Die spanische Datenschutzbehörde (AEPD) hat klargestellt, dass sie bereits jetzt in der Lage ist, gegen verbotene KI-Systeme vorzugehen, die personenbezogene Daten verarbeiten. Dies gelte unabhängig vom vollständigen Inkrafttreten der KI-Verordnung (KI-VO). Die Behörde hat eine Analyse ihrer Zuständigkeiten im Rahmen des Artikels 5 der KI-VO vorgenommen und ihre Position veröffentlicht.
Der rechtliche Rahmen und die Position der AEPD
Einige Abschnitte der KI-Verordnung, darunter das Aufsichts- und Sanktionsregime für verbotene KI-Systeme nach Artikel 5, treten bereits am 2. August 2025 in Kraft. Spanien hat das nationale Umsetzungsgesetz noch nicht verabschiedet. Daher ist die AEPD formal noch keine Marktüberwachungsbehörde im Sinne der KI-VO. Dennoch ändere dies nichts an ihrer bestehenden Rolle als zuständige Behörde für den Schutz personenbezogener Daten.
Als zuständige Datenschutzbehörde kann die AEPD bereits jetzt die Verarbeitung personenbezogener Daten durch KI-Systeme überwachen und Maßnahmen ergreifen. Dies gelte insbesondere wenn diese Systeme verboten sind und das Recht auf Datenschutz beeinträchtigen. Die AEPD betont in ihrer Position, dass die meisten der als riskant eingestuften KI-Systeme ohnehin auch nach der DSGVO problematisch wären.
Verbotene KI-Praktiken
Mit Inkrafttreten von Artikel 5 der KI-Verordnung am 2. Februar 2025 sind bestimmte KI-Praktiken ausdrücklich verboten. Dazu zählen insbesondere manipulative oder täuschende Systeme, die das Verhalten von Personen in schädlicher Weise beeinflussen. Des Weiteren umfasst Art. 5 die gezielte Ausnutzung individueller Schwachstellen etwa aufgrund von Alter, Behinderung oder sozialer Lage.
Ebenfalls untersagt ist die Bewertung von Menschen durch sogenanntes soziales Scoring, das auf deren Verhalten oder Persönlichkeitsmerkmalen basiert. Verboten sind darüber hinaus KI-Systeme zur individuellen Risikobewertung oder Vorhersage von Straftaten allein auf Grundlage von Profiling. Auch das massenhafte, ungezielte Auslesen von Gesichtsbildern aus dem Internet oder Überwachungsvideos zur Erstellung biometrischer Datenbanken ist unzulässig. Weitere Verbote betreffen den Einsatz von Emotionserkennung in Arbeits- und Bildungskontexten, die biometrische Kategorisierung sensibler Merkmale wie etwa Rasse, Religion oder sexuelle Orientierung. Die Echtzeit-Gesichtserkennung zu Strafverfolgungszwecken in öffentlichen Räumen ist in eng gefassten Ausnahmen dagegen zulässig.
Leitlinien der EU-Kommission zu verbotenen KI-Praktiken
Die Europäische Kommission hat bereits zu den in Artikel 5 der KI-Verordnung genannten verbotenen Praktiken eine Leitlinie veröffentlicht. Damit verfolgt die EU-Kommission das Ziel Rechtsklarheit zu schaffen und eine einheitliche Anwendung zu gewährleisten. Die Leitlinien sind zwar nicht rechtsverbindlich, dienen aber als wichtige Orientierungshilfe für Behörden und Unternehmen. Die Kommission betont zudem das enge Zusammenspiel zwischen KI-Verordnung und der DSGVO, da viele verbotene KI-Praktiken die Verarbeitung personenbezogener Daten betreffen.
Empfehlungen und Kapazitätsplanung
Die AEPD betont, dass die KI-VO die Anwendbarkeit des Datenschutzrechts nicht berührt und die beiden Rechtsbereiche eng zusammenwirken. Die spanische Datenschutzbehörde empfiehlt Unternehmen, die KI-Anwendungen und -Dienste implementieren oder bereitstellen, sich proaktiv auf die Einhaltung ihrer künftigen Pflichten unter der KI-Verordnung vorzubereiten. Die aus der KI-Verordnung resultierenden neuen Aufgaben müssen von der Marktaufsichtsbehörde übernommen werden. Intern bewertet die AEPD daher bereits die Notwendigkeit, ihre technischen, personellen und finanziellen Kapazitäten zu verstärken.
Fazit
Die klare Haltung der AEPD unterstreicht die Bedeutung des Datenschutzes im Kontext von Künstlicher Intelligenz. Auch wenn die vollständige KI-Verordnung in Spanien noch auf die nationale Umsetzung wartet, signalisiert die AEPD, dass sie bereits auf Grundlage der bestehenden DSGVO gegen KI-Systeme vorgehen wird. Unternehmen sind somit angehalten, ihre KI-Anwendungen kritisch zu prüfen. Die Einhaltung der DSGVO als auch der kommenden Bestimmungen der KI-VO sind essenziell, um Haftungsrisiken zu minimieren.
