Künstliche Intelligenz und Datenschutz in Ungarn: Auswirkungen des EU AI Act

Einleitung

Die rasante Verbreitung von Systemen Künstlicher Intelligenz (KI) stellt das Recht vor grundlegend neue Herausforderungen. Mit der Verordnung (EU) 2024/1689 – dem sogenannten EU AI Act – hat die Europäische Union das weltweit erste umfassende Regelwerk für KI geschaffen, das seit dem 2. August 2025 schrittweise in Kraft tritt. Gleichzeitig bildet die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) weiterhin den Rahmen für die Verarbeitung personenbezogener Daten – auch und gerade durch KI-Systeme. In Ungarn treten diese beiden Regelwerke in eine komplexe Wechselwirkung, die sowohl für Unternehmen als auch für Betroffene erhebliche praktische Bedeutung hat.

Dieser Beitrag analysiert die wesentlichen Berührungspunkte zwischen dem AI Act und der DSGVO aus ungarischer Perspektive.

Der EU AI Act: Grundstruktur

Risikobasierter Ansatz

Der AI Act verfolgt einen risikobasierten Ansatz und unterteilt KI-Systeme in vier Risikokategorien:

1. Unannehmbares Risiko (verbotene Praktiken): KI-Systeme, die grundlegende Rechte verletzen, sind verboten – z. B. Social Scoring durch Behörden, Echtzeit-Gesichtserkennung im öffentlichen Raum (mit engen Ausnahmen) oder die Ausnutzung von Schutzbedürftigkeit.

2. Hohes Risiko: KI-Systeme, die in sensiblen Bereichen eingesetzt werden – etwa bei der Kreditvergabe, Personalauswahl, im Bildungswesen oder in der Justiz – unterliegen strengen Anforderungen hinsichtlich Transparenz, Datenqualität, menschlicher Aufsicht und Risikomanagement.

3. Begrenztes Risiko: KI-Systeme, die mit Nutzern interagieren (z. B. Chatbots), unterliegen Transparenzpflichten – der Nutzer muss wissen, dass er mit einer KI kommuniziert.

4. Minimales Risiko: Die Mehrzahl der KI-Anwendungen (z. B. Spamfilter, KI-gestützte Videospiele) bleibt weitgehend unreguliert.

Zeitplan der Anwendung

Der AI Act wird stufenweise anwendbar:

• Ab 2. Februar 2025: Verbote unannehmbarer KI-Praktiken
• Ab 2. August 2025: Pflichten für GPAI-Modelle (General Purpose AI) und Governance-Strukturen
• Ab 2. August 2026: Vollständige Anwendung für Hochrisiko-KI-Systeme

DSGVO und KI: Bestehende Regelungen

Automatisierte Einzelentscheidungen – Art. 22 DSGVO

Bereits die DSGVO enthält in Art. 22 eine Regelung, die für den Einsatz von KI von zentraler Bedeutung ist: das Recht, keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies umfasst insbesondere das Profiling.

Ausnahmen bestehen nur, wenn die Entscheidung:

• für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist,
• durch eine Rechtsvorschrift der EU oder eines Mitgliedstaats gestattet ist, oder
• auf der ausdrücklichen Einwilligung der betroffenen Person beruht.

In diesen Fällen muss der Verantwortliche dennoch angemessene Maßnahmen treffen, um die Rechte und Freiheiten der betroffenen Person zu wahren – insbesondere das Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.

Datenschutz-Folgenabschätzung – Art. 35 DSGVO

Der Einsatz von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert in der Regel eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) gemäß Art. 35 DSGVO. Die NAIH (Ungarische Behörde für Datenschutz und Informationsfreiheit) hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, bei denen eine DPIA zwingend durchzuführen ist – darunter ausdrücklich die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage automatisierter Verarbeitung einschließlich Profiling.

Grundsätze der Datenverarbeitung

Die DSGVO-Grundsätze gelten uneingeschränkt für die Verarbeitung personenbezogener Daten durch KI-Systeme:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Der Verantwortliche muss eine Rechtsgrundlage für die Verarbeitung haben und die betroffene Person klar informieren.
• Zweckbindung: Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
• Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
• Richtigkeit: Trainingsdaten und Eingabedaten müssen sachlich richtig sein – fehlerhafte Daten können zu diskriminierenden KI-Entscheidungen führen.
• Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger als nötig gespeichert werden.

