L’IA dans tous ses états.

KI in all ihren Formen

Legal Watch Nr. 52 – Oktober 2022

Am 17. Oktober 2022 hat die CNIL Mit der Verhängung einer Sanktion in Höhe von 20 Millionen Euro gegen das Unternehmen Clearview AI bestätigte die Behörde ihre Kompetenz als Regulierungsbehörde im Bereich der künstlichen Intelligenz.

Diese Sanktion ist auf eine unbeantwortete Mahnung und die mangelnde Kooperation des Unternehmens während des Inspektionsverfahrens zurückzuführen.

Es wurde im Anschluss an ein Konsultationsverfahren auf europäischer Ebene verabschiedet und schließt sich den Sanktionen an, die mehrere andere europäische Institutionen gegen dasselbe Unternehmen verhängt haben.

  • Die CNIL weist darauf hin, dass es keine Rechtsgrundlage für die systematische und umfassende Sammlung von zwanzig Milliarden Bildern von Gesichtern gibt, die auf Millionen von Websites öffentlich zugänglich sind und von dem Unternehmen insbesondere an Strafverfolgungsbehörden vermarktet werden.
  • Die CNIL ist der Ansicht, dass die Erhebung angesichts ihres besonders aufdringlichen Charakters und der biometrischen Natur der Daten der vorherigen Zustimmung der betroffenen Personen hätte unterliegen müssen.
  • Zudem wird darauf hingewiesen, dass das Unternehmen die Auskunfts- und Löschungsrechte der betroffenen Personen nicht respektiert.

Diese Entscheidung erfolgt im Kontext einer zunehmend präziseren Überwachung der künstlichen Intelligenz auf nationaler und internationaler Ebene.

Der Staatsrat Daher hat die Kommission Ende des Sommers zwei Dokumente verabschiedet, in denen sie sich zur Ausgestaltung der künftigen europäischen KI-Regulierung äußert:

In seinem Dokument vom 30. August 2022 befasst sich der Staatsrat mit der Frage der Qualität des öffentlichen Dienstes und legt den Grundstein für eine französische KI-Strategie.

Unter anderem wird darin dafür plädiert, die Befugnisse der CNIL zu stärken und ihr die formale Verantwortung für die Regulierung von KI-Systemen zu übertragen.

Er empfiehlt daher eine Umgestaltung der CNIL, die „zur nationalen Aufsichtsbehörde für die Regulierung von KI-Systemen, insbesondere öffentlichen, werden soll, um die doppelte Herausforderung des Schutzes der Grundrechte und -freiheiten einerseits und der Innovation und öffentlichen Leistung andererseits zu verkörpern und zu verinnerlichen.“

Am 27. September hat der Staatsrat hat außerdem eine Studie zur Überwachung sozialer Netzwerke im Kontext der Entwicklung der KI veröffentlicht, in der 17 Empfehlungen gegeben werden, um die Kräfteverhältnisse zugunsten der Nutzer neu auszubalancieren, öffentliche Behörden in ihrer Rolle als Regulierungsbehörde zu stärken und über die sozialen Netzwerke von morgen nachzudenken.

Seinerseits Parlament befasst sich mit der Frage der Videoüberwachung und Gesichtserkennung: Am 13. September wurde von der Rechtskommission der Nationalversammlung eine Untersuchungsmission eingeleitet und Philippe Latombe, Abgeordneter und Mitglied des CNIL-Kollegiums, anvertraut.

Die Parlamentarier müssten sich „der Herausforderungen bewusst sein, die sich aus der Verwendung öffentlich zugänglicher Sicherheitsbilder zur Bekämpfung von Unsicherheit ergeben“, und sich dabei insbesondere mit der Gesichtserkennung befassen.

Dabei geht es darum, eine Bestandsaufnahme der kürzlich zugelassenen Geräte wie Körperkameras und Drohnen vorzunehmen und mögliche Entwicklungen wie erweiterte Kameras zu prüfen, um einen Gesetzesvorschlag auszuarbeiten.

Erwähnen wir auch die Eröffnung von Verhandlungen über eine Konvention der Europarat zu künstlicher Intelligenz, Menschenrechten, Demokratie und Rechtsstaatlichkeit.

Es wäre das erste rechtsverbindliche internationale Instrument zur künstlichen Intelligenz.

Dieses Übereinkommen würde die von der Europäischen Kommission vorgeschlagene Verordnung zur künstlichen Intelligenz ergänzen, indem es den Schutz der Grundrechte des Einzelnen stärkt.

DER Europäischer Datenschutzbeauftragter begrüßte diese Initiative, erinnerte jedoch an die KI-Systeme, die seiner Meinung nach inakzeptable Risiken bergen und verboten werden sollten, nämlich:

  • Soziales Scoring,
  • Biometrische Identifikation im öffentlichen Raum,
  • Kategorisierung von Personen anhand biometrischer Daten
  • Die Kategorisierung von Personen anhand ihrer wahrgenommenen Emotionen.

Es sei daran erinnert, dass die von der Europäischen Kommission vorgeschlagene KI-Verordnung diesen Ansatz unterstützt, indem sie die aufdringlichsten KI-Techniken verbietet, etwa solche, die Einzelpersonen manipulieren oder Social Scoring ermöglichen.

Für die Verteidiger der Freiheiten ist das immer noch unzureichend, für die Kritiker jedoch übertrieben.

Es sei darauf hingewiesen, dass die Vereinigten Staaten Ende Oktober ein Non-Paper an mehrere Hauptstädte und die Europäische Kommission geschickt haben, mit dem Ziel, diese davon zu überzeugen, den Geltungsbereich der künftigen Regelungen zu begrenzen und ihre Ausnahmen auszuweiten, um mehr Flexibilität bei den Einsatzmöglichkeiten künstlicher Intelligenz zu gewährleisten.

Die Vereinigten Staaten Auch die USA bereiten derzeit eigene KI-Vorschriften vor: Am 4. Oktober stellte Präsident Joe Biden die „AI Bill of Rights“ vor, die fünf Garantien beschreibt, von denen die Amerikaner profitieren sollten:

  • Sichere und effiziente Systeme,
  • Schutz vor algorithmischer Diskriminierung,
  • Vertraulichkeit der Daten,
  • Benachrichtigungen und Erklärungen zur Funktionsweise der KI,
  • Menschliche Alternativen zu automatisierten Entscheidungen.

Abschließend sei darauf hingewiesen, dass sich Datenschutzbehörden aus mehr als 120 Ländern auf einen Rahmen für die Verwendung der Gesichtserkennung in die 44. Weltdatenschutzversammlung die Ende Oktober in Istanbul stattfand.

Die Resolution verlangt, dass das Unternehmen, das die Technologie nutzt,

  • „seinen angemessenen, notwendigen und verhältnismäßigen Charakter“ feststellen,
  • Bewertet die Achtung der Rechte des Einzelnen
  • Gewährleistet eine nahtlose Nutzung der Technologie.

Darüber hinaus müssen klare und wirksame Mechanismen zur Rechenschaftspflicht geschaffen werden.

Und auch

Frankreich:

Cyberkriminalität: Der beigeordnete Minister für digitale Angelegenheiten und der Gesundheitsminister kündigten ein Budget von 20 Millionen Euro zugunsten der ANSSI an, um die Unterstützung von Gesundheitseinrichtungen, die Opfer von Ransomware geworden sind, zu verstärken.

Die CNIL veröffentlicht auf ihrer Website pädagogisches Material, um Kinder im Alter von 8 bis 10 Jahren im Internet besser zu schützen.

Diese Ressourcen richten sich an Eltern, Kinder, Lehrer und Erzieher.

Die CNIL hat am 17. Oktober auch ihre Empfehlung zur Passwortauthentifizierung aktualisiert.

Vor dem Hintergrund zunehmender Bedrohungen für die Online-Sicherheit entwickelt die CNIL insbesondere die Nützlichkeit starker oder mehrstufiger Authentifizierungslösungen und elektronischer Zertifikate.

Europa:

Der Europäische Datenschutzausschuss (EDSA) hat aktualisierte Leitlinien zur Meldung von Datenschutzverletzungen verabschiedet. zur öffentlichen Konsultation bis 29.11.2022 geöffnet.

Der aktualisierte Abschnitt betrifft die Meldung einer Sicherheitsverletzung durch einen außerhalb der Europäischen Union ansässigen Manager.

Die Tatsache, dass dieser Manager einen Vertreter in einem der EU-Länder benannt hat, befreit ihn laut EDSA nicht von umfangreichen Verpflichtungen: Der Text legt nun fest, dass „die bloße Anwesenheit eines Vertreters in einem Mitgliedstaat nicht das Single Window auslöst.“

Aus diesem Grund muss der Verstoß jeder Behörde gemeldet werden, in deren Mitgliedstaat die betroffenen Personen ihren Wohnsitz haben.

Der Gerichtshof der Europäischen Union entschied in einem Urteil vom 20. Oktober, dass die Weiterverarbeitung Die Erstellung einer Datenbank aus einer bestehenden Datenbank zur Durchführung von Tests und zur Korrektur von Fehlern ist zulässig, wenn

  1. es besteht „ein konkreter, logischer und ausreichend enger Zusammenhang zwischen den Zwecken der ursprünglichen Erhebung und der anschließenden Verarbeitung“; und
  2. die Weiterverarbeitung nicht von den berechtigten Erwartungen der Abonnenten abweicht.

Im vorliegenden Fall war der Gerichtshof der Ansicht, dass ein solcher enger Zusammenhang besteht. Er weist darauf hin, dass die Daten gelöscht werden müssen, sobald der (sekundäre) Zweck der Verarbeitung erfüllt ist.

In einem Urteil vom 27. Oktober über das belgische Unternehmen Proximusentscheidet der Gerichtshof über die Pflichten von Verzeichnisanbietern, wenn ein Abonnent seine Einwilligung zur Verarbeitung seiner Daten widerruft.

Der Gerichtshof ist der Auffassung, dass die Datenschutzbehörde von einem Anbieter öffentlich zugänglicher Telefonbücher als für die Datenverarbeitung Verantwortlichem verlangen kann, geeignete Maßnahmen zu ergreifen, um andere für die Datenverarbeitung Verantwortliche (einschließlich des Anbieters des Telekommunikationsdienstes, von dem die Daten übermittelt wurden) über den Widerruf der Einwilligung des Teilnehmers zu informieren.

Die europäische Digital Markets Regulation (DMA) wurde am 12. Oktober 2022 veröffentlicht.

Dieser Text, der darauf abzielt, „den unfairen Praktiken von Unternehmen, die als „Gatekeeper“ in der Online-Plattformwirtschaft fungieren, ein Ende zu setzen“, gilt ab dem 2. Mai 2023.

Es definiert große Online-Plattformen als „Gatekeeper“ und erstellt eine Liste von Verboten und Verpflichtungen, die „faire und offene digitale Märkte gewährleisten“ sollen.

Der Vorschlag für eine europäische Verordnung zum sexuellen Missbrauch von Kindern (CSAR) ist Gegenstand heftiger Kritik aus der Zivilgesellschaft und des Starts einer Kampagne mit dem Titel „Stop Scanning Me“.

Laut den betroffenen NGOs droht der Vorschlag trotz seiner lobenswerten Ziele, „die sichere Online-Kommunikation grundlegend zu gefährden und das Internet für alle weniger sicher zu machen“.

Die Strafverfolgungsbehörden planen, private Kommunikationen mithilfe automatisierter Online-Scans gezielt auf Inhalte im Zusammenhang mit sexuellem Kindesmissbrauch abzuzielen.

Eine Untersuchung des Irish Council for Civil Liberties (ICCL) hat jedoch ergeben, dass die irische Polizei persönliche Daten – E-Mail, Benutzernamen, IP-Adresse – sogar für Fehlalarme speichert.

Die enorme Zahl falscher Positivmeldungen – weniger als 10 %-Berichte gelten als verwertbar – könnte die Polizei auch daran hindern, das Problem an der Wurzel zu packen.

Die italienische Datenschutzbehörde leitet eine Untersuchung zu einer Anwendung ein, die künstliche Stimmen erzeugt („Deep Fake“).

Die Behörde hat eine Untersuchung zur App Fakeyou eingeleitet, die angeblich Textdateien in Stimmen umwandelt, die die Stimmen berühmter, insbesondere italienischer Personen imitieren.

Darüber hinaus entschied die italienische Verbraucherschutzbehörde, dass ein Schild mit der Abbildung einer stilisierten Kamera nicht ausreiche, um über den Einsatz von Videoüberwachungskameras zu informieren, und verhängte gegen den Verantwortlichen eine Geldstrafe von 2.000 Euro.

Irische Autorität Die Datenschutzbehörde hat auf ihrer Website eine Zusammenstellung von über 30 konkreten Fallstudien veröffentlicht, die sie bearbeitet hat und die nicht in ihren Jahresberichten enthalten sind. Die Veröffentlichung bietet ein besseres Verständnis der Herangehensweise der Behörde an Themen wie Mitarbeiterüberwachung, Videoüberwachung, den Begriff des berechtigten Interesses und die Vereinbarkeit der Verarbeitungszwecke.

Das niederländische Berufungsgericht in Arnheim-Leeuwarden bestätigte eine einstweilige Verfügung, wonach eine Urheberrechtsbehörde einen Internetdienstanbieter nicht dazu zwingen könne, Warnbriefe an mutmaßliche Urheberrechtsverletzer zu senden: Der Internetdienstanbieter habe keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten.

Die britische Datenschutzbehörde (ICO) informiert über biometrische Technologien wie Technologien zur Emotionsanalyse, die seiner Meinung nach unausgereift sind und zu Diskriminierung führen könnten.

Zu den identifizierten Risiken zählen die Überwachung der körperlichen Gesundheit der Arbeitnehmer mithilfe tragbarer Screening-Tools sowie die visuelle und verhaltensbezogene Beobachtung, einschließlich Körperhaltung, Sprache, Augenbewegungen und Kopfbewegungen, um die Schüler für Prüfungen anzumelden.

Das ICO veröffentlicht außerdem Richtlinienentwürfe zur Mitarbeiterüberwachung.

Die Kommission weist insbesondere auf den zunehmenden Trend zum „Arbeiten von zu Hause“ und das Problem der Produktivitätsüberwachung hin, da die Erwartungen der Arbeitnehmer an die Privatsphäre zu Hause wahrscheinlich höher sind als am Arbeitsplatz.

Das ICO weist außerdem darauf hin, dass „die Überwachung von Tastenanschlägen als verhaltensbiometrische Daten eingestuft wird, wenn ein Arbeitnehmer anhand seines individuellen Tippmusters und -rhythmus identifizierbar ist.“ Der Entwurf steht bis zum 11. Januar 2023 zur Konsultation offen.

Internationales:

Datenübermittlungen in die USA: Ein wichtiger Meilenstein wurde am 7. Oktober erreicht, als Präsident Biden die Executive Order zur Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-amerikanischen Signalaufklärung unterzeichnete.

Ziel dieses Dekrets ist es, die Umsetzung eines neuen Datenschutzrahmens zwischen der Europäischen Union und den Vereinigten Staaten zu ermöglichen, nachdem das Schrems-II-Urteil des EuGH den Privacy Shield obsolet gemacht hatte.

Nach der Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und der Annahme eines Angemessenheitsbeschlusses durch die Europäische Kommission könnte die Vereinbarung Anfang 2023 abgeschlossen werden.

Die Unsicherheit im Zusammenhang mit dem Abkommen betrifft den Umfang der Überwachungsbefugnisse der US-Behörden und die Rechtsmittel, die den europäischen Bürgern gegen die gegen sie ergriffenen US-Maßnahmen zur Verfügung stehen.

Hinzu kommt, dass dieses Dekret, da es keine Gesetzeskraft hat, widerrufen werden kann, was die Rechtsunsicherheit noch weiter vergrößert.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT