De Maart
„Künstliche Intelligenz ist ein Thema, das in aller Munde ist“, sagt Tine Larsen, Präsidentin der Luxemburger Datenschutzkommission (CNPD). In ihrem Jahresbericht 2024 legt die „Commission nationale pour la protection des données“ dann auch den Fokus voll und ganz auf die neue Technologie. Denn mit KI kommen auf die CNPD einige neue Aufgaben zu. Bereits im November 2024 hat der Regierungsrat die nationale Datenschutzkommission (CNPD) als nationale KI-Aufsicht bestimmt. „Wir dienen als Marktüberwachungsbehörde und zentrale Anlaufstelle zum Thema für alle weiteren acht Aufsichtsbehörden“, erklärt Larsen. Darunter fällt u.a. die CSSF für den Banken- und Finanzbereich oder das „Commissariat aux assurances“ für den Versicherungssektor. Zudem soll die CNPD zusammen mit der „Autorité luxembourgeoise indépendante de l’audiovisuel“ (ALIA) und der „Inspection du travail et des mines“ (ITM) als zuständige Behörde für Grundrechte gelten.
Lesen Sie zu diesem Thema auch:
Umsetzung des „AI Act“: Wie Luxemburg in Zukunft KI reguliert
AI Act
Der „AI Act“ soll als erstes Gesetz weltweit KI-Systeme regulieren, in ihm hat die EU festgelegt, welche Systeme in Europa betrieben werden dürfen und welche nicht. Das wohl berühmteste Beispiel für eine verbotene KI ist das sogenannte „Social Scoring“, wie man es aus China kennt, die Bewertung und Sanktionierung von sozialem Verhalten durch KI. Im Kern besteht der „AI Act“ aus einer Risikoeinschätzung, er teilt KI in verschiedene Kategorien, aus denen sich unterschiedliche Rechte und Pflichten für Anbieter und Nutzer ableiten. (judo)
Ein Punkt, den Tine Larsen im Gespräch mit dem Tageblatt dann auch anspricht, sind die zahlreichen Kompetenzerweiterungen, die der CNPD ins Haus stehen. „Wir haben sowohl den europäischen AI Act als auch den Luxemburger Gesetzentwurf analysiert und herausgearbeitet, was wir künftig an Dienstleistungen bieten müssen“, sagt Larsen. Ein deutlicher Mehraufwand, mit zumindest bisher gleichbleibendem Personal. Eine Forderung an die Politik für mehr Ressourcen? „Wir bestehen darauf, dass die Ressourcen, die uns mit den bisher vorliegenden Gesetzentwürfen zustehen, uns auch zugeteilt werden“, sagt Larsen. Bereits Anfang des Jahres hatte die CNPD einen Mehrbedarf angemeldet: Für das laufende Jahr 2025 forderte die Behörde acht zusätzlichen Stellen, für 2026 weitere drei. Derzeit beschäftigt die CNPD 66 Mitarbeiter.
Zusätzlich dazu ist die CNPD verantwortlich für die Einrichtung einer regulatorischen Sandbox. Mit der seit dem 24. März 2024 eingerichteten „Sandkëscht“ wurde demnach ein für Unternehmen datenschutzsicheres Umfeld geschaffen, in dem Unternehmen ihre digitalen Innovationen datenschutzkonform testen können. Denn mit KI gehen große Datenmengen einher, weiß auch Larsen. Und in vielen Datensätzen, die auf dem Markt erhältlich sind, sind auch personenbezogene Daten enthalten.
2024 wurde von der CNPD zudem ein neuer Online-Kanal für Whistleblower eingerichtet und ein erster Verhaltenskodex in Luxemburg zur Zeitarbeit herausgegeben.
Die Arbeit der CNPD für das Jahr 2024 in Zahlen
– 32 Stellungnahmen zu Gesetzentwürfen oder -vorschlägen
– 594 Auskünfte, vor allem zu den Themen Überwachung am Arbeitsplatz, Personalwesen und Rechte von Privatpersonen
– 516 Beschwerden (Nichteinhaltung des Rechts auf Löschung, Nichteinhaltung des Rechts auf Auskunft, Vertraulichkeit von Daten/Datenverletzung
– 442 Meldungen zu Datenschutzverletzungen (Hacking, Versenden und Weitergabe von personenbezogenen Daten an falsche Personen
– 29 eingeleitete Ermittlungsverfahren
Die nationale Datenschutzkommission (CNPD) als nationale KI-Aufsichtsbehörde und Marktüberwachungsbehörde und zentrale Anlaufstelle für alle weiteren acht Aufsichtsbehörden ist aber, wie mir scheint, unterbesetzt zu sein und nicht genügend Mitarbeiter zu verfügen, um das alles hinzu kriegen....