Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

KI und Daten­schutz: Was Sie jetzt wis­sen müssen!

Die KI-Ver­ord­nung (KI-VO) schützt vor Miss­brauch und för­dert Inno­va­tio­nen von Unter­neh­men in Euro­pa. Hier erfah­ren Sie, was Sie beim Ein­satz von KI-Sys­te­men beach­ten müs­sen. Und was pas­siert, wenn per­so­nen­be­zo­ge­ne Daten beim Trai­ning oder der Nut­zung ver­ar­bei­tet wer­den? Was Sie jetzt wis­sen müssen!

KI und Daten­schutz — Was Sie wis­sen müssen!

Künst­li­che Intel­li­genz (KI) ent­wi­ckelt sich rasant und beein­flusst vie­le Berei­che unse­res Lebens. Mit die­ser Ent­wick­lung wach­sen aber auch die Her­aus­for­de­run­gen im Bereich des Daten­schut­zes. Wäh­rend die Daten­schutz-Grund­ver­ord­nung (DSGVO) bereits stren­ge Anfor­de­run­gen an den Schutz per­so­nen­be­zo­ge­ner Daten stellt, bringt der die KI-VO der EU zusätz­li­che Anfor­de­run­gen für Her­stel­ler und Betrei­ber von KI-Systemen.

Die KI-VO ist eine euro­päi­sche Ver­ord­nung, die den Ein­satz von künst­li­cher Intel­li­genz in Unter­neh­men und Orga­ni­sa­tio­nen regelt, um sicher­zu­stel­len, dass KI-Sys­te­me ver­ant­wor­tungs­voll und sicher ein­ge­setzt wer­den. Ziel der Ver­ord­nung ist es, die Risi­ken für die Gesell­schaft zu mini­mie­ren und den Schutz der Grund­rech­te zu gewährleisten.

Betrof­fen sind nicht nur gro­ße Kon­zer­ne, son­dern auch vie­le klei­ne und mitt­le­re Unter­neh­men (KMU) in unter­schied­li­chen Bran­chen wie Gesund­heit, Han­del, Pro­duk­ti­on, Mobi­li­tät, Finan­zen, öffent­li­che Ver­wal­tung und digi­ta­le Wirt­schaft. Kurz­um: Sie betrifft alle Unter­neh­men, die KI-Sys­te­me ent­wi­ckeln, ein­set­zen oder bei­spiels­wei­se vertreiben.

Inhalte 

KI-Ver­ord­nung — ein Überblick

Ob ein Unter­neh­men die KI-Ver­ord­nung anwen­den muss, hängt zunächst davon ab, ob ein KI-Sys­tem im Sin­ne der KI-Ver­ord­nung vor­liegt. Ist dies der Fall, unter­schei­det die KI-Ver­ord­nung zwi­schen ver­schie­de­nen Risi­koklas­sen und damit ver­bun­de­nen Pflichten.

Unter­neh­men, deren KI-Sys­te­me als ris­kant ein­ge­stuft wer­den, müs­sen beson­ders stren­ge Anforder­ungen erfül­len, wie z.B. die Imple­men­tie­rung umfas­sen­der Risiko­management­systeme und die Sicher­stel­lung von Trans­parenz, um bei Pro­ble­men schnell und effek­tiv reagie­ren zu können. 

Defi­ni­tio­nen

Hier fin­den Sie wich­ti­ge Begrif­fe und Fra­gen zu Künst­li­cher Intel­li­genz und Daten­schutz, wie etwa die Defi­ni­ti­on eines KI-Sys­tems nach der KI-VO und rele­van­te Daten­schutz­pha­sen im Produktlebenszyklus.

KI-Sys­tem gemäß KI-VO

Ein (theo­re­ti­sches) KI-Sys­tem ist ein maschi­nen­ge­stütz­tes Sys­tem, das

  1. so kon­zi­piert ist, dass es in unter­schied­li­chem Maße auto­nom arbei­ten kann
  2. nach sei­ner Imple­men­tie­rung anpass­bar ist und
  3. Ergeb­nis­se wie Vor­her­sa­gen, Inhal­te, Emp­feh­lun­gen oder Ent­schei­dun­gen gene­riert, die phy­si­sche oder vir­tu­el­le Umge­bun­gen beein­flus­sen können.

Mit die­ser all­ge­mei­nen Defi­ni­ti­on sorgt die KI-Ver­ord­nung für Rechts­si­cher­heit in den kom­men­den Jahren.


Ein (prak­ti­sches) KI-Sys­tem

  1. ist eine voll­stän­di­ge Anwen­dung, die ein oder meh­re­re KI-Model­le ent­hält und die­se in eine ope­ra­tio­nel­le Lösung integriert.
  2. umfasst die gesam­te Infra­struk­tur + Benut­zer­schnitt­stel­len, für den Ein­satz in einer rea­len Umgebung
  3. umfasst zusätz­lich Benut­zer­schnitt­stel­len, Hard­ware- und Soft­ware-Infra­struk­tur, Daten­ma­nage­ment und Sicherheitssysteme.
  4. wird in einer rea­len Umge­bung ein­ge­setzt, um spe­zi­fi­sche Auf­ga­ben zu erfül­len und mit Benutzern/anderen Sys­te­men zu interagieren.
  5. wird von einem Team aus Ent­wick­lern, IT-Admi­nis­tra­to­ren + Sicher­heits­exper­ten entwickelt
  6. erfor­dert eine robus­te Infra­struk­tur für den Betrieb und die Ska­lier­bar­keit, inkl. Tools für den Ein­satz und die Überwachung.
KI-Modell gemäß KI-VO

Ein KI-Modell ist ein

  1. mathematisches/statistisches Kon­strukt, das anhand von Trai­nings­da­ten Mus­ter erkennt/Vorhersagen trifft.
  2. kon­zen­triert sich haupt­säch­lich auf die algo­rith­mi­sche und daten­ge­trie­be­ne Sei­te der KI.
  3. besteht im Wesent­li­chen aus Algo­rith­men, Trai­nings­da­ten, Modell­pa­ra­me­tern und Gewichtungen
  4. wird von Wis­sen­schaft und For­schung ent­wi­ckelt und opti­miert und kon­zen­triert sich auf Trai­ning, Vali­die­rung und Vor­her­sa­ge auf der Basis von Daten.
  5. wird oft iso­liert in For­schungs- und Ent­wick­lungs­pha­sen ein­ge­setzt
    benö­tigt hoch­wer­ti­ge Trai­nings­da­ten und Rechen­res­sour­cen für das Modelltraining.
Betei­lig­te (Rol­len) in der KI-VO

Die fol­gen­den Rol­len kön­nen bei der Ver­wen­dung eines KI-Sys­tems ent­ste­hen und ent­spre­chen­de Pflich­ten auslösen.

Anbie­ter:
Natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder jede ande­re Stel­le, die ein KI-Sys­tem oder ein KI-Modell zur all­ge­mei­nen Ver­wen­dung ent­wi­ckelt oder ent­wi­ckeln lässt und es unter ihrem eige­nen Namen oder ihrer eige­nen Mar­ke in Ver­kehr bringt oder das KI-Sys­tem unter ihrem eige­nen Namen oder ihrer eige­nen Mar­ke ent­gelt­lich oder unent­gelt­lich in Betrieb nimmt.

Betrei­ber:
Natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder jede ande­re Stel­le, die ein KI-Sys­tem in eige­ner Ver­ant­wor­tung ein­setzt, es sei denn, die Ver­wen­dung des KI-Sys­tems erfolgt im Rah­men der per­sön­li­chen und nicht beruf­li­chen Tätigkeit.

Bevoll­mäch­tig­ter:
Natür­li­che / juris­ti­sche Per­son in der EU, die vom Anbie­ter eines KI-Sys­tems / KI-Modells zur all­ge­mei­nen Ver­wen­dung schrift­lich bevoll­mäch­tigt wur­de und sich damit ein­ver­stan­den erklärt hat, in sei­nem Namen die in die­ser Ver­ord­nung fest­ge­leg­ten Pflich­ten zu erfül­len oder Ver­fah­ren durchzuführen.

Impor­teur:
Natür­li­che / juris­ti­sche Per­son in der EU, die ein KI-Sys­tem in Ver­kehr bringt, das den Namen / die Han­dels­mar­ke einer in einem Dritt­land ansäs­si­gen natür­li­chen oder juris­ti­schen Per­son trägt.

Händ­ler:
Natür­li­che / juris­ti­sche Per­son in der Lie­fer­ket­te, die ein KI-Sys­tem in der EU bereit­stellt (mit Aus­nah­me des Lie­fe­ran­ten / Importeurs).

Ach­tung Rol­len­wech­sel — Aufpassen!

Unter bestimm­ten Vor­aus­set­zun­gen müs­sen Ein­füh­rer, Händ­ler und Nut­zer von Hoch­ri­si­ko-KI-Sys­te­men auch die Pflich­ten der KI-Anbie­ter erfül­len, wenn sie selbst zum Anbie­ter wer­den. Ein sol­cher Wech­sel der Ver­ant­wort­lich­keit tritt ein, wenn

  1. ein Hoch­ri­si­ko-KI-Sys­tem unter eige­nem Namen oder eige­ner Mar­ke in Ver­kehr gebracht oder in Betrieb genom­men wird.
  2. eine wesent­li­che Ände­rung an einem Hoch­ri­si­ko-KI-Sys­tem vor­ge­nom­men wird, ohne dass die­ses sei­ne Eigen­schaft als Hoch­ri­si­ko-KI-Sys­tem ver­liert, oder eine wesent­li­che Ände­rung der Zweck­be­stim­mung eines ande­ren KI-Sys­tems vor­ge­nom­men wird und die­ses dadurch zu einem Hoch­ri­si­ko-KI-Sys­tem wird.

In die­sen Fäl­len ist der ursprüng­li­che Anbie­ter nicht mehr für das betref­fen­de Hoch­ri­si­ko-KI-Sys­tem ver­ant­wort­lich, son­dern Sie. Sie erben alle Pflich­ten des Betreibers.

Der ehe­ma­li­ge Betrei­ber ist ledig­lich ver­pflich­tet, dem neu­en Betrei­ber alle Unter­la­gen und Doku­men­te zur Ver­fü­gung zu stel­len, die zur Erfül­lung der Anfor­de­run­gen und Pflich­ten als Betrei­ber gemäß der KI-Ver­ord­nung erfor­der­lich sind.

