Die EU hat eine Reihe von Verordnungen erlassen, die sich auf Unternehmen auswirken werden, die im digitalen Bereich tätig sind, und die noch größere Auswirkungen haben könnten noch größere Auswirkungen haben könnten als die GDPR.
Dieser Artikel gibt einen Überblick über drei wichtige EU-Gesetzesvorschläge: das KI-Gesetz, die ePrivacy-Verordnung und das DatengesetzEr erklärt, worum es sich dabei handelt, wie sie mit der Datenschutz-Grundverordnung zu vergleichen sind und wann sie voraussichtlich in Kraft treten werden.
AI-Gesetz
Die
AI-Gesetz
(manchmal auch KI-Verordnung genannt) ist der Ansatz der EU zur Regulierung der künstlichen Intelligenz.
Das Gesetz über künstliche Intelligenz ist noch nicht fertiggestellt, aber das vorgeschlagene Gesetz würde dies tun:
- Definieren Sie „KI“ weit, um alle Modelle und Anwendungsfälle abzudecken.
- einen risikobasierten Ansatz zur Regulierung von KI entsprechend ihrem Schadenspotenzial zu verfolgen.
- Einführung neuer Transparenzpflichten für die meisten Arten von KI-Systemen.
- Einführung eines Selbstzertifizierungsverfahrens für Entwickler bestimmter KI-Systeme, um nachzuweisen, dass ihre Produkte sicher und konform sind.
- Verbot des Einsatzes von KI in bestimmten unannehmbar riskanten Kontexten.
Wie verhält sich das KI-Gesetz im Vergleich zur GDPR?
Das Gesetz über künstliche Intelligenz und die Datenschutz-Grundverordnung stehen in Wechselwirkung zueinander und weichen in einigen wichtigen Punkten voneinander ab.
Sowohl die Datenschutz-Grundverordnung als auch das Gesetz über künstliche Intelligenz beruhen auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), der es den EU-Institutionen erlaubt, Vorschriften zum Schutz personenbezogener Daten zu erlassen.
Die Datenschutz-Grundverordnung hat bereits erhebliche Auswirkungen auf die Nutzung und Entwicklung von KI-Systemen. Der Grund dafür ist KI-Systeme verwenden in der Regel eine Menge personenbezogener Daten-sowohl für das Modelltraining als auch für die Entscheidungsfindung.
Die Regeln und Grundsätze der GDPR wird im Allgemeinen weiterhin für KI-Systeme gelten, wenn personenbezogene Daten betroffen sind. Im Gegensatz zur Datenschutz-Grundverordnung ist der Anwendungsbereich des AI-Gesetzes jedoch nicht auf personenbezogene Daten beschränkt.
Die GDPR regelt die „die automatisierte Entscheidungsfindung“ – allerdings nur, wenn die Entscheidungsfindung ohne menschliches Zutun erfolgt und „rechtliche oder ähnlich bedeutende Auswirkungen“ hat (z. B. KI-gesteuerte Kreditentscheidungen). Die Vorschriften des AI-Gesetzes zur Entscheidungsfindung werden wahrscheinlich umfassender sein.
Das KI-Gesetz wird wahrscheinlich auch Folgendes erlauben neue Verwendungen von „Daten besonderer Kategorien“ (Daten über beispielsweise die ethnische Zugehörigkeit, das Sexualleben oder die Gesundheit von Menschen) für bestimmte Zwecke in KI-Systemen erlauben, etwa zur Erkennung und Korrektur von Verzerrungen.
Wann wird das KI-Gesetz in Kraft treten?
Bevor ein EU-Rechtsakt verabschiedet wird, müssen die drei wichtigsten EU-Institutionen (Kommission, Rat und Parlament) jeweils einen „gemeinsamen Standpunkt“ vorlegen, in dem sie die von ihnen bevorzugte Fassung des Rechtsakts darlegen.
Die Europäische Kommission geht voran und veröffentlicht den Text ihrer vorgeschlagenen Rechtsvorschriften. Die Kommission hat ihren Vorschlag für ein AI-Gesetz im April 2021 veröffentlicht.
Der Europäische Rat hat seinen Standpunkt im Dezember 2022 festgelegt.
Am 27. April 2023 haben sich die verschiedenen Fraktionen des Europäischen Parlaments
auf
auf einen gemeinsamen Standpunkt geeinigt, über den voraussichtlich im Mai endgültig abgestimmt wird.
Nach Angaben von
Kommissarin Margrethe Vestager
bedeutet dieser Fortschritt, dass könnte das KI-Gesetz später im Jahr 2023 verabschiedet werden.
Datenschutzverordnung für elektronische Kommunikation
Die
ePrivacy-Verordnung
ist eine lang erwartete Aktualisierung der Datenschutzrichtlinie für elektronische Kommunikationdie im Jahr 2002 verabschiedet wurde. Das Gesetz sieht unter anderem Folgendes vor:
- Regulierung von Cookies, elektronischem Marketing und Datenschutz in der Kommunikation.
- Explizite Einbeziehung von „Over-the-Top (OTT)“-Kommunikationsdiensten wie WhatsApp, Facebook Messenger und Skype.
