Schlagwort: GDPR

Künstliche Intelligenz in Ungarn: Rechtliche Überlegungen für Unternehmen

Künstliche Intelligenz in Ungarn: Rechtliche Überlegungen für Unternehmen

 

Künstliche Intelligenz (KI) verändert die Geschäftswelt in Ungarn und Europa rasant. Von der Automatisierung des Kundenservice bis hin zu prädiktiven Analysen bietet KI bedeutende Chancen — bringt jedoch auch komplexe rechtliche Herausforderungen mit sich, die Unternehmen proaktiv angehen müssen.

 

Wichtige Vorschriften, die ungarische Unternehmen betreffen

 1. Umsetzung des EU-KI-Gesetzes

Ungarn wird das EU-KI-Gesetz umsetzen, das einen risikobasierten Rahmen einführt, der KI-Systeme in folgende Kategorien unterteilt:

        • Unakzeptables Risiko: Verbotene KI-Praktiken, wie Systeme, die menschliches Verhalten manipulieren oder Schwachstellen ausnutzen.
        • Hohes Risiko: KI-Anwendungen in kritischen Sektoren wie Gesundheitswesen, Bildung und Beschäftigung, die strenge Compliance-Maßnahmen erfordern.
        • Begrenztes oder Minimales Risiko: KI-Systeme mit geringem Risiko, die weniger regulatorische Verpflichtungen mit sich bringen.

 

Ab dem 2. Februar 2025 müssen Unternehmen sicherstellen, dass ihre Mitarbeiter in Bezug auf KI kompetent sind, indem sie den aktuellen Wissensstand erheben und maßgeschneiderte Schulungsprogramme implementieren. Darüber hinaus ist Transparenz in der Nutzung von KI, insbesondere in kundenorientierten Dienstleistungen, vorgeschrieben.

 

2. Cybersecurity-Gesetz (ab Januar 2025)

Das neue Cybersecurity-Gesetz fasst die ungarischen Cybersecurity-Vorschriften zusammen und bringt sie in Einklang mit der EU-NIS2-Richtlinie. Es legt Unternehmen Verpflichtungen auf, Informationssysteme zu klassifizieren, Risikobewertungen durchzuführen und Sicherheitsmaßnahmen zu ergreifen. Verstöße gegen die Vorschriften können zu erheblichen Geldstrafen führen, die bis zu 2% des weltweiten Jahresumsatzes eines Unternehmens betragen können.

 

3. Datenschutz und Privatsphäre

Nach der Allgemeinen Datenschutzverordnung (DSGVO) und dem ungarischen Gesetz CXII von 2011 müssen Unternehmen sicherstellen, dass KI-Systeme transparent sind, insbesondere in Bezug auf Datenquellen und -verarbeitungsmethoden. Die Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) überwacht die Einhaltung dieser Vorschriften und betont die Notwendigkeit einer informierten Zustimmung und der Verantwortlichkeit bei der Datenverarbeitung.

 

Rechtliche Themen im Fokus

 1. Datenschutz und DSGVO

Jedes KI-System, das personenbezogene Daten verarbeitet, muss der Allgemeinen Datenschutzverordnung (DSGVO) entsprechen. Dies umfasst strenge Regeln für Profiling, automatisierte Entscheidungsfindung und die Rechte der betroffenen Personen — allesamt Risiken, die erhebliche finanzielle und reputationsbezogene Konsequenzen nach sich ziehen können, wenn sie nicht richtig gehandhabt werden.

 

2. Verträge und Haftung

Derzeit gibt es in Ungarn keine speziellen Gesetze zur Haftung von KI-Systemen. Dies schafft Unsicherheit darüber, wer verantwortlich ist, wenn KI Schaden anrichtet oder einen Fehler macht. Unternehmen sollten sicherstellen, dass Verträge mit KI-Anbietern Haftung, Verantwortlichkeiten und Compliance-Maßnahmen klar definieren.

 

3. Geistiges Eigentum und Innovation

Wenn Unternehmen proprietäre KI-Lösungen entwickeln, werden Fragen des geistigen Eigentums (IP) immer wichtiger. Der Schutz von Algorithmen, Datenmodellen und -ergebnissen — unter gleichzeitiger Achtung der Rechte Dritter — sollte ein zentraler Bestandteil jeder KI-Einführungsstrategie sein.

 

4. Ethische und Reputationsrisiken

Allein die rechtliche Konformität reicht nicht mehr aus. Immer häufiger wird von Unternehmen erwartet, dass ihre KI-Systeme fair und ohne Vorurteile arbeiten. Der ethische Einsatz von KI kann das Markenimage verbessern und Vertrauen bei Kunden, Regulierungsbehörden und der Öffentlichkeit aufbauen.

 

Unternehmen sollten sich über die sich entwickelnden KI-Vorschriften auf dem Laufenden halten — sowohl auf EU-Ebene als auch lokal. Die Durchführung von rechtlichen Risikoanalysen, die Aktualisierung von Compliance-Richtlinien und die Überprüfung von KI-bezogenen Verträgen sind wesentliche Schritte zur Minderung von Risiken.

Neues Europrivacy-Zertifikat

Im Mai wurde im Rahmen des internationalen Privacy Symposiums das Europrivacy-Zertifikat an das französische Centre d’accès sécurisé aux données (CASD) verliehen, das auch Data Hosting-Dienste anbietet. Die Untersuchung befasste sich mit der Methodik für den Zugriff auf die verschiedenen von CASD bereitgestellten Datenbanken, einschließlich personenbezogener Daten, in einer sicheren Umgebung für statistische und Forschungszwecke. Herzlichen Glückwunsch an CASD sowie an TamCert, das die Zertifizierung durchgeführt hat, und an unseren Kollegen Dr. Zoltán Temesi, der das Auditteam geleitet hat.

Überprüfung der Datenverarbeitung

Das Gesetz über die Informationsfreiheit schreibt vor, dass Datenverarbeitungen auf der Grundlage des Gesetzes, ab Inkrafttreten des Gesetzes alle drei Jahre daraufhin überprüft werden müssen, ob die für die Erreichung des Zwecks der Datenverarbeitung erforderlich ist (Zweckbindung).
Diese Überprüfung gilt für die Datenverarbeitung, zu denen der für die Verarbeitung Verantwortliche verpflichtet ist, wie z. B. die Verarbeitung von Mitarbeiterdaten.
Die Umstände und Ergebnisse der Überprüfung sind in jedem Fall zu dokumentieren, die Dokumentation ist 10 Jahre lang aufzubewahren und der Datenschutzbehörde auf Anfrage zur Verfügung zu stellen.
Dies bedeutet daher eine regelmäßige (und obligatorische alle 3-jährige) Überprüfung der Datenschutzdokumente und der ihnen zugrunde liegenden Verfahren. Da sich die Datenverarbeitungstätigkeiten ständig ändern, müssen die entsprechenden Unterlagen und das Datenverarbeitungsverzeichnis ständig aktualisiert werden. Dieser kontinuierliche Wandel gilt für alle Datenverarbeitungen, d.h. nicht nur für die auf gesetzliche Grundlage, so dass es sich lohnt, alle Datenverarbeitungen, Rechtsgrundlagen, Zwecke, Aufbewahrungsfristen usw. regelmäßig zu überprüfen. (Obwohl die drei Jahre ab dem Beginn der Datenverarbeitung gezählt werden müssen, sollte der für die Verarbeitung Verantwortliche bereits über die Dokumentation von mindestens zwei abgeschlossenen Revisionen verfügen, wenn er die angegebenen personenbezogenen Daten z. B. 7 Jahre lang verarbeitet hat.)

MENU