Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
KI und Datenschutz: Was Sie jetzt wissen müssen!
Die KI-Verordnung (KI-VO) schützt vor Missbrauch und fördert Innovationen von Unternehmen in Europa. Hier erfahren Sie, was Sie beim Einsatz von KI-Systemen beachten müssen. Und was passiert, wenn personenbezogene Daten beim Training oder der Nutzung verarbeitet werden? Was Sie jetzt wissen müssen!
KI und Datenschutz — Was Sie wissen müssen!
Künstliche Intelligenz (KI) entwickelt sich rasant und beeinflusst viele Bereiche unseres Lebens. Mit dieser Entwicklung wachsen aber auch die Herausforderungen im Bereich des Datenschutzes. Während die Datenschutz-Grundverordnung (DSGVO) bereits strenge Anforderungen an den Schutz personenbezogener Daten stellt, bringt der die KI-VO der EU zusätzliche Anforderungen für Hersteller und Betreiber von KI-Systemen.
Die KI-VO ist eine europäische Verordnung, die den Einsatz von künstlicher Intelligenz in Unternehmen und Organisationen regelt, um sicherzustellen, dass KI-Systeme verantwortungsvoll und sicher eingesetzt werden. Ziel der Verordnung ist es, die Risiken für die Gesellschaft zu minimieren und den Schutz der Grundrechte zu gewährleisten.
Betroffen sind nicht nur große Konzerne, sondern auch viele kleine und mittlere Unternehmen (KMU) in unterschiedlichen Branchen wie Gesundheit, Handel, Produktion, Mobilität, Finanzen, öffentliche Verwaltung und digitale Wirtschaft. Kurzum: Sie betrifft alle Unternehmen, die KI-Systeme entwickeln, einsetzen oder beispielsweise vertreiben.
Inhalte
KI-Verordnung — ein Überblick
Ob ein Unternehmen die KI-Verordnung anwenden muss, hängt zunächst davon ab, ob ein KI-System im Sinne der KI-Verordnung vorliegt. Ist dies der Fall, unterscheidet die KI-Verordnung zwischen verschiedenen Risikoklassen und damit verbundenen Pflichten.
Definitionen
Hier finden Sie wichtige Begriffe und Fragen zu Künstlicher Intelligenz und Datenschutz, wie etwa die Definition eines KI-Systems nach der KI-VO und relevante Datenschutzphasen im Produktlebenszyklus.
Ein (theoretisches) KI-System ist ein maschinengestütztes System, das
- so konzipiert ist, dass es in unterschiedlichem Maße autonom arbeiten kann
- nach seiner Implementierung anpassbar ist und
- Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert, die physische oder virtuelle Umgebungen beeinflussen können.
Mit dieser allgemeinen Definition sorgt die KI-Verordnung für Rechtssicherheit in den kommenden Jahren.
Ein (praktisches) KI-System
- ist eine vollständige Anwendung, die ein oder mehrere KI-Modelle enthält und diese in eine operationelle Lösung integriert.
- umfasst die gesamte Infrastruktur + Benutzerschnittstellen, für den Einsatz in einer realen Umgebung
- umfasst zusätzlich Benutzerschnittstellen, Hardware- und Software-Infrastruktur, Datenmanagement und Sicherheitssysteme.
- wird in einer realen Umgebung eingesetzt, um spezifische Aufgaben zu erfüllen und mit Benutzern/anderen Systemen zu interagieren.
- wird von einem Team aus Entwicklern, IT-Administratoren + Sicherheitsexperten entwickelt
- erfordert eine robuste Infrastruktur für den Betrieb und die Skalierbarkeit, inkl. Tools für den Einsatz und die Überwachung.
Ein KI-Modell ist ein
- mathematisches/statistisches Konstrukt, das anhand von Trainingsdaten Muster erkennt/Vorhersagen trifft.
- konzentriert sich hauptsächlich auf die algorithmische und datengetriebene Seite der KI.
- besteht im Wesentlichen aus Algorithmen, Trainingsdaten, Modellparametern und Gewichtungen
- wird von Wissenschaft und Forschung entwickelt und optimiert und konzentriert sich auf Training, Validierung und Vorhersage auf der Basis von Daten.
- wird oft isoliert in Forschungs- und Entwicklungsphasen eingesetzt
benötigt hochwertige Trainingsdaten und Rechenressourcen für das Modelltraining.
Die folgenden Rollen können bei der Verwendung eines KI-Systems entstehen und entsprechende Pflichten auslösen.
Anbieter:
Natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die ein KI-System oder ein KI-Modell zur allgemeinen Verwendung entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer eigenen Marke entgeltlich oder unentgeltlich in Betrieb nimmt.
Betreiber:
Natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die ein KI-System in eigener Verantwortung einsetzt, es sei denn, die Verwendung des KI-Systems erfolgt im Rahmen der persönlichen und nicht beruflichen Tätigkeit.
Bevollmächtigter:
Natürliche / juristische Person in der EU, die vom Anbieter eines KI-Systems / KI-Modells zur allgemeinen Verwendung schriftlich bevollmächtigt wurde und sich damit einverstanden erklärt hat, in seinem Namen die in dieser Verordnung festgelegten Pflichten zu erfüllen oder Verfahren durchzuführen.
Importeur:
Natürliche / juristische Person in der EU, die ein KI-System in Verkehr bringt, das den Namen / die Handelsmarke einer in einem Drittland ansässigen natürlichen oder juristischen Person trägt.
Händler:
Natürliche / juristische Person in der Lieferkette, die ein KI-System in der EU bereitstellt (mit Ausnahme des Lieferanten / Importeurs).
Unter bestimmten Voraussetzungen müssen Einführer, Händler und Nutzer von Hochrisiko-KI-Systemen auch die Pflichten der KI-Anbieter erfüllen, wenn sie selbst zum Anbieter werden. Ein solcher Wechsel der Verantwortlichkeit tritt ein, wenn
- ein Hochrisiko-KI-System unter eigenem Namen oder eigener Marke in Verkehr gebracht oder in Betrieb genommen wird.
- eine wesentliche Änderung an einem Hochrisiko-KI-System vorgenommen wird, ohne dass dieses seine Eigenschaft als Hochrisiko-KI-System verliert, oder eine wesentliche Änderung der Zweckbestimmung eines anderen KI-Systems vorgenommen wird und dieses dadurch zu einem Hochrisiko-KI-System wird.
In diesen Fällen ist der ursprüngliche Anbieter nicht mehr für das betreffende Hochrisiko-KI-System verantwortlich, sondern Sie. Sie erben alle Pflichten des Betreibers.
Der ehemalige Betreiber ist lediglich verpflichtet, dem neuen Betreiber alle Unterlagen und Dokumente zur Verfügung zu stellen, die zur Erfüllung der Anforderungen und Pflichten als Betreiber gemäß der KI-Verordnung erforderlich sind.
Die KI-Verordnung der EU teilt KI-Systeme in verschiedene Risikoklassen ein, die sich nach den potenziellen Auswirkungen auf Sicherheit, Grundrechte und gesellschaftliche Werte richten. Diese Einteilung soll sicherstellen, dass für Systeme mit höheren Risiken strengere Regeln gelten, während Systeme mit geringeren Risiken weniger reguliert werden. Die wichtigsten Risikoklassen sind:
Verbotene KI-Praktiken:
Diese Kategorie umfasst KI-Anwendungen, die als inakzeptable Risiken für die Gesellschaft oder die Grundrechte eingestuft werden. Dazu gehören Systeme, die gegen die Menschenwürde verstoßen, wie manipulative Anwendungen, die unbewusste Entscheidungen beeinflussen, oder Systeme, die zur sozialen Überwachung in Echtzeit eingesetzt werden. Solche KI-Systeme sind nach dem AI-Act gänzlich verboten.
KI-Systeme mit hohem Risiko:
In diese Kategorie fallen KI-Systeme, die ein hohes Risiko für die Sicherheit oder die Grundrechte von Menschen darstellen können. Beispiele sind Systeme, die in kritischen Infrastrukturen, im Bildungswesen, in der Strafverfolgung, in der medizinischen Diagnostik oder bei der Rekrutierung eingesetzt werden.
Für diese Systeme gelten strenge Anforderungen, darunter eine gründliche Risikobewertung, regelmäßige Überwachung, umfassende Transparenz und Dokumentationspflichten.
Hochrisikosysteme müssen vor ihrem Einsatz eine Zertifizierung durchlaufen, die bestätigt, dass sie den Anforderungen der KI-Verordnung entsprechen. Dazu gehört auch die Prüfung der technischen Sicherheit, Korrektheit und Fairness der Systeme.
Systeme mit begrenztem Risiko:
In diese Kategorie fallen KI-Systeme mit begrenztem Risiko, die keine erheblichen Auswirkungen auf Sicherheit und Grundrechte haben, aber dennoch Transparenzpflichten unterliegen.
Beispiele sind Chatbots, die menschliche Interaktion simulieren. Nutzerinnen und Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
Für Systeme dieser Kategorie gibt es keine strengen gesetzlichen Anforderungen, aber die Anbieter können freiwillig Richtlinien und Standards anwenden, um das Vertrauen der Nutzer zu stärken.
Minimales Risiko:
KI-Systeme, die in diese Kategorie fallen, gelten als weitgehend risikolos und sind daher von den meisten Anforderungen des AI-Acts ausgenommen.
Beispiele sind KI-Systeme, die in Videospielen oder Spamfiltern eingesetzt werden. Für diese Systeme sind keine besonderen gesetzlichen Regelungen erforderlich. Berücksichtigen Sie grundlegende Prinzipien wie Datenschutz und Ethik.
Die Risikoeinstufung von KI-Modulen, insbesondere von KI-Modellen für allgemeine Zwecke (General Purpose AI — GPAI), spielt eine wichtige Rolle bei der Regulierung und Überwachung ihres Einsatzes.
Ein KI-Modell wird als “systemisch riskant” eingestuft, wenn es über besonders mächtige Fähigkeiten verfügt oder weitreichende Auswirkungen hat. Diese Einstufung erfolgt, wenn bestimmte Kriterien erfüllt sind:
Hohe Leistungsfähigkeit:
Ein Modell wird als risikoreich eingestuft, wenn es durch technische Methoden und Benchmarks eine hohe Effizienz nachweisen kann. Ein Indikator dafür ist z.B. die Anzahl der Rechenoperationen (Gleitkommaoperationen) während des Trainings. Überschreitet diese Menge einen bestimmten Schwellenwert (z.B. 10²⁵ Gleitkommaoperationen), gilt das Modell als effizient.
Kriterien der EU-Kommission:
In die Risikoeinstufung fließen verschiedene Faktoren wie die Anzahl der Modellparameter, die Qualität und Größe der verwendeten Datensätze sowie die Trainingskosten und der Energieverbrauch ein. Modelle, die in verschiedenen Modalitäten wie Text, Bild oder multimodal arbeiten und auf dem neuesten Stand der Technik sind, werden ebenfalls genauer geprüft.
Auswirkungen auf den Markt:
Ein Modell kann auch als systemisch riskant eingestuft werden, wenn es eine große Verbreitung in der EU hat, z. B. wenn es mehr als 10.000 registrierte gewerbliche Nutzer erreicht. Dies deutet darauf hin, dass das Modell potenziell große Auswirkungen auf den Binnenmarkt haben kann.
Die EU-Kommission hat das Recht, diese Kriterien und Schwellenwerte anzupassen, um mit der technologischen Entwicklung Schritt zu halten und sicherzustellen, dass die Regulierung immer auf dem neuesten Stand ist.
Bei der Implementierung und Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, spielen verschiedene Produktphasen eine entscheidende Rolle im Hinblick auf Datenschutzbestimmungen wie die DSGVO (Datenschutz-Grundverordnung) und andere relevante Regelungen.
Jede Phase, von der Erhebung der Trainingsdaten bis zur Nutzung der KI-Ergebnisse, unterliegt spezifischen Datenschutzanforderungen.
Hier ist ein Überblick, wie die DSGVO auf die einzelnen Schritte angewendet wird:
Erhebung von Trainingsdaten für Künstliche Intelligenz:
Bereits bei der Datensammlung müssen die Prinzipien der Datenminimierung, Zweckbindung und Transparenz beachtet werden. Betroffene Personen müssen über die Erhebung und den Zweck der Datenverarbeitung informiert werden.
Training von KI:
Während des Trainingsprozesses sind besondere Sicherheitsvorkehrungen erforderlich, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. Anonymisierung oder Pseudonymisierung kann hier eine wichtige Rolle spielen, um personenbezogene Daten zu schützen.
Bereitstellen von Anwendungen der KI:
Die DSGVO verlangt, dass Nutzer informiert werden, wenn KI-Anwendungen zum Einsatz kommen, insbesondere wenn sie Entscheidungen beeinflussen, die für die Betroffenen rechtliche oder ähnlich erhebliche Auswirkungen haben.
Nutzung von Anwendungen der KI:
Rechte der Betroffenen: In dieser Phase müssen die Rechte der betroffenen Personen gewahrt werden, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung und Widerspruch. Dies ist besonders relevant, wenn die KI-Anwendung automatisierte Entscheidungen trifft.
Nutzung von Ergebnissen der KI:
Folgenabschätzung und Aufsicht: Wenn KI-Ergebnisse genutzt werden, müssen Unternehmen sicherstellen, dass die Ergebnisse korrekt und fair sind. Zudem sollten sie eine Datenschutz-Folgenabschätzung (DPIA) durchführen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.
In jeder dieser Phasen müssen die Vorgaben der DSGVO und anderer Datenschutzregelungen eingehalten werden, um die Rechte der betroffenen Personen zu schützen und rechtliche Konsequenzen zu vermeiden. Wer diese Regeln einhalten muss, hängt ab von der jeweiligen Rolle des Unternehmens.
Typischer Ablauf der Umsetzung von KI-Projekten aus Sicht des Datenschutzes
Nutzen Sie den PDCA-Zyklus (Plan-Do-Check-Act) für Ihr KI-Projekt, um Sicherheitsstandards zu erreichen und gesetzliche Anforderungen kontinuierlich zu erfüllen. Die folgende Vorgehensweise hilft Ihnen dabei, die einzelnen Produktphasen (Training, Nutzung etc.) ggf. individuell betrachtet werden müssen.
- Schulung und Qualifizierung des Personals im KI-Umfeld
- Erstellung eines Projektbriefings inkl. Kosten-Nutzen-Analyse
- Freigabe durch das Management
- Prüfung des Anbieters bzw. des KI-Systems auf KI-Konformität
- Klärung, ob personenbezogene Daten verarbeitet werden
- Umsetzung der gesetzlichen Vorgaben im Datenschutz
- Einbindung des Datenschutzbeauftragter
- Durchführung einer Prüfung auf Gesetzeskonformität
- Umsetzung der datenschutzrechtlichen Pflichten nach DSGVO und anderen Gesetzen
- Wirksamkeitsprüfung
- Kontinuierliche Verbesserung und Optimierung
Einige Details der KI-Verordnung
Wenn Sie sich mit der KI-Verordnung befassen müssen, ist es notwendig, weitere Details zu kennen. Dazu gehören die Verpflichtungen der KI-Verordnung pro Rolle, aber auch andere Gesetze, die Sie kennen und einhalten müssen. Dazu gehören neben der DSGVO auch das Geschäftsgeheimnisgesetz, das Urheberrecht, das Persönlichkeitsrecht sowie das Wettbewerbs- und Markenrecht. Ob weitere Gesetze zu beachten sind, hängt vom Einzelfall ab.
KI-Systeme bieten viele Vorteile. Es gibt jedoch auch ernsthafte Bedenken hinsichtlich ihres ethischen Einsatzes. Besonders kritisch wird es, wenn KI-Systeme für Zwecke eingesetzt werden, die potenziell die Privatsphäre und die Rechte des Einzelnen verletzen.
Daher gibt es strenge Vorschriften, die bestimmte Anwendungen von KI verbieten, um Missbrauch zu verhindern und den Schutz der Menschenrechte zu gewährleisten. Im Folgenden werden einige der wichtigsten verbotenen KI-Systeme aufgeführt, die nicht nur aus ethischen Gründen problematisch sind, sondern auch rechtlichen Beschränkungen unterliegen, um sicherzustellen, dass die Technologien verantwortungsvoll eingesetzt werden.
Risikoabschätzung für Straftaten:
Es ist verboten, KI-Systeme zur Bewertung des Risikos, dass jemand eine Straftat begeht, einzusetzen, wenn dies ausschließlich auf der Analyse persönlicher Merkmale oder auf Profiling beruht. Dies bedeutet, dass es nicht erlaubt ist, allein aufgrund von persönlichen Merkmalen oder Verhaltensmustern vorherzusagen, ob eine Person eine Straftat begehen wird.
2. Gesichtserkennung und Emotionserkennung
KI-Systeme dürfen nicht zum Aufbau von Gesichtserkennungsdatenbanken ohne spezifischen Zweck oder zur Analyse von Emotionen am Arbeitsplatz oder in der Schule eingesetzt werden, es sei denn, es gibt medizinische oder sicherheitsrelevante Gründe dafür. Mit anderen Worten: Gesichtserkennungstechnologie darf nicht ohne triftigen Grund zum Sammeln von Daten oder zum Überwachen von Emotionen eingesetzt werden.
Biometrische Kategorisierung:
Es ist verboten, KI-Systeme zur Kategorisierung von Menschen aufgrund von Merkmalen wie Rasse, politischer Überzeugung, religiöser Überzeugung, sexueller Neigung oder sexueller Orientierung einzusetzen. Das bedeutet, dass KI nicht eingesetzt werden darf, um Menschen nach solchen persönlichen Merkmalen zu klassifizieren.
Fernidentifizierung in Echtzeit:
Im öffentlichen Raum dürfen KI-Systeme zur biometrischen Echtzeit-Fernidentifizierung nur Notfällen verwendet werden, wie bei Entführungen, Terrorgefahren oder der Suche nach gesuchten Straftätern.
Hochrisiko-KI-Systeme können potenziell weitreichende Auswirkungen auf die Gesellschaft, die Sicherheit und die Rechte einzelner Personen haben. Aus diesem Grund ist es wichtig, diese Systeme besonders sorgfältig zu regulieren und zu überwachen. In diesem Zusammenhang werden Hochrisiko-KI-Systeme definiert und untersucht, um ein besseres Verständnis ihrer potenziellen Gefahren und der notwendigen Schutzmaßnahmen zu ermöglichen.
Grundsätzlich kann gesagt werden, dass Hochrisiko-KI-Systeme
- ein signifikantes Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellen,
- aufgrund potenzieller Auswirkungen für Betroffene hochriskant sind und
- strengen Anforderungen hinsichtlich Transparenz, Sicherheit und ethischen Standards unterliegen
Laut dem KI-Act gelten bestimmte KI-Systeme als hochriskant, wenn sie in Bereichen eingesetzt werden, die potenziell erhebliche Auswirkungen auf das Leben und die Rechte von Menschen haben. Hier sind die wichtigsten Kategorien von Hochrisiko-KI-Systemen, die können sich im Laufe der Zeit angepasst werden.
Biometrische Fernidentifizierungssysteme:
Systeme zur Erkennung von Personen aus der Ferne, wie etwa durch Gesichtserkennung, wenn diese im Einklang mit den gesetzlichen Vorgaben verwendet werden.
Biometrische Kategorisierung:
Systeme, die zur Klassifizierung von Personen anhand sensibler Merkmale wie Rasse oder Religion verwendet werden.
Emotionserkennung:
Systeme, die darauf abzielen, Emotionen zu erkennen, zum Beispiel in Schulen oder am Arbeitsplatz.
Kritische Infrastruktur:
KI-Systeme, die Sicherheitsaufgaben im Bereich der kritischen Infrastruktur wie Energieversorgung oder Verkehr übernehmen, gehören ebenfalls zu den Hochrisiko-KI-Systemen.
Allgemeine und berufliche Bildung:
KI-Systeme zur Bewertung von Lernleistungen, der Vergabe von Bildungsplätzen oder der Überwachung von Prüfungen in Bildungseinrichtungen.
Beschäftigung und Personalmanagement:
Systeme zur Auswahl und Bewertung von Bewerbern, zur Überwachung von Mitarbeitern oder zur Entscheidungsfindung über Beförderungen und Kündigungen.
Zugang zu öffentlichen und privaten Diensten:
KI-Systeme, die von Behörden verwendet werden, um Ansprüche auf öffentliche Dienstleistungen zu prüfen, Kredite zu bewerten, oder Notrufe zu bearbeiten.
Strafverfolgung:
Systeme zur Bewertung des Risikos, dass jemand Opfer oder Täter von Straftaten wird, zur Analyse von Beweismitteln oder zur Profilierung von Personen.
Migration, Asyl und Grenzkontrolle:
KI-Systeme zur Bewertung von Risiken im Kontext der Migration und Asyl, zur Überprüfung von Visumanträgen und zur Identifikation von Personen an Grenzen.
Rechtspflege und demokratische Prozesse
KI-Systeme zur Unterstützung von Justizbehörden bei der Entscheidungsfindung oder zur Beeinflussung von Wahlergebnissen.
Nicht alle Systeme in diesen Kategorien gelten automatisch als hochriskant. Folgende Ausnahmen können gelten:
Begrenzte Aufgaben:
Wenn ein KI-System nur für spezifische, eng gefasste Aufgaben verwendet wird, die keinen wesentlichen Einfluss auf die Entscheidungsfindung haben.
Verbesserung menschlicher Entscheidungen:
Wenn ein KI-System darauf abzielt, menschliche Entscheidungen zu verbessern, aber nicht deren Ergebnis ohne menschliche Überprüfung beeinflusst.
Erkennung von Entscheidungsmustern:
Systeme, die lediglich Muster in Entscheidungen erkennen, ohne direkt in die Entscheidungsfindung einzugreifen oder diese zu ersetzen.
Vorbereitende Aufgaben:
Systeme, die nur vorbereitende Aufgaben durchführen und die endgültige Bewertung durch Menschen unterstützen.
Wichtiger Hinweis: Wenn ein KI-System jedoch Profiling von Personen vornimmt, wird es unabhängig von den oben genannten Ausnahmen immer als hochriskant betrachtet.
Die Anforderungen an Anbieter und Betreiber von Hochrisiko-KI-Systemen sind darauf ausgelegt, sicherzustellen, dass solche Systeme sicher, transparent und verantwortungsbewusst betrieben werden. Im Folgenden finden Sie die wesentlichen Anforderungen an die Beteiligten an Hochrisiko-KI-Systemen.
Risikomanagementsystem:
Implementieren und pflegen Sie ein umfassendes Risikomanagementsystem zur Identifizierung, Bewertung und Minderung potenzieller Risiken Ihres KI-Systems.
Daten und Daten-Governance:
Verwalten Sie Daten gemäß den geltenden Richtlinien zur Datensicherheit und ‑qualität. Stellen Sie sicher, dass alle Daten angemessen geschützt und verwaltet werden.
Technische Dokumentation:
Erstellen und pflegen Sie detaillierte technische Dokumentationen, die die Funktionsweise und technischen Details Ihres KI-Systems beschreiben.
Aufzeichnungspflichten:
Führen Sie alle relevanten Aufzeichnungen, die den Betrieb und die Leistung Ihres KI-Systems dokumentieren, um Prüfungen und Nachverfolgungen zu ermöglichen.
Transparenz und Bereitstellung von Informationen für Betreiber:
Stellen Sie klare und verständliche Informationen über die Funktionsweise Ihres KI-Systems bereit, damit Betreiber es effektiv nutzen und verstehen können.
Menschliche Aufsicht:
Gewährleisten Sie, dass eine menschliche Aufsicht über das KI-System vorhanden ist, um die Sicherheit und Kontrolle über das System zu gewährleisten.
Genauigkeit, Robustheit und Cybersicherheit:
Sorgen Sie dafür, dass Ihr KI-System genaue Ergebnisse liefert, robust gegenüber Störungen ist und über angemessene Cybersicherheitsmaßnahmen verfügt.
Pflichten der Anbieter von Hochrisiko-KI-Systemen:
Übernehmen Sie die Verantwortung für die Sicherheit und Konformität Ihrer Hochrisiko-KI-Systeme und erfüllen Sie alle damit verbundenen Pflichten.
Qualitätsmanagementsystem:
Implementieren und pflegen Sie ein Qualitätsmanagementsystem, das kontinuierliche Überprüfungen und Verbesserungen aller Aspekte Ihres KI-Systems sicherstellt.
Aufbewahrung der Dokumentation:
Bewahren Sie alle relevanten Dokumentationen ordnungsgemäß auf, um die Nachvollziehbarkeit und Möglichkeit von Audits zu gewährleisten.
Automatisch erzeugte Protokolle:
Führen Sie automatisch erzeugte Protokolle, die alle relevanten Ereignisse und Vorgänge dokumentieren.
Korrekturmaßnahmen und Informationspflicht:
Setzen Sie Korrekturmaßnahmen bei Problemen um und informieren Sie umgehend die zuständigen Stellen über relevante Vorfälle.
Zusammenarbeit mit den zuständigen Behörden:
Arbeiten Sie eng mit den zuständigen Behörden zusammen, um sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt werden und Ihr KI-System sicher betrieben wird.
Bevollmächtigte der Anbieter von Hochrisiko-KI-Systemen:
Ernennen Sie einen Bevollmächtigten, der für die Einhaltung der Vorschriften und die Kommunikation mit den Aufsichtsbehörden verantwortlich ist.
Pflichten der Einführer:
Stellen Sie sicher, dass die von Ihnen eingeführten Hochrisiko-KI-Systeme den gesetzlichen Anforderungen entsprechen, bevor sie auf dem Markt angeboten werden.
Pflichten der Händler:
Verkaufen Sie nur solche Hochrisiko-KI-Systeme, die den geltenden Vorschriften entsprechen, und überprüfen Sie deren Konformität regelmäßig.
Verantwortlichkeiten entlang der KI-Wertschöpfungskette:
Übernehmen Sie Verantwortung für alle Aspekte entlang der Wertschöpfungskette Ihrer KI-Systeme, von der Entwicklung bis zum Einsatz.
Pflichten der Betreiber von Hochrisiko-KI-Systemen:
Betreiben Sie Ihr KI-System ordnungsgemäß, und stellen Sie sicher, dass alle Sicherheits- und Leistungsanforderungen kontinuierlich erfüllt werden.
Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme:
Führen Sie eine Grundrechte-Folgenabschätzung durch, um sicherzustellen, dass die Nutzung Ihres Hochrisiko-KI-Systems keine unverhältnismäßigen negativen Auswirkungen auf die Grundrechte der betroffenen Personen hat.
Ein KI-Modell wird als systemisch riskant eingestuft, wenn es hohe Leistungsfähigkeiten aufweist oder eine bestimmte Berechnungsmenge überschreitet. Diese Einstufung erfolgt durch technische Bewertungen oder Entscheidungen der EU-Kommission. Die Regelungen und Benchmarks können von der Kommission angepasst werden, um technologischen Fortschritten Rechnung zu tragen. Folgende Pflichten ergeben sich daraus:
Transparenz- und Offenlegungspflichten:
Diese gelten insbesondere bei direkter Interaktion mit Nutzern und Anbietern.
Technische Dokumentation:
Es sind detaillierte Aufzeichnungen über technische Spezifikationen, Urheberrechtskonformität und Zusammenfassungen der verwendeten Trainingsdatensätze erforderlich.
Systemisches Risiko:
Bei GPAI-Systemen mit hoher Leistung (> 10^25 TFlops) sind erweiterte Transparenzanforderungen nötig, um unvorhersehbare Ergebnisse und höhere Risiken zu adressieren.
Verlässliche Bewertung:
Zur Identifizierung und Eindämmung von Risiken sind umfassende Bewertungen notwendig.
Cybersicherheit und Energieeffizienz:
Es gelten spezielle Anforderungen an die Cybersicherheit und Energieeffizienz, sowie Informationspflichten über schwerwiegende Vorfälle gegenüber dem europäischen AI-Office.