Risi­koklas­sen für KI-Systeme

Die KI-Ver­ord­nung der EU teilt KI-Sys­te­me in ver­schie­de­ne Risi­koklas­sen ein, die sich nach den poten­zi­el­len Aus­wir­kun­gen auf Sicher­heit, Grund­rech­te und gesell­schaft­li­che Wer­te rich­ten. Die­se Ein­tei­lung soll sicher­stel­len, dass für Sys­te­me mit höhe­ren Risi­ken stren­ge­re Regeln gel­ten, wäh­rend Sys­te­me mit gerin­ge­ren Risi­ken weni­ger regu­liert wer­den. Die wich­tigs­ten Risi­koklas­sen sind:

Ver­bo­te­ne KI-Prak­ti­ken:
Die­se Kate­go­rie umfasst KI-Anwen­dun­gen, die als inak­zep­ta­ble Risi­ken für die Gesell­schaft oder die Grund­rech­te ein­ge­stuft wer­den. Dazu gehö­ren Sys­te­me, die gegen die Men­schen­wür­de ver­sto­ßen, wie mani­pu­la­ti­ve Anwen­dun­gen, die unbe­wuss­te Ent­schei­dun­gen beein­flus­sen, oder Sys­te­me, die zur sozia­len Über­wa­chung in Echt­zeit ein­ge­setzt wer­den. Sol­che KI-Sys­te­me sind nach dem AI-Act gänz­lich verboten.

KI-Sys­te­me mit hohem Risi­ko:
In die­se Kate­go­rie fal­len KI-Sys­te­me, die ein hohes Risi­ko für die Sicher­heit oder die Grund­rech­te von Men­schen dar­stel­len kön­nen. Bei­spie­le sind Sys­te­me, die in kri­ti­schen Infra­struk­tu­ren, im Bil­dungs­we­sen, in der Straf­ver­fol­gung, in der medi­zi­ni­schen Dia­gnos­tik oder bei der Rekru­tie­rung ein­ge­setzt werden.

Für die­se Sys­te­me gel­ten stren­ge Anfor­de­run­gen, dar­un­ter eine gründ­li­che Risi­ko­be­wer­tung, regel­mä­ßi­ge Über­wa­chung, umfas­sen­de Trans­pa­renz und Dokumentationspflichten.

Hoch­ri­si­ko­sys­te­me müs­sen vor ihrem Ein­satz eine Zer­ti­fi­zie­rung durch­lau­fen, die bestä­tigt, dass sie den Anfor­de­run­gen der KI-Ver­ord­nung ent­spre­chen. Dazu gehört auch die Prü­fung der tech­ni­schen Sicher­heit, Kor­rekt­heit und Fair­ness der Systeme.

Sys­te­me mit begrenz­tem Risi­ko:
In die­se Kate­go­rie fal­len KI-Sys­te­me mit begrenz­tem Risi­ko, die kei­ne erheb­li­chen Aus­wir­kun­gen auf Sicher­heit und Grund­rech­te haben, aber den­noch Trans­pa­renz­pflich­ten unterliegen.

Bei­spie­le sind Chat­bots, die mensch­li­che Inter­ak­ti­on simu­lie­ren. Nut­ze­rin­nen und Nut­zer müs­sen dar­über infor­miert wer­den, dass sie mit einem KI-Sys­tem interagieren.

Für Sys­te­me die­ser Kate­go­rie gibt es kei­ne stren­gen gesetz­li­chen Anfor­de­run­gen, aber die Anbie­ter kön­nen frei­wil­lig Richt­li­ni­en und Stan­dards anwen­den, um das Ver­trau­en der Nut­zer zu stärken.

Mini­ma­les Risi­ko:
KI-Sys­te­me, die in die­se Kate­go­rie fal­len, gel­ten als weit­ge­hend risi­ko­los und sind daher von den meis­ten Anfor­de­run­gen des AI-Acts ausgenommen.

Bei­spie­le sind KI-Sys­te­me, die in Video­spie­len oder Spam­fil­tern ein­ge­setzt wer­den. Für die­se Sys­te­me sind kei­ne beson­de­ren gesetz­li­chen Rege­lun­gen erfor­der­lich. Berück­sich­ti­gen Sie grund­le­gen­de Prin­zi­pi­en wie Daten­schutz und Ethik.

Risi­koklas­sen für KI-Modu­le (GPAI)

Die Risi­ko­ein­stu­fung von KI-Modu­len, ins­be­son­de­re von KI-Model­len für all­ge­mei­ne Zwe­cke (Gene­ral Pur­po­se AI — GPAI), spielt eine wich­ti­ge Rol­le bei der Regu­lie­rung und Über­wa­chung ihres Einsatzes.

Ein KI-Modell wird als “sys­te­misch ris­kant” ein­ge­stuft, wenn es über beson­ders mäch­ti­ge Fähig­kei­ten ver­fügt oder weit­rei­chen­de Aus­wir­kun­gen hat. Die­se Ein­stu­fung erfolgt, wenn bestimm­te Kri­te­ri­en erfüllt sind:

Hohe Leis­tungs­fä­hig­keit:
Ein Modell wird als risi­ko­reich ein­ge­stuft, wenn es durch tech­ni­sche Metho­den und Bench­marks eine hohe Effi­zi­enz nach­wei­sen kann. Ein Indi­ka­tor dafür ist z.B. die Anzahl der Rechen­ope­ra­tio­nen (Gleit­kom­ma­ope­ra­tio­nen) wäh­rend des Trai­nings. Über­schrei­tet die­se Men­ge einen bestimm­ten Schwel­len­wert (z.B. 10²⁵ Gleit­kom­ma­ope­ra­tio­nen), gilt das Modell als effizient.

Kri­te­ri­en der EU-Kom­mis­si­on:
In die Risi­ko­ein­stu­fung flie­ßen ver­schie­de­ne Fak­to­ren wie die Anzahl der Modell­pa­ra­me­ter, die Qua­li­tät und Grö­ße der ver­wen­de­ten Daten­sät­ze sowie die Trai­nings­kos­ten und der Ener­gie­ver­brauch ein. Model­le, die in ver­schie­de­nen Moda­li­tä­ten wie Text, Bild oder mul­ti­mo­dal arbei­ten und auf dem neu­es­ten Stand der Tech­nik sind, wer­den eben­falls genau­er geprüft.

Aus­wir­kun­gen auf den Markt:
Ein Modell kann auch als sys­te­misch ris­kant ein­ge­stuft wer­den, wenn es eine gro­ße Ver­brei­tung in der EU hat, z. B. wenn es mehr als 10.000 regis­trier­te gewerb­li­che Nut­zer erreicht. Dies deu­tet dar­auf hin, dass das Modell poten­zi­ell gro­ße Aus­wir­kun­gen auf den Bin­nen­markt haben kann.

Die EU-Kom­mis­si­on hat das Recht, die­se Kri­te­ri­en und Schwel­len­wer­te anzu­pas­sen, um mit der tech­no­lo­gi­schen Ent­wick­lung Schritt zu hal­ten und sicher­zu­stel­len, dass die Regu­lie­rung immer auf dem neu­es­ten Stand ist.

Pro­dukt­pha­sen im Datenschutz

Bei der Imple­men­tie­rung und Nut­zung von KI-Sys­te­men, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, spie­len ver­schie­de­ne Pro­dukt­pha­sen eine ent­schei­den­de Rol­le im Hin­blick auf Daten­schutz­be­stim­mun­gen wie die DSGVO (Daten­schutz-Grund­ver­ord­nung) und ande­re rele­van­te Regelungen.

Jede Pha­se, von der Erhe­bung der Trai­nings­da­ten bis zur Nut­zung der KI-Ergeb­nis­se, unter­liegt spe­zi­fi­schen Datenschutzanforderungen.

Hier ist ein Über­blick, wie die DSGVO auf die ein­zel­nen Schrit­te ange­wen­det wird:

Erhe­bung von Trai­nings­da­ten für Künst­li­che Intel­li­genz:
Bereits bei der Daten­samm­lung müs­sen die Prin­zi­pi­en der Daten­mi­ni­mie­rung, Zweck­bin­dung und Trans­pa­renz beach­tet wer­den. Betrof­fe­ne Per­so­nen müs­sen über die Erhe­bung und den Zweck der Daten­ver­ar­bei­tung infor­miert werden.

Trai­ning von KI:
Wäh­rend des Trai­nings­pro­zes­ses sind beson­de­re Sicher­heits­vor­keh­run­gen erfor­der­lich, um die Ver­trau­lich­keit und Inte­gri­tät der Daten zu gewähr­leis­ten. Anony­mi­sie­rung oder Pseud­ony­mi­sie­rung kann hier eine wich­ti­ge Rol­le spie­len, um per­so­nen­be­zo­ge­ne Daten zu schützen.

Bereit­stel­len von Anwen­dun­gen der KI:
Die DSGVO ver­langt, dass Nut­zer infor­miert wer­den, wenn KI-Anwen­dun­gen zum Ein­satz kom­men, ins­be­son­de­re wenn sie Ent­schei­dun­gen beein­flus­sen, die für die Betrof­fe­nen recht­li­che oder ähn­lich erheb­li­che Aus­wir­kun­gen haben.

Nut­zung von Anwen­dun­gen der KI:
Rech­te der Betrof­fe­nen: In die­ser Pha­se müs­sen die Rech­te der betrof­fe­nen Per­so­nen gewahrt wer­den, ein­schließ­lich des Rechts auf Aus­kunft, Berich­ti­gung, Löschung und Wider­spruch. Dies ist beson­ders rele­vant, wenn die KI-Anwen­dung auto­ma­ti­sier­te Ent­schei­dun­gen trifft.

Nut­zung von Ergeb­nis­sen der KI:
Fol­gen­ab­schät­zung und Auf­sicht: Wenn KI-Ergeb­nis­se genutzt wer­den, müs­sen Unter­neh­men sicher­stel­len, dass die Ergeb­nis­se kor­rekt und fair sind. Zudem soll­ten sie eine Daten­schutz-Fol­gen­ab­schät­zung (DPIA) durch­füh­ren, wenn ein hohes Risi­ko für die Rech­te und Frei­hei­ten der Betrof­fe­nen besteht.

In jeder die­ser Pha­sen müs­sen die Vor­ga­ben der DSGVO und ande­rer Daten­schutz­re­ge­lun­gen ein­ge­hal­ten wer­den, um die Rech­te der betrof­fe­nen Per­so­nen zu schüt­zen und recht­li­che Kon­se­quen­zen zu ver­mei­den. Wer die­se Regeln ein­hal­ten muss, hängt ab von der jewei­li­gen Rol­le des Unternehmens.

Typi­scher Ablauf der Umset­zung von KI-Pro­jek­ten aus Sicht des Datenschutzes

Nut­zen Sie den PDCA-Zyklus (Plan-Do-Check-Act) für Ihr KI-Pro­jekt, um Sicher­heits­stan­dards zu errei­chen und gesetz­li­che Anfor­de­run­gen kon­ti­nu­ier­lich zu erfül­len. Die fol­gen­de Vor­ge­hens­wei­se hilft Ihnen dabei, die ein­zel­nen Pro­dukt­pha­sen (Trai­ning, Nut­zung etc.) ggf. indi­vi­du­ell betrach­tet wer­den müssen.

Eini­ge Details der KI-Verordnung

Wenn Sie sich mit der KI-Ver­ord­nung befas­sen müs­sen, ist es not­wen­dig, wei­te­re Details zu ken­nen. Dazu gehö­ren die Ver­pflich­tun­gen der KI-Ver­ord­nung pro Rol­le, aber auch ande­re Geset­ze, die Sie ken­nen und ein­hal­ten müs­sen. Dazu gehö­ren neben der DSGVO auch das Geschäfts­ge­heim­nis­ge­setz, das Urhe­ber­recht, das Per­sön­lich­keits­recht sowie das Wett­be­werbs- und Mar­ken­recht. Ob wei­te­re Geset­ze zu beach­ten sind, hängt vom Ein­zel­fall ab.

Ver­bo­te­ne KI-Sys­te­me und KI-Praktiken

KI-Sys­te­me bie­ten vie­le Vor­tei­le. Es gibt jedoch auch ernst­haf­te Beden­ken hin­sicht­lich ihres ethi­schen Ein­sat­zes. Beson­ders kri­tisch wird es, wenn KI-Sys­te­me für Zwe­cke ein­ge­setzt wer­den, die poten­zi­ell die Pri­vat­sphä­re und die Rech­te des Ein­zel­nen verletzen.

Daher gibt es stren­ge Vor­schrif­ten, die bestimm­te Anwen­dun­gen von KI ver­bie­ten, um Miss­brauch zu ver­hin­dern und den Schutz der Men­schen­rech­te zu gewähr­leis­ten. Im Fol­gen­den wer­den eini­ge der wich­tigs­ten ver­bo­te­nen KI-Sys­te­me auf­ge­führt, die nicht nur aus ethi­schen Grün­den pro­ble­ma­tisch sind, son­dern auch recht­li­chen Beschrän­kun­gen unter­lie­gen, um sicher­zu­stel­len, dass die Tech­no­lo­gien ver­ant­wor­tungs­voll ein­ge­setzt werden.

 

Risi­ko­ab­schät­zung für Straf­ta­ten:
Es ist ver­bo­ten, KI-Sys­te­me zur Bewer­tung des Risi­kos, dass jemand eine Straf­tat begeht, ein­zu­set­zen, wenn dies aus­schließ­lich auf der Ana­ly­se per­sön­li­cher Merk­ma­le oder auf Pro­fil­ing beruht. Dies bedeu­tet, dass es nicht erlaubt ist, allein auf­grund von per­sön­li­chen Merk­ma­len oder Ver­hal­tens­mus­tern vor­her­zu­sa­gen, ob eine Per­son eine Straf­tat bege­hen wird.

 

2. Gesichts­er­ken­nung und Emo­ti­ons­er­ken­nung
KI-Sys­te­me dür­fen nicht zum Auf­bau von Gesichts­er­ken­nungs­da­ten­ban­ken ohne spe­zi­fi­schen Zweck oder zur Ana­ly­se von Emo­tio­nen am Arbeits­platz oder in der Schu­le ein­ge­setzt wer­den, es sei denn, es gibt medi­zi­ni­sche oder sicher­heits­re­le­van­te Grün­de dafür. Mit ande­ren Wor­ten: Gesichts­er­ken­nungs­tech­no­lo­gie darf nicht ohne trif­ti­gen Grund zum Sam­meln von Daten oder zum Über­wa­chen von Emo­tio­nen ein­ge­setzt werden.

 

Bio­me­tri­sche Kate­go­ri­sie­rung:
Es ist ver­bo­ten, KI-Sys­te­me zur Kate­go­ri­sie­rung von Men­schen auf­grund von Merk­ma­len wie Ras­se, poli­ti­scher Über­zeu­gung, reli­giö­ser Über­zeu­gung, sexu­el­ler Nei­gung oder sexu­el­ler Ori­en­tie­rung ein­zu­set­zen. Das bedeu­tet, dass KI nicht ein­ge­setzt wer­den darf, um Men­schen nach sol­chen per­sön­li­chen Merk­ma­len zu klassifizieren.

 

Fern­iden­ti­fi­zie­rung in Echt­zeit:
Im öffent­li­chen Raum dür­fen KI-Sys­te­me zur bio­me­tri­schen Echt­zeit-Fern­iden­ti­fi­zie­rung nur Not­fäl­len ver­wen­det wer­den, wie bei Ent­füh­run­gen, Ter­ror­ge­fah­ren oder der Suche nach gesuch­ten Straftätern.

Hoch­ri­si­ko-KI-Sys­te­me

Hoch­ri­si­ko-KI-Sys­te­me kön­nen poten­zi­ell weit­rei­chen­de Aus­wir­kun­gen auf die Gesell­schaft, die Sicher­heit und die Rech­te ein­zel­ner Per­so­nen haben. Aus die­sem Grund ist es wich­tig, die­se Sys­te­me beson­ders sorg­fäl­tig zu regu­lie­ren und zu über­wa­chen. In die­sem Zusam­men­hang wer­den Hoch­ri­si­ko-KI-Sys­te­me defi­niert und unter­sucht, um ein bes­se­res Ver­ständ­nis ihrer poten­zi­el­len Gefah­ren und der not­wen­di­gen Schutz­maß­nah­men zu ermöglichen. 

Grund­sätz­lich kann gesagt wer­den, dass Hochrisiko-KI-Systeme

  1. ein signi­fi­kan­tes Risi­ko für die Gesund­heit, Sicher­heit oder die Grund­rech­te von Per­so­nen darstellen,
  2. auf­grund poten­zi­el­ler Aus­wir­kun­gen für Betrof­fe­ne hoch­ris­kant sind und 
  3. stren­gen Anfor­de­run­gen hin­sicht­lich Trans­pa­renz, Sicher­heit und ethi­schen Stan­dards unterliegen
Kate­go­rien von Hochrisiko-KI-Systemen

Laut dem KI-Act gel­ten bestimm­te KI-Sys­te­me als hoch­ris­kant, wenn sie in Berei­chen ein­ge­setzt wer­den, die poten­zi­ell erheb­li­che Aus­wir­kun­gen auf das Leben und die Rech­te von Men­schen haben. Hier sind die wich­tigs­ten Kate­go­rien von Hoch­ri­si­ko-KI-Sys­te­men, die kön­nen sich im Lau­fe der Zeit ange­passt werden.

 

Bio­me­tri­sche Fern­iden­ti­fi­zie­rungs­sys­te­me:
Sys­te­me zur Erken­nung von Per­so­nen aus der Fer­ne, wie etwa durch Gesichts­er­ken­nung, wenn die­se im Ein­klang mit den gesetz­li­chen Vor­ga­ben ver­wen­det werden.

 

Bio­me­tri­sche Kate­go­ri­sie­rung:
Sys­te­me, die zur Klas­si­fi­zie­rung von Per­so­nen anhand sen­si­bler Merk­ma­le wie Ras­se oder Reli­gi­on ver­wen­det werden.

 

Emo­ti­ons­er­ken­nung:
Sys­te­me, die dar­auf abzie­len, Emo­tio­nen zu erken­nen, zum Bei­spiel in Schu­len oder am Arbeitsplatz.

Kri­ti­sche Infra­struk­tur:
KI-Sys­te­me, die Sicher­heits­auf­ga­ben im Bereich der kri­ti­schen Infra­struk­tur wie Ener­gie­ver­sor­gung oder Ver­kehr über­neh­men, gehö­ren eben­falls zu den Hochrisiko-KI-Systemen.

 

All­ge­mei­ne und beruf­li­che Bil­dung:
KI-Sys­te­me zur Bewer­tung von Lern­leis­tun­gen, der Ver­ga­be von Bil­dungs­plät­zen oder der Über­wa­chung von Prü­fun­gen in Bildungseinrichtungen.

 

Beschäf­ti­gung und Per­so­nal­ma­nage­ment:
Sys­te­me zur Aus­wahl und Bewer­tung von Bewer­bern, zur Über­wa­chung von Mit­ar­bei­tern oder zur Ent­schei­dungs­fin­dung über Beför­de­run­gen und Kündigungen.

 

Zugang zu öffent­li­chen und pri­va­ten Diens­ten:
KI-Sys­te­me, die von Behör­den ver­wen­det wer­den, um Ansprü­che auf öffent­li­che Dienst­leis­tun­gen zu prü­fen, Kre­di­te zu bewer­ten, oder Not­ru­fe zu bearbeiten.

 

Straf­ver­fol­gung:
Sys­te­me zur Bewer­tung des Risi­kos, dass jemand Opfer oder Täter von Straf­ta­ten wird, zur Ana­ly­se von Beweis­mit­teln oder zur Pro­fi­lie­rung von Personen.

 

Migra­ti­on, Asyl und Grenz­kon­trol­le:
KI-Sys­te­me zur Bewer­tung von Risi­ken im Kon­text der Migra­ti­on und Asyl, zur Über­prü­fung von Visum­an­trä­gen und zur Iden­ti­fi­ka­ti­on von Per­so­nen an Grenzen.

 

Rechts­pfle­ge und demo­kra­ti­sche Pro­zes­se
KI-Sys­te­me zur Unter­stüt­zung von Jus­tiz­be­hör­den bei der Ent­schei­dungs­fin­dung oder zur Beein­flus­sung von Wahlergebnissen.

Aus­nah­men für Hoch-Risiko-KI-Systeme

Nicht alle Sys­te­me in die­sen Kate­go­rien gel­ten auto­ma­tisch als hoch­ris­kant. Fol­gen­de Aus­nah­men kön­nen gelten:

Begrenz­te Auf­ga­ben:
Wenn ein KI-Sys­tem nur für spe­zi­fi­sche, eng gefass­te Auf­ga­ben ver­wen­det wird, die kei­nen wesent­li­chen Ein­fluss auf die Ent­schei­dungs­fin­dung haben.

Ver­bes­se­rung mensch­li­cher Ent­schei­dun­gen:
Wenn ein KI-Sys­tem dar­auf abzielt, mensch­li­che Ent­schei­dun­gen zu ver­bes­sern, aber nicht deren Ergeb­nis ohne mensch­li­che Über­prü­fung beeinflusst.

Erken­nung von Ent­schei­dungs­mus­tern:
Sys­te­me, die ledig­lich Mus­ter in Ent­schei­dun­gen erken­nen, ohne direkt in die Ent­schei­dungs­fin­dung ein­zu­grei­fen oder die­se zu ersetzen.

Vor­be­rei­ten­de Auf­ga­ben:
Sys­te­me, die nur vor­be­rei­ten­de Auf­ga­ben durch­füh­ren und die end­gül­ti­ge Bewer­tung durch Men­schen unterstützen.

Wich­ti­ger Hin­weis: Wenn ein KI-Sys­tem jedoch Pro­fil­ing von Per­so­nen vor­nimmt, wird es unab­hän­gig von den oben genann­ten Aus­nah­men immer als hoch­ris­kant betrachtet.

Anfor­de­run­gen an Hochrisiko-KI-Systeme

Die Anfor­de­run­gen an Anbie­ter und Betrei­ber von Hoch­ri­si­ko-KI-Sys­te­men sind dar­auf aus­ge­legt, sicher­zu­stel­len, dass sol­che Sys­te­me sicher, trans­pa­rent und ver­ant­wor­tungs­be­wusst betrie­ben wer­den. Im Fol­gen­den fin­den Sie die wesent­li­chen Anfor­de­run­gen an die Betei­lig­ten an Hochrisiko-KI-Systemen.

Risi­ko­ma­nage­ment­sys­tem:
Imple­men­tie­ren und pfle­gen Sie ein umfas­sen­des Risi­ko­ma­nage­ment­sys­tem zur Iden­ti­fi­zie­rung, Bewer­tung und Min­de­rung poten­zi­el­ler Risi­ken Ihres KI-Systems.

Daten und Daten-Gover­nan­ce:
Ver­wal­ten Sie Daten gemäß den gel­ten­den Richt­li­ni­en zur Daten­si­cher­heit und ‑qua­li­tät. Stel­len Sie sicher, dass alle Daten ange­mes­sen geschützt und ver­wal­tet werden.

Tech­ni­sche Doku­men­ta­ti­on:
Erstel­len und pfle­gen Sie detail­lier­te tech­ni­sche Doku­men­ta­tio­nen, die die Funk­ti­ons­wei­se und tech­ni­schen Details Ihres KI-Sys­tems beschreiben.

Auf­zeich­nungs­pflich­ten:
Füh­ren Sie alle rele­van­ten Auf­zeich­nun­gen, die den Betrieb und die Leis­tung Ihres KI-Sys­tems doku­men­tie­ren, um Prü­fun­gen und Nach­ver­fol­gun­gen zu ermöglichen.

Trans­pa­renz und Bereit­stel­lung von Infor­ma­tio­nen für Betrei­ber:
Stel­len Sie kla­re und ver­ständ­li­che Infor­ma­tio­nen über die Funk­ti­ons­wei­se Ihres KI-Sys­tems bereit, damit Betrei­ber es effek­tiv nut­zen und ver­ste­hen können.

Mensch­li­che Auf­sicht:
Gewähr­leis­ten Sie, dass eine mensch­li­che Auf­sicht über das KI-Sys­tem vor­han­den ist, um die Sicher­heit und Kon­trol­le über das Sys­tem zu gewährleisten.

Genau­ig­keit, Robust­heit und Cyber­si­cher­heit:
Sor­gen Sie dafür, dass Ihr KI-Sys­tem genaue Ergeb­nis­se lie­fert, robust gegen­über Stö­run­gen ist und über ange­mes­se­ne Cyber­si­cher­heits­maß­nah­men verfügt.

Pflich­ten der Anbie­ter von Hoch­ri­si­ko-KI-Sys­te­men:
Über­neh­men Sie die Ver­ant­wor­tung für die Sicher­heit und Kon­for­mi­tät Ihrer Hoch­ri­si­ko-KI-Sys­te­me und erfül­len Sie alle damit ver­bun­de­nen Pflichten.

Qua­li­täts­ma­nage­ment­sys­tem:
Imple­men­tie­ren und pfle­gen Sie ein Qua­li­täts­ma­nage­ment­sys­tem, das kon­ti­nu­ier­li­che Über­prü­fun­gen und Ver­bes­se­run­gen aller Aspek­te Ihres KI-Sys­tems sicherstellt.

Auf­be­wah­rung der Doku­men­ta­ti­on:
Bewah­ren Sie alle rele­van­ten Doku­men­ta­tio­nen ord­nungs­ge­mäß auf, um die Nach­voll­zieh­bar­keit und Mög­lich­keit von Audits zu gewährleisten.

Auto­ma­tisch erzeug­te Pro­to­kol­le:
Füh­ren Sie auto­ma­tisch erzeug­te Pro­to­kol­le, die alle rele­van­ten Ereig­nis­se und Vor­gän­ge dokumentieren.

Kor­rek­tur­maß­nah­men und Infor­ma­ti­ons­pflicht:
Set­zen Sie Kor­rek­tur­maß­nah­men bei Pro­ble­men um und infor­mie­ren Sie umge­hend die zustän­di­gen Stel­len über rele­van­te Vorfälle.

Zusam­men­ar­beit mit den zustän­di­gen Behör­den:
Arbei­ten Sie eng mit den zustän­di­gen Behör­den zusam­men, um sicher­zu­stel­len, dass alle gesetz­li­chen Anfor­de­run­gen erfüllt wer­den und Ihr KI-Sys­tem sicher betrie­ben wird.

Bevoll­mäch­tig­te der Anbie­ter von Hoch­ri­si­ko-KI-Sys­te­men:
Ernen­nen Sie einen Bevoll­mäch­tig­ten, der für die Ein­hal­tung der Vor­schrif­ten und die Kom­mu­ni­ka­ti­on mit den Auf­sichts­be­hör­den ver­ant­wort­lich ist.

Pflich­ten der Ein­füh­rer:
Stel­len Sie sicher, dass die von Ihnen ein­ge­führ­ten Hoch­ri­si­ko-KI-Sys­te­me den gesetz­li­chen Anfor­de­run­gen ent­spre­chen, bevor sie auf dem Markt ange­bo­ten werden.

Pflich­ten der Händ­ler:
Ver­kau­fen Sie nur sol­che Hoch­ri­si­ko-KI-Sys­te­me, die den gel­ten­den Vor­schrif­ten ent­spre­chen, und über­prü­fen Sie deren Kon­for­mi­tät regelmäßig.

Ver­ant­wort­lich­kei­ten ent­lang der KI-Wert­schöp­fungs­ket­te:
Über­neh­men Sie Ver­ant­wor­tung für alle Aspek­te ent­lang der Wert­schöp­fungs­ket­te Ihrer KI-Sys­te­me, von der Ent­wick­lung bis zum Einsatz.

Pflich­ten der Betrei­ber von Hoch­ri­si­ko-KI-Sys­te­men:
Betrei­ben Sie Ihr KI-Sys­tem ord­nungs­ge­mäß, und stel­len Sie sicher, dass alle Sicher­heits- und Leis­tungs­an­for­de­run­gen kon­ti­nu­ier­lich erfüllt werden.

Grund­rech­te-Fol­gen­ab­schät­zung für Hoch­ri­si­ko-KI-Sys­te­me:
Füh­ren Sie eine Grund­rech­te-Fol­gen­ab­schät­zung durch, um sicher­zu­stel­len, dass die Nut­zung Ihres Hoch­ri­si­ko-KI-Sys­tems kei­ne unver­hält­nis­mä­ßi­gen nega­ti­ven Aus­wir­kun­gen auf die Grund­rech­te der betrof­fe­nen Per­so­nen hat.

Pflich­ten bei GPAI (mit sys­te­mi­schem Risiko) 

Ein KI-Modell wird als sys­te­misch ris­kant ein­ge­stuft, wenn es hohe Leis­tungs­fä­hig­kei­ten auf­weist oder eine bestimm­te Berech­nungs­men­ge über­schrei­tet. Die­se Ein­stu­fung erfolgt durch tech­ni­sche Bewer­tun­gen oder Ent­schei­dun­gen der EU-Kom­mis­si­on. Die Rege­lun­gen und Bench­marks kön­nen von der Kom­mis­si­on ange­passt wer­den, um tech­no­lo­gi­schen Fort­schrit­ten Rech­nung zu tra­gen. Fol­gen­de Pflich­ten erge­ben sich daraus:

 

Trans­pa­renz- und Offen­le­gungs­pflich­ten:
Die­se gel­ten ins­be­son­de­re bei direk­ter Inter­ak­ti­on mit Nut­zern und Anbietern.

 

Tech­ni­sche Doku­men­ta­ti­on:
Es sind detail­lier­te Auf­zeich­nun­gen über tech­ni­sche Spe­zi­fi­ka­tio­nen, Urhe­ber­rechts­kon­for­mi­tät und Zusam­men­fas­sun­gen der ver­wen­de­ten Trai­nings­da­ten­sät­ze erforderlich.

 

Sys­te­mi­sches Risi­ko:
Bei GPAI-Sys­te­men mit hoher Leis­tung (> 10^25 TFlops) sind erwei­ter­te Trans­pa­renz­an­for­de­run­gen nötig, um unvor­her­seh­ba­re Ergeb­nis­se und höhe­re Risi­ken zu adressieren.

 

Ver­läss­li­che Bewer­tung:
Zur Iden­ti­fi­zie­rung und Ein­däm­mung von Risi­ken sind umfas­sen­de Bewer­tun­gen notwendig.

 

Cyber­si­cher­heit und Ener­gie­ef­fi­zi­enz:
Es gel­ten spe­zi­el­le Anfor­de­run­gen an die Cyber­si­cher­heit und Ener­gie­ef­fi­zi­enz, sowie Infor­ma­ti­ons­pflich­ten über schwer­wie­gen­de Vor­fäl­le gegen­über dem euro­päi­schen AI-Office.

Stra­fen bei Nichteinhaltung

Bei Nicht­ein­hal­tung der KI-Ver­ord­nung wer­den unter Berück­sich­ti­gung aller Umstän­de des Ein­zel­falls maxi­ma­le Sank­tio­nen von bis zu 35 Mio. EUR oder 7 % des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes ver­hängt. Es gilt der jeweils höhe­re Wert.

Für KMU kön­nen die Buß­gel­der unter bestimm­ten Umstän­den gede­ckelt werden.

Für Ver­stö­ße im Bereich von KI-Model­len gilt ein spe­zi­el­ler Buß­geld­ka­ta­log 3% / 15 Mio. Euro.

Bei der Fest­set­zung der Höhe der Geld­bu­ße wer­den fol­gen­de Fak­to­ren berücksichtigt:

  1. Art, Schwe­re und Dau­er des Verstoßes
  2. Direk­te und indi­rek­te Aus­wir­kun­gen des Verstoßes.
  3. Berück­sich­ti­gung ähn­li­cher Geld­bu­ßen ande­rer Behörden
  4. Grö­ße und Markt­an­teil des Unternehmens
  5. Berück­sich­ti­gung der wirt­schaft­li­chen Situa­ti­on klei­ne­rer Akteure
  6. Beur­tei­lung, ob der Ver­stoß vor­sätz­lich oder fahr­läs­sig began­gen wurde
  7. Maß­nah­men zur Scha­dens­min­de­rung für Betroffene
  8. Aus­maß der Zusam­men­ar­beit mit den Behörden
  9. Berück­sich­ti­gung frü­he­rer Ver­stö­ße des Unternehmens
  10. Befol­gung von Anord­nun­gen der Marktaufsichtsbehörden
  11. Maß­nah­men zur Ver­mei­dung von Ver­stö­ßen und Grad der Verantwortung
  12. Bekannt­wer­den des Verstoßes
Wei­te­re Geset­ze beim Ein­satz der KI

Die KI-Ver­ord­nung ist ein spe­zi­el­les Gesetz für den Ein­satz von künst­li­cher Intel­li­genz. Sie ergänzt ande­re gel­ten­de Geset­ze, ohne die­se zu erset­zen. Hier sind eini­ge der rele­van­ten Geset­ze, die zusätz­lich zur KI-Ver­ord­nung beach­tet wer­den müssen:

 

Daten­schutz­grund­ver­ord­nung (DSGVO):
Wenn KI per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, wie es bei der Nut­zung von KI durch Arbeit­neh­mer der Fall ist, müs­sen die Daten­schutz­be­stim­mun­gen der DSGVO ein­ge­hal­ten werden.

 

Gesetz zum Schutz von Geschäfts­ge­heim­nis­sen:
Geschäfts­ge­heim­nis­se müs­sen aus­rei­chend geschützt wer­den. Mit­ar­bei­ter, die mit ver­trau­li­chen Infor­ma­tio­nen arbei­ten, dür­fen die­se nicht an frem­de KI-Sys­te­me weitergeben.

 

Urhe­ber­recht:
Wird urhe­ber­recht­lich geschütz­tes Mate­ri­al beim Trai­ning von KI-Sys­te­men uner­laubt ver­wen­det, stellt dies eine Urhe­ber­rechts­ver­let­zung dar.

 

Per­sön­lich­keits­rech­te:
Die Erstel­lung und Ver­öf­fent­li­chung von Abbil­dun­gen pro­mi­nen­ter Per­so­nen durch KI kann deren Per­sön­lich­keits­rech­te ver­let­zen, sofern es sich nicht um zuläs­si­ge Kari­ka­tu­ren oder ähn­li­ches handelt.

 

Wett­be­werbs- und Mar­ken­recht:
KI-gene­rier­te Wer­bung, die unzu­läs­si­ge Super­la­ti­ve oder Mar­ken von Wett­be­wer­bern ver­wen­det, kann zu recht­li­chen Pro­ble­men füh­ren. Die Nut­zer sol­cher Inhal­te haf­ten für even­tu­el­le Verstöße.

Leis­tun­gen im Bereich KI und Datenschutz

Ich ste­he für alle Fra­gen rund um den Daten­schutz bei KI-Sys­te­men zur Ver­fü­gung. Als exter­ner Datenschutz­beaufz­tragter bin ich bes­tens auf die­se Auf­ga­be vor­be­rei­tet. Ich bera­te und schu­le die Geschäfts­­führung und die ent­spre­chen­den Fach­be­rei­che, um den Daten­schutz im Unter­neh­men umzusetzen. 

Ich ori­en­tie­re mich im Bereich der Infor­ma­ti­ons­si­cher­heit über­wie­gend an den Aus­sa­gen des Bun­des­am­tes für Sicher­heit in der Informations­technik (BSI IT-Grun­d­­schutz). Dies hilft Ihnen, auch bei Sicher­heits­ver­let­zun­gen Aus­wir­kun­gen zu begren­zen und Buß­gel­der bei Ver­feh­lun­gen deut­lich zu verringern.

Neh­men Sie ger­ne unver­bind­lich Kon­takt auf.

Daten­schutz-Fol­gen­ab­schät­zung

Ich unter­stüt­ze Sie bei der Bewer­tung poten­zi­el­ler Risi­ken für die Pri­vat­sphä­re und den Schutz per­so­nen­be­zo­ge­ner Daten, die durch den Ein­satz von KI ent­ste­hen kön­nen. Ich zei­ge Ihnen, wie Sie eine Daten­schutz-Fol­gen­ab­schät­zung erstel­len und durch­füh­ren, um sicher­zu­stel­len, dass alle daten­schutz­recht­li­chen Anfor­de­run­gen erfüllt und geeig­ne­te Maß­nah­men zur Risi­ko­mi­ni­mie­rung getrof­fen werden.

Richt­li­ni­en und Dokumentation

Ich unter­stüt­ze Sie bei der Ent­wick­lung oder Anpas­sung inter­ner Daten­schutz­richt­li­ni­en und ‑doku­men­ta­ti­on, um sicher­zu­stel­len, dass die­se die spe­zi­fi­schen Anfor­de­run­gen des Ein­sat­zes von KI berück­sich­ti­gen. Dies umfasst auch die Aktua­li­sie­rung von Ver­zeich­nis­sen der Ver­ar­bei­tungs­tä­tig­kei­ten und ande­rer rele­van­ter Dokumente.

Bera­tung zur Datenverarbeitung

Ich unter­stüt­ze Sie dabei zu ver­ste­hen, wie das KI-Sys­tem per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Ich gebe Emp­feh­lun­gen zur Gewähr­leis­tung der Inte­gri­tät, Ver­trau­lich­keit und Sicher­heit der Daten, ein­schließ­lich der Umset­zung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maßnahmen.

Schu­lung und Sensibilisierung

Ich bie­te Schu­lun­gen und Work­shops für Ihr Per­so­nal an, um das Bewusst­sein für Daten­schutz­fra­gen im Zusam­men­hang mit KI-Sys­te­men zu schär­fen. Dies umfasst die Ver­mitt­lung von Best Prac­ti­ces im Umgang mit per­so­nen­be­zo­ge­nen Daten und die Schu­lung zu daten­schutz­recht­li­chen Anforderungen.

Prü­fung der Auftragsverarbeitung

Ich ana­ly­sie­re und über­prü­fe Ver­trä­ge mit Auf­trags­ver­ar­bei­tern und Dritt­an­bie­tern, die an der Imple­men­tie­rung oder dem Betrieb des KI-Sys­tems betei­ligt sind. Ich sor­ge dafür, dass alle ver­trag­li­chen Ver­ein­ba­run­gen den Anfor­de­run­gen der Daten­schutz-Grund­ver­ord­nung (DSGVO) ent­spre­chen und ent­spre­chen­de Daten­schutz­klau­seln enthalten.

Was ist in Sachen Daten­schutz zu tun?

Wie bei jeder Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist zu prü­fen, wel­che daten­schutz­recht­li­chen Pflich­ten sich dar­aus erge­ben. Fol­gen­de Maß­nah­men sind übli­cher­wei­se umzu­set­zen, wenn per­so­nen­be­zo­ge­ne Daten in KI-Sys­te­men ver­ar­bei­tet werden:

Wich­ti­ger Hinweis:

Sofern Sie per­so­nen­be­zo­ge­ne Daten mit KI-Sys­te­men ver­ar­bei­ten, müs­sen Sie prü­fen, ob Sie eine Daten­schutz-Fol­gen­ab­schät­zung durch­füh­ren müs­sen. Sofern dies zutrifft, z. B. auf­grund dem Ein­satz der neu­en Tech­no­lo­gie, sind Sie  gesetz­lich ver­pflich­tet, einen Daten­schutz­be­auf­trag­ten zu benen­nen.

Niehoff-Systemberatung Matthias Niehoff

Als exter­ner Daten­schutz­be­auf­trag­ter ste­he ich seit 2013 für eine lösungs­­­orientierte und ganz­heitliche Anwen­dung der Datenschutz­­gesetze und der Infor­mations­­­sicher­heit — auch bei der Umset­zung der KI-Ver­ord­nung (AI-Act / KI-VO)! 

In vier Schrit­ten zur Zusammenarbeit

Bei einem Inter­es­se an einer Zusammen­arbeit mit mir als Ihren exter­nen Datenschutz­beauf­tragten zur Imple­men­tie­rung der KI-Ver­ord­nung sind fol­gen­de Schrit­te not­wen­dig, um zu starten: 

1. Kon­takt aufnehmen

Neh­men Sie ger­ne Kon­takt mit mir auf. Bei einem kos­ten­lo­sen Erst­ge­spräch klä­ren wir, wie ich Sie zeit­nah am bes­ten unter­stüt­zen kann. Sie haben bereits jetzt schon Fra­gen, die schnell zu beant­wor­ten sind — pri­ma. Nut­zen Sie mei­ne Exper­ti­se, um wei­ter voranzukommen. 

Ich ana­ly­sie­re grob Ihre Orga­ni­sa­ti­on aus der Sicht des Daten­schut­zes. Am Tele­fon oder bei Ihnen vor Ort. Im Anschluss erhal­ten Sie ein ers­tes Angebot.

2. Ange­bot bestätigen

Bei einem kon­kre­ten Inter­es­se erstel­le ich Ihnen ein indi­vi­du­el­les Ange­bot für die Bestel­lung eines exter­nen Daten­schutz­be­auf­trag­ten. Ob als Stunden­kontingent oder als Fest­preis. Sagen Sie ger­ne, in wel­cher Form Sie das Ange­bot benö­ti­gen. Die Kos­ten sind abhän­gig vom gebuch­ten Paket und von der Grö­ße Ihrer Organi­sation, dem Umfang der Daten­verarbeitung und der Art der Zusammenarbeit.

Wenn Ihnen das Ange­bot zusagt, erstel­le ich einen Dienst­leistungs­vertrag, der eine Verpflichtungs­erklärung und eine Bestell­urkunde ent­hält. Nach der beid­seitigen Unter­schrift kann es losgehen.

3. Bestands­auf­nah­me

Vor der offi­zel­len Bestel­lung als exter­ner Daten­schutz­be­auf­trag­ter ist eine Über­prü­fung Ihrer Orga­ni­sa­ti­on und Pro­zes­se, im Hin­blick auf per­so­nen­be­zo­ge­ne Daten, not­wen­dig. Ich schaue mir an, wel­che Doku­men­te bereits bei Ihnen vor­lie­gen und ob die­se die fach­ge­recht erstellt wor­den sind.

Die­se Bestands­auf­nah­me erfolgt bei Ihnen vor Ort, auf Wunsch auch tele­fo­nisch und per Videokonferenz.

