Videosicherheitstechnik und biometrische Gesichtserkennung im Rahmen des neuen EU AI Act („KI-Verordnung“)

Am 2. August 2024 trat der European Artificial Intelligence Act (EU AI Act) in Kraft – das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz (KI) weltweit. Die KI-Verordnung sieht einen gestaffelten Zeitplan bis 2026 für den Geltungsbeginn ihrer einzelnen Regelungsabschnitte vor. Dieser Artikel beleuchtet, wie sich der neue Rechtsrahmen auf Videosicherheitstechnik und biometrische Gesichtserkennung auswirkt und welche spezifischen Anforderungen Unternehmen beachten müssen.

Was ist der EU AI Act?
Der EU AI Act ist ein Gesetz, das den Einsatz von KI-Systemen in der EU reguliert. Der Fokus liegt auf einer Risikoklassifizierung, bei der KI-Systeme in Kategorien wie inakzeptabel, hoch, begrenzt und minimal eingestuft werden. Je nach Risikostufe sind unterschiedliche Anforderungen zu erfüllen, um eine sichere und ethische Nutzung von KI-Technologien zu gewährleisten. In der Risikoklasse A (inakzeptables Risiko) sind KI-Systeme verboten.

Videosicherheitstechnik und Gesichtserkennung: Ein Überblick
Die Nutzung von KI-basierten Gesichtserkennungssystemen ist ein spezieller Punkt des EU AI Act. Grundsätzlich wird zwischen der Echtzeit-Fernidentifizierung und der nachträglichen Identifikation unterschieden. Beide Anwendungen fallen unter die Kategorie „hochriskant“, was bedeutet, dass strenge Auflagen zu erfüllen sind.

1. Biometrische Gesichtserkennung 
Der Einsatz von biometrischen Fernidentifizierungssystemen im öffentlichen Raum zu Strafverfolgungszweckenist prinzipiell verboten, es sei denn, spezifische Ausnahmefälle greifen. Dazu zählen Szenarien wie die Suche nach vermissten Personen oder die Prävention von Terroranschlägen. Diese Ausnahmen sind klar definiert und an strenge Auflagen gebunden: ​​​​​

  • Echtzeit-Fernidentifizierung erfordert eine spezielle Genehmigung und ist an räumliche und zeitliche Begrenzungen geknüpft. 
  • Nachträgliche Fernidentifizierung gilt als hochriskant und setzt eine gerichtliche Genehmigung voraus, die mit einer strafrechtlichen Untersuchung verknüpft sein muss. 

Biometrische Gesichtserkennung abseits von Strafverfolgung: Für jedwede anderweitige Nutzung biometrischer Systeme gelten weitere Regelungen, v.a. die DSGVO (hier v.a. Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten). Biometrische Daten unterliegen generell strengen Datenschutzauflagen, die durch den EU AI Act ergänzt werden.

2. „Normale“ Videosicherheitstechnik und KI-basierte Videoanalyse
Auch nicht-biometrische KI-Anwendungen im Bereich der Videosicherheitstechnik, wie KI-basierte Videoanalyse, werden durch den EU AI Act reguliert. Diese Systeme werden meist als hochriskant (Risikoklasse „hoch“) eingestuft, was bedeutet, dass sie umfangreichen Prüfungen unterzogen werden, bevor sie auf den Markt kommen:

  • Risikobewertung und -minderung: Unternehmen müssen Risikobewertungen durchführen und entsprechende Maßnahmen zur Risikominderung dokumentieren.
  • Dokumentations- und Protokollierungspflichten: Eine umfassende Dokumentation des Systems und seiner Funktionen ist notwendig, um die Konformität gegenüber Behörden nachzuweisen.
  • Cybersecurity: Hohe Standards in Bezug auf Cybersicherheit und Genauigkeit des Systems sind erforderlich.
  • Datenschutzstandards: Alle Prozesse müssen mit der DSGVO kompatibel sein, insbesondere bei der Erhebung, Speicherung und Verarbeitung biometrischer Daten
  • Hohe Datenqualität der Echt- und Trainingsdaten: Um diskriminierende Ergebnisse (Verzerrungen/„biases“) zu vermeiden, müssen die verwendeten Datensätze von hoher Qualität sein.
  • Transparenzanforderungen: Anbieter biometrischer Systeme müssen klar definierte Informationen zur Funktionsweise und den Grenzen ihrer Systeme bereitstellen.
  • Einhaltung angrenzender EU-Gesetze (u. a. Urheberrecht, Haftungsrecht, Strafrecht)
  • Einhaltung der Werte, Grundrechte, ethischen Standards der EU

Videosicherheit und KI in kritischen Infrastrukturen
Für Unternehmen, die im Bereich der kritischen Infrastrukturen tätig sind, ist besondere Vorsicht geboten. KI-Systeme, die hier zum Einsatz kommen, werden per Definition in die Risikoklasse „hoch“ eingestuft und müssen oben genannte Anforderungen u.a. an Cybersicherheit, Datenschutz und Datenqualität erfüllen.

Implikationen für Unternehmen im Bereich der Videosicherheit
Für Unternehmen, die Videosicherheitssysteme entwickeln oder betreiben, ist der EU AI Act ein wichtiger Meilenstein. Die strengen Regularien und hohen Anforderungen bedeuten einerseits mehr Aufwand bei der Entwicklung und Einführung neuer Systeme, andererseits bieten sie eine klare Leitlinie für eine vertrauenswürdige und ethische Nutzung von KI-Technologie. Compliance und Dokumentation werden zentrale Themen für Anbieter und Betreiber. Es ist essenziell, die internen Prozesse so anzupassen, dass die Anforderungen des EU AI Act erfüllt werden. Dies umfasst die genaue Protokollierung aller Vorgänge, eine transparente Dokumentation und eine rigorose Sicherheitsprüfung.

Fazit: Handlungsbedarf für Unternehmen
Unternehmen, die KI-Technologien im Bereich Videosicherheit einsetzen, müssen sich intensiv mit dem EU AI Act auseinandersetzen. Die Anforderungen sind hoch, bieten jedoch auch eine Chance, sich durch ein hohes Maß an Transparenz und Sicherheit auf dem Markt zu positionieren. Um den neuen gesetzlichen Anforderungen gerecht zu werden, sollten Unternehmen frühzeitig Maßnahmen zur Anpassung ihrer Produkte und internen Prozesse einleiten.

Strategische Empfehlungen:

  1. Evaluierung der eigenen Systeme hinsichtlich der Risikoklassen des EU AI Act
  2. Anpassung der Dokumentationspflichten und Sicherstellung der Konformität durch eine detaillierte Überprüfung der Systemdokumentationen
  3. Schulungen und Fortbildungen für Mitarbeiter, um die neuen Anforderungen in der Praxis zu verstehen und umzusetzen.

Unternehmen sollten sich auf die kommenden Änderungen vorbereiten, um rechtliche Risiken und hohe Bußgelder bei Verstößen zu meiden und die Vorteile eines rechtssicheren und ethischen KI-Einsatzes zu nutzen. Der EU AI Act ist ein klarer Schritt in Richtung einer verantwortungsvollen Nutzung von KI und bietet die Chance, Vertrauen und Transparenz bei der Nutzung von Videosicherheitstechnologien zu stärken.

 

Weiterführende Quellen und Tipps:

 

  • Quelle: Praxisleitfaden Videotechnologie & KRITIS
  • Info und Download des Praxisleitfadens