Bei Nichteinhaltung der KI-Verordnung werden unter Berücksichtigung aller Umstände des Einzelfalls maximale Sanktionen von bis zu 35 Mio. EUR oder 7 % des gesamten weltweit erzielten Jahresumsatzes verhängt. Es gilt der jeweils höhere Wert.
Für KMU können die Bußgelder unter bestimmten Umständen gedeckelt werden.
Für Verstöße im Bereich von KI-Modellen gilt ein spezieller Bußgeldkatalog 3% / 15 Mio. Euro.
Bei der Festsetzung der Höhe der Geldbuße werden folgende Faktoren berücksichtigt:
- Art, Schwere und Dauer des Verstoßes
- Direkte und indirekte Auswirkungen des Verstoßes.
- Berücksichtigung ähnlicher Geldbußen anderer Behörden
- Größe und Marktanteil des Unternehmens
- Berücksichtigung der wirtschaftlichen Situation kleinerer Akteure
- Beurteilung, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde
- Maßnahmen zur Schadensminderung für Betroffene
- Ausmaß der Zusammenarbeit mit den Behörden
- Berücksichtigung früherer Verstöße des Unternehmens
- Befolgung von Anordnungen der Marktaufsichtsbehörden
- Maßnahmen zur Vermeidung von Verstößen und Grad der Verantwortung
- Bekanntwerden des Verstoßes
Die KI-Verordnung ist ein spezielles Gesetz für den Einsatz von künstlicher Intelligenz. Sie ergänzt andere geltende Gesetze, ohne diese zu ersetzen. Hier sind einige der relevanten Gesetze, die zusätzlich zur KI-Verordnung beachtet werden müssen:
Datenschutzgrundverordnung (DSGVO):
Wenn KI personenbezogene Daten verarbeitet, wie es bei der Nutzung von KI durch Arbeitnehmer der Fall ist, müssen die Datenschutzbestimmungen der DSGVO eingehalten werden.
Gesetz zum Schutz von Geschäftsgeheimnissen:
Geschäftsgeheimnisse müssen ausreichend geschützt werden. Mitarbeiter, die mit vertraulichen Informationen arbeiten, dürfen diese nicht an fremde KI-Systeme weitergeben.
Urheberrecht:
Wird urheberrechtlich geschütztes Material beim Training von KI-Systemen unerlaubt verwendet, stellt dies eine Urheberrechtsverletzung dar.
Persönlichkeitsrechte:
Die Erstellung und Veröffentlichung von Abbildungen prominenter Personen durch KI kann deren Persönlichkeitsrechte verletzen, sofern es sich nicht um zulässige Karikaturen oder ähnliches handelt.
Wettbewerbs- und Markenrecht:
KI-generierte Werbung, die unzulässige Superlative oder Marken von Wettbewerbern verwendet, kann zu rechtlichen Problemen führen. Die Nutzer solcher Inhalte haften für eventuelle Verstöße.
Leistungen im Bereich KI und Datenschutz
Ich orientiere mich im Bereich der Informationssicherheit überwiegend an den Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI IT-Grundschutz). Dies hilft Ihnen, auch bei Sicherheitsverletzungen Auswirkungen zu begrenzen und Bußgelder bei Verfehlungen deutlich zu verringern.
Nehmen Sie gerne unverbindlich Kontakt auf.
Ich unterstütze Sie bei der Bewertung potenzieller Risiken für die Privatsphäre und den Schutz personenbezogener Daten, die durch den Einsatz von KI entstehen können. Ich zeige Ihnen, wie Sie eine Datenschutz-Folgenabschätzung erstellen und durchführen, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt und geeignete Maßnahmen zur Risikominimierung getroffen werden.
Ich unterstütze Sie bei der Entwicklung oder Anpassung interner Datenschutzrichtlinien und ‑dokumentation, um sicherzustellen, dass diese die spezifischen Anforderungen des Einsatzes von KI berücksichtigen. Dies umfasst auch die Aktualisierung von Verzeichnissen der Verarbeitungstätigkeiten und anderer relevanter Dokumente.
Ich unterstütze Sie dabei zu verstehen, wie das KI-System personenbezogene Daten verarbeitet. Ich gebe Empfehlungen zur Gewährleistung der Integrität, Vertraulichkeit und Sicherheit der Daten, einschließlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
Ich biete Schulungen und Workshops für Ihr Personal an, um das Bewusstsein für Datenschutzfragen im Zusammenhang mit KI-Systemen zu schärfen. Dies umfasst die Vermittlung von Best Practices im Umgang mit personenbezogenen Daten und die Schulung zu datenschutzrechtlichen Anforderungen.
Ich analysiere und überprüfe Verträge mit Auftragsverarbeitern und Drittanbietern, die an der Implementierung oder dem Betrieb des KI-Systems beteiligt sind. Ich sorge dafür, dass alle vertraglichen Vereinbarungen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen und entsprechende Datenschutzklauseln enthalten.
Was ist in Sachen Datenschutz zu tun?
Wie bei jeder Verarbeitung personenbezogener Daten ist zu prüfen, welche datenschutzrechtlichen Pflichten sich daraus ergeben. Folgende Maßnahmen sind üblicherweise umzusetzen, wenn personenbezogene Daten in KI-Systemen verarbeitet werden:
- Klärung der Rechtsgrundlagen, Zweckbindung und Transparenz, Datenminimierung, Speicherbegrenzung, Richtigkeit.
- Durchführung einer Risikobewertung
- Sicherheit der Verarbeitung
- Datenschutzfreundliche Voreinstellungen / und Technikgestaltung
- Prüfung der Erforderlichkeit und ggf. Durchführung einer Datenschutz-Folgenabschätzung
- Pseudonymisierung / Anonymisierungskonzept für personenbezogene Daten
- ggf. Auftragsverarbeiter
- ggf. Gemeinsame Verantwortung
- Prüfung und ggf. Umsetzung der Anforderungen bei Übermittlung in ein Drittland
- Erfüllung aller Betroffenenrechte nach Kapitel III DSGVO
- Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
- Erfüllung sämtlicher Nachweispflichten
- Kontinuierliche Verbesserung
Wichtiger Hinweis:
Sofern Sie personenbezogene Daten mit KI-Systemen verarbeiten, müssen Sie prüfen, ob Sie eine Datenschutz-Folgenabschätzung durchführen müssen. Sofern dies zutrifft, z. B. aufgrund dem Einsatz der neuen Technologie, sind Sie gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen.
Als externer Datenschutzbeauftragter stehe ich seit 2013 für eine lösungsorientierte und ganzheitliche Anwendung der Datenschutzgesetze und der Informationssicherheit — auch bei der Umsetzung der KI-Verordnung (AI-Act / KI-VO)!
Matthias Niehoff
In vier Schritten zur Zusammenarbeit
1. Kontakt aufnehmen
Nehmen Sie gerne Kontakt mit mir auf. Bei einem kostenlosen Erstgespräch klären wir, wie ich Sie zeitnah am besten unterstützen kann. Sie haben bereits jetzt schon Fragen, die schnell zu beantworten sind — prima. Nutzen Sie meine Expertise, um weiter voranzukommen.
Ich analysiere grob Ihre Organisation aus der Sicht des Datenschutzes. Am Telefon oder bei Ihnen vor Ort. Im Anschluss erhalten Sie ein erstes Angebot.
2. Angebot bestätigen
Bei einem konkreten Interesse erstelle ich Ihnen ein individuelles Angebot für die Bestellung eines externen Datenschutzbeauftragten. Ob als Stundenkontingent oder als Festpreis. Sagen Sie gerne, in welcher Form Sie das Angebot benötigen. Die Kosten sind abhängig vom gebuchten Paket und von der Größe Ihrer Organisation, dem Umfang der Datenverarbeitung und der Art der Zusammenarbeit.
Wenn Ihnen das Angebot zusagt, erstelle ich einen Dienstleistungsvertrag, der eine Verpflichtungserklärung und eine Bestellurkunde enthält. Nach der beidseitigen Unterschrift kann es losgehen.
3. Bestandsaufnahme
Vor der offizellen Bestellung als externer Datenschutzbeauftragter ist eine Überprüfung Ihrer Organisation und Prozesse, im Hinblick auf personenbezogene Daten, notwendig. Ich schaue mir an, welche Dokumente bereits bei Ihnen vorliegen und ob diese die fachgerecht erstellt worden sind.
Diese Bestandsaufnahme erfolgt bei Ihnen vor Ort, auf Wunsch auch telefonisch und per Videokonferenz.
Nach der Bestandsaufnahme erhalten Sie einen priorisierten Maßnahmenplan. Maßnahmen, Verantwortlichkeiten und Termine werden mit Ihnen festgelegt.
4. Laufende Betreuung
Ab dem Zeitpunkt der offiziellen Bestellung bin ich für alle Themen rund um den Datenschutz Ihr Begleiter — auch im Rahmen von Projekten bei der KI-Verordnung. Sie können mich jederzeit kontaktieren.
Je nach Leistungspaket ist die Betreuung an ein vorher abgestimmtes Stundenkontingent gebunden. In regelmäßigen Meetings vor Ort, per Telefon oder Videokonferenz sorge ich dafür, dass die festgelegten Maßnahmen umgesetzt werden. Ich sorge für eine stetige Zunahme des Datenschutzes in Ihrem Unternehmen.
Ihre Vorteile auf einen Blick
- Jahrelange Erfahrung in der Umsetzung von Datenschutzprojekten
- Fokus im norddeutschen Raum
- Zeitnah verfügbar
Häufig gestellte Fragen zur KI-Verordnung
Immer wieder erreichen mich typische Fragen zur KI-Verordnung (KI-Act / KI-VO) — hier finden Sie kurze Antworten zum Thema.
Die KI-Verordnung definiert „Künstliche Intelligenz“ in Anlehnung an die OECD als ein
- maschinenbasiertes System, das entwickelt wurde, um teilweise autonom zu arbeiten
- anpassungsfähiges System, das nach seiner Implementierung lernfähig und anpassungsfähig ist.
- ergebnisorientiertes System, das Eingaben verarbeitet, um Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu generieren, die sowohl physische als auch virtuelle Umgebungen beeinflussen können.
In der KI-VO wird der Begriff „KI-System“ anstelle von „Künstliche Intelligenz“ verwendet, um den Schwerpunkt auf die konkrete Anwendung und ihre Auswirkungen auf den Menschen zu legen.
Vereinfacht ausgedrückt erkennt man eine KI daran, dass Hard- und/oder Software verwendet wird, die lernfähig ist und Aufgaben ausführt, die normalerweise menschliche Intelligenz erfordern.
Die EU-KI-Verordnung (KI-VO) regelt umfassend die Entwicklung, den Vertrieb und die Nutzung von Künstlicher Intelligenz in der EU. Ziel ist es, vertrauenswürdige und sichere KI-Systeme zu fördern und gleichzeitig Innovationen zu unterstützen. Die Verordnung betrifft Unternehmen, Selbstständige, Behörden und teilweise auch Privatpersonen, die KI nutzen oder entwickeln.
Verstöße gegen die KI-VO können empfindliche Strafen nach sich ziehen, die bis zu 35 Millionen Euro oder 7% des Jahresumsatzes betragen können. Die Verordnung enthält Regeln für alle Arten von KI, strenge Vorschriften für Hochrisiko-KI-Systeme und Verbote für bestimmte Praktiken wie Social Scoring.
Üblicherweise wird der Begriff „KI-Verordnung“ verwendet, da es sich um eine verbindliche EU-Regelung handelt, im Gegensatz zu einem „Gesetz“, das nationale Regelungen beschreibt. Sie gilt unmittelbar und muss nicht in nationales Recht umgesetzt werden.
Wie die Datenschutz-Grundverordnung gilt auch die KI-Verordnung nicht nur für KI-Systeme, die in der EU entwickelt oder eingesetzt werden, sondern auch für solche, deren Ergebnisse sich auf die EU auswirken:
Die Verordnung betrifft Anbieter, Importeure und Händler von KI-Systemen, die in der EU in Verkehr gebracht werden, sowie Betreiber von KI-Systemen mit Sitz in der EU.
Auch Anbieter und Betreiber aus Drittstaaten sind betroffen, wenn ihre KI-Systeme in der EU eingesetzt werden. Die KI-VO gilt nicht für
Militär- und Sicherheitszwecke:
KI-Systeme, die ausschließlich für Zwecke des Militärs, der Verteidigung oder der nationalen Sicherheit entwickelt oder eingesetzt werden.
Internationale Zusammenarbeit:
KI-Systeme, die von internationalen Organisationen oder Behörden aus Drittstaaten im Rahmen der Zusammenarbeit mit der EU eingesetzt werden.
Forschung und Entwicklung:
KI-Systeme, die für wissenschaftliche Zwecke eingesetzt werden, bevor sie auf den Markt kommen.
Persönliche Nutzung:
KI-Systeme, die ausschließlich für private / familiäre / persönliche, d. h. nicht berufliche Zwecke genutzt werden und Dritten nicht zur Verfügung gestellt oder zugänglich gemacht werden (“Haushaltsprivileg”).
Open-Source-KI:
Systeme, die unter offenen Lizenzen zur Verfügung gestellt werden, sofern sie nicht verboten sind, als Hochrisikosysteme eingestuft werden oder Deepfake-Informationen erzeugen können.
Die KI-Verordnung wurde am 12.07.2024 im Amtsblatt der EU veröffentlicht.
Sie tritt damit am 1. August 2024 in Kraft und ist grundsätzlich zwei Jahre nach ihrem Inkrafttreten, also ab dem 2. August 2026, anzuwenden. Einige Bestimmungen werden bereits früher anwendbar sein.
- Regelungen zu “verbotenen KI-Praktiken” gelten ab dem 2. Februar 2025.
- Regeln für KI-Modelle für allgemeine Zwecke gelten ab dem 2. Aug 25.
- Regelungen für Hochrisikosysteme gelten ab dem 2. Aug 27.
Sofern Sie planen, ein KI-System anzuschaffen, prüfen Sie, ob die gesetzlichen Vorgaben jetzt schon erfüllt werden können.
Der Einsatz und die Entwicklung künstlicher Intelligenz (KI) sind mit einer Reihe von Risiken verbunden:
Diskriminierung und Vorurteile:
KI kann bestehende Vorurteile verstärken, insbesondere wenn sie mit voreingenommenen Daten trainiert wird.
Datenschutz:
KI kann große Mengen personenbezogener Daten sammeln, was das Risiko von Datenschutzverletzungen erhöht.
Sicherheitsrisiken:
KI-Systeme können Ziel von Cyberangriffen werden, was zu Sicherheitsproblemen bei Daten und Infrastrukturen führen kann.
Verlust der Autonomie:
Eine zunehmende Abhängigkeit von KI könnte die Entscheidungsfreiheit des Menschen einschränken.
Mangelnde Transparenz: Es ist oft schwer nachzuvollziehen, wie KI-Entscheidungen getroffen werden, was zu einem Mangel an Rechenschaftspflicht führen kann.
Fehleranfälligkeit:
KI-Systeme sind nicht perfekt und können Fehlentscheidungen treffen, die schwerwiegende Folgen haben können.
Ethik und Moral:
Der Einsatz von KI wirft ethische Fragen auf, insbesondere in sensiblen Bereichen wie Medizin und Justiz.
Alle KI-Systeme, die in der EU betrieben oder bereitgestellt werden, insbesondere solche mit hohem Risiko, wie sie in der Verordnung definiert sind.
Das KI-Modell ist die technische Grundlage oder das „Gehirn“ der KI, während das KI-System die vollständige Anwendung oder das Produkt ist, das dieses Modell verwendet, um Aufgaben auszuführen und Ergebnisse zu liefern.
Die KI-Verordnung (KI-VO) regelt sowohl die Entwicklung der Modelle als auch den Einsatz der Systeme, um sicherzustellen, dass mögliche Risiken bereits in der Entwicklungsphase berücksichtigt und minimiert werden.
Ein KI-Modell ist der Algorithmus oder die „Denkgrundlage“ einer KI, die durch Training entwickelt wurde. Es bestimmt, wie die KI arbeitet und welche Art von Ergebnissen sie liefert. Beispiele für KI-Modelle sind GPT‑4, LLAMA und Claude 3. Diese Modelle sind spezifische Konstruktionen, die ihre Funktionsweise und Leistungsfähigkeit durch Training mit großen Datenmengen entwickeln.
Ein KI-System hingegen ist die konkrete Anwendung oder das Produkt, das auf einem oder mehreren KI-Modellen basiert.
Es umfasst sowohl die Modelle als auch die Infrastruktur, die erforderlich ist, um KI in der Praxis zu nutzen. Beispiele sind ChatGPT oder Microsoft Copilot, die beide auf dem KI-Modell GPT‑4 basieren. Diese Systeme nutzen das zugrundeliegende Modell, um konkrete Ergebnisse zu erzeugen und virtuelle und reale Umgebungen zu beeinflussen.
Die KI-VO unterscheidet folgende Risikokategorien für künstliche Intelligenz:
Verbotene KI-Systeme:
Diese Systeme sind gänzlich verboten, da sie als besonders risikoreich gelten. Beispiele sind:
Schädliche Manipulation:
- Social Scoring
- Emotionserkennung am Arbeitsplatz
- Vorhersage von Straftaten
Hohes Risiko — Hochrisiko-KI-Systeme:
Systeme in dieser Kategorie unterliegen strengen Vorschriften, einschließlich Anforderungen an die Datenqualität, Dokumentation und regelmäßige Audits. Beispiele sind
- Biometrische Kategorisierung
Anwendungen im Beschäftigungskontext
- Zugang zu Bildungseinrichtungen
- Kritische Infrastruktur
Begrenztes Risiko
Diese Systeme müssen bestimmte Transparenzanforderungen erfüllen. Die Nutzer sollten wissen, dass sie mit KI interagieren, und in der Lage sein, Entscheidungen nachzuvollziehen. Beispiele sind
- Chatbots
- KI-Inhalte
- Deepfakes
Minimales Risiko
Für diese Anwendungen gibt es kaum zusätzliche regulatorische Anforderungen, abgesehen von der Sicherstellung der KI-Kompetenz. Beispiele sind
- Spam-Filter
- Videospiele
Anwendungen für allgemeine Zwecke (GPAI)
Diese Modelle können je nach Verwendung in unterschiedliche Risikokategorien fallen und unterliegen spezifischen Sicherheits- und Transparenzanforderungen. Beispiele sind
- GPT-Modelle
- Claude
- LLAMA
Hochrisiko-KI-Systeme sind solche, die potenziell erhebliche Auswirkungen auf die Sicherheit und die Grundrechte haben, wie etwa Systeme in der Strafverfolgung oder des Gesundheitswesen.
Sie müssen strenge Anforderungen erfüllen, wie Risikomanagement, technische Dokumentation, Transparenz, und regelmäßige Überprüfungen erfüllen. Im oberen Bereich finden Sie die einzelnen Anforderungen.
Anbieter müssen sicherstellen, dass ihre Systeme sicher sind, alle Anforderungen der Verordnung erfüllen und relevante Informationen bereitstellen.
Durch Transparenzanforderungen und die Notwendigkeit, die Auswirkungen auf die Grundrechte zu prüfen.
Die nationalen Behörden überwachen die Einhaltung der Verordnung, führen Kontrollen durch und können bei Verstößen Maßnahmen ergreifen. Die Frage, wer die Umsetzung der KI-Verordnung kontrolliert, ist noch nicht geklärt.
Die Beteiligten müssen technische Unterlagen und Aufzeichnungen führen oder zur Verfügung stellen, in denen die Sicherheit und die Funktionsweise des KI-Systems beschrieben sind.
Die KI-Verordnung (KI-VO) verlangt, dass KI-Systeme je nach ihrer Risikokategorie klassifiziert werden, um sicherzustellen, dass sie sicher und regelkonform eingesetzt werden. Hier ein Überblick, wie verschiedene KI-Systeme in unterschiedlichen Abteilungen genutzt werden und welche Regelungen dabei zu beachten sind:
Gesundheitswesen:
- KI-Systeme zur Diagnostik, wie Algorithmen zur Analyse von Röntgenbildern oder zur Vorhersage von Krankheitsverläufen.
- KI-gestützte Werkzeuge zur Verwaltung und Analyse von Patientenakten, um individuelle Therapiepläne zu erstellen.
- Hinweis: Diese Systeme zählen zu den Hochrisiko-KI-Systemen und müssen strengen Anforderungen KI-VO genügen, da sie direkte Auswirkungen auf die Patientenversorgung und Gesundheit haben.
Personalwesen (Beispiele)
- KI-gestützte Recruiting-Tools, die Bewerberdaten analysieren und automatisierte Empfehlungen für die besten Kandidaten aussprechen.
- KI-Systeme zur Leistungsbewertung von Mitarbeitern, die anhand von Datenanalysen Feedback und Entwicklungspläne generieren.
- Hinweis: Hochrisiko-KI-Systeme, da sie wesentliche Entscheidungen über berufliche Laufbahnen beeinflussen. Diese Systeme unterliegen den Anforderungen gemäß Art. 26 KI-VO.
E‑Commerce
- KI-gestützte Systeme zur Preisoptimierung, die Preise basierend auf Nachfrage, Konkurrenz und anderen Faktoren dynamisch anpassen.
