Von der DSGVO zum KI-Gesetz: Die Entwicklung der Daten- und KI-Sicherheit in der EU

Das KI-Gesetz der Europäischen Union ist das weltweit erste umfassende Gesetz zur Regelung künstlicher Intelligenz. Es baut auf den Grundlagen der DSGVO und anderer digitaler Vorschriften auf und definiert, wie Unternehmen KI-Systeme verantwortungsbewusst entwickeln, einsetzen und sichern müssen. Aber um zu verstehen, wie man das erreicht Einhaltung des EU-KI-Gesetzes, und wie diese Compliance-Bemühungen damit zusammenhängen KI-Datensicherheit, wir müssen ihre Entwicklung anhand des umfassenderen digitalen Regierungsrahmens der EU verfolgen.

Die Grundlage: Der nachhaltige Einfluss der DSGVO auf die KI-Datensicherheit

Die Allgemeine Datenschutzverordnung (DSGVO) bleibt der Eckpfeiler der digitalen Regulierung der EU. Ihre Kernprinzipien — wie Transparenz, Minimierung sowie Integrität und Vertraulichkeit — legen grundlegende Anforderungen fest, auf denen jede nachfolgende Verordnung aufbaut.

Für die Auslegung des KI-Gesetzes sind mehrere DSGVO-Bestimmungen besonders wichtig:

Artikel 22 befasst sich mit automatisierter Entscheidungsfindung und Profilerstellung und ist ein direkter Bestandteil des KI-Gesetzes in Bezug auf die Anforderungen an die menschliche Beaufsichtigung von Systemen mit hohem Risiko. Wenn ein KI-System Entscheidungen trifft, die erhebliche Auswirkungen auf Einzelpersonen haben, verlangen sowohl die DSGVO als auch das KI-Gesetz Schutzmaßnahmen, einschließlich einer aussagekräftigen menschlichen Überprüfung.

In ähnlicher Weise bietet Artikel 35 der DSGVO über Datenschutz-Folgenabschätzungen (DPIAs) die methodische Vorlage für den Risikomanagementrahmen des KI-Gesetzes. Organisationen, die bereits DPIAs für die Verarbeitung von Daten mit hohem Risiko durchführen, werden die Konformitätsbewertungsverfahren des KI-Gesetzes anerkennen. Beide erfordern eine systematische Bewertung der Risiken für Grundrechte, die Dokumentation von Minderungsmaßnahmen und eine kontinuierliche Überwachung.

Schließlich hat sich das Prinzip „Datenschutz durch Technikgestaltung und Standardeinstellung“ (Artikel 25) der DSGVO zu „KI-Sicherheit durch Design“ weiterentwickelt. Modern DSPM für KI Strategien wenden dieselben Ideen an: Datenschutz und Zugriffskontrollen werden von Grund auf in Systeme eingebettet.

Verbotene Praktiken: Definition ethischer Grenzen für KI

Wie seine Vorgänger sieht das KI-Gesetz klare Verbote zum Schutz der Grundrechte vor. Artikel 5 des KI-Gesetzes verbietet KI-Praktiken, die inakzeptable Risiken bergen, darunter manipulative Systeme, die Sicherheitslücken ausnutzen, soziale Bewertungen durch Regierungen, biometrische Identifizierung in Echtzeit im öffentlichen Raum (mit engen Ausnahmen) und biometrische Kategorisierung auf der Grundlage sensibler Merkmale.

Diese Verbote ergeben sich direkt aus Artikel 9 der DSGVO, der die Verarbeitung besonderer Kategorien personenbezogener Daten einschränkt, einschließlich biometrischer Daten zur eindeutigen Identifizierung von Personen, und aus Artikel 28 des Digital Services Act (DSA), der gezielte Werbung auf der Grundlage sensibler Daten oder für Minderjährige verbietet. Wenn das KI-Gesetz Emotionserkennungssysteme in bestimmten Kontexten verbietet oder KI verbietet, die menschliches Verhalten auf schädliche Weise manipuliert, erweitert es die Schutzlogik, die bereits im Datenschutz und in der Plattformregulierung verankert ist.

Der Artikel 34 der DSA, der Very Large Online Platforms verpflichtet, systemische Risiken einschließlich der Auswirkungen auf den zivilgesellschaftlichen Diskurs und demokratische Prozesse zu bewerten, gibt ebenfalls Aufschluss darüber, wie wir die Verbote des AI Act für KI-Systeme, die demokratische Werte bedrohen, interpretieren sollten. Die Einhaltung des EU-Gesetzes über künstliche Intelligenz verlangt von Unternehmen, die klaren Linien zu respektieren, die die Regulierungsbehörden in Bezug auf Praktiken gezogen haben, die die Menschenwürde und die demokratische Gesellschaft bedrohen.

