Geeignetheit (Dreistufentest beim AI Act)
Geeignetheit ist die erste Stufe des Dreistufentests aus dem Datenschutzrecht, der prüft, ob eine KI-Maßnahme grundsätzlich geeignet ist, den verfolgten Zweck zu erreichen. Der Test stammt aus der DSGVO-Praxis und wird bei der rechtlichen Bewertung von KI-Systemen angewendet.
Ausführliche Erklärung
Wenn Unternehmen KI-Systeme einsetzen, die personenbezogene Daten verarbeiten, müssen sie die Rechtmäßigkeit dieser Verarbeitung nachweisen. Juristen nutzen dafür häufig den sogenannten Dreistufentest, der aus dem Datenschutzrecht stammt. Die Geeignetheit bildet die erste Prüfungsstufe: Ist das KI-System überhaupt geeignet, den angestrebten Zweck zu erreichen? Ein Bewerbungsscreening-Tool ist beispielsweise nur dann geeignet, wenn es tatsächlich qualifizierte Kandidaten identifizieren kann. Ein System, das lediglich nach Schlagworten sucht, ohne Kontext zu verstehen, wäre ungeeignet und würde bereits an dieser ersten Hürde scheitern.
Der Dreistufentest selbst stammt nicht aus dem AI Act, sondern aus der DSGVO – insbesondere bei der Prüfung des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO. Er besteht aus drei Fragen: Ist die Maßnahme geeignet? Ist sie erforderlich, oder gäbe es mildere Mittel? Ist sie verhältnismäßig im engeren Sinne, also angemessen gegenüber den Grundrechten der Betroffenen? Diese Prüfung wird auch beim Einsatz von KI-Systemen relevant, da diese regelmäßig personenbezogene Daten verarbeiten.
Im Kontext des AI Act spielt der Dreistufentest eine ergänzende Rolle: Der AI Act selbst arbeitet mit einem risikobasierten Ansatz und teilt KI-Systeme in vier Risikokategorien ein. Die datenschutzrechtliche Prüfung über den Dreistufentest läuft parallel dazu. Hochrisiko-KI-Systeme im Sinne des AI Act müssen nicht nur die Anforderungen der KI-Verordnung erfüllen, sondern auch datenschutzrechtlich zulässig sein. Für KMU bedeutet das: Bei jedem KI-Projekt sind sowohl die AI-Act-Vorgaben als auch die DSGVO-Anforderungen zu beachten.
Die Geeignetheitsprüfung ist bewusst niedrigschwellig: Es reicht aus, dass die Maßnahme den Zweck fördern kann – sie muss ihn nicht mit Sicherheit erreichen. Dennoch ist diese erste Stufe wichtig, denn ein nachweislich ungeeignetes KI-System lässt sich datenschutzrechtlich nicht legitimieren. Dokumentieren Sie daher bereits in der Planungsphase, warum das gewählte System für Ihren Zweck geeignet ist.
Praxisbeispiel
Eine Wiener Steuerberatungskanzlei mit 12 Mitarbeitenden plant den Einsatz eines KI-Tools zur automatischen Vorsortierung eingehender Belege. Die Geschäftsführerin lässt rechtlich prüfen, ob das System datenschutzkonform ist. Erste Frage: Geeignetheit – kann das Tool Belege überhaupt sinnvoll kategorisieren? Tests zeigen eine Erkennungsrate von 92 Prozent. Das System ist geeignet. Nun folgen die weiteren Stufen: Erforderlichkeit und Verhältnismäßigkeit.