Grundrechte-Folgenabschätzung nach KI-VO: Wer, wann und wie?

Wie Sie vielleicht schon gehört haben, verlangt die EU-Verordnung über Künstliche Intelligenz (KI-VO) unter bestimmten Umständen die Durchführung einer Grundrechte-Folgenabschätzung (GRFA). Die GRFA soll sicherstellen, dass die Verwendung eines KI-Systems die Grundrechte der natürlichen Personen, die das System nutzen oder davon betroffen sind, nicht beeinträchtigt. Beim Einsatz von KI-Systemen sind insbesondere Eingriffe in die Grundrechte auf den Schutz personenbezogener Daten (Art. 8 EU-Grundrechte-Charta), auf die freie Meinungsäußerung (Art. 11 GRCh), auf Berufsfreiheit (Art. 15 GRCh) oder auf Nichtdiskriminierung (Art. 21 GRCh) denkbar. Wenn Sie sich jetzt denken „Schon wieder? Wir haben doch schon eine Datenschutzfolgen-Abschätzung gemacht!“, dann können wir Ihre Zweifel gut nachvollziehen. Gleichzeitig können wir Sie aber auch beruhigen.

Wer muss wann eine Grundrechte-Folgenabschätzung nach KI-VO durchführen?

Während viele Unternehmen Datenschutz-Folgenabschätzungen (DSFA) durchführen müssen, und meistens mehr als eine, sind voraussichtlich deutlich weniger Stellen von der Pflicht zur Durchführung einer Grundrechte-Folgenabschätzung nach Art. 27 KI-VO betroffen. Folgendes Schema kann zur Orientierung dienen:

Art. 27 KI-VO schränkt zunächst den Kreis der verpflichteten Akteure ein. Nur Akteure, die als Betreiber des KI-Systems eingestuft werden, müssen tätig werden. Darüber hinaus beschränkt die KI-VO die Pflicht auf Hochrisiko-Systeme. Die GRFA ist daher als Teil der umfassenden Pflichten für Betreiber von Hochrisiko-Systemen zu verstehen. Hierbei greift eine wichtige Ausnahme. Der Gesetzgeber geht offenbar davon aus, dass sich beim Einsatz eines Hochrisiko-Systems im Bereich der Kritischen Infrastrukturen das hohe Risiko nicht aus möglichen Eingriffen in die oben genannten Grundrechte speist. Daher sind Hochrisiko-Systeme, die nach Anhang III Nr. 2 KI-VO in den Bereich der Kritischen Infrastruktur fallen, von der Pflicht zur GRFA ausgenommen.

Hingegen müssen Unternehmen und andere private Akteure, bei denen das Hochrisiko-System im Rahmen des Erbringens öffentlicher Dienste betrieben wird, eine GRFA durchführen. Der Begriff „öffentliche Dienste“ klingt im Deutschen recht sperrig und stellt die direkte Übersetzung des englischen Terminus „public services“ dar. Erwägungsgrund 96 führt aus, dass damit privat erbrachte Dienstleistungen gemeint sind, welche mit Aufgaben im öffentlichen Interesse verknüpft sind. Zu diesen Aufgaben gehören insbesondere die Bereiche Bildung, Gesundheitsversorgung, Sozialdienste, Wohnungswesen und Justizverwaltung. Wenn jedoch keine Dienstleistung erbracht werden, die staatlichen Aufgaben nahestehen, bleibt nur ein eng definierter Verwendungsbereich übrig, der eine GRFA notwendig macht. Wenn ein privater Betreiber ein Hochrisiko-System nutzt, welches „bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen verwendet werden“ (mit Ausnahme für Finanzbetrugsprävention) vorgesehen ist oder Unternehmen Risiko- und Preisbildungsbewertung für Lebens- und Krankenversicherungen durchführen, werden Grundrechte-Folgenabschätzung nach KI-VO notwendig.

Wann muss eine Grundrechte-Folgenabschätzung nach KI-VO durchgeführt werden?

Die GRFA muss vor Inbetriebnahme des Systems durchgeführt werden. Wenn sich eines der für die GRFA berücksichtigten Elemente geändert hat, muss die GRFA aktualisiert werden. Für die Praxis empfiehlt es sich, einen regelmäßigen Aktualisierungszyklus festzulegen, um mögliche Änderungen auch feststellen zu können.

Was muss eine Grundrechte-Folgenabschätzung nach KI-VO enthalten?

Ähnlich wie eine DSFA umfasst eine GRFA einen deskriptiven und einen eher analytischen Teil. Im deskriptiven Teil werden das zu verwendende System, der Verwendungszweck sowie die betroffenen Gruppen und der Umfang und die Häufigkeit des Einsatzes beschrieben. Im analytischen Teil werden die Schadensrisiken, die mitigierenden Aufsichtsmaßnahmen und die Maßnahmenpläne für den Schadensfall erläutert.

Die Methodik der GRFA ist dem Betreiber weitgehend freigestellt. Es besteht jedoch eine Berichtspflicht. Der Betreiber muss das Ergebnis der GRFA der im jeweiligen Land zuständigen Marktüberwachungsbehörde melden. Diese Meldung erfolgt anhand eines Musterfragebogens. Die KI-VO beauftragt die EU-Kommission, ein Büro für Künstliche Intelligenz zu errichten, in welchem die Aufgaben der Kommission zum Bereich KI gebündelt werden. Nach Art. 27 Abs. 5 KI-VO wird das Büro für Künstliche Intelligenz diesen Musterfragebogen für die Durchführung von GRFA ausarbeiten. Dieser Fragebogen kann dann voraussichtlich auch als methodischer Leitfaden dienen.

Fazit

Bei der GRFA handelt es sich um eine Verpflichtung für eine begrenzte Gruppe von Betreibern, die Auswirkungen bestimmter Hochrisiko-Systeme auf die Grundrechte der Betroffenen abzuschätzen und das Ergebnis mittels eines europaweit standardisierten Fragebogens and die zuständige Aufsichtsbehörde zu melden. Insofern ähnelt die GRFA einer DSFA, unterscheidet sich aber in Umfang und Zielsetzung. In den meisten Fällen kann und sollte die GRFA als Ergänzung zu einer bestehenden DSFA konzipiert werden. So sieht es Art. 27 Abs. 4 KI-VO sogar ausdrücklich vor.

Sie benötigen Unterstützung oder Beratung zu den Themen Durchführung oder Dokumentation von DSFA oder GRFA? Sprechen Sie uns an.  Sie wollen bei den Themen KI-Compliance und Datenschutz auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter.