Der Entwicklungsstand der KI-Verordnung

Der Entwicklungsstand der KI-Verordnung

Die Europäische Verordnung über künstliche Intelligenz (KI-Verordnung bzw. AI-Act) ist am 01. August 2024 in Kraft getretenwobei einzelne Regelungen sukzessive wirksam werden. Zu den einzelnen Änderungen finden Sie hier bereits erste Informationen. Die KI-Verordnung differenziert in ihren Verpflichtungen nach der Zuordnung zu Risikogruppen der jeweiligen KI-Systeme.

Pflichten ab Februar 2025

Ab dem 02. Februar 2025 werden die Titel I und II der KI-Verordnung wirksam.  

Der erste Teil enthält allgemeine Bestimmungen, namentlich den Gegenstand des Gesetzes, den Anwendungsbereich, die Definitionen sowie Regelungen der sogenannten KI-Kompetenz.

Anbieter und Betreiber müssen die KI-Kompetenz ihrer Mitarbeitenden sicherstellen. Das beinhaltet umfassende technische Kenntnisse, Erfahrung sowie die Ausbildung und Schulung im Bereich der Künstlichen Intelligenz. Davon umfasst sind auch Unternehmen, die mit KI arbeiten. 

Die KI-Verordnung sieht keine konkreten Maßnahmen vor, um die geforderte KI-Kompetenz zu vermitteln. Allerdings wird das bloße Selbststudium den Anforderungen nicht genügen. Vielmehr sollen Schulungen und Weiterbildungsprogramme dafür sorgen, dass ein einheitlicher Wissens- und damit auch Kompetenzstand erreicht wird. Gegenwärtig wird an Leitlinien zur Umsetzung des AI-Acts gearbeitet, welche beispielsweise die Ernennung eines KI-Beauftragten sowie entsprechende Arbeitsgruppen einbeziehen.

Im zweiten Teil werden in dem einzigen Artikel 5 verbotene Praktiken im Zusammenhang mit Künstlicher Intelligenz statuiert. Das sind zum Beispiel Social Scoring oder Systeme zum Zweck der kognitiven Verhaltensmanipulation. Maßgebend ist, dass bei diesen KI-Praktiken eine Bedrohung in der Form ausgeht, dass sie täuschen oder Personen aufgrund gewisser Merkmale zu einem bestimmten Verhalten manipulieren. Die Verwendung solcher KI-Systeme ist im Allgemeinen eher selten, aber dennoch sollten bereits verwendete Systeme überprüft werden. Auch zunächst harmlos wirkende Funktionen, wie zum Beispiel die Feststellung der Stimmung in Video-Konferenzen kann darunterfallen. Solche Praktiken sind nur in Ausnahmefällen zulässig.


Probleme der neuen Pflichten

Problematisch ist, dass es keine Frist zur Umsetzung von Schulungen gibt. Ab Wirksamwerden müssen die Mitarbeitenden lediglich über ausreichende Kompetenz verfügen. In Verbindung mit der fehlenden Nennung von geeigneten Maßnahmen in der KI-Verordnung selbst führt dies zu einer gewissen Unsicherheit, wie ein hinreichender Stand an KI-Kompetenz überhaupt erreicht werden kann.

In dem Zusammenhang ist auch zu beachten, dass die Kontrolle der Umsetzung der Verpflichtungen den nationalen Behörden obliegen soll. In Deutschland wird voraussichtlich die Bundesnetzagentur die Aufsicht übernehmen, die Einrichtung der Aufsichtsbehörde soll jedoch erst zum 02. August 2025 erfolgen. Mangels bestehender Aufsichtsbehörde ist zunächst unklar, was die Konsequenz einer Nichteinhaltung sein wird. Nicht geklärt ist deshalb, ob ungeschulte Mitarbeitende ab Wirksamwerden nicht mehr mit KI arbeiten dürfen.

Unternehmen sollten jedoch im Auge behalten, dass eine unterlassende Schulung der Mitarbeitenden eine Schadensersatzpflicht auslösen kann, sofern ein Schaden durch die Verwendung Künstlicher Intelligenz entstanden ist, welcher bei ordnungsgemäßer Schulung hätte verhindert werden können. 

Das führt dazu, dass eine entsprechende Schulung eine Sorgfaltspflicht der Unternehmen darstellt und aufgrund der potenziellen Schadensersatzpflicht im Eigeninteresse der Anbieter oder Betreiber liegt.

 

Wirksamwerden weiterer Pflichten

Schrittweise werden weitere Regelungen der KI-Verordnung wirksam.

Ab dem 02. August 2025 treten neben Verwaltungsvorschriften auch Regelungen über KI-Systeme für allgemeine Zwecke in Kraft. Unter „allgemeine Zwecke“ sind vielseitig einsetzbare KI-Systeme zu verstehen. Anbieter von solchen Systemen, die vor diesem Zeitpunkt in den Verkehr gebracht oder in Betrieb genommen wurden, müssen bis zum 02. August 2027 mit den Vorschriften des AI-Acts in Einklang gebracht werden.

Ab diesem Zeitpunkt sollen Behörden in den Mitgliedsstaaten eingerichtet werden, welche Konformitätsbewertungen von Hochrisiko-Systemen vornehmen. Außerdem sollen auch auf Unionsebene Verwaltungsapparate eingerichtet werden, nämlich ein Büro für Künstliche Intelligenz und ein entsprechendes Gremium. Zusätzlich treten die in Kapitel 12 genannten Sanktionen in Kraft.

Die meisten übrigen Bestimmungen werden am 02. August 2026 wirksam, mit Ausnahme des Art. 6 Abs. 1 KI-VO. Das sind umfassende Regelungen für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen innerhalb der Europäischen Union. 

Ab dem 02. August 2027 werden die Vorschriften auf risikobehaftete Systeme ausgeweitet, die bereits durch andere EU-Bestimmungen reguliert werden. Bestandteile von bestimmten IT-Großsystemen, die vor diesem Zeitpunkt in den Verkehr gebracht oder in Betrieb genommen wurden, müssen bis zum 31. Dezember 2030 mit den Vorschriften der KI-Verordnung konform sein. 

Worauf sollten Unternehmen achten?

Unternehmen sollten vor allem auf die Schulung ihrer Mitarbeitenden achten. Sofern ein sicherer und fachkundiger Umgang jeder Person, die mit Künstlicher Intelligenz arbeitet, sichergestellt ist, kann der Angst einer Schadensersatzpflicht vorgegriffen werden. Außerdem ist es sinnvoll, bereits vor Inkrafttreten festzustellen, welche Arten der KI in dem Unternehmen genutzt werden, um künftige Pflichten eingrenzen zu können. Vorab kann eine Information über Schulungs- oder Weiterbildungssysteme sowie die Einteilung nach Wissensstand helfen, um den Bedarf im Unternehmen zu ermitteln. Auch eine etwaige Beteiligung des Betriebsrats muss berücksichtigt werden.