Risikobasierte Regulierung: Der Kern der Einhaltung des EU-KI-Gesetzes

Risikobasierte Regulierung ist vielleicht das wichtigste gemeinsame Merkmal der digitalen Gesetze der EU. Die DSGVO basiert implizit auf einem risikobasierten Modell und erfordert verstärkte Schutzmaßnahmen (wie Datenschutzerklärungen) für Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen. Die DSA macht dies mit ihrem abgestuften Ansatz deutlich, indem sie sehr großen Online-Plattformen, deren Umfang systemische Risiken mit sich bringt, die strengsten Verpflichtungen auferlegt.

Das KI-Gesetz übernimmt diese risikobasierte Architektur am umfassendsten und sieht vier Risikostufen vor: inakzeptabel (verboten), hoch (stark reguliert), begrenzt (Transparenzanforderungen) und minimal (weitgehend unreguliert).

Für KI-Systeme mit hohem Risiko schreibt das KI-Gesetz Risikomanagementsysteme, Datenverwaltungsprotokolle, technische Dokumentation, Transparenz, menschliche Aufsicht und Genauigkeitsanforderungen vor. Diese Verpflichtungen entsprechen eng den Anforderungen der DSGVO für die Datenverarbeitung mit hohem Risiko. Praktiker, die mit der Durchführung von DPIAs vertraut sind, werden den systematischen Ansatz erkennen: Risiken identifizieren, Schweregrad und Wahrscheinlichkeit einschätzen, Abhilfemaßnahmen ergreifen, alles dokumentieren und kontinuierlich überwachen.

Eine effektive KI-Sicherheitsplattform kann dazu beitragen, diesen Prozess zu automatisieren und die Transparenz über Modelle, Datensätze und Umgebungen hinweg zu vereinheitlichen, um eine kontinuierliche Risikoüberwachung sicherzustellen.

Transparenz und Rechenschaftspflicht bei KI-Operationen

Das Prinzip der Transparenz erstreckt sich auch auf die digitalen Vorschriften der EU. Die DSGVO verlangt von Unternehmen, Einzelpersonen darüber zu informieren, wie ihre personenbezogenen Daten verarbeitet werden, einschließlich Informationen über automatisierte Entscheidungen. Nach dem Digital Markets Act (DMA) müssen Gatekeeper für Transparenz darüber sorgen, wie sie ihre Ergebnisse einordnen und anzeigen. Nach dem DSA müssen die Plattformen erklären, wie ihre Empfehlungssysteme funktionieren, und den Nutzern mindestens eine Alternative anbieten, die kein Profil enthält.

Das KI-Gesetz fasst diese Transparenzverpflichtungen in einem umfassenden Rahmen zusammen. Die Einhaltung des EU-Gesetzes über künstliche Intelligenz erfordert, dass Anbieter von KI-Systemen mit hohem Risiko die Transparenz für die Betreiber und die betroffenen Personen gewährleisten. Dazu gehört auch die Offenlegung, wann Menschen mit KI-Systemen interagieren und wie automatisierte Entscheidungen getroffen werden.

Für allgemeine KI-Modelle (wie große Sprachmodelle) müssen Anbieter Trainingsdatenquellen, Rechenressourcen und Modellbeschränkungen dokumentieren. Dieses Maß an Offenlegung spiegelt die Anforderungen der DSA an die Plattformtransparenz wider und stellt sicher, dass sowohl Algorithmen als auch KI-Modelle der öffentlichen Kontrolle unterliegen.

Data Governance: Förderung sicherer und gesetzeskonformer KI-Systeme

KI-Systeme sind grundsätzlich datengesteuert, weshalb die Schnittstelle zwischen dem KI-Gesetz und den Vorschriften zur Datenverwaltung besonders wichtig ist. Der Data Governance Act (DGA) und der Data Act legen strenge Bedingungen für den Zugriff, den Austausch und die Verarbeitung von Daten fest, die in KI-Schulungen verwendet werden.

Organisationen, die KI entwickeln oder einsetzen, müssen Folgendes sicherstellen:

• Rechtlicher Datenzugriff gemäß dem Datengesetz für IoT und vernetzte Geräte.
  
• Transparenzpflichten, wenn Sie im Rahmen der DGA als Datenvermittler tätig sind.
  
• Einhaltung der DMA-Einschränkungen, wenn sie Gatekeeper sind, die Plattformdaten verarbeiten.
  

