KI-Verordnung (AI-Act) PDF

KI-Verordnung (AI-Act): Diese neuen Regelungen zu KI-Systemen und Fristen müssen Sie ab sofort beachten Inhaltsverzeichnis 1. Warum brauchen wir die KI-Verordnung?.................................................................. 4 2. Wer ist von der KI-VO betroffen?................................................................................. 5 3. Diese Übergangsfristen gelten für die Umsetzung.................................................... 6 4. Kernanforderungen: Das regelt die KI-VO.................................................................. 6 4.1 Risikobasierter Ansatz – So teilen Sie Ihr KI-System in die Risikoklassen ein.... 8 4.2 Diese Pflichten gelten für Hochrisiko-KI................................................................ 9 5. Dokumentation von KI-Systemen – diese Inhalte müssen Sie festhalten.............. 10 Anzeige ++ Aus aktuellem Anlass: GRATIS-Geschenk für Sie ++ Neue Gesetze sorgen für Wirbel beim Datenschutz: NIS2, Cyber Resilience Act, KRITIS - wer blickt da noch durch? Sie fragen sich, wie Sie die neuen Anforderungen für Informationssicherheit erfüllen? Ganz einfach - mit dem 24-teiligen Cyber- Compliance-Kompass! Dank GRATIS E-Book, Umsetzungsanleitungen und Prüflisten navigieren Sie sicher durch den Richtlinien-Dschungel und steigern automatisch Ihre Informationssicherheit. 2 Editorial Liebe Leserin, lieber Leser, am 12. Juli 2024 wurde im Amtsblatt der Europäischen Union eine bedeutende neue Verordnung veröffentlicht: die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI). Diese Verordnung, besser bekannt als die „KI-Verordnung“ oder im Englischen „AI-Act“, markiert einen Meilenstein in der Regulierung von KI-Technologien in Europa. Sie trat am 1. August 2024 in Kraft, 20 Tage nach ihrer Veröffentlichung. Die KI-Verordnung zielt darauf ab, einen einheitlichen rechtlichen Rahmen für die Entwicklung, Vermarktung und Nutzung von KI-Systemen in der Europäischen Union zu schaffen. Sie soll nicht nur ein hohes Maß an Schutz für die Grundrechte und die Sicherheit der Bürger gewährleisten, sondern auch Innovation und wirtschaftliche Entwicklung fördern. Das Besondere: Als Verordnung muss Deutschland die neuen Regeln nicht erst in deutsches Recht umsetzen, sondern sie gelten sofort! Aber keine Panik: in diesem E-Book erfahren Sie, was genau Sie nun umsetzen müssen und welche Übergangsfristen dabei gelten. Viel Erfolg bei der Umsetzung wünscht Ihr PrivacyXperts Team Anzeige NEU: Mit diesem GRATIS USB-Stick sind Sie auf jede Datenschutz-Aufgabe perfekt vorbereitet! Er enthält 131 unverzichtbare Arbeitshilfen: 20 Muster-Vorlagen für Verträge, 5 PowerPoint- Schulungen, 75 Checklisten zur Dokumentation, 16 E-Books zum Datenschutz u. v. m.... >> Jetzt hier klicken und gratis zuschicken lassen! 3 1. Warum brauchen wir die KI-Verordnung? Insgesamt zielt die KI-Verordnung (KI-VO) darauf ab, die Vorteile der KI-Technologie zu maximieren, während gleichzeitig die Risiken kontrolliert und die Rechte der Bürger geschützt werden. Sie schafft die Grundlagen für eine verantwortungsvolle und nachhaltige Nutzung von KI in der Europäischen Union. Europa braucht die KI-VO aus mehreren wichtigen Gründen: 1. Schutz der Grundrechte und Sicherheit Künstliche Intelligenz kann tiefgreifende Auswirkungen auf das tägliche Leben und die Rechte der Bürger haben. Es gibt potenzielle Risiken, wie Diskriminierung, Verletzungen der Privatsphäre und Sicherheitsbedrohungen. Die Verordnung soll sicherstellen, dass KI-Systeme diese Risiken minimieren und den Schutz der Grundrechte gewährleisten. 2. Schaffung eines einheitlichen Rechtsrahmens Vor der Verordnung gab es in Europa keine einheitlichen Regeln für den Einsatz von KI. Dies führte zu Rechtsunsicherheit und unterschiedlichen Standards in den Mitgliedstaaten. Ein harmonisierter Rechtsrahmen schafft Klarheit und Vereinheitlichung, erleichtert den grenzüberschreitenden Handel und fördert den fairen Wettbewerb. 3. Förderung von Innovation und Vertrauen Die Verordnung soll das Vertrauen in KI-Technologien stärken, indem sie klare Regeln und Sicherheitsstandards setzt. Ein geregelter Markt schafft Anreize für Unternehmen, in KI zu investieren und innovative Lösungen zu entwickeln, da sie wissen, welche rechtlichen Anforderungen sie erfüllen müssen. 4. Verhinderung von Missbrauch und unethischer Nutzung Ohne Regulierung besteht die Gefahr, dass KI-Systeme missbräuchlich oder unethisch eingesetzt werden, z. B. zur Massenüberwachung oder zur Manipulation von Informationen. Die Verordnung zielt darauf ab, solchen Missbrauch zu verhindern und ethische Standards durchzusetzen. 5. Wettbewerbsfähigkeit Europas im globalen Kontext Mit der Verordnung positioniert sich Europa als Vorreiter in der Entwicklung einer sicheren und ethischen KI. Dies kann ein Wettbewerbsvorteil sein, da Unternehmen und Bürger weltweit zunehmend Wert auf ethische Standards und Sicherheit legen. Zudem trägt ein klarer Rechtsrahmen zur Attraktivität des europäischen Marktes für Investitionen bei. 4 2. Wer ist von der KI-VO betroffen? Die KI-Verordnung betrifft eine breite Palette von Akteuren, die mit der Entwicklung, dem Verkauf, der Bereitstellung oder der Nutzung von KI-Systemen in der Europäischen Union befasst sind. Konkret betrifft die Verordnung: 1. Anbieter von KI-Systemen: Unternehmen und Einzelpersonen, die KI-Systeme entwickeln oder herstellen, sind für die Einhaltung der Verordnung verantwortlich. Dies umfasst die Durchführung von Risikobewertungen, die Einhaltung von Transparenz- und Dokumentationsanforderungen, die Sicherstellung der Datenqualität und die Kennzeichnung von KI-Systemen. Sie müssen zudem Konformitätsbewertungen durchführen, um zu gewährleisten, dass ihre Systeme den gesetzlichen Anforderungen entsprechen. 2. Nutzer von KI-Systemen: Organisationen und Einzelpersonen, die KI-Systeme verwenden, müssen sicherstellen, dass diese Systeme im Einklang mit der Verordnung eingesetzt werden. Dies schließt die ordnungsgemäße Verwendung, Überwachung und gegebenenfalls Anpassