Die katalanische Datenschutzbehörde (APDCAT) hat kürzlich ein Modell zur Durchführung von Grundrechte-Folgenabschätzungen (FRIA) beim Einsatz Künstlicher Intelligenz (KI) veröffentlicht. Angesichts der massiven und intensiven Datennutzung im Zuge der technologischen Entwicklung erachtet die APDCAT die Bereitstellung geeigneter Instrumente zum Schutz der Rechte und Freiheiten von Personen als notwendig. Das Dokument soll als Referenz für Organisationen dienen, die eine solche Folgenabschätzung vornehmen müssen. Es stellt die entwickelte FRIA-Methodik anhand von Use Cases praxisnah vor.
Die Rolle der FRIA unter der KI-Verordnung
Das Fundamental Rights Impact Assessment (FRIA) ist ein essenzielles Instrument zur Analyse der Auswirkungen von KI-Systemen auf fundamentale Rechte und Freiheiten. Die EU KI-Verordnung (KI-VO) verfolgt das Ziel die in der EU-Charta verankerten Grundrechte zu schützen. Im Rahmen des risikobasierten Ansatzes der KI-Verordnung muss die FRIA nach Artikel 27 für bestimmte Hochrisiko-KI-Systeme durchgeführt werden. Es ist hierbei entscheidend, die Grundrechte-Folgenabschätzungen von der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO abzugrenzen, da die FRIA die Auswirkungen auf individuelle Rechte generell betrachtet, auch wenn nicht direkt personenbezogene Daten verarbeitet werden. Dennoch betont die APDCAT die enge Verbindung beider Instrumente. Die FRIA soll die DSFA ergänzen, sofern sich die Pflichten überschneiden.
Risikobewertung für jedes Grundrecht
Die von der APDCAT vorgestellte FRIA-Methodik ist darauf ausgelegt, KI-Anbietern und -Betreibern ein praktisches Werkzeug zur Hand zu geben, das sowohl mit gängigen Risikomanagementansätzen als auch mit der juristischen Theorie der Grundrechte vereinbar ist. Die Methode sieht drei Hauptphasen vor: die Planungs- und Umfangsbeschreibung, die Datenerfassung und Risikoanalyse sowie das anschließende Risikomanagement. Das Kernstück der Analyse ist die Bewertung des Risikos für jedes potenziell betroffene Grundrecht einzeln, basierend auf zwei Schlüsseldimensionen. Zum einen der Eintrittswahrscheinlichkeit (Likelihood) und zum anderen der Schwere des Schadens (Severity). Es ist explizit vorgesehen, dass kein kumulierter Risikowert über alle Rechte hinweg gebildet werden darf, da Grundrechte separat betrachtet werden müssen und sich unterschiedliche Auswirkungen nicht gegenseitig aufheben können. Die FRIA zeichnet sich darüber hinaus durch einen Ex-ante-Ansatz aus. Dadurch wird sie zu einem Instrument für eine grundrechtsorientierte KI-Gestaltung. Dabei wird der aus dem Datenschutz bekannte By-Design-Ansatz übernommen.
Praxisbeispiele aus Hochrisikobereichen
Das Projekt der katalanischen Datenschutzbehörde überführt die bislang theoretische FRIA-Debatte in die Praxis, indem reale KI-Anwendungsfälle untersucht werden. Die Ergebnisse zeigen, dass eine Grundrechte-Folgenabschätzungen, so die APDCAT, in der Praxis effizient umsetzbar sei. Statt umfangreicher Checklisten genüge ein Fokus auf die wesentlichen Grundrechtsauswirkungen. Eine Bewertung könne in zwei bis drei Meetings von drei Stunden durchgeführt werden.
Zentral ist ein vierstufiger Prozess (interne Analyse, externe Expertenprüfung, gruppenbasierte Diskussion, abschließende Überprüfung), der die Bedeutung fachlicher Expertise und interdisziplinärer Teamarbeit unterstreicht. Die untersuchten Fälle betreffen zentrale Hochrisikobereiche nach Anhang III der KI-Verordnung. Zu diesen Fallstudien zählen: eine fortschrittliche Lernanalyseplattform zur Vorhersage von Studienabbrüchen in der Hochschulbildung, ein Mitarbeiterverwaltungstool zur Personalbesetzung, ein KI-gestütztes medizinisches Bildgebungstool zur Krebserkennung, sowie ein KI-Assistenzsystem für ältere Menschen im Bereich der sozialen Dienste. Die APDCAT versteht die präsentierten Fälle ausdrücklich nicht als „Best Practices“, sondern als realistische, unterschiedlich ausgearbeitete Anwendungen zur Erprobung der FRIA-Methodik.
Schlussfolgerungen für Unternehmen
Unternehmen, die KI-Systeme entwickeln oder in ihren Geschäftsprozessen einsetzen, insbesondere Hochrisiko-KI-Systeme, müssen die Vorgaben der KI-Verordnung und die damit verbundenen Anforderungen der FRIA erfüllen. Es ist ratsam, die FRIA nicht als isolierte nachträgliche Formalität zu betrachten, sondern sie frühzeitig in die Entwicklungsprozesse zu integrieren. Die APDCAT unterstreicht die Notwendigkeit der Koordination zwischen Grundrechte-Folgenabschätzungen und Datenschutz-Folgenabschätzung. Unternehmen sollten daher interdisziplinäre Teams einsetzen, die nicht nur technische Expertise, sondern auch fundiertes Wissen über Grundrechte und Risikomanagement besitzen, um die Wirksamkeit der Risikominimierungsmaßnahmen zu gewährleisten.
Fazit
Das von der katalanischen Datenschutzbehörde initiierte FRIA-Modell ist ein bedeutender Impuls zur Harmonisierung von Datenschutz und KI-Regulierung und bietet eine erprobte, praxisnahe Methodologie zur Bewertung von Grundrechtsrisiken durch KI. Durch die klare Strukturierung der Risikoanalyse nach Eintrittswahrscheinlichkeit und Schwere des Schadens für jedes einzelne Grundrecht setzt Europa seinen Weg zur Etablierung einer vertrauenswürdigen und menschenzentrierten KI fort.
Gerade kleine und mittelständische Unternehmen können von den vielseitigen Richtlinien, Chancen und Risiken überfordert oder verunsichert sein. Wir unterstützen Sie vom Start-up bis zur Konzernstruktur als KI-Beauftragte mit maßgeschneiderten Lösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
