Vom Stillstand zum Brückenschlag

„KI und Datenschutz sind keine Gegensätze.“

Die europäische Debatte über künstliche Intelligenz und Datenschutz scheint von einem vermeintlichen Zielkonflikt geprägt. Oft wird suggeriert, die Notwendigkeit technologischer Innovation kollidiere mit dem Grundrechtsschutz, woraus eine strategische Zurückhaltung erwachse: Weil die EU nicht bereit sei, ihre strenge Regulierung digitaler Produkte aufzugeben, verliere sie an Wettbewerbsfähigkeit.

Diese Sichtweise greift jedoch zu kurz. Die Zurückhaltung rührt weniger von den Grundsätzen der DSGVO her, als von der Rechtsunsicherheit bei ihrer Anwendung auf KI-Systeme. Das Problem ist nicht das Regelwerk, sondern eine Interpretationslücke. Es mangelt an einem gemeinsamen Verständnis, wie die abstrakten, technologieneutralen Ziele der DSGVO praxistauglich bei KI-Systemen ins Werk gesetzt werden können: sowohl um eine Grundlage für deren Einsatz zu schaffen, als auch um den Aufsichtsbehörden die effektive Rechtsdurchsetzung zu ermöglichen. Der prinzipienbasierte Ansatz der DSGVO ist dabei keine Innovationsbremse, sondern vielmehr ein Gestaltungsauftrag für qualitativ hochwertige KI-Systeme. Dieser Auftrag bedarf der Konkretisierung, um für die Praxis handhabbar zu werden.

Einen wichtigen Schritt hierzu markiert die jüngste Stellungnahme 28/2024 des Europäischen Datenschutzausschusses (EDSA). Sie zeigt auf, wie der notwendige Schwenk von Grundsatzdebatten über die rechtliche Verfasstheit von KI-Modellen hin zur Regulierung des KI-Systems im konkreten Einsatz gelingen kann. Das ergibt sich aus dem Prüfrahmen der Stellungnahme, die für die einschlägigen Szenarien des KI-Einsatzes stets auf systemseitige Maßnahmen abstellt: So sind diese zur Risikominimierung bei KI-Systemen auf Basis nicht-anonymer Modelle erforderlich, insbesondere gegen die unerwünschte Extraktion personenbezogener Trainingsdaten. Auch bei KI-Systemen mit anonymisierten Modellen ohne Personenbezug führt kein Weg an systemseitigen Maßnahmen vorbei, um die Wirksamkeit der De-Identifizierung nachzuweisen und aufrechtzuerhalten. Schließlich braucht es bei allen Modellen systemseitige Maßnahmen, um diskriminierende Inhalte und Deepfakes zu vermeiden.

Damit wird die Verantwortung dorthin verlagert, wo sie praktisch greifbar ist: zum Betrieb, der das KI-System in einen konkreten Kontext einbettet und dessen Risiken realisiert. Der Fokus der Aufsicht verschiebt sich konsequent auf die systemseitigen Maßnahmen des Verantwortlichen, wo die entscheidenden Risiken für Betroffene entstehen: bei den Input- und Output-Kontrollen zur Verhinderung von Datenlecks, Vorkehrungen gegen diskriminierende oder inadäquat fehlerhafte Ergebnisse sowie bei Berechtigungs- und Datensicherheitskonzepten.

Dieser System-Fokus ist ein wichtiger Ansatz, aber er reicht noch nicht aus. Der entscheidende Brückenschlag zur Schließung der Interpretationslücke gelingt erst durch die konsequente Verschränkung der DSGVO mit der KI-Verordnung. Die in der KI-VO normierten, konkreten Anforderungen an Risiko- und Qualitätsmanagement sowie ihre Konkretisierung durch harmonisierte technische Normen dienen als entscheidende Auslegungshilfe für die DSGVO. Die Maßgaben der KI-VO an Robustheit und Sicherheit sowie an Fairness und Genauigkeit sind das materielle Gegenstück der Datenschutzgrundsätze der Integrität und Vertraulichkeit sowie der Verarbeitung nach Treu und Glauben und der Richtigkeit. So können sie die Abwägung beim berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) auf komplexe KI-Systeme skalieren und dabei die berechtigten Erwartungen von Betroffenen objektivieren. Auch die „geeigneten Garantien“ für die Verarbeitung besonderer Kategorien von Daten (Art. 9 Abs. 2 lit. g DSGVO) können hierdurch mit Leben gefüllt werden; gleiches gilt für die „angemessenen Maßnahmen“ bei automatisierten Entscheidungen (Art. 22 Abs. 2 lit. b DSGVO).

Der Grundsatz, dass die KI-VO die DSGVO „unberührt“ lässt, darf daher nicht missverstanden werden. Unberührt bedeutet nicht unbeeinflusst! Vielmehr wird die KI-VO zu einem maßgeblichen Referenzpunkt für eine praxistaugliche Auslegung des Datenschutzrechts bei KI-Systemen. Es geht jetzt darum, von abstrakten Debatten zur praktischen Umsetzung zu gelangen. Auch ohne beziehungsweise unabhängig von einer Reform der DSGVO können wir einen einheitlichen und rechtssicheren Rahmen schaffen, der Grundrechte schützt und Innovation ermöglicht.