Außerdem sollten Sie bereits jetzt sicherstellen, dass Sie kein verbotenes KI-System im Sinne des Art. 5 Abs. 1 KI-VO verwenden und falls doch, ob eine Ausnahme greift.

Gerne prüfen wir Ihre bereits verwendeten Systeme und unterstützen Sie im Hinblick auf geeignete Maßnahmen für einen mit der KI-Verordnung konformen Umgang mit Künstlicher Intelligenz. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Das Barrierefreiheitsstärkungsgesetz

Das Barrierefreiheitsstärkungsgesetz

Bietet Ihr Unternehmen eine Ware oder eine Dienstleistung innerhalb der Europäischen Union an? Allein das kann bedeuten, dass Sie künftig einige neue Regelungen zu beachten haben. 

Einführung

Am 28. Juni 2025 soll das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft treten, welches die Richtlinie (EU) 2019/882 über die Barrierefreiheitsanforderungen bei Produkten und Dienstleistungen (European Accessibility Act, kurz: EAA) in das deutsche Recht umsetzt. 

 

Enthalten sind Regelungen, die eine gleichberechtigte und diskriminierungsfreie Teilhabe durch technische Anforderungen sowie barrierefreie Information bei bestimmten Produkten und Dienstleistungen ermöglichen sollen. In den Mitgliedstaaten der Europäischen Union soll so ein einheitlicher Standard geschaffen werden. Eine größere Verfügbarkeit günstiger barrierefreier Produkte und Dienstleistungen führt im Idealfall auch zu einer Stärkung des Europäischen Binnenmarkts.

 

Von den Regelungen betroffen sind jegliche Marktakteure, die Produkte der folgenden Kategorien oder eine der folgenden Dienstleistungen im Europäischen Binnenmarkt anbieten. Gemeint sind damit Hersteller, Importeure, Händler oder Erbringer von Dienstleistungen. 

 

Betroffene Produkte und Dienstleistungen

Von dem Gesetz umfasst sind Produkte oder Dienstlesitungen, die dem Verbraucher gegenüber angeboten werden. Das bedeutet im Umkehrschluss, dass rein private Angebote sowie Angebote im B2B-Bereich (Business to Business) nicht in den Anwendungsbereich fallen.


Zu den betroffenen Produkten gehören folgende Produkte, die nach dem 28.06.2025 in den Verkehr gebracht worden sind:


–  E-Book-Lesegeräte, Computer, Notebooks, Tablets, Smartphones

– Selbstbedienungsterminals, also Zahlungsterminals, Geldautomaten, Fahrausweisautomaten, Check-In-Automaten, Selbstbedienungsterminals zur Bereitstellung von Informationen

–      Hardwaresysteme inklusive Betriebssystemen

– Verbrauchergeräte  mit interaktivem Leistungsumfang, die für Telekommunikationsdienste oder für den Zugang zu audiovisuellen Mediendiensten verwendet werden 

 

Von dem BFSG betroffen sind folgende Dienstleistungen:


  – Dienstleistungen im elektronischen Geschäftsverkehr, was bedeutet, dass grundsätzlich Webshops und Apps betroffen sind

  – Telekommunikations- und Messengerdienste

  – Bankdienstleistungen für Verbraucher 

  – E-Books und hierfür bestimmte Software

  – Elemente von Personenbeförderungsdiensten, damit sind Apps, Webseiten, elektronische Tickets, die Bereitstellung von Verkehrsinformationen und interaktive Selbstbedienungsterminals gemeint 

 

Regelungen im Einzelnen 

Im Vordergrund stehen Maßnahmen, die es den Verbrauchern ermöglichen sollen, Produkte oder Dienstleistungen ohne Einschränkungen in Anspruch nehmen zu können.
 

Das soll dadurch gewährleistet werden, dass eine Wahrnehmung grundsätzlich immer über zwei Sinne möglich ist. Neben der Möglichkeit einer visuellen Wahrnehmung, muss künftig also beispielsweise auch eine auditive Wahrnehmung zur Verfügung stehen. Daneben muss es für den Verbraucher ohne Probleme möglich sein, durch Einstellungen Einfluss auf die Darstellung zu nehmen. Als Beispiele sind hierfür sind 

–  die Veränderung der Schriftgröße oder

– des Kontrastes 

– die Einstellung verschiedener Farben oder Lautstärken

– die Auswahl, das ein Text vorgelesen wird

 

zu nennen. 

Weitere Maßnahmen sind insbesondere Kennzeichnungspflichten, verständliche Gebrauchsanweisungen und Sicherheitsinformationen, wobei diese Informationen auch leicht auffindbar oder aufrufbar sein müssen.

 

Bei Produkten müssen die Vorgaben auch im Rahmen von Gebrauchsanweisungen sowie Verpackungen beachtet werden. Wichtig ist, dass die gesamte Steuerung, Bedienung oder auch Kommunikation mit dem Lieferanten oder Hersteller im Zusammenhang mit einem Produkt einfach und verständlich erfolgt, so dass jeglicher Umgang mit demselben für den Verbraucher reibungslos funktioniert. Auch unabhängig von motorischen Fähigkeiten muss der Gebrauch möglich sein, was im Hinblick auf Verpackungen von Relevanz sein könnte.

 

Dienstleister sollen im Wege der Allgemeinen Geschäftsbedingungen über die Barrierefreiheit der Dienstleistung aufklären und die Inanspruchnahme ihrer Leistung in barrierefreierweise erläutern. Hersteller unterliegen Dokumentations-, Informations- sowie Kennzeichnungspflichten, während Händler Prüfpflichten erfüllen müssen und die Verantwortung für die Lieferkette tragen.

 

Eine Besonderheit des Gesetzes ist, dass Webseiten, die auf den Abschluss eines Verbrauchervertrages zielen, ebenfalls den Anforderungen unterliegen. Damit unterfallen bereits Buchungsportale für Dienstleistungen dem Gesetz, obwohl die Dienstleistung selbst möglicherweise gar nicht den Barriere-Anforderungen entsprechen muss. Das birgt die Gefahr, dass von Dienstleistungserbringern schlichtweg übersehen werden kann, dass sie die Barriere-Anforderungen umsetzen müssen. 

