Vorstand Dr. Kim Nguyen (Bundesdruckerei) kommentiert: „Die Verabschiedung der Revision der ,eIDAS-Verordnung’ ist ein historischer Meilenstein auf dem Weg zu einem souveränen, interoperablen, vertrauenswürdigen und nutzerfreundlichem europäischem ID-Ökosystems.“

Der TeleTrusT werde sich weiterhin auf nationaler und internationaler Ebene mit der Expertise seiner Mitglieder in den Prozess einbringen. Das „European ID Wallet Ecosystem“ sei zudem auch zentrales Thema der TeleTrusT-Präsentation auf der diesjährigen „RSA Conference“ in San Francisco.

Weitere Informationen zum Thema:

bdr., 22.11.2023
Die eIDAS-Verordnung: Grundlagen und Ziele

bitkom
Neue eIDAS Verordnung schafft praktische Werkzeuge für die Digitalisierung

Bundesamt für Sicherheit in der Informationstechnik
eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste

[datensicherheit.de, 14.02.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, geht in seiner aktuellen Stellungnahme auf die Verhandlungen zum EU-Verordnungsentwurf zur Bekämpfung des sexuellen Online-Kindesmissbrauchs (CSA-Verordnung), der demnach „in eine entscheidende Phase“ geht, ein. Er berichtet, dass der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) daher in einer „Gemeinsamen Stellungnahme“ den EU-Gesetzgeber dazu aufgerufen hatten, die wesentlichen Änderungsvorschläge des Europäischen Parlaments (EP) zu unterstützen.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Durchleuchtung sämtlicher privater Nachrichteninhalte keine Option!

Plädoyer für gezieltere Aufdeckung sexuellen Online-Kindesmissbrauchs in der EU

Professor Kelber betont: „Die Durchleuchtung sämtlicher privater Nachrichteninhalte ist keine Option. Der Verordnungsentwurf der Kommission in seiner ursprünglichen Form darf daher nicht realisiert werden!“ Die EP-Vorschläge gäben dafür die Richtung vor – „denn sie sehen eine gezieltere Aufdeckung von sexuellem Online-Kindesmissbrauch vor“.

EU-Gesetzgeber sollten sich in Trilog-Verhandlungen auf Aufdeckungsanordnungen nur als letztes Mittel einigen

Gleichzeitig teilt der BfDI nach eigenen Angaben die von seinen europäischen Kollegen geäußerte Kritik an der vom EP formulierten Ausgestaltung von sogenannten Aufdeckungsanordnungen: „Ich hoffe, dass die EU-Gesetzgeber sich in den ,Trilog’-Verhandlungen darauf einigen können, dass ,Aufdeckungsanordnungen’ nur als letztes Mittel und gezielt gegenüber konkret verdächtigen Personen oder Personengruppen eingesetzt werden.“ Alles Andere sei der „Einstieg in eine anlasslose Massenüberwachung“.

Europäisches Parlament hat viele Kritikpunkte der Gemeinsamen Stellungnahme von EDSA und EDPS aufgegriffen

Das EP habe in seinem Bericht viele Kritikpunkte der „Gemeinsamen Stellungnahme“ von EDSA und EDPS vom Juli 2022 aufgegriffen. „Es hatte jedoch offengelassen, ob ein Auslesen der privaten Kommunikation auch über die konkret verdächtigen Personen hinausgehen könnte“, so Professor Kelber. Mit dem Vorschlag des EP solle außerdem das Scannen nach bisher unbekanntem kinderpornographischen Material möglich bleiben – „obwohl die dazu genutzten Technologien noch immer hohe Fehlerquoten aufweisen“.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 14.02.2024
Statement 1/2024 on legislative developments regarding the Proposal for a Regulation laying down rules to prevent and combat child sexual abuse

datensicherheit.de, 26.09.2023
Sofortiger Stopp der Chat-Kontrolle: Digitalcourage unterstreicht Forderung / In einer investigativen Recherche hat ZEIT ONLINE das umfangreiche Lobby-Geflecht zur geplanten Chat-Kontrolle offengelegt

datensicherheit.de, 10.02.2023
Chat-Kontrolle: Deutscher Anwaltverein warnt vor Totalüberwachung unter Deckmantel des Kinderschutzes / Gefährdung der Grundrechte aller Bürger durch EU-Pläne zur Chat-Kontrolle

[datensicherheit.de, 02.06.2021] Am 2. Juni 2021 stellte die EU-Kommission laut einer aktuellen Meldung des Branchenverbands Bitkom ihren Plan für eine einheitliche europäische digitale ID vor – „und zugleich den Entwurf zur Review der eIDAS-Verordnung“. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, geht in ihrer Stellungnahme auf diese Vorschläge ein und warnt, dass für die europaweite Nutzung von Identitätsdienstleistungen der europäische Markt derzeit regulatorisch zu stark fragmentiert sei:

Bitkom fodert Zusammenwirken von Öffentlicher Hand und Privatwirtschaft

„Sichere Digitale Identitäten übernehmen bereits heute eine Schlüsselfunktion im Digitalen Ökosystem: Sie sorgen für Sicherheit, schützen Personen und Prozesse und schaffen Vertrauen zwischen Absendern und Empfängern“, so Dehmel. Mit der Verlagerung von immer mehr Alltagstätigkeiten in die digitale Welt, gewinne der digitale Nachweis der eigenen Identität weiter enorm an Bedeutung. So könnten zum Beispiel viele heute noch analoge Prozesse erst über einen verlässlichen, digitalen Identitätsstandard vom physischen Bürgeramt in die digitale Zukunft der Verwaltung überführt werden.
Indes: „Um das Potenzial Digitaler Identitäten zu heben, braucht es dabei eine ein Zusammenwirken von Öffentlicher Hand und Privatwirtschaft und vor allem ein europaweit einheitliches Vorgehen“, unterstreicht Dehmel. Insbesondere mit Blick auf die Umsetzung der aktuellen eIDAS-Verordnung gebe es noch zu viele nationale Sonderregeln bei der Regulierung von Authentifizierungs- und Identifizierungswegen.

Services und Verwaltungsleistungen über Ländergrenzen hinweg laut Bitkom wichtiger denn je

Dehmel erklärt ihren Standpunkt: „,Corona‘ hat uns vor Augen geführt, dass die Zeit kleinstaatlicher Ansätze endgültig vorbei ist. Services und Verwaltungsleistungen über Ländergrenzen hinweg zugänglich zu machen ist heute wichtiger denn je – und zwar nicht nur in einer ,Pandemie‘.“ Die europäische eIDAS-Verordnung bilde dabei die Basis für die Definition harmonisierter Anforderungen an Digitale Identitäten in der EU.
„Für die europaweite Nutzung von Identitätsdienstleistungen und die Skalierung der Geschäftsmodelle von Identitätsdienstleistern ist der europäische Markt derzeit regulatorisch zu stark fragmentiert. Und selbst auf nationaler Ebene erschweren branchenspezifische Anforderungen das Wachstum und die Verbreitung von Identitätsdienstleistungen und somit digitale Geschäftsmodelle.“

„eIDAS Summit“ des Bitkom am 15. Juni 2021:

Dies sollte durch europäische Harmonisierung, Standardisierung und Kooperation schnellstmöglich behoben werden, fordert Dehmel. Der jetzt vorgeschlagene Review biete die Chance, Vertrauensdienste als auch Digitale Identitäten fest im europäischen Wirtschaftsraum zu verankern – die Umsetzung der eIDAS-Verordnung sollte als ein wichtiger Beitrag für mehr Daten- und Verbraucherschutz in Deutschland verstanden und gefördert werden.
Digitale Identitäten und der Einsatz von Vertrauensdiensten in der Praxis stehen laut Dehmel im Zentrum des „eIDAS Summit“ des Bitkom am 15. Juni 2021: „Sie sind auch die Grundlage für Zukunftstechnologien wie ,Gaia-X‘, Blockchain oder ,Artificial Intelligence‘.“ Alle Informationen und die Möglichkeit zur kostenlosen Registrierung seien online auf der Webseite von „bitkom events“ zu finden.

Weitere Informationen zum Thema:

bitkom events
15. Juni 2021 / eIDAS Summit / #eidas21