Liberties begrüßt es, einen Beitrag zur gezielten Konsultation der Kommission zur Einstufung von KI-Systemen zu leisten und stuft diese in eine hohe Risikoklasse ein. Als zivilgesellschaftliche Organisation, die sich für die uneingeschränkte Achtung der Grundrechte durch künstliche Intelligenz einsetzt, sind wir der Ansicht, dass diese Leitlinien bestehende Unklarheiten beseitigen müssen: diese sollten beispielsweise bekräftigen, dass die Einstufung als risikoreich nicht das Verbot des Artikel 5 aufhebt, Systeme zur Fernidentifizierung anhand biometrischer Merkmale (Remote Biometric Identification- RBI), Technologien zur Emotionserkennung und biometrischen Kategorisierungsinstrumenten einzusetzen

Ungarns Einsatz von Überwachungstechnologie im Fokus

In unserer Konsultation haben wir auf unser laufendes Verfahren gegen die ungarischen Behörden wegen des Einsatzes von RBI ( Risk Based Inspection) -Systemen gegen Teilnehmer öffentlicher Demonstrationen, wie beispielsweise der Pride, hingewiesen. Wir sind der Ansicht, dass die Art und Weise, wie diese Systeme eingesetzt werden oder eingesetzt werden könnten, gegen das EU-KI-Gesetz verstoßen würde und im Lichte der in diesem Gesetz festgelegten rechtlichen Anforderungen für den Einsatz von Hochrisiko- KI geprüft werden muss.

Per Definition wäre jedes nicht verbotene polizeiliche Echtzeit-RBI-System nach wie vor mit einem hohen Risiko verbunden und müsste außerdem den zusätzlichen Kontrollen unterliegen, die für den Einsatz von RBI durch die Polizei erforderlich sind. Wir bekräftigen, dass diese Anwendungsfälle nach wie vor äußerst schwerwiegende Einschränkungen der Grundrechte aller Menschen im öffentlichen Raum mit sich bringen. Die Ausnahmen vom grundsätzlichen Verbot müssen daher eine extrem hohe Schwelle erfüllen. Selbst in einer Situation wie einer unmittelbaren, echten und vorhersehbaren Gefahr eines Terroranschlags darf es keine permanente RBI-Infrastruktur geben. Stattdessen muss die Infrastruktur vorübergehend und deutlich gekennzeichnet sein und alle Kriterien für die Genehmigung, Schutzmaßnahmen, geografische Beschränkungen usw. erfüllen, um den Anforderungen der strikten Notwendigkeit und Verhältnismäßigkeit zu genügen. Jede Verwendung, die diese strengen Kriterien nicht erfüllt, wäre weiterhin verboten.

Die Kommission hat auch um Informationen zu Beispielen gebeten, bei denen die Verwendung von KI-Systemen im Zusammenhang mit Biometrie hinsichtlich der Unterscheidung von verbotenen KI-Systemen weiterer Klärung bedarf. Das ungarische FRT ( Face Recognition Technologie- Gesichtserkennungstechnologie) -Gesetz schafft eine breite Rechtsgrundlage für den Einsatz von RBI, ohne technische oder verfahrensrechtliche Garantien für polizeiliche Maßnahmen festzulegen. Damit wird ein System der biometrischen Fernidentifizierung zugelassen, das nach Artikel 5 (1) (h) des EU-KI-Gesetzes verboten ist. Der Einsatz von Echtzeit-RBI-Systemen in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken ist verboten, sofern nicht bestimmte strenge Ausnahmen gelten und dieser Einsatz nach nationalem Recht mit geeigneten Garantien genehmigt ist.

Obwohl die Gerichte das KI-Gesetz noch nicht ausgelegt haben, gibt es zwingende Gründe für die Schlussfolgerung, dass das ungarische FRT-Gesetz gegen Artikel 5 (1) (h) verstößt. Unter der unbestrittenen Annahme, dass das System eine RBI in öffentlichen Räumen darstellt, sind zwei zentrale Fragen zu klären: gemäß Artikel 3 Absatz 42 des KI-Gesetzes ist ein Echtzeit-RBI-System definiert als ein System, bei dem biometrische Daten ohne nennenswerte Verzögerung erfasst, verglichen und abgeglichen werden. Diese beinhalten Fälle mit „begrenzten kurzen Verzögerungen“. In Rezital17 wird bestätigt, dass dies auch „nahezu live“ aufgezeichnetes Material umfasst, während in den Leitlinien zum Verbot des KI-Gesetzes (Absatz 310) klargestellt wird, dass eine Verwendung in Echtzeit erfolgt, sofern die Verzögerung nicht so erheblich ist, dass die Person den Ort wahrscheinlich bereits verlassen hat. Abschnitt 12/A des ungarischen FRT-Gesetzes ermöglicht die Identifizierung in Echtzeit durch die Verknüpfung neu aufgezeichneten Materials mit der ungarischen zentralen Datenbank, sodass die Polizei Personen wie Demonstranten innerhalb weniger Augenblicke identifizieren kann.

Dies fällt eindeutig unter die Definition von Echtzeit-RBI und fällt daher unter Artikel 5 (1) (h). Darüber hinaus untergräbt das ungarische Gesetz den Sinn des Verbots des KI-Gesetzes, wie in Erwägungsgrund 32 dargelegt, denn die Wirkung einer solchen Überwachung auf die Beteiligung der Öffentlichkeit und die Versammlungsfreiheit ist nicht zu unterschätzen. Ein System, das es Behörden ermöglicht, Personen bei Demonstrationen in Echtzeit zu identifizieren, schreckt Einzelpersonen erheblich davon ab, ihre Grundrechte auszuüben.

Richtlinien müssen Einstufung als „risikoreich“ klarstellen

Die Richtlinien müssen bestätigen, dass die Einstufung als „risikoreich“ das Verbot von RBI-Systemen, Emotionserkennungstechnologien und biometrischen Kategorisierungsinstrumenten gemäß Artikel 5 nicht untergraben darf. Diese Klarstellung ist unerlässlich, um die in der Charta der Europäischen Union verankerten Rechte zu wahren. Die EU-Datenschutzbehörden haben wiederholt betont, dass die Gesichtserkennung im Bereich der Strafverfolgung in vollem Umfang mit der LED ( Law Enforcement Directive- Richtlinie zur Strafverfolgung) im Einklang stehen muss. Dazu gehören eine klare und ausdrückliche Rechtsgrundlage, der Nachweis der Notwendigkeit und Verhältnismäßigkeit, eine strikte Datenminimierung, eine unabhängige Aufsicht und die vorherige Durchführung von Datenschutz-Folgenabschätzungen. Die Leitlinien müssen betonen, dass der Einsatz biometrischer KI durch Behörden streng auf Ausnahmefälle beschränkt bleiben und die hohen Anforderungen des EU-Rechts erfüllen muss, insbesondere die Artikel 7 und 8 der Charta. Dazu müssen die Leitlinien ausdrücklich darlegen, inwiefern die Ausnahmen nach Artikel 5 des KI-Gesetzes mit den weitergehenden rechtlichen Verpflichtungen im Einklang stehen, darunter die Notwendigkeit einer gerichtlichen Genehmigung und einer demokratischen Kontrolle nach den nationalen Rechtsvorschriften zur Umsetzung der EU-Rahmenvorschriften für die polizeiliche Zusammenarbeit.

Die Leitlinien müssen klarstellen, dass nicht ferngesteuerte BI ( Biometric Identification - biometrische Identifizierung) -Systeme von Natur aus mit einem hohen Risiko verbunden sind und gemäß Artikel 9 der DSGVO reguliert werden müssen. Die Verwendung von RBI ( Remote Biometric Identification - mobile biometrische Identifizierung) für andere Zwecke als die Strafverfolgung ist gemäß Artikel 5 verboten, und jedes System, das in Echtzeit oder nahezu in Echtzeit betrieben werden kann, muss unter das vollständige Verbot fallen.

Die vollständige Stellungnahme von Liberties, einschließlich Beiträgen zu anderen Fragen im Zusammenhang mit risikoreichen Systemen, ist hier verfügbar.