 

Von den Regelungen umfasst sein werden Produkte oder Dienstleistungen, die nach dem 28. Juni 2025, also nach Inkrafttreten des BFSG, in den Verkehr gebracht oder für Verbraucher erbracht werden. Die Normen verpflichten Hersteller, Händler, Importeure und Dienstleistungserbringer. 

 

Ausnahmen des BFSG

Ausnahmen bestehen dann, wenn zum Beispiel Webseiten nach dem 28.06.2025 nicht mehr aktualisiert oder bearbeitet werden oder bei aufgezeichneten zeitbasierten Medien, die vor dem 28.05.2025 veröffentlicht wurden. Gemeint sind damit Audio- oder Videoaufnahmen. 

 

Dienstleistungen unter Einsatz von Produkten, die vor dem 28.06.2025 rechtmäßig eingesetzt wurden, dürfen noch bis zum 27.06.2030 erbracht werden.

 

Kleinstunternehmen, die eine der obengenannten Dienstleistungen erbringen, sind von dem Anwendungsbereich ausgenommen. Das sind Unternehmen, die weniger als zehn Personen beschäftigten und entweder einen Jahresumsatz von höchstens 2 Millionen Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 2 Millionen Euro beläuft. Stellt ein Kleinstunternehmen jedoch eines der genannten Produkte her, so ist es zur Barrierefreiheit verpflichtet. 

 

Sofern die Einhaltung der Anforderungen für ein Unternehmen ein wirtschaftliches Risiko darstellt, kann das Unternehmen von der Verpflichtung ausgenommen werden. 

 

Allein diese Ausnahmen zeigen, dass das BFSG viele Sonderfälle enthält. Eine Einzelfallprüfung, welche Maßnahmen bis zu welchem Zeitpunkt ergriffen werden müssen, ist dementsprechend unerlässlich.

 

Schlussbetrachtung: Was haben Unternehmen zu beachten?

Im Ergebnis sollte im Wege des BFSG beachtet werden, dass die dem Verbraucher und damit auch der Allgemeinheit zugutekommenden Vorschriften auch zu einem entscheidenden Vorteil von Unternehmen führen kann. Sofern ein Unternehmen Produkte oder Dienstleistungen sowohl auf dem EU-Binnenmarkt als auch in Drittländern anbietet, kann der hohe Standard an Barrierefreiheit zu einem wettbewerblichen Vorteil führen. Mit standardisierten technischen Verfahren sollte eine Umsetzung der Vorschriften künftig auch ohne großen Mehraufwand möglich sein.

Gerne beraten und unterstützen wir Sie bei der Überprüfung Ihrer Webseiten, Dienstleistungen und Produkten sowie der Umsetzung der Barriere-Anforderungen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

AI Act: Eine Weichenstellung in der Regulierung künstlicher Intelligenz

AI Act: Eine Weichenstellung in der Regulierung künstlicher Intelligenz

AI Act – was sich jetzt ändert

Einleitung

Die rasante Entwicklung der Künstlichen Intelligenz (KI) stellt die Gesellschaft vor neue Herausforderungen und Chancen. Schon heute sind Chatbots und KI-generierte Bilder und Videos weit verbreitete Manifestationen dieser Technologie. 

Um die Risiken zu minimieren und die Vorteile zu maximieren, hat die Europäische Union den AI Act verabschiedet. Dieses Gesetz gilt als eines der weltweit ersten umfassenden Regelwerke für den Einsatz von KI und soll einen Rahmen für die Entwicklung und den Einsatz von KI-Systemen schaffen, der die Grundrechte und Werte der EU schützt.

Was regelt der AI Act, und warum?

Ziel des AI Act ist es, einen einheitlichen Rechtsrahmen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der Europäischen Union zu schaffen. Dabei orientiert es sich am Produktsicherheitsrecht.

KI-Systeme werden nach ihren potenziellen Risiken für Sicherheit, Grundrechte und Demokratie in verschiedene Kategorien eingeteilt. Anwendungen, die als inakzeptabel angesehen werden, wie z.B. Sozialkredit-Systeme wie in China, soziale Manipulation oder Massenüberwachung, werden verboten. KI-Systeme mit hohem Risiko, wie sie beispielsweise in der Strafverfolgung oder im Personalwesen eingesetzt werden, müssen strenge Anforderungen an Transparenz, Robustheit und menschliche Aufsicht erfüllen. Der AI Act soll dazu beitragen, dass KI-Systeme ethisch vertretbar und transparent entwickelt und eingesetzt werden.

Der AI Act unterscheidet zwischen verschiedenen Risikokategorien von KI-Systemen und legt je nach Risiko unterschiedliche Anforderungen fest. Bestimmte KI-Anwendungen, die als Gefahr für die Grundrechte oder die öffentliche Sicherheit angesehen werden, sind verboten. Für KI-Systeme mit hohem Risiko gelten strenge Anforderungen an Datenqualität, Robustheit, Transparenz und menschliche Aufsicht. Die EU-Mitgliedstaaten sind für die Marktüberwachung zuständig und müssen sicherstellen, dass KI-Systeme die Anforderungen des AI Act erfüllen. Eine europäische Behörde soll die Zusammenarbeit der Mitgliedstaaten koordinieren und die einheitliche Anwendung des AI Act sicherstellen.

Der AI Act wird erhebliche Auswirkungen auf die Entwicklung und den Einsatz von KI-Systemen haben. Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen sich auf umfangreiche Anpassungen einstellen. Insbesondere für Unternehmen, die KI-Systeme in risikoreichen Bereichen einsetzen, wird der administrative Aufwand steigen. Anbieter von Hochrisiko-Systemen müssen eine sog. Konformitätsbewertung durchlaufen, um ihr Produkt in der EU auf den Markt zu bringen. Gleichzeitig bietet der AI Act auch Chancen für Unternehmen, die sich an die neuen Regeln anpassen und vertrauenswürdige KI-Lösungen anbieten können.

Kritiker argumentieren, dass die Anforderungen, insbesondere für risikoreiche KI, zu hoch und bürokratisch sind. Dies könne Innovationen hemmen und kleinere Unternehmen benachteiligen. Die Definitionen von Begriffen wie „Hochrisiko-KI“ sind teilweise unklar und führen zu Rechtsunsicherheit. Die Beurteilung, welche KI-Systeme als risikoreich einzustufen sind, ist subjektiv und kann zu unterschiedlichen Interpretationen führen. Zudem erschwert die schnelle Entwicklung von KI-Modellen eine statische Risikobewertung. Zu strenge Vorschriften könnten die europäische KI-Forschung und -Entwicklung behindern und dazu führen, dass Unternehmen ihre Aktivitäten in Regionen mit weniger strengen Vorschriften verlagern.  