- Personalisierte Produktempfehlungen, die auf dem bisherigen Kaufverhalten und Interessen der Kunden basieren.
- Hinweis: Während spezielle Regelungen für diese Anwendungen nicht direkt vorgesehen sind, müssen die allgemeinen Anforderungen an Transparenz und KI-Kompetenz beachtet werden. Vorsicht ist geboten bei Methoden, die unterschwellige Beeinflussung des Kaufverhaltens anstreben, da diese möglicherweise unter verbotene KI-Praktiken fallen und beispielsweise zu ungewollter finanzieller oder psychischer Belastung führen.
Marketing und Vertrieb
- KI-Systeme zur Segmentierung von Zielgruppen, die auf Basis von Nutzerverhalten und demografischen Daten gezielte Werbung schalten.
- Automatisierte Content-Generierung für Social Media und Werbematerialien, die auf der Analyse von Trends und Nutzerinteraktionen basiert.
- Hinweis: Diese Systeme unterliegen keinen speziellen Regelungen der KI-VO, es sind jedoch die allgemeinen Anforderungen bezüglich KI-Kompetenz (Art. 4 KI-VO) und Transparenz (Art. 50 KI-VO) zu berücksichtigen.
IT-Abteilung
- KI-gestützte Sicherheitslösungen zur Erkennung von Anomalien und potenziellen Bedrohungen in Netzwerken und Datenströmen.
- Automatisierte Systemwartungstools, die Fehlerprognosen erstellen und Reparaturen oder Wartungen planen.
- Hinweis: Diese Systeme unterliegen keinen spezifischen Regelungen der KI-VO, es sind jedoch die allgemeinen Anforderungen an KI-Kompetenz (Art. 4 KI-VO) und Transparenzpflichten (Art. 50 KI-VO) zu beachten.
Kundendienst und Support
- KI-gestützte Sprachassistenten, die Kundenanfragen telefonisch beantworten und Probleme lösen.
- KI-Systeme zur Analyse von Kundenfeedback und Stimmungsanalysen, um den Kundenservice zu verbessern.
- Hinweis: Auch hier sind keine spezifischen Regelungen vorgesehen, aber die Einhaltung der allgemeinen Anforderungen bezüglich KI-Kompetenz (Art. 4 KI-VO) und Transparenz (Art. 50 KI-VO) ist erforderlich.
Forschung und Entwicklung
- KI-gestützte Werkzeuge zur Analyse von Forschungsdaten und zur Unterstützung bei der Entdeckung neuer wissenschaftlicher Erkenntnisse.
- Automatisierte Design- und Prototyping-Tools, die neue Produkte und Lösungen basierend auf bestehenden Daten und Trends entwickeln.
- Hinweis: In der Phase der Forschung und Entwicklung gelten in der Regel keine spezifischen Regelungen der KI-VO, es sei denn, die KI-Systeme werden bereits vor der Markteinführung verwendet.
Finanzwesen
- KI-Systeme zur Betrugserkennung in Transaktionen und zur Analyse von finanziellen Risiken.
- Automatisierte Handelsalgorithmen, die auf Basis von Marktanalysen Kauf- und Verkaufsentscheidungen treffen.
- Hinweis: Möglicherweise Einstufung als Hochrisiko-KI-System, da sie erhebliche Auswirkungen auf finanzielle Entscheidungen und Sicherheitsaspekte haben. Diese Systeme müssen den Anforderungen gemäß den Art. 6–49 KI-VO entsprechen.
Logistik und Supply Chain
- Optimierung von Lieferketten und zur Vorhersage von Lagerbeständen.
- Automatisierte Routenplanung für Lieferfahrzeuge basierend auf Echtzeit-Verkehrsdaten und Wetterbedingungen
Hinweis: Diese Systeme sind in der Regel nicht spezifisch geregelt, es sind jedoch die allgemeinen Anforderungen bezüglich KI-Kompetenz und Transparenz zu beachten.
Die korrekte Klassifizierung und Anwendung der KI-Verordnung in diesen Abteilungen ist entscheidend, um den gesetzlichen Anforderungen gerecht zu werden und Risiken zu minimieren. Die Risikobewertung ist jeweils pro Einzelfall durchzuführen.
Deepfakes sind durch KI erzeugte oder manipulierte Bild‑, Ton- oder Videoinhalte, die realen Personen, Orten oder Ereignissen ähneln und diese täuschend echt darstellen. Die KI-VO behandelt Deepfakes wie folgt:
Keine Täuschungsabsicht erforderlich:
Deepfakes müssen nicht absichtlich irreführend sein, um unter die Verordnung zu fallen. Auch KI-generierte Illustrationen für News-Beiträge zählen dazu.
Kennzeichnungspflicht:
Deepfakes müssen stets als KI-Erzeugnisse gekennzeichnet werden.
Hohe Strafen:
Bei Verstößen drohen Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Rechtliche Ansprüche:
Die Verbreitung von Deepfakes, die fälschlicherweise eine Person darstellen, kann zu Unterlassungs- und Schadensersatzansprüchen führen.
Verleumdung:
Das Verbreiten von Deepfakes, die eine Person verächtlich machen, kann mit bis zu 2 Jahren Freiheitsstrafe oder Geldstrafe bestraft werden.
Ausnahmen und Milderungen:
Kunst und Satire:
Für künstlerische, satirische oder fiktionale Werke sind die Transparenzpflichten milder, solange der Hinweis auf die KI-Manipulation den Genuss des Werkes nicht beeinträchtigt.
KI-generierte News:
Betreiber von KI-Systemen müssen klarstellen, dass KI Texte erzeugt oder verändert hat, es sei denn, die Texte dienen der Verbrechensaufdeckung oder ‑verhinderung und werden von Menschen überprüft.
Zukünftige Regelungen: Weitere Gesetzesvorschläge könnten den Missbrauch von Deepfakes durch das Strafrecht stärker regulieren, mit möglichen Freiheitsstrafen bis zu zwei Jahren für Persönlichkeitsrechtsverletzungen durch manipulierte Medieninhalte.
Ich biete maßgeschneiderte Dienstleistungen im Datenschutz zur Planung und Implementierung von KI-Systemen an. Dazu gehören Risikoanalysen, die Entwicklung von Sicherheitsstrategien, technische und organisatorische Maßnahmen, und Schulungen für Beschäftigte, um sicherzustellen, dass Ihr Unternehmen alle Anforderungen erfüllt, optimal die Vorgaben der DSGVO einhält oder zumindest Risiken minimiert.
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Ich setze regelmäßig digitale Projekte mit anspruchsvollen Kunden um. Datenschutz ist ein notwendiges Muss. Ich benötige daher einen aktiven DSB, der da ist, wenn ich ihn benötige und mit Praxiswissen zeitnah zuarbeitet. Ich will ein festes Kontingent und nicht für jeden Handschlag zusätzlich bezahlen. Am Ende wird so etwas meist teurer und aufwändiger in der Abrechnung. Herr Niehoff bringt aufgrund seiner Flexibilität mein Business voran.
Kontakt
- Direkte Betreuung bei KI-Systemen zum Datenschutz
- Datenschutzbeauftragter IN NORDDEUTSCHLAND
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch uns lassen Sie uns über Ihr KI-Projekt sprechen.