Die KI-Verordnung: Ein Compliance-Monstrum!

Auslegungssache – der c't-Datenschutz-Podcast - Ein Podcast von c't Magazin - Freitags

Nun ist es soweit: Nach jahrelangen Verhandlungen tritt die KI-Verordnung der EU am 1. August tatsächlich in Kraft, weil sie am 14. Juli im Amtsblatt der EU veröffentlicht wurde. Allerdings kommt sie erst nach Übergangsfristen schrittweise zur Anwendung. Verbote von KI-Kategorien, etwa von Social Scoring, treten nach sechs Monaten in Kraft, die Verpflichtungen für allgemeine KI-Modelle (General Purpose AI, GPAI) gelten nach 12 Monaten und die Regeln für hochriskante KI-Systeme gelten nach 36 Monaten. Am meisten Arbeit dürften Unternehmen und Behörden die umfangreichen Transparenz- und Dokumentationspflichten machen. Im c't-Datenschutz-Podcast werfen Redakteur Holger Bleich und heise-Verlagsjustiziar einen genaueren Blick auf diese - je nach Risikokategorie - unterschiedlich scharfen Regeln. Zur Seite steht ihnen dabei Aurea Verebes. Sie berät und auditiert für die Plesnik GmbH Unternehmen, die KI implementieren möchten oder bereits im Unternehmen nutzen. Außerdem hat sie einen Praxisleitfaden für Datenschutzbeauftragte verfasst, in dem sie sich bereits ausführlich mit den neuen Anforderungen der KI-Verordnung befasst hat. Verebes erläutert die Grundstruktur der Verordnung und erklärt, was hinter dem risikobasierten Ansatz steckt. Außerdem erfahrt Ihr von ihr, wo in diesem Regulierungssystem die generative KI, also GPAI-Systeme, verortet ist. Schnell kommen die drei Diskutanten zur Erkenntnis, dass es sich bei der KI-Verordnung vor allem um ein echtes Compliance-Monstrum handelt. So ist beispielsweise in vielen Einsatzfällen von KI nicht nur eine Datenschutz-Folgeabschätzung erforderlich, sondern auch eine Risikoeinschätzung. Für Berater und Auditoren entsteht hier eine wahre Goldgrube.