- Klärung und Änderung der Regeln für die Zustimmung zu Cookies, einschließlich Mechanismen wie „Cookie-Walls“ und First-Party-Analytics.
- Klärung des Geltungsbereichs der EU-Datenschutzvorschriften, damit sie mit den Datenschutzvorschriften der Datenschutz-Grundverordnung übereinstimmen (d. h. die Datenschutzverordnung für elektronische Kommunikation wird unter bestimmten Bedingungen ausdrücklich für Organisationen außerhalb der EU gelten).
Wie unterscheidet sich die Datenschutzverordnung für elektronische Kommunikation von der Datenschutz-Grundverordnung?
Wie die derzeitige Datenschutzrichtlinie für elektronische Kommunikation wird auch die Datenschutzverordnung für elektronische Kommunikation als „lex specialis“ zur Datenschutz-Grundverordnung fungieren, was bedeutet, dass sie Vorrang vor der Datenschutz-Grundverordnung in bestimmten Bereichen.
So wird beispielsweise in der Datenschutzverordnung für elektronische Kommunikation wie in den derzeitigen Vorschriften festgelegt welche Cookies eine Zustimmung erfordernwährend sich der Standard für die Einwilligung aus der Datenschutz-Grundverordnung ergeben wird.
Die Datenschutzverordnung für elektronische Kommunikation wird in einigen Punkten weiter gefasst sein als die Datenschutz-Grundverordnung.
Die Datenschutz-Grundverordnung gilt nur für die Kommunikation mit personenbezogenen Daten, während die ePrivacy-Verordnung den Datenschutz für alle Formen der elektronischen Kommunikation regeltunabhängig davon, ob es sich um personenbezogene Daten handelt.
Wann wird die ePrivacy-Verordnung in Kraft treten?
Das lange Warten auf Fortschritte bei der Datenschutzverordnung für elektronische Kommunikation ist unter den Beobachtern der Entwicklung der EU-Rechtsvorschriften zum Schutz der Privatsphäre zu einer Art Running Gag geworden.
Die Kommission hat ihre Version der Datenschutzverordnung für elektronische Kommunikation erstmals 2017 vorgeschlagen. Sowohl der Rat als auch das Parlament haben zu dem endgültigen Text Stellung genommen.
Die Gesetzgebung hat sich wiederholt verzögert da die EU-Mitgliedstaaten über die Regeln für die Vorratsdatenspeicherung und die nationale Sicherheit diskutieren.
Die Berichterstatterin für die ePrivacy-Verordnung, MdEP Birgit Sippel, hat kürzlich
forderte
die schwedische Ratspräsidentschaft auf, an den Verhandlungstisch zurückzukehren und die Gesetzgebung voranzutreiben.
Datengesetz
Das
Datengesetz
betrifft die Vorschriften der EU darüber, wie Organisationen persönliche und nicht-persönliche Daten weitergeben und verwenden. Das Datengesetz sieht unter anderem Folgendes vor:
- Die Anbieter von vernetzten Geräten sollten verpflichtet werden, den Verbrauchern den Zugriff auf die von diesen Geräten erzeugten Daten zu ermöglichen.
- Regeln für Verträge über die gemeinsame Nutzung von Daten aufstellen, die versuchen, die Macht zugunsten kleiner und mittlerer Unternehmen (KMU) auszugleichen.
- Ermöglichung des Zugriffs öffentlicher Stellen auf Daten, die sich im Besitz von Organisationen des privaten Sektors befinden, unter bestimmten Bedingungen.
- Schaffung eines Rahmens, der es den Verbrauchern ermöglicht, zwischen Anbietern von Datenverarbeitungsdiensten zu wechseln.
Wie verhält sich der Data Act zur GDPR?
Es gibt viele Überschneidungen zwischen dem Data Act und der GDPR.
Das Datengesetz verweist in mehreren Bereichen, die personenbezogene Daten betreffen, auf die Datenschutz-Grundverordnung. In einigen dieser Bereiche hat die Datenschutz-Grundverordnung ausdrücklich Vorrang vor dem Data Act. In anderen Fällen ist das Datengesetz erweitert die GDPR-ähnlichen Vorschriften auf nicht-personenbezogene Daten.
Ähnlich wie die GDPR sieht das Datengesetz Beschränkungen für die internationale Übermittlung von Daten– mit der Ausnahme, dass im Falle des Datengesetzes die Beschränkungen für nicht-personenbezogene Daten gelten.
Der Data Act enthält auch einige andere Konzepte im Stil der GDPR, darunter Standardvertragsklauseln und die Grundsätze der Fairness und Datenminimierung.
Wann wird das Datengesetz in Kraft treten?
Die Kommission hat ihre Version des Datengesetzes im vergangenen Februar vorgeschlagen, der Rat folgte im Februar und das Parlament im März.
Es wird nun eine Verhandlungsphase zwischen dem Rat und dem Parlament geben, die zwischen einigen Monaten und mehreren Jahren dauern kann.
Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,
HIER KLICKEN
und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!