Entlastung bei KI-Regulierung und Datenschutz

Das Wichtigste auf einen Blick

• Kürzlich hat die Europäische Kommission einen Vorschlag für eine digitale Omnibus-Verordnung– den so genannten „Digital-Omnibus“ – veröffentlicht. Ziel dieser Verordnung ist, ausgewählte Vorschriften in der KI-VO und der DSGVO anzupassen, um bürokratische Hürden für Unternehmen zu senken und dadurch die Wettbewerbsfähigkeit des europäischen Binnenmarkts zu stärken.
• Insbesondere in datenschutzrechtlicher Hinsicht verspricht der Digital Omnibus Erleichterungen, etwa bei der Verarbeitung pseudonymer und sensibler Daten, wie beispielsweise Gesundheitsdaten.
• Aktuell handelt es sich noch um einen Gesetzesentwurf. In Kraft treten die Regelungen erst, wenn das Europäische Parlament und der Rat der EU-Staaten zustimmen.

Artikel als PDF

Lesezeit ca. 5 Minuten

Kürzlich hat die Europäische Kommission einen Vorschlag für eine digitale Omnibus-Verordnung – den sog. „Digital-Omnibus“ – veröffentlicht. Ziel dieser Verordnung ist es, ausgewählte Vorschriften der Digitalgesetzgebung der EU anzupassen, um bürokratische Hürden für Unternehmen zu senken und dadurch die Wettbewerbsfähigkeit des europäischen Binnenmarkts zu stärken. Neben der Anpassung der noch sehr jungen und teilweile noch gar nicht in Kraft getretenen KI-VO, verspricht der Digital-Omnibus auch in datenschutzrechtlicher Hinsicht Erleichterungen.

Was regelt der Digital-Omnibus konkret? 

Von der Vielzahl der mit dem Digital-Omnibus geplanten Gesetzesänderungen dürften folgende Anpassungen eine besondere praktische Relevanz haben:

• Verarbeitung personenbezogener Daten beim KI-Training: Der Vorschlag der EU-Kommission sieht eine ausdrückliche Klarstellung vor, wonach das Training, Testen und Validieren von KI-Systemen und Modellen mit personenbezogenen Daten grundsätzlich auf berechtigte Interessen nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann. Eine vertrauenswürdige KI sei entscheidend, um Wirtschaftswachstum zu schaffen und Innovationen mit sozial günstigen Ergebnissen zu unterstützen. Hierfür sei die Verarbeitung personenbezogener Daten erforderlich und grundsätzlich gerechtfertigt. Mit dieser Klarstellung wären KI-Anbieter in Zukunft nicht mehr auf die Einwilligungen von Betroffenen angewiesen. 
• Gesundheitsdaten und KI-Training: Auch für besonderer Kategorien personenbezogener Daten – insbesondere Gesundheitsdaten – sieht der Gesetzesentwurf neue Verarbeitungsmöglichkeiten vor. Danach soll das Training, der Test oder Betrieb von KI-Systemen nicht deswegen unzulässig sein, weil nicht ausgeschlossen werden kann, dass auch sensible Daten betroffen sein können. Voraussetzung sollen aber technische und organisatorische Maßnahmen sein, die eine Betroffenheit dieser Daten weitestgehend ausschließt. Speziell zur Erkennung und Korrektur von Bias soll es in Zukunft aber uneingeschränkt zulässig sein, sensible Daten zu verarbeiten. 
• Entlastung bei der Verarbeitung pseudonymer Daten: Der Gesetzesentwurf sieht zudem eine Erleichterung bei der Verarbeitung pseudonymer Daten vor. Deren Verarbeitung soll in Zukunft nur noch dann unter den Anwendungsbereich der DSGVO fallen, wenn der Datenverarbeiter tatsächlich über Möglichkeiten einer Re-Identifizierung verfügt. Von dieser Regelung könnten insbesondere Datenempfänger bei der Weiterverarbeitung profitieren, die pseudonyme Daten ohne Datenschlüssel erhalten.  
• Verlängerte Umsetzungsfristen bei Hochrisiko-KI-Systemen: Darüber hinaus sieht der Digital-Omnibus eine Verschiebung der Umsetzungsfristen von Hochrisiko-KI-Systemen vor. Hintergrund ist, dass wichtige Standards für die praktische Umsetzung noch fehlen. Hierauf reagiert die EU und plant, die Umsetzungsfristen grundsätzlich an den Erlass von Leitlinien oder anderer Unterstützungsmaßnahmen zu koppeln. 
• Teil-Entlastung bei der KI-Kompetenz-Pflicht: Schließlich plant die EU, Unternehmen bei der Schaffung von KI-Kompetenzen zu entlasten, und beabsichtigt, die dahingehende Pflicht auf die Mitgliedsstaaten zu verlagern. Diese sollen künftig insbesondere durch Leitfäden und andere Hilfsmittel bei der Sicherstellung der KI-Kompetenz im Unternehmen unterstützen und so die Entwicklung von KI-Kompetenzen gezielt fördern. Für Betreiber von Hochrisiko-KI-Systemen sollen die Schulungspflichten aber weiterhin gelten.

Der Digital Omnibus verspricht vor allem Erleichterungen bei den datenschutzrechtlichen Vorgaben für den Einsatz von KI.

Sandra Bosshard, Associate, Rechtsanwältin

Ausblick: Wie geht es jetzt weiter? 

Im nächsten Schritt wird der Digital Omnibus dem Europäischen Parlament und dem Rat der EU-Staaten vorgelegt. Erst mit deren Zustimmung werden die geplanten Änderungen gültig. Wann mit einer finalen Entscheidung gerechnet werden kann, ist allerdings ungewiss. Denn dies hängt maßgeblich davon ab, wie viele Änderungen vorgenommen werden und wie umfangreich die Debatten hierzu werden.