Dies könnte dazu führen, dass Europa im globalen Wettlauf um die Führungsrolle im Bereich der KI zurückfällt.

Was ist bei der Regulierung nach dem AI Act zu beachten?

Der AI Act ist ein wichtiger Schritt in Richtung einer ethischen und verantwortungsvollen Entwicklung von künstlicher Intelligenz. Mit der Einführung eines umfassenden Rechtsrahmens schafft die EU die Grundlage für den Einsatz von KI-Systemen. 

Unternehmen und Entwickler müssen sich auf die neuen Anforderungen einstellen, um weiterhin erfolgreich am Markt bestehen zu können. Gleichzeitig bietet der AI Act auch Chancen für Innovation und Wachstum in diesem Bereich. Wichtig ist jedoch, die Kritik ernst zu nehmen und den Rechtsrahmen kontinuierlich zu evaluieren und anzupassen. Ein ausgewogenes Verhältnis zwischen Regulierung und Innovation ist entscheidend, um die Vorteile von KI zu nutzen und die Risiken zu minimieren.

Wenn Sie Fragen zum AI Act oder zu anderen Aspekten der KI-Regulierung haben, setzen Sie sich mit uns in Verbindung. Unser Expertenteam steht Ihnen gerne zur Verfügung, um Sie umfassend zu beraten und Ihre Anliegen zu klären. Ob Sie Unterstützung bei der Umsetzung der neuen Regelungen benötigen oder einfach nur mehr über die Auswirkungen auf Ihr Unternehmen erfahren möchten – wir sind für Sie da! Kontaktieren Sie uns und lassen Sie uns gemeinsam die Chancen und Herausforderungen der Künstlichen Intelligenz erkunden. Wir freuen uns auf Ihre Nachricht!

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Sicherer Umgang mit KI im Unternehmensalltag

Sicherer Umgang mit künstlicher Intelligenz im Unternehmensalltag 

Was darf Ki im Unternehmen?

Einleitung

Wir haben in unserem ersten Artikel bereit einen kurzen Überblick darüber gegeben, was genau eigentlich unter Künstliche Intelligenzen (KI) verstanden wird und haben in diesem Rahmen die Verordnung zur Regulierung von KI den sogenannten Artificial Intelligence Act (AI Act) beleuchtet. 

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und Darstellen wie man KI im Unternehmen einsetzten kann. 

Künstliche Intelligenzen sind heute aus dem Unternehmensalltag nicht mehr wegzudenken. Sie ermöglichen Innovation, Effizienz und könnten europäischen Unternehmen einen Wettbewerbsvorteil verschaffen. Mit dem AI Act soll ein Regelwerk für den sicheren Umgang mit Künstlichen Intelligenzen in der Europäischen Union festgelegt werden (dazu haben wir bereits in unserem ersten Artikel Stellung genommen.). Adressaten dieses Gesetzes sind nicht nur die Entwickler von KI, sondern auch Unternehmen, die KI nutzen. Welche laut Lars Klingholz, Leiter Künstliche Intelligenz beim Digitalverband Bitcom, ein Großteil der europäischen Unternehmen sein. Der Verband begrüßt jedoch den AI Act und sieht ihn als Möglichkeit nachhaltig KI einzusetzen. 

Wie kann man Künstliche Intelligenzen im Unternehmen nutzen? 

Ob in Form eines Chatbot im Bereich des Kundenservice, zur Auswertung von Kundenbewertungen, in Gestalt von Robotern in der Fabrikation oder gar Tools zur Zusammenfassung von Kundengesprächen, die Einsatzmöglichkeiten von KI in Unternehmen sind vielfältig. 

KI ist in der Lage, ganze Aufgabenbereiche selbständig zu übernehmen und kann dabei helfen, neue Produkte und Dienstleistungen zu entwickeln, Vertriebswege zu optimieren und die Produktionsleistung zu steigern. Das Europäische Parlament hofft, dass dies zu einer positiven Entwicklung in Sektoren führen wird, die bereits in der Europäischen Union etabliert sind, wie Maschinenbau, Landwirtschaft, Gesundheitswesen oder auch Mode. 

Im Bereich Human Resources kann KI beispielsweise bei der Einstellung neuer Mitarbeiter:innen unterstützen, indem sie das gesamte Verfahren der Stellenausschreibung, der Durchführung des Bewerbungsgesprächs und der Auswahl der Teilnehmenden übernimmt. Einzig die Entscheidung, welcher Kandidat eingestellt wird, muss dann nur noch der Arbeitgebende treffen, da automatisierte Einzelentscheidungen nach Art. 22 DS-GVO verboten sind. 

Das Thema Videoüberwachung, insbesondere im Unternehmenskontext ist hingegen heikel und nicht selten mit Stolperfallen für den Arbeitgeber verbunden. Während bei Berufen mit hohem Berufsrisiko, beispielsweise bei der Polizei, KI zur Wahrung des persönlichen Schutzes verwendet wird, ist KI in anderen Bereichen in der Lage die Erstellung von Leistungs- und Bewegungsprofile der Mitarbeitenden zu ermöglichen. Dies stellt jedoch regelmäßig einen nicht notwendigen Eingriff in die Rechte und Freiheiten der Mitarbeitenden dar und soll daher künftig durch das neue Beschäftigtendatenschutzgesetz besser geregelt werden. 

Bei der Nutzung von KI am Arbeitsplatz kann sich auch ein Konflikt mit der Informationspflicht des Arbeitsgebers gegenüber den Arbeitnehmenden ergeben. Neben der Information darüber, dass mit KI gearbeitet wird, ist auch die Offenlegung des Aufbaus und die Funktionsweise des Algorithmus der KI nötig. Oftmals arbeiten Unternehmen jedoch mit KI-Anwendungen anderer Unternehmen, deren Algorithmus ein Geschäftsgeheimnis ist und haben daher selbst keine Kenntnis über die konkrete Funktionsweise der KI. Hieraus kann sich dann ein Informationsdefizit des Arbeitgebers gegenüber den Arbeitnehmenden ergeben. 

Künstliche Intelligenzen sind imstande, zahlreiche Aufgaben übernehmen. Wie sieht es mit den Arbeitsplätzen aus? 

Bei vielen Arbeitnehmenden besteht nach wie vor die Sorge aufgrund von KI ihren Arbeitsplatz zu verlieren. Künstliche Intelligenzen sind stetig in der Entwicklung und erweitern daher täglich ihr Wissen und ihre Fähigkeiten. Während einige Ökonomen dies für Berufe mit routinierten Tätigkeiten vorhersagen, sehen andere das Problem eher bei den fehlenden Investitionen in die Entwicklung von KI, insbesondere in Deutschland. Durch diesen Marktanteilverlust würden viel mehr Arbeitsplätze verloren gehen und nicht etwa durch die Übernahme von Tätigkeiten durch KI. Während in den USA allein im Jahr 2022 47,4 Mrd. US-Dollar in die Entwicklung Künstlicher Intelligenzen investiert wurde, gefolgt von China mit 13,4 Mrd. US-Dollar, waren es in Deutschland hingegen nur 2,4 Mrd. US-Dollar. Allerdings investierte auch kein anderer EU-Staat mehr.  

Welche konkreten Probleme ergeben sich beim Einsatz von KI im Unternehmensalltag? 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert in einer Stellungnahme den Einsatz von generativer KI-Anwendungen durch Arbeitnehmende am Arbeitsplatz. Gerade durch die Integration generativer KI in alltäglich genutzte Anwendungen wie Textverarbeitungsprogrammen oder auch Suchmaschinen ist die Hürde für die Nutzung denkbar gering. Arbeitnehmende müssen sich dessen bewusst sein, dass sie auch hier die datenschutzrechtlichen Grundsätze beachten und insbesondere eine Rechtsgrundlage für die Verarbeitung haben müssen. Dabei sind insbesondere Arbeitgeber in der Pflicht, entsprechend zu schulen und ihre Beschäftigten für die Problematik zu sensibilisieren. Die Verwendung solcher Systeme führt zudem häufig zu einem Konflikt mit dem datenschutzrechtlichen Transparenzgebot. Es ist häufig kaum oder gar nicht zu erkennen aus welchem Datenpool die KI ihr Wissen bezieht. 

Ein Fall aus den USA zeigt, dass das Wissen der KI auch veraltet oder vielmehr noch die herausgegebenen Informationen falsch sein kann. Ein Anwalt aus den USA hatte mithilfe des Chatbots ChatGPT nach Präzedenzfällen im Zusammenhang mit Verjährungen gesucht. ChatGPT hatte ihm daraufhin falsche Fälle präsentiert. Die KI war in der Lage mithilfe ihres Wissens ganze Fallakten zu erfinden, welche wiederum Verweise auf weitere erfundene Gerichtsurteile enthielten. Das Gericht sah darin einen Täuschungsversuch, welcher gravierende Folgen für den Rechtsanwalt haben könnte.  

Kompliziert wird es also vor allem bei der Frage der Haftung. Ob Fehler auf Anwender- oder Programmfehler zurückzuführen sind, kann gegebenenfalls schwierig zu beweisen sein. Auch bei der Generierung von Bildern stellt sich die Frage, wem dieses gehört. Dem Unternehmen, dass die KI eingesetzt hat, dem Mitarbeiter, der die Daten in das System eingespeist hat oder doch dem Entwickler? 

Fazit und Ausblick 

KI im Unternehmen? Ja oder nein? 

Ob der Einsatz von KI-Anwendungen sinnvoll ist, hängt von dem Tätigkeitsbereich ab. Innerhalb der Produktion stellt die Verwendung von KI eher kein Problem dar. Auch für Recherchearbeiten oder im Bewerbungsverfahren kann KI eine Erleichterung darstellen, jedoch sollten die ausgegebenen Informationen anschließend kontrolliert werden.  

Bei der Bewertung des Einsatzes von KI muss jedoch klar differenziert werden, ob gerade personenbezogene Daten verwendet werden und basierend darauf abgewogen werden, ob eine Nutzung nicht mit einem zu hohen Risiko verbunden ist. Grundsätzlich können Künstliche Intelligenzen für Unternehmen ein großer Gewinn sein, die Anwendung ist jedoch mit Vorsicht zu genießen.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Regulierungen von Künstlicher Intelligenz – Was plant die EU?

Regulierung von Künstlicher Intelligenz - Was plant die EU?

Neue EU-Verordnung zur Regulierung von künstlicher intelligenz

Die Rechtslage bezüglich Künstlicher Intelligenz (KI) ist momentan noch undurchsichtig. Daher hat das EU-Parlament nach dem Vorschlag vom April 2021 nun eine Verordnung zur Regulierung von KI, den sogenannten Artificial Intelligence Act (AI Act), verabschiedet.  Ziel der Verordnung ist es, einheitliche Anforderungen für die Nutzung von KI-Anwendungen zu schaffen, die das Potential von künstlicher Intelligenz ausschöpfen und gleichzeitig den Schutz von Daten des Einzelnen gewährleisten. 

Doch was genau ist Künstliche Intelligenz und wie funktioniert sie? 

Unter dem Begriff “Künstlicher Intelligenz” versteht das Europäische Parlament die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. Sie kann z.B. aus früheren Handlungen lernen und so selbstständig ihr Verhalten anpassen. Gängige Beispiele für KI-Systeme sind persönliche digitale Assistenten auf Smartphone, Online-Shopping, Web-Suche und autonome Autos.  

Die konkreten Funktionsweisen sind jedoch unterschiedlich. Der Chatbot ChatGPT des Betreibers OpenAI beispielsweise beruht auf der Sprach-KI GPT-3, die zuerst gelernt hat, wie Sprache im Internet funktioniert. ChatGPT lernt neue Informationen sowohl unüberwacht und selbstständig als auch überwacht mithilfe von menschlichem Feedback. Grundsätzlich nutzt die KI maschinelles Lernen, um künstliche neuronale Netze zu bilden, die dem menschlichen Nervensystem ähneln. 

Welche Regulierungen von Künstlicher Intelligenz wird es geben? 

Mit dem AI Act hat die EU-Kommission ein Gesetz über Künstliche Intelligenz veröffentlicht. Er enthält konkrete Vorschläge zur Reglung im Umgang mit KI in der Forschung und Wirtschaft. 

Im Rahmen des AI Act erfolgt eine Einteilung der Anwendungen in die folgenden vier Risikoklassen: minimales, geringes, hohes und unannehmbares Risiko.  

Bei der letztgenannten Kategorie erfolgt ein Verbot ihrer Anwendung. KI, die die Sicherheit von Menschen gefährdet, z. B. Social Scoring-Systeme oder eine automatische Erkennung von Emotionen, werden als solche bezeichnet.  

Risikoreiche Anwendungen sollen mithilfe von Maßnahmen zur Risikominimierung reguliert werden, wie etwa der Einführung eines Risikomanagementsystems, der Veröffentlichung detaillierter Zusammenfassungen von Daten, die zu Trainingszwecken verwendet wurden und externen Audits. Für risikoärmer KI-Systeme sind bislang wenige bis gar keine Regulierungen geplant. 