Hier spielt DSPM for AI eine entscheidende Rolle und bietet einen Überblick darüber, wo sensible Daten gespeichert sind, wer darauf zugreift und wie sie in KI-Modelle einfließen. Dies stärkt nicht nur die Einhaltung der Vorschriften, sondern verhindert auch Datenlecks und Missbrauch.

Praktische Implikationen: Das KI-Gesetz ganzheitlich lesen

Praktiker müssen, um das KI-Gesetz zu verstehen, es als Teil dieses größeren regulatorischen Ökosystems betrachten. Um die tatsächliche Einhaltung des EU-KI-Gesetzes zu erreichen, müssen Unternehmen mehrere regulatorische Verpflichtungen aufeinander abstimmen:

• GDPR: Rechtmäßige Datenverarbeitung und Datenschutzmaßnahmen
  
• DSA: Inhaltsmoderation und algorithmische Transparenz
  
• DMA: Rechenschaftspflicht der Plattform und antimonopolistische Datennutzung
  
• DGA & Data Act: fairer Datenaustausch und Zugriffsrechte
  

Jedes Gesetz verstärkt das andere und bildet einen kohärenten Rahmen für digitale Rechte, der Innovation mit Vertrauen und Sicherheit in Einklang bringt.

Fazit: Die Zukunft der KI-Datensicherheit in der EU

Der Ansatz der EU zur digitalen Regulierung, von der DSGVO bis zum KI-Gesetz, spiegelt eine kohärente Vision wider: Technologie muss der Menschenwürde, den Grundrechten und demokratischen Werten dienen. Jede Verordnung befasst sich mit einer anderen Facette der digitalen Wirtschaft, aber sie haben gemeinsame Prinzipien: Transparenz, Rechenschaftspflicht und risikobasierte Proportionalität.

Für Unternehmen, die KI-Systeme auf dem EU-Markt einsetzen oder den EU-Markt beeinflussen, bedeutet diese Vernetzung, dass die Einhaltung von Vorschriften nicht isoliert werden kann. Um die Einhaltung des EU-KI-Gesetzes zu erreichen, müssen Sie die Verarbeitungsprinzipien der DSGVO, die Plattformverpflichtungen der DSA, die Gatekeeper-Einschränkungen von DMA und die Bestimmungen des Datenschutzgesetzes, die Ihre Datenquellen regeln, verstehen. Zusammengenommen bilden diese Gesetze einen integrierten Rahmen, in dem jede Verordnung die anderen verstärkt und präzisiert.

Moderne KI-Sicherheitsplattformen wie Cyera ermöglichen es Unternehmen, diese Prinzipien zu operationalisieren, sensible Daten abzubilden, den Zugriff nach den geringsten Rechten durchzusetzen und Compliance-Automatisierung in alle KI-Workflows einzubetten.

Häufig gestellte Fragen

Was ist das EU AI Act?
Es ist die umfassende Verordnung der EU, die KI-Systeme regelt, sie nach Risiken klassifiziert und strenge Regeln für Anwendungen mit hohem Risiko durchsetzt.

In welcher Beziehung steht die DSGVO zum KI-Gesetz?
Das KI-Gesetz baut auf den Datenschutzprinzipien der DSGVO auf und erweitert sie auf algorithmische Entscheidungsfindung, KI-Risikomanagement und Transparenz.

Was ist DSPM für KI?
Data Security Posture Management (DSPM) für KI überwacht kontinuierlich, wie sensible Daten in und durch KI-Modelle fließen, um die Einhaltung von Vorschriften sicherzustellen und Risiken zu reduzieren.

Wer muss das KI-Gesetz einhalten?
Jede Organisation, die KI-Systeme in der EU entwickelt oder einsetzt oder KI-gestützte Dienste für in der EU ansässige Personen anbietet, fällt in ihren Zuständigkeitsbereich.

Sind Sie bereit, Ihre KI-Sicherheits- und Compliance-Strategie zu stärken?

Um die Einhaltung des EU-KI-Gesetzes zu erreichen, sind Transparenz, Verwaltung und Kontrolle in Ihrem gesamten Datenökosystem erforderlich. Die KI-Sicherheitsplattform von Cyera hilft Ihnen dabei, die Einhaltung der DSGVO, des KI-Gesetzes und des Datengesetzes zu vereinheitlichen, sensible Daten zu schützen und gleichzeitig Innovationen zu ermöglichen. 👉 Holen Sie sich eine Demo um zu erfahren, wie Cyera Ihrem Unternehmen helfen kann, sicher, konform und zukunftsfähig zu bleiben.