Nach der Bestands­auf­nah­me erhal­ten Sie einen prio­ri­sier­ten Maß­nah­men­plan. Maß­nah­men, Ver­ant­wort­lich­kei­ten und Ter­mi­ne wer­den mit Ihnen festgelegt.

4. Lau­fen­de Betreuung

Ab dem Zeit­punkt der offi­zi­el­len Bestel­lung bin ich für alle The­men rund um den Daten­schutz Ihr Beglei­ter — auch im Rah­men von Pro­jek­ten bei der KI-Ver­ord­nung. Sie kön­nen mich jeder­zeit kontaktieren.

Je nach Leis­tungs­pa­ket ist die Betreu­ung an ein vor­her abge­stimm­tes Stun­den­kon­tin­gent gebun­den. In regel­mä­ßi­gen Mee­tings vor Ort, per Tele­fon oder Video­kon­fe­renz sor­ge ich dafür, dass die fest­ge­leg­ten Maß­nah­men umge­setzt wer­den. Ich sor­ge für eine ste­ti­ge Zunah­me des Daten­schut­zes in Ihrem Unternehmen.

Ihre Vor­tei­le auf einen Blick

Ich unter­stüt­ze klei­ne und mit­tel­stän­di­sche Kun­den aus ver­schie­de­nen Bran­chen als exter­ner Datenschutz­beauftragter. Neben der Erstel­lung und Prü­fung von Kon­zep­ten im KI-Umfeld füh­re ich auch Schu­lun­gen durch, die kon­kret auf Ihr Unter­neh­men zuge­schnit­ten wer­den. Es gibt in der diver­se Schnitt­stel­len zur Infor­ma­ti­ons­si­cher­heit. Auch hier ken­ne ich mich bes­tens aus. 

Häu­fig gestell­te Fra­gen zur KI-Verordnung

Immer wie­der errei­chen mich typi­sche Fra­gen zur KI-Ver­ord­nung (KI-Act / KI-VO) — hier fin­den Sie kur­ze Ant­wor­ten zum Thema.

Was ist ein KI-Sys­tem und was ist die KI-Verordnung?

Die KI-Ver­ord­nung defi­niert „Künst­li­che Intel­li­genz“ in Anleh­nung an die OECD als ein

  1. maschi­nen­ba­sier­tes Sys­tem, das ent­wi­ckelt wur­de, um teil­wei­se auto­nom zu arbeiten
  2. anpas­sungs­fä­hi­ges Sys­tem, das nach sei­ner Imple­men­tie­rung lern­fä­hig und anpas­sungs­fä­hig ist.
  3. ergeb­nis­ori­en­tier­tes Sys­tem, das Ein­ga­ben ver­ar­bei­tet, um Vor­her­sa­gen, Inhal­te, Emp­feh­lun­gen oder Ent­schei­dun­gen zu gene­rie­ren, die sowohl phy­si­sche als auch vir­tu­el­le Umge­bun­gen beein­flus­sen können.

In der KI-VO wird der Begriff „KI-Sys­tem“ anstel­le von „Künst­li­che Intel­li­genz“ ver­wen­det, um den Schwer­punkt auf die kon­kre­te Anwen­dung und ihre Aus­wir­kun­gen auf den Men­schen zu legen.

Ver­ein­facht aus­ge­drückt erkennt man eine KI dar­an, dass Hard- und/oder Soft­ware ver­wen­det wird, die lern­fä­hig ist und Auf­ga­ben aus­führt, die nor­ma­ler­wei­se mensch­li­che Intel­li­genz erfordern.

Die EU-KI-Ver­ord­nung (KI-VO) regelt umfas­send die Ent­wick­lung, den Ver­trieb und die Nut­zung von Künst­li­cher Intel­li­genz in der EU. Ziel ist es, ver­trau­ens­wür­di­ge und siche­re KI-Sys­te­me zu för­dern und gleich­zei­tig Inno­va­tio­nen zu unter­stüt­zen. Die Ver­ord­nung betrifft Unter­neh­men, Selbst­stän­di­ge, Behör­den und teil­wei­se auch Pri­vat­per­so­nen, die KI nut­zen oder entwickeln.

Ver­stö­ße gegen die KI-VO kön­nen emp­find­li­che Stra­fen nach sich zie­hen, die bis zu 35 Mil­lio­nen Euro oder 7% des Jah­res­um­sat­zes betra­gen kön­nen. Die Ver­ord­nung ent­hält Regeln für alle Arten von KI, stren­ge Vor­schrif­ten für Hoch­ri­si­ko-KI-Sys­te­me und Ver­bo­te für bestimm­te Prak­ti­ken wie Social Scoring.

Übli­cher­wei­se wird der Begriff „KI-Ver­ord­nung“ ver­wen­det, da es sich um eine ver­bind­li­che EU-Rege­lung han­delt, im Gegen­satz zu einem „Gesetz“, das natio­na­le Rege­lun­gen beschreibt. Sie gilt unmit­tel­bar und muss nicht in natio­na­les Recht umge­setzt werden.

Für wen gilt die KI-VO und wann gilt sie nicht?

Wie die Daten­schutz-Grund­ver­ord­nung gilt auch die KI-Ver­ord­nung nicht nur für KI-Sys­te­me, die in der EU ent­wi­ckelt oder ein­ge­setzt wer­den, son­dern auch für sol­che, deren Ergeb­nis­se sich auf die EU auswirken:

Die Ver­ord­nung betrifft Anbie­ter, Impor­teu­re und Händ­ler von KI-Sys­te­men, die in der EU in Ver­kehr gebracht wer­den, sowie Betrei­ber von KI-Sys­te­men mit Sitz in der EU.

Auch Anbie­ter und Betrei­ber aus Dritt­staa­ten sind betrof­fen, wenn ihre KI-Sys­te­me in der EU ein­ge­setzt wer­den. Die KI-VO gilt nicht für

Mili­tär- und Sicher­heits­zwe­cke:
KI-Sys­te­me, die aus­schließ­lich für Zwe­cke des Mili­tärs, der Ver­tei­di­gung oder der natio­na­len Sicher­heit ent­wi­ckelt oder ein­ge­setzt werden.

Inter­na­tio­na­le Zusam­men­ar­beit:
KI-Sys­te­me, die von inter­na­tio­na­len Orga­ni­sa­tio­nen oder Behör­den aus Dritt­staa­ten im Rah­men der Zusam­men­ar­beit mit der EU ein­ge­setzt werden.

For­schung und Ent­wick­lung:
KI-Sys­te­me, die für wis­sen­schaft­li­che Zwe­cke ein­ge­setzt wer­den, bevor sie auf den Markt kommen.

Per­sön­li­che Nut­zung:
KI-Sys­te­me, die aus­schließ­lich für pri­va­te / fami­liä­re / per­sön­li­che, d. h. nicht beruf­li­che Zwe­cke genutzt wer­den und Drit­ten nicht zur Ver­fü­gung gestellt oder zugäng­lich gemacht wer­den (“Haus­halts­pri­vi­leg”).

Open-Source-KI:
Sys­te­me, die unter offe­nen Lizen­zen zur Ver­fü­gung gestellt wer­den, sofern sie nicht ver­bo­ten sind, als Hoch­ri­si­ko­sys­te­me ein­ge­stuft wer­den oder Deepf­ake-Infor­ma­tio­nen erzeu­gen können.

Wie ist der aktu­el­le Stand der KI-Verordnung?

Die KI-Ver­ord­nung wur­de am 12.07.2024 im Amts­blatt der EU veröffentlicht.

Sie tritt damit am 1. August 2024 in Kraft und ist grund­sätz­lich zwei Jah­re nach ihrem Inkraft­tre­ten, also ab dem 2. August 2026, anzu­wen­den. Eini­ge Bestim­mun­gen wer­den bereits frü­her anwend­bar sein.

  1. Rege­lun­gen zu “ver­bo­te­nen KI-Prak­ti­ken” gel­ten ab dem 2. Febru­ar 2025.
  2. Regeln für KI-Model­le für all­ge­mei­ne Zwe­cke gel­ten ab dem 2. Aug 25.
  3. Rege­lun­gen für Hoch­ri­si­ko­sys­te­me gel­ten ab dem 2. Aug 27.

Sofern Sie pla­nen, ein KI-Sys­tem anzu­schaf­fen, prü­fen Sie, ob die gesetz­li­chen Vor­ga­ben jetzt schon erfüllt wer­den können.

War­um müs­sen KI-Sys­te­me durch die KI-VO gere­gelt werden?

Der Ein­satz und die Ent­wick­lung künst­li­cher Intel­li­genz (KI) sind mit einer Rei­he von Risi­ken verbunden:

Dis­kri­mi­nie­rung und Vor­ur­tei­le:
KI kann bestehen­de Vor­ur­tei­le ver­stär­ken, ins­be­son­de­re wenn sie mit vor­ein­ge­nom­me­nen Daten trai­niert wird.

Daten­schutz:
KI kann gro­ße Men­gen per­so­nen­be­zo­ge­ner Daten sam­meln, was das Risi­ko von Daten­schutz­ver­let­zun­gen erhöht.

Sicher­heits­ri­si­ken:
KI-Sys­te­me kön­nen Ziel von Cyber­an­grif­fen wer­den, was zu Sicher­heits­pro­ble­men bei Daten und Infra­struk­tu­ren füh­ren kann.

Ver­lust der Auto­no­mie:
Eine zuneh­men­de Abhän­gig­keit von KI könn­te die Ent­schei­dungs­frei­heit des Men­schen einschränken.

Man­geln­de Trans­pa­renz: Es ist oft schwer nach­zu­voll­zie­hen, wie KI-Ent­schei­dun­gen getrof­fen wer­den, was zu einem Man­gel an Rechen­schafts­pflicht füh­ren kann.

Feh­ler­an­fäl­lig­keit:
KI-Sys­te­me sind nicht per­fekt und kön­nen Fehl­ent­schei­dun­gen tref­fen, die schwer­wie­gen­de Fol­gen haben können.

Ethik und Moral:
Der Ein­satz von KI wirft ethi­sche Fra­gen auf, ins­be­son­de­re in sen­si­blen Berei­chen wie Medi­zin und Justiz.

Wel­che KI-Sys­te­me fal­len unter die Verordnung?

Alle KI-Sys­te­me, die in der EU betrie­ben oder bereit­ge­stellt wer­den, ins­be­son­de­re sol­che mit hohem Risi­ko, wie sie in der Ver­ord­nung defi­niert sind.

Was ist der Unter­schied zwi­schen einem KI-Sys­tem und einem KI-Modell?

Das KI-Modell ist die tech­ni­sche Grund­la­ge oder das „Gehirn“ der KI, wäh­rend das KI-Sys­tem die voll­stän­di­ge Anwen­dung oder das Pro­dukt ist, das die­ses Modell ver­wen­det, um Auf­ga­ben aus­zu­füh­ren und Ergeb­nis­se zu liefern.

Die KI-Ver­ord­nung (KI-VO) regelt sowohl die Ent­wick­lung der Model­le als auch den Ein­satz der Sys­te­me, um sicher­zu­stel­len, dass mög­li­che Risi­ken bereits in der Ent­wick­lungs­pha­se berück­sich­tigt und mini­miert werden.

Ein KI-Modell ist der Algo­rith­mus oder die „Denk­grund­la­ge“ einer KI, die durch Trai­ning ent­wi­ckelt wur­de. Es bestimmt, wie die KI arbei­tet und wel­che Art von Ergeb­nis­sen sie lie­fert. Bei­spie­le für KI-Model­le sind GPT‑4, LLAMA und Clau­de 3. Die­se Model­le sind spe­zi­fi­sche Kon­struk­tio­nen, die ihre Funk­ti­ons­wei­se und Leis­tungs­fä­hig­keit durch Trai­ning mit gro­ßen Daten­men­gen entwickeln.

 

Ein KI-Sys­tem hin­ge­gen ist die kon­kre­te Anwen­dung oder das Pro­dukt, das auf einem oder meh­re­ren KI-Model­len basiert.

Es umfasst sowohl die Model­le als auch die Infra­struk­tur, die erfor­der­lich ist, um KI in der Pra­xis zu nut­zen. Bei­spie­le sind ChatGPT oder Micro­soft Copi­lot, die bei­de auf dem KI-Modell GPT‑4 basie­ren. Die­se Sys­te­me nut­zen das zugrun­de­lie­gen­de Modell, um kon­kre­te Ergeb­nis­se zu erzeu­gen und vir­tu­el­le und rea­le Umge­bun­gen zu beeinflussen.

Wel­che Risi­koklas­sen gibt es für KI-Systeme?

Die KI-VO unter­schei­det fol­gen­de Risi­ko­ka­te­go­rien für künst­li­che Intelligenz:

Ver­bo­te­ne KI-Sys­te­me:
Die­se Sys­te­me sind gänz­lich ver­bo­ten, da sie als beson­ders risi­ko­reich gel­ten. Bei­spie­le sind:

Schäd­li­che Mani­pu­la­ti­on:
- Social Scoring
- Emo­ti­ons­er­ken­nung am Arbeits­platz
- Vor­her­sa­ge von Straftaten

Hohes Risi­ko — Hoch­ri­si­ko-KI-Sys­te­me:
Sys­te­me in die­ser Kate­go­rie unter­lie­gen stren­gen Vor­schrif­ten, ein­schließ­lich Anfor­de­run­gen an die Daten­qua­li­tät, Doku­men­ta­ti­on und regel­mä­ßi­ge Audits. Bei­spie­le sind

- Bio­me­tri­sche Kate­go­ri­sie­rung
Anwen­dun­gen im Beschäf­ti­gungs­kon­text
- Zugang zu Bil­dungs­ein­rich­tun­gen
- Kri­ti­sche Infrastruktur

Begrenz­tes Risi­ko
Die­se Sys­te­me müs­sen bestimm­te Trans­pa­renz­an­for­de­run­gen erfül­len. Die Nut­zer soll­ten wis­sen, dass sie mit KI inter­agie­ren, und in der Lage sein, Ent­schei­dun­gen nach­zu­voll­zie­hen. Bei­spie­le sind

- Chat­bots
- KI-Inhal­te
- Deepf­akes

Mini­ma­les Risi­ko
Für die­se Anwen­dun­gen gibt es kaum zusätz­li­che regu­la­to­ri­sche Anfor­de­run­gen, abge­se­hen von der Sicher­stel­lung der KI-Kom­pe­tenz. Bei­spie­le sind

- Spam-Fil­ter
- Video­spie­le

Anwen­dun­gen für all­ge­mei­ne Zwe­cke (GPAI)
Die­se Model­le kön­nen je nach Ver­wen­dung in unter­schied­li­che Risi­ko­ka­te­go­rien fal­len und unter­lie­gen spe­zi­fi­schen Sicher­heits- und Trans­pa­renz­an­for­de­run­gen. Bei­spie­le sind

- GPT-Model­le
- Clau­de
- LLAMA

Was sind Hochrisiko-KI-Systeme?

Hoch­ri­si­ko-KI-Sys­te­me sind sol­che, die poten­zi­ell erheb­li­che Aus­wir­kun­gen auf die Sicher­heit und die Grund­rech­te haben, wie etwa Sys­te­me in der Straf­ver­fol­gung oder des  Gesundheitswesen.

Wel­che Anfor­de­run­gen gel­ten für Hochrisiko-KI-Systeme?

Sie müs­sen stren­ge Anfor­de­run­gen erfül­len, wie Risi­ko­ma­nage­ment, tech­ni­sche Doku­men­ta­ti­on, Trans­pa­renz, und regel­mä­ßi­ge Über­prü­fun­gen erfül­len. Im obe­ren Bereich fin­den Sie die ein­zel­nen Anforderungen.

Wel­che Pflich­ten haben Anbie­ter von KI-Systemen?

Anbie­ter müs­sen sicher­stel­len, dass ihre Sys­te­me sicher sind, alle Anfor­de­run­gen der Ver­ord­nung erfül­len und rele­van­te Infor­ma­tio­nen bereitstellen.

Wie wer­den die Rech­te der betrof­fe­nen Per­so­nen geschützt?

Durch Trans­pa­renz­an­for­de­run­gen und die Not­wen­dig­keit, die Aus­wir­kun­gen auf die Grund­rech­te zu prüfen.

Was bedeu­tet die KI-Ver­ord­nung für Unternehmen?

Die natio­na­len Behör­den über­wa­chen die Ein­hal­tung der Ver­ord­nung, füh­ren Kon­trol­len durch und kön­nen bei Ver­stö­ßen Maß­nah­men ergrei­fen. Die Fra­ge, wer die Umset­zung der KI-Ver­ord­nung kon­trol­liert, ist noch nicht geklärt.

Wel­che Doku­men­ta­ti­ons­pflich­ten gibt es?

Die Betei­lig­ten müs­sen tech­ni­sche Unter­la­gen und Auf­zeich­nun­gen füh­ren oder zur Ver­fü­gung stel­len, in denen die Sicher­heit und die Funk­ti­ons­wei­se des KI-Sys­tems beschrie­ben sind.

In wel­chen Abtei­lun­gen (HR, Finan­zen, Mar­ke­ting) kön­nen KI-Sys­te­me ein­ge­setzt werden?

Die KI-Ver­ord­nung (KI-VO) ver­langt, dass KI-Sys­te­me je nach ihrer Risi­ko­ka­te­go­rie klas­si­fi­ziert wer­den, um sicher­zu­stel­len, dass sie sicher und regel­kon­form ein­ge­setzt wer­den. Hier ein Über­blick, wie ver­schie­de­ne KI-Sys­te­me in unter­schied­li­chen Abtei­lun­gen genutzt wer­den und wel­che Rege­lun­gen dabei zu beach­ten sind:

Gesund­heits­we­sen:

  • KI-Sys­te­me zur Dia­gnos­tik, wie Algo­rith­men zur Ana­ly­se von Rönt­gen­bil­dern oder zur Vor­her­sa­ge von Krankheitsverläufen.
  • KI-gestütz­te Werk­zeu­ge zur Ver­wal­tung und Ana­ly­se von Pati­en­ten­ak­ten, um indi­vi­du­el­le The­ra­pie­plä­ne zu erstellen.
  • Hin­weis: Die­se Sys­te­me zäh­len zu den Hoch­ri­si­ko-KI-Sys­te­men und müs­sen stren­gen Anfor­de­run­gen KI-VO genü­gen, da sie direk­te Aus­wir­kun­gen auf die Pati­en­ten­ver­sor­gung und Gesund­heit haben.

Per­so­nal­we­sen (Bei­spie­le)

  • KI-gestütz­te Recrui­ting-Tools, die Bewer­ber­da­ten ana­ly­sie­ren und auto­ma­ti­sier­te Emp­feh­lun­gen für die bes­ten Kan­di­da­ten aussprechen.
  • KI-Sys­te­me zur Leis­tungs­be­wer­tung von Mit­ar­bei­tern, die anhand von Daten­ana­ly­sen Feed­back und Ent­wick­lungs­plä­ne generieren.
  • Hin­weis: Hoch­ri­si­ko-KI-Sys­te­me, da sie wesent­li­che Ent­schei­dun­gen über beruf­li­che Lauf­bah­nen beein­flus­sen. Die­se Sys­te­me unter­lie­gen den Anfor­de­run­gen gemäß Art. 26 KI-VO.

E‑Commerce

  • KI-gestütz­te Sys­te­me zur Preis­op­ti­mie­rung, die Prei­se basie­rend auf Nach­fra­ge, Kon­kur­renz und ande­ren Fak­to­ren dyna­misch anpassen.
  • Per­so­na­li­sier­te Pro­dukt­emp­feh­lun­gen, die auf dem bis­he­ri­gen Kauf­ver­hal­ten und Inter­es­sen der Kun­den basieren.
  • Hin­weis: Wäh­rend spe­zi­el­le Rege­lun­gen für die­se Anwen­dun­gen nicht direkt vor­ge­se­hen sind, müs­sen die all­ge­mei­nen Anfor­de­run­gen an Trans­pa­renz und KI-Kom­pe­tenz beach­tet wer­den. Vor­sicht ist gebo­ten bei Metho­den, die unter­schwel­li­ge Beein­flus­sung des Kauf­ver­hal­tens anstre­ben, da die­se mög­li­cher­wei­se unter ver­bo­te­ne KI-Prak­ti­ken fal­len und bei­spiels­wei­se zu unge­woll­ter finan­zi­el­ler oder psy­chi­scher Belas­tung führen.

Mar­ke­ting und Vertrieb

  • KI-Sys­te­me zur Seg­men­tie­rung von Ziel­grup­pen, die auf Basis von Nut­zer­ver­hal­ten und demo­gra­fi­schen Daten geziel­te Wer­bung schalten.
  • Auto­ma­ti­sier­te Con­tent-Gene­rie­rung für Social Media und Wer­be­ma­te­ria­li­en, die auf der Ana­ly­se von Trends und Nut­zer­inter­ak­tio­nen basiert.
  • Hin­weis: Die­se Sys­te­me unter­lie­gen kei­nen spe­zi­el­len Rege­lun­gen der KI-VO, es sind jedoch die all­ge­mei­nen Anfor­de­run­gen bezüg­lich KI-Kom­pe­tenz (Art. 4 KI-VO) und Trans­pa­renz (Art. 50 KI-VO) zu berücksichtigen.

