Kolumne: Neue Gesetze im Onlinesektor
Die zum 1. August 2024 in Kraft getretene KI-Verordnung (KI-VO, engl.: AI Act), die altbekannte Datenschutz-Grundverordnung (DSGVO) sowie die sog. NIS2-Richtlinie haben jeweils unterschiedliche Zielrichtungen. In der DSGVO geht es um den Umgang mit personenbezogenen Daten, die KI-VO reguliert das Produkt „KI“ und NIS2 enthält die Rahmenvorgaben in puncto Cybersecurity für bestimmte Sektoren. Diese Regelwerke gelten unabhängig voneinander, d. h. sie müssen alle gleichermaßen beachtet werden.
Natürlich gibt es hierbei Überschneidungen und Gemeinsamkeiten, aber auch Unterschiede. So werden beim KI-Einsatz regelmäßig auch Daten mit Personenbezug verarbeitet, zudem muss bei jeglicher Datenverarbeitung, auch mittels KI, ein gewisses Maß an Cybersecurity gewährleistet werden können. Gemeinsamkeiten sowie Unterschiede bestehen mit Blick auf ihre jeweiligen Grundsätze: So fordert etwa die DSGVO u. a. Transparenz, Zweckbindung und Datensicherheit, genau wie die KI-VO. Während die DSGVO allerdings ebenfalls das Prinzip der Datenminimierung enthält, erfordert die KI-Entwicklung bzw. -Nutzung im Grunde genau das Gegenteil. Denn im KI-Kontext gilt die Faustregel: je mehr Daten, desto besser. Dieser Widerspruch zum Datenschutzrecht muss in der Praxis der KI-Entwicklung und -Nutzung aufgelöst werden.
DSGVO, KI-VO und NIS2 weisen jedoch in einem Punkt eine auffällige Gemeinsamkeit auf: In allen ist eine Pflicht zur Fortbildung geregelt. Es ist schon ein Novum, dass auf EU-Ebene eine solche Fortbildungspflicht gesetzlich vorgeschrieben wird. Eine regelmäßige Fortbildung ist in diesen und auch in anderen Bereichen auf jeden Fall sehr sinnvoll (Kasten: „Praxistipp“), selbst wenn einen die gesetzliche Fortbildungspflicht gar nicht treffen sollte. Wer also z. B. vom Anwendungsbereich der KI-VO nicht erfasst wird, weil er kein KI-System in diesem Sinne einsetzt, ist gleichwohl gut beraten, sich ein gewisses Maß an KI-Fachwissen anzueignen.
Auch außerhalb von DSGVO, KI-VO und NIS2 sind die Aspekte Schulung und Sensibilisierung von Beschäftigten von entscheidender Bedeutung. Wenn es beispielsweise zum Thema Arbeitssicherheit oder Brandschutz keine Informationen bzw. keine Sensibilisierung für die Beschäftigten gibt, können diese sich natürlich auch nicht rechtskonform verhalten. Insofern ist die kontinuierliche Weiterbildung der Beschäftigten zwar mit zeitlichem und finanziellem Aufwand für den Arbeitgeber verbunden, auf lange Sicht zahlt sich eine Investition an dieser Stelle allerdings aus.
Denn: Wenn Beschäftigte in Unternehmen oder Behörden nicht wissen, was eine „Datenpanne“ im Sinne der DSGVO ist und dass darüber zügig der Datenschutzbeauftragte...