Wechselwirkung AI Act – DSGVO in Ungarn

Zuständigkeiten

In Ungarn wird die nationale Aufsichtsbehörde für den AI Act noch bestimmt werden müssen. Es ist jedoch zu erwarten, dass die NAIH eine zentrale Rolle spielen wird, insbesondere dort, wo KI-Systeme personenbezogene Daten verarbeiten und somit sowohl den AI Act als auch die DSGVO berühren.

Die NAIH hat bereits in mehreren Stellungnahmen betont, dass der Einsatz von KI nicht von der Einhaltung der DSGVO entbindet und dass die Grundsätze der Transparenz und der Fairness bei automatisierter Entscheidungsfindung besondere Beachtung verdienen.

Hochrisiko-KI und DPIA

Für Hochrisiko-KI-Systeme im Sinne des AI Act, die gleichzeitig personenbezogene Daten verarbeiten, besteht eine doppelte Pflicht:

• ein Risikomanagement-System nach dem AI Act einzurichten, und
• eine DPIA nach Art. 35 DSGVO durchzuführen.

In der Praxis empfiehlt es sich, beide Prüfungen in einem integrierten Verfahren zusammenzuführen, um Doppelarbeit zu vermeiden und Synergien zu nutzen.

Erklärbarkeit und Transparenz

Sowohl der AI Act als auch die DSGVO fordern Transparenz bei automatisierten Entscheidungen, jedoch mit unterschiedlichem Fokus:

• Die DSGVO (Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g) verlangt aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen.
• Der AI Act verlangt für Hochrisiko-Systeme eine technische Dokumentation, die die Funktionsweise des Systems hinreichend erklärt, sowie Transparenzpflichten gegenüber Nutzern und Betroffenen.

Die Kombination beider Anforderungen führt dazu, dass Anbieter und Nutzer von KI-Systemen in Ungarn ein hohes Maß an Erklärbarkeit sicherstellen müssen.

Praktische Auswirkungen

Für Unternehmen in Ungarn

• Bestandsaufnahme: Identifizieren Sie alle KI-Systeme in Ihrem Unternehmen und klassifizieren Sie sie nach dem risikobasierten Ansatz des AI Act.
• DPIA: Führen Sie eine Datenschutz-Folgenabschätzung für KI-Systeme durch, die personenbezogene Daten verarbeiten.
• Dokumentation: Erstellen Sie eine umfassende technische Dokumentation gemäß den Anforderungen des AI Act.
• Menschliche Aufsicht: Stellen Sie sicher, dass bei Hochrisiko-Entscheidungen stets eine menschliche Überprüfung möglich ist.
• Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die datenschutzrechtlichen Implikationen von KI.

Für Betroffene in Ungarn

• Sie haben das Recht, über den Einsatz automatisierter Entscheidungssysteme informiert zu werden.
• Sie können die Überprüfung einer automatisierten Entscheidung durch einen Menschen verlangen.
• Sie haben das Recht auf Auskunft über die Logik, die Tragweite und die Auswirkungen der automatisierten Verarbeitung.
• Sie können bei der NAIH Beschwerde einlegen, wenn Sie der Auffassung sind, dass ein KI-System Ihre Datenschutzrechte verletzt.

Fazit

Der EU AI Act und die DSGVO bilden in Ungarn einen komplementären Regelungsrahmen für Künstliche Intelligenz. Während der AI Act produktsicherheitsrechtliche Anforderungen an KI-Systeme stellt, gewährleistet die DSGVO den Schutz personenbezogener Daten bei der KI-gestützten Verarbeitung. Unternehmen müssen beide Regelwerke integriert betrachten und umsetzen. Die NAIH wird voraussichtlich eine Schlüsselrolle bei der Überwachung und Durchsetzung spielen.

Unsere Kanzlei unterstützt Sie bei der rechtskonformen Implementierung von KI-Systemen, der Durchführung von Datenschutz-Folgenabschätzungen und der Einhaltung der Transparenzanforderungen. Nehmen Sie Kontakt mit uns auf – wir beraten Sie gerne.