IT-Abtei­lung

  • KI-gestütz­te Sicher­heits­lö­sun­gen zur Erken­nung von Anoma­lien und poten­zi­el­len Bedro­hun­gen in Netz­wer­ken und Datenströmen.
  • Auto­ma­ti­sier­te Sys­tem­war­tungs­tools, die Feh­ler­pro­gno­sen erstel­len und Repa­ra­tu­ren oder War­tun­gen planen.
  • Hin­weis: Die­se Sys­te­me unter­lie­gen kei­nen spe­zi­fi­schen Rege­lun­gen der KI-VO, es sind jedoch die all­ge­mei­nen Anfor­de­run­gen an KI-Kom­pe­tenz (Art. 4 KI-VO) und Trans­pa­renz­pflich­ten (Art. 50 KI-VO) zu beachten.

Kun­den­dienst und Support

  • KI-gestütz­te Sprach­as­sis­ten­ten, die Kun­den­an­fra­gen tele­fo­nisch beant­wor­ten und Pro­ble­me lösen.
  • KI-Sys­te­me zur Ana­ly­se von Kun­den­feed­back und Stim­mungs­ana­ly­sen, um den Kun­den­ser­vice zu verbessern.
  • Hin­weis: Auch hier sind kei­ne spe­zi­fi­schen Rege­lun­gen vor­ge­se­hen, aber die Ein­hal­tung der all­ge­mei­nen Anfor­de­run­gen bezüg­lich KI-Kom­pe­tenz (Art. 4 KI-VO) und Trans­pa­renz (Art. 50 KI-VO) ist erforderlich.

For­schung und Entwicklung

  • KI-gestütz­te Werk­zeu­ge zur Ana­ly­se von For­schungs­da­ten und zur Unter­stüt­zung bei der Ent­de­ckung neu­er wis­sen­schaft­li­cher Erkenntnisse.
  • Auto­ma­ti­sier­te Design- und Pro­to­ty­p­ing-Tools, die neue Pro­duk­te und Lösun­gen basie­rend auf bestehen­den Daten und Trends entwickeln.
  • Hin­weis: In der Pha­se der For­schung und Ent­wick­lung gel­ten in der Regel kei­ne spe­zi­fi­schen Rege­lun­gen der KI-VO, es sei denn, die KI-Sys­te­me wer­den bereits vor der Markt­ein­füh­rung verwendet.

Finanz­we­sen

  • KI-Sys­te­me zur Betrugs­er­ken­nung in Trans­ak­tio­nen und zur Ana­ly­se von finan­zi­el­len Risiken.
  • Auto­ma­ti­sier­te Han­del­s­al­go­rith­men, die auf Basis von Markt­ana­ly­sen Kauf- und Ver­kaufs­ent­schei­dun­gen treffen.
  • Hin­weis: Mög­li­cher­wei­se Ein­stu­fung als Hoch­ri­si­ko-KI-Sys­tem, da sie erheb­li­che Aus­wir­kun­gen auf finan­zi­el­le Ent­schei­dun­gen und Sicher­heits­aspek­te haben. Die­se Sys­te­me müs­sen den Anfor­de­run­gen gemäß den Art. 6–49 KI-VO entsprechen.

Logis­tik und Sup­p­ly Chain

  • Opti­mie­rung von Lie­fer­ket­ten und zur Vor­her­sa­ge von Lagerbeständen.
  • Auto­ma­ti­sier­te Rou­ten­pla­nung für Lie­fer­fahr­zeu­ge basie­rend auf Echt­zeit-Ver­kehrs­da­ten und Wetterbedingungen

Hin­weis: Die­se Sys­te­me sind in der Regel nicht spe­zi­fisch gere­gelt, es sind jedoch die all­ge­mei­nen Anfor­de­run­gen bezüg­lich KI-Kom­pe­tenz und Trans­pa­renz zu beachten.

Die kor­rek­te Klas­si­fi­zie­rung und Anwen­dung der KI-Ver­ord­nung in die­sen Abtei­lun­gen ist ent­schei­dend, um den gesetz­li­chen Anfor­de­run­gen gerecht zu wer­den und Risi­ken zu mini­mie­ren. Die Risi­ko­be­wer­tung ist jeweils pro Ein­zel­fall durchzuführen.

Was sind “Deepf­akes” gem. KI-Verordnung?

Deepf­akes sind durch KI erzeug­te oder mani­pu­lier­te Bild‑, Ton- oder Video­in­hal­te, die rea­len Per­so­nen, Orten oder Ereig­nis­sen ähneln und die­se täu­schend echt dar­stel­len. Die KI-VO behan­delt Deepf­akes wie folgt:

Kei­ne Täu­schungs­ab­sicht erfor­der­lich:
Deepf­akes müs­sen nicht absicht­lich irre­füh­rend sein, um unter die Ver­ord­nung zu fal­len. Auch KI-gene­rier­te Illus­tra­tio­nen für News-Bei­trä­ge zäh­len dazu.

Kenn­zeich­nungs­pflicht:
Deepf­akes müs­sen stets als KI-Erzeug­nis­se gekenn­zeich­net werden.

Hohe Stra­fen:
Bei Ver­stö­ßen dro­hen Buß­gel­der bis zu 15 Mil­lio­nen Euro oder 3 % des welt­wei­ten Jah­res­um­sat­zes, je nach­dem, wel­cher Betrag höher ist.

Recht­li­che Ansprü­che:
Die Ver­brei­tung von Deepf­akes, die fälsch­li­cher­wei­se eine Per­son dar­stel­len, kann zu Unter­las­sungs- und Scha­dens­er­satz­an­sprü­chen führen.

Ver­leum­dung:
Das Ver­brei­ten von Deepf­akes, die eine Per­son ver­ächt­lich machen, kann mit bis zu 2 Jah­ren Frei­heits­stra­fe oder Geld­stra­fe bestraft werden.

Aus­nah­men und Milderungen:

Kunst und Sati­re:
Für künst­le­ri­sche, sati­ri­sche oder fik­tio­na­le Wer­ke sind die Trans­pa­renz­pflich­ten mil­der, solan­ge der Hin­weis auf die KI-Mani­pu­la­ti­on den Genuss des Wer­kes nicht beeinträchtigt.

KI-gene­rier­te News:
Betrei­ber von KI-Sys­te­men müs­sen klar­stel­len, dass KI Tex­te erzeugt oder ver­än­dert hat, es sei denn, die Tex­te die­nen der Ver­bre­chens­auf­de­ckung oder ‑ver­hin­de­rung und wer­den von Men­schen überprüft.

Zukünf­ti­ge Rege­lun­gen: Wei­te­re Geset­zes­vor­schlä­ge könn­ten den Miss­brauch von Deepf­akes durch das Straf­recht stär­ker regu­lie­ren, mit mög­li­chen Frei­heits­stra­fen bis zu zwei Jah­ren für Per­sön­lich­keits­rechts­ver­let­zun­gen durch mani­pu­lier­te Medieninhalte.

Wie unter­stüt­zen Sie unse­re Fir­ma bei der KI-Verordnung?

Ich bie­te maß­ge­schnei­der­te Dienst­leis­tun­gen im Daten­schutz zur Pla­nung und Imple­men­tie­rung von KI-Sys­te­men an. Dazu gehö­ren Risi­ko­ana­ly­sen, die Ent­wick­lung von Sicher­heits­stra­te­gien,  tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, und Schu­lun­gen für Beschäf­tig­te, um sicher­zu­stel­len, dass Ihr Unter­neh­men alle Anfor­de­run­gen erfüllt, opti­mal die Vor­ga­ben der DSGVO ein­hält oder zumin­dest Risi­ken minimiert.

Kun­den­stim­men

Zufrie­de­ne Kun­den emp­feh­len mei­ne Dienst­leis­tung wei­ter. Über­zeu­gen Sie sich.

IT GROSS­HAN­DEL (Inter­ner DSB) Hamburg

Mit einer hohen datenschutz­rechtlichen, orga­ni­sa­to­ri­schen und sicherheits­relevanten Kom­pe­tenz hat Herr Nie­hoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umset­zung der DSGVO unter­stützt. Das Coa­ching hat sich bezahlt gemacht.

Öffent­li­che Ver­wal­tung (CDO) Lüneburg

Sie schaf­fen es, die­ses The­ma so inter­es­sant zu ver­pa­cken, dass ich trotz­dem am Ende mit einem Lächeln aus den Mee­tings gehe.

IT-Dienst­leis­ter (GF) Hamburg

Nach dem ers­ten Start haben wir schnell gemerkt, dass es ohne pro­fes­sio­nel­le Hil­fe nicht wei­ter­geht. Herr Nie­hoff hat uns hier auf die rich­ti­ge Spur gebracht und wir uns auch in Zukunft wei­ter unter­stüt­zen. Vie­len Dank für die super schnel­le Reak­ti­on und Hil­fe in der Kri­se! Wir freu­en uns auch in Zukunft einen star­ken Part­ner an der Sei­te zu haben! Kars­ten Loren­zen, Geschäfts­füh­rer Test­ex­per­ten KLE GmbH

Let­ter­shop, Hamburg
Lie­ber Herr Nie­hoff, höchs­te Zeit mal Dan­ke zu sagen für die stets promp­te, freund­liche und umfäng­liche Unter­­stützung in allen Daten­schutz­­belangen. Sei es vor Ort im Rah­men von Daten­­schutz­audits oder auch im Rah­men der vertrag­lichen Prü­fun­gen. Für mich ist es sehr wert­voll, dass Sie Ihre Aus­sagen immer auf den Punkt brin­gen, so dass ich intern wie auch extern kom­pe­tent agie­ren kann. Auf eine wei­te­re gemein­same Zusammenarbeit. 
Oli­ver G.(Geschäftsführer, Medi­en, Hamburg)

Ich set­ze regel­mä­ßig digi­ta­le Pro­jek­te mit anspruchs­vol­len Kun­den um. Daten­schutz ist ein not­wen­di­ges Muss. Ich benö­ti­ge daher einen akti­ven DSB, der da ist, wenn ich ihn benö­ti­ge und mit Praxis­wissen zeit­nah zuar­bei­tet. Ich will ein fes­tes Kon­tin­gent und nicht für jeden Hand­schlag zusätz­lich bezah­len. Am Ende wird so etwas meist teu­rer und auf­wän­di­ger in der Abrech­nung. Herr Nie­hoff bringt auf­grund sei­ner Fle­xi­bi­li­tät mein Busi­ness voran.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch uns las­sen Sie uns über Ihr KI-Pro­jekt sprechen.

kontakt-niehoff-systemberatung