Kritik an den Regulierungen 

Alleine die Einteilung in Risikoklassen scheint jedoch schon problematisch zu sein. Bei Multifunktions-KI (sog. generative KI), wie ChatGPT, fehlt es an der Zweckbestimmung, welche gerade das Maß an Regulierung bestimmen soll. Kritisch wird insbesondere gesehen, dass obwohl generative KI seit 2021 bereits existieren, die EU die weiten Anwendungsmöglichkeiten nicht bedacht habe. Es gibt Hinweise darauf, dass geplant ist, solche als Hochrisiko KI einzustufen, was bedeutet, dass diese von hohen Regulierungen betroffen sein könnten. 

Allerdings gibt es auch einige Stimmen, die das Ausmaß der geplanten Regulierungen kritisch sehen. Während sie einerseits in den niedrigen Risikoklassen als nicht weitreichend genug empfunden werden, wird besonders im Wirtschaftssektor angemerkt, dass eine solche Überregulierung europäischen Anbietern im internationalen Konkurrenzkampf schadet und zur Abwanderung in Regionen mit weniger Regulierungen für KI, führt. Vor allem kleinere Unternehmen und Startups würden durch die Umsetzung vor finanzielle Herausforderungen gestellt. 

Was bedeutet das für die Zukunft von Künstlicher Intelligenz in Europa?

In vielen EU-Staaten wurden die Stimmen gerade in Bezug auf generative KI lauter, und einige haben bereits Untersuchungen wegen datenschutzrechtlicher Bedenken eingeleitet. In Italien beispielsweise war der Chatbot gesperrt, bis der Betreiber eine Altersverifizierung und die Möglichkeit einführte, gegen der Datennutzung zu widersprechen. OpenAI Gründer Sam Altman sieht zwar die Notwendigkeit einer Regulierung von KI, hat jedoch bereits angekündigt, sich aus Europa zurückzuziehen, wenn die Regelungen des AI Acts in der Form umgesetzt werden sollten. 

Der AI Act muss nun in einem Trilog zwischen der EU-Kommission und den Mitgliedsstaaten abgestimmt werden, bevor er voraussichtlich im Jahr 2026 in Kraft treten könnte. Ob der Spagat zwischen Regulierung zum Schutz persönlicher Daten vor Missbrauch und technischem Fortschritt gelingen wird, bleibt abzuwarten. 

Wir zeigen Ihnen im zweiten Teil des Artikels die konkreten Einsatzmöglichkeiten von KI und deren Voraussetzungen im Unternehmen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Wieviel EU steckt im Datenschutz von UK & CH?

EU-Datenschutz

Datenschutz im Vereinigten Königreich und der Schweiz

EU-Datenschutz

Wieviel EU steckt im Datenschutz in UK und CH?  

Einleitung

Nach etwas mehr als zwei Jahren nach dem Austritt des Vereinigten Königreichs („UK) werden jetzt die unterschiedlichen Gesinnungen von UK und der Europäischen Union („EU“) deutlich. Der Austritt zieht datenschutzrechtliche Folgen nach sich. Ein dem britischen Parlament vorliegender Gesetzesentwurf befindet sich derzeit noch in der Anfangsphase der Lesungen. Dahinter steckt die Motivation der britischen Regierung, Verbesserungen der 2018 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) vorzunehmen. 

Im Kontrast dazu steht das neueste datenschutzrechtliche Gesetzesvorhaben der Schweiz. Obwohl die Schweiz kein Mitglied der Europäischen Union ist, nähert sie sich dieser in vielerlei Hinsicht an – so auch im Datenschutzrecht. 

Mögliche neue Regelungen in UK 

Die britische Seite kritisiert, dass gemäß den derzeitigen Regelungen gewisse Hürden für Unternehmen und Konsumenten bestünden, weshalb der Regierung ein neuer Gesetzesentwurf namens „Data Protection and Digital Information Bill“ vorliegt.  

So sei es beispielsweise für kleine Unternehmen umständlich, einen Datenschutzbeauftragten zu ernennen. Diese Pflicht soll wegfallen. Weiterhin seien vor allem kleine Unternehmen zunehmend mit einer Ungewissheit konfrontiert, weshalb allgemein ein Verbesserungsbedürfnis bestehe, insbesondere in Bezug auf die vermeintlich hohen datenschutzrechtlichen Anforderungen an Unternehmen. Befürchtet wird ein Regime, das nur auf der Einhaltung von Verpflichtungen basiere anstelle eines Systems, welches zu proaktivem Handeln ermutige.  

Behörden müssen Betroffene nicht mehr über automatisierte Entscheidungsfindung informieren 

Diese Änderung stellt einen großen Unterschied zur EU-DS-GVO dar. Die zuständigen Behörden sollen nicht mehr verpflichtet sein, betroffene Personen über eine automatisierte Entscheidungsfindung zu informieren. Ein begründendes Beispiel: Wenn die Daten einer Person von polizeilichem Interesse sind, würde ein Hinweis an die Person die laufende polizeiliche Untersuchung beeinträchtigen können.  

Die Protokoll-Pflicht entfällt  

Zudem soll die Pflicht zur Erstellung von Protokollen über Datenverarbeitungen wegfallen. Diese Protokolle stellen eine technische und organisatorische Maßnahme im Sinne des Art. 32 EU-DS-GVO dar und dienen der sog. Eingabekontrolle. Hierdurch soll, in DS-GVO konformer Weise, protokolliert werden, wer wann Zugriff auf personenbezogene Daten genommen hat und wie er diese weiterverarbeitet hat (insbes. Veränderung der Daten), um eine unbefugte Verarbeitung nachträglich feststellen und überprüfen zu können. Der britische Gesetzgeber hält dies jedoch für zu ressourcenintensiv, es stünde in keinem Verhältnis zum daraus resultierenden Mehrwert. Es sei unwahrscheinlich, dass jemand, der zu Unrecht auf Daten zugreift, eine ehrliche Rechtfertigung dokumentiere.  

Regelungen zur Einwilligung bleiben, erweitert um eine Liste, wann ein legitimes Interesse an der Datenverarbeitung besteht 

Unverändert erhalten   sollen die Regelungen zur Einwilligung bleiben. Um den Unternehmen aber die Einschätzung zu erleichtern, ob eine Einwilligung erforderlich ist, oder ob die Verarbeitung ggf. auf die flexiblere Rechtsgrundlage des legitimen Interesses gestützt werden kann, hat die Regierung dem neuen Gesetzesentwurf in Anhang 1 eine Liste angefügt. Sie führt auf, unter welchen Voraussetzungen sie ein legitimes Interesse an der Datenverarbeitung anerkennt. Zum Beispiel für die nationale und öffentliche Sicherheit und zur Verteidigung („national security, public security and defence“), oder zum Erkennen, Ermitteln und Verhindern von Straftaten („detecting, investigating or preventing crime“).  

Benennung eines „Senior Responsible Individual“ statt eines Datenschutzbeauftragten 

Die Pflicht zur Ernennung eines Datenschutzbeauftragten soll vor allem für kleine Unternehmen wegfallen. Stattdessen sollen Behörden und Unternehmen unter bestimmten Voraussetzungen eine „leitende verantwortliche Person“ („Senior Responsible Individual“) bestimmen. Sie wäre zuständig für die Datenschutzrisiken innerhalb der Organisation sowie für die Delegierung der erforderlichen Aufgaben an angemessen fähige Personen. Diese Person soll zum „Senior Management“ gehören, und damit eine signifikante Rolle in der Entscheidungsfindung über Verarbeitungsaktivitäten in der Gesamtheit oder wesentlichen Teilen der Organisation einnehmen.  

Sie wäre verantwortlich für die Durchführung oder Delegierung folgender Aufgaben:  

  • Überwachung der Datenschutz-Compliance mit geltenden Gesetzen;  
  • sicherstellen, dass der Verantwortliche Maßnahmen zur Einhaltung der Compliance entwickelt, implementiert und regelmäßig überprüft;  
  • Schulungen der Mitarbeiter;  
  • Bearbeitung von Beschwerden im Zusammenhang mit der Datenverarbeitung;  
  • Bearbeitung von Datenpannen.  

Die Aufgaben der verantwortlichen Person des Senior Managements unterscheiden sich nach dem Gesetzesentwurf nicht wesentlich von den Aufgaben, die der Datenschutzbeauftragte nach der EU-DS-GVO übernimmt oder übernehmen kann. Der wesentliche Unterschied ist also die Zugehörigkeit zum Senior Management.  

Damit dürfte die Unabhängigkeit bzw. die Neutralität der verantwortlichen Person in Frage stehen, denn als Teil des Senior Managements hat sie, im Gegensatz zu einem unabhängigen oder gar externen Datenschutzbeauftragten, wohl ein erhebliches Interesse daran, Datenverarbeitungen ohne größere Hürden zu ermöglichen. Auch wenn die verantwortliche Person ihre Aufgaben an andere fähige Personen des Unternehmens delegieren kann, so besteht doch die Befürchtung, dass künftig die ein oder andere Datenverarbeitung aufgrund des Interesses des Unternehmens eher durchgewunken wird, als wenn ein externer Datenschutzbeauftragter beraten hätte. 

Auch im Hinblick auf die Konsumenten sollen Hürden genommen und Verarbeitungen vereinfacht werden.  

Opt-Out-Verfahren statt Opt-In-Verfahren bzgl. Cookies 

Die Zustimmung zur Cookies-Nutzung auf Websites soll von dem derzeitigen Opt-In-Verfahren in ein Opt-Out-Verfahren umgewandelt werden. Dies solle Nutzern helfen, sich nicht durch zahlreiche Zustimmungsbanner klicken zu müssen und dadurch mögliche Frustration verhindern. Ähnlich wie bei dem Deutschen Verfahren „PIMS“ („Personal Information Management System“) nach dem TTDSG, soll es zudem eine generelle Verwaltungsmöglichkeit und Übersicht über die Datenverarbeitung in den Browser-Einstellungen geben, sodass eine Einwilligung auf jeder einzelnen Website überflüssig werde.  

Soft-Opt-In für Marketing-Maßnahmen durch nicht-kommerzielle Organisationen 

Eine weitere Änderung sieht das neue Gesetzesvorhaben im Rahmen des sog. „Soft-Opt-In“ vor. „Soft-Opt-In“ ermöglicht Direktwerbung an bestehende Kunden zu senden, die dem nicht unbedingt ausdrücklich zugestimmt haben. Bisher war diese Möglichkeit des Marketings nicht-kommerziellen Organisationen verwehrt, nun soll eine Erweiterung diesbezüglich stattfinden. 

Gemeinsames Vorhaben von UK und USA, aber Sanktionen für Datenschutzverstöße wie in der EU 

Bemerkenswert ist auch ist ein geplantes Vorhaben des Vereinigten Königreichs in Kooperation mit den USA. Die beiden Länder gaben in einem gemeinsamen Statement im Juli 2022 bekannt, dass sie den Zugriff auf Daten, welche strafrechtlich relevant sind, zwischen den Staaten erleichtern möchten. Ziel sei es, schwere Kriminalität zu bekämpfen, aber gleichzeitig die demokratischen Standards zu wahren. 

Annäherungen an die Europäische Union gäbe es nach dem Gesetzesentwurf jedoch in Sachen Sanktionen. Das derzeitige Maximum von £ 500.000 soll auf bis zu 4% des Jahresumsatzes eines Unternehmens oder max. £17.5 Mio. erhöht werden. Dies entspricht den vergleichbaren Regelungen der EU-DS-GVO in Art. 83. 

Neue Regelungen in der Schweiz 

Im Gegensatz zum Vereinigten Königreich regelt die Schweiz die Dinge hingegen positiv. Das neue Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) der Schweiz soll am 01.09.2023 in Kraft treten. Die wichtigste Neuerung umfasst die Forderung nach erhöhter Transparenz und Stärkung der Rechte der betroffenen Personen.  

Ausweitung der Informationspflichten gegenüber Betroffenen 

Die erhöhte Transparenz soll unter anderem durch eine Erweiterung der Informationspflichten gewährleistet werden. Diese sind vergleichbar mit den Pflichten aus Art. 13/14 EU-DS-GVO. Ab September nächsten Jahres soll nun auch eine Informationspflicht für die Verarbeitung jeglicher personenbezogenen Daten gelten. Bisher galt dies nur für die Verarbeitung besonders schützenswerter Daten und die Erstellung von Persönlichkeitsprofilen. Außerdem soll die betroffene Person von der verantwortlichen Stelle darüber informiert werden, wenn eine Entscheidung ausschließlich auf automatisierter Verarbeitung beruht. Zusätzlich soll die betroffene Person auch fordern können, dass eine Einzelentscheidung von einer natürlichen Person überprüft werden soll. Eine Einwilligung soll auf jeden Fall bei sog. „Profiling mit hohem Risiko“ notwendig sein. 

Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten 

Vergleichbar mit der aus der EU-DS-GVO bekannten Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, sollen auch nach dem neuen Schweizer DSG alle Datenverarbeitungen vom Verantwortlichen Auftragsbearbeiters (in der EU-DS-GVO Auftragsverarbeiter) dokumentiert werden („Verzeichnis der Bearbeitungstätigkeiten“). Sinngemäß enthalten die Verzeichnisse dieselben Inhalte und Informationen wie sie aus Art. 30 EU-DS-GVO bereits bekannt sind.  

Gesetzliche Regelung der Rolle des Auftragsverarbeiters & Auftragsverarbeitungsvereinbarung 

Die Rolle des Auftragsbearbeiters ist dabei neu und entspricht dem klassischen Auftragsverarbeiter im Sinne der EU-DS-GVO. Die Verarbeitung darf an einen Auftragsbearbeiter nur vertraglich oder durch Gesetz übertragen werden.

Eine weitere Übertragung der Verarbeitung durch den Auftragsbearbeiter an einen Dritten muss vorab durch den Verantwortlichen genehmigt werden. In der DSV finden sich ergänzende Regelungen zu dem dann erforderlichen Vertrag zwischen dem Verantwortlichen und Auftragsbearbeiters.

Die verpflichtenden Inhalte stimmen im Wesentlichen mit den Anforderungen der EU-DS-GVO überein, z.B.: Kategorien der Personendaten sowie der betroffenen Personen; Art und Zweck der Bekanntgabe von Personendaten („Zweck der Verarbeitung“), Datentransfers in weitere Staaten, Empfänger oder Kategorien von Empfänger (bspw. Unter-Auftragsbearbeiter), Anforderungen an Aufbewahrung, Löschung und Vernichtung der Daten, Verpflichtung angemessene Maßnahmen zur Einhaltung der vertraglichen Klauseln.  

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung 

Hinzu kommt – ebenfalls in Anlehnung an die EU-DS-GVO – die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Auch hier entsprechen die schweizerischen Regelungen im Wesentlichen denen des Art. 35 EU-DS-GVO.  

Erhöhung der Sanktionen für Datenschutzverstöße 

Hier hält es die Schweiz wie die UK: Die Sanktionen für Verstöße sollen verschärft werden. Sie erreichen aber bei weitem nicht das Niveau der auf EU-Ebene geregelten Sanktionen. Zwar ist die Rede von „privaten Personen“, jedoch dürfen hier nicht Privatpersonen darunter verstanden werden.

Vielmehr sind hierunter die juristischen Personen des Privatrechts der Schweiz zu verstehen, denn das DSG findet Anwendung auf private Personen und Bundesorgane. Für etwaige Pflichtverletzungen können schweizerische Unternehmen künftig also mit Bußen bis zu 250.000 Franken belegt werden.

Dieser Höchstsatz gilt insoweit für sämtliche mögliche Verfehlungen, also insbesondere Verletzung Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten (hier auf Antrag) und Verletzungen der beruflichen Schweigepflicht sowie bei Missachtung von Verfügungen.

Bei dem derzeitigen Wechselkurs (Stand 26.09.2022) entsprächen 250.000 Franken in etwa 261.977,50 €. Im Vergleich zu den EU-DS-GVO Höchstsätzen von 10 Millionen bzw. 20 Millionen Euro also nur ein Bruchteil.  

Gebührenpflichtige Unterstützung des EDÖB 

Auffällig ist hingegen, dass im Gegensatz EU-DS-GVO oder bspw. dem deutschen Bundesdatenschutzgesetz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB“) Gebühren für bestimmte Leistungen verlangen. Zum Beispiel für: Stellungnahmen zu einem Verhaltenskodex, Genehmigungen von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften, Konsultation aufgrund einer Datenschutz-Folgenabschätzung, Beratung in Fragen des Datenschutzes.

Hier bleibt nur zu hoffen, dass die Gebührenforderungen am Ende nicht zu einem Hindernis für den Datenschutz und die Einhaltung durch die schweizerischen Unternehmen werden. 

Fazit 

Während das Vereinigte Königreich einen eher unternehmensfreundlichen Kurs einschlägt, passt sich die Schweiz mehr den konsumentenfreundlichen Regelungen der EU an und nimmt viele Bestimmungen der EU-DS-GVO in das neue DSG auf.  

Die wesentlichen Änderungen bzw. Angleichungen sollen anhand der nachfolgenden Tabelle veranschaulicht werden.

 

Vergleichstabelle

EU-DS-GVO

Vereinigtes Königreich

Schweiz

Art. 5 I lit. b) 

Grundsatz der Zweckbindung 

Erweiterung um Faktoren, die beachtet werden sollen, wenn ein neuer Zweck hinzukommen soll 

Art. 6 Abs. 1 f) 

Rechtmäßigkeit der Verarbeitung 

Abwägung des Verantwortlichen, ob Interessen an Verarbeitung personenbezogener Daten die Rechte der betroffenen Personen überwiegen 

Liste von berechtigten Interessen, für deren Verarbeitung das Erfordernis der Abwägung entfällt 

Direktmarketing

„Soft-Opt-In“ nun auch für nicht-kommerzielle Organisationen 

Art. 13/14  

Informationspflichten

Abschaffung von Informationspflichten ggü. Betroffenen bzgl. automatisierter Entscheidungsfindung

Informationspflicht nun auch für Verarbeitung jeglicher personenbezogenen Daten

Art. 27 

Ernennung eines EU-Vertreters 

Anforderung aus Art. 27 EU-DS-GVO wurde gestrichen (Paragraf 13 DPDI) 

Wegfall der Pflicht der Ernennung eines Datenschutzbeauftragten für (kleine) Unternehmen 

Benennung eines Vertreters in Schweiz, wenn Verantwortliche nicht in Schweiz ansässig 

Art. 28 

Auftragsverarbeitung 

Auftragsbearbeiter und Vertrag zur Auftragsbearbeitung 

Art. 32 

Technische und organisatorische Maßnahmen (TOMs) 

Verankerung von TOMs 

Art. 35, 36 

Datenschutzfolgenabschätzung 

Wenn Verarbeitung wahrscheinlich zu hohem Risiko für Einzelnen führt 

Anforderung einer vorherigen Konsultation abgeschafft, ersetzt durch freiwilligen Konsultationsprozess (Paragraf 17, 18 DPDI) 

Datenschutzfolgenabschätzung

Art. 83  

Geldbußen 

Im Fokus Unternehmen 

Bis zu 20 Mio. € oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens 

Erhöhung der Bußgelder 

Derzeitiges Maximum bei £ 500.000  

Annährung an EU-DSGVO 

Bis zu 4% des Jahresumsatzes oder £17.5 Mio. 

 

Verschärfung der Sanktionen 

Aber nicht vergleichbar mit Höhe der Geldbußen aus DSGVO 

Bis zu 250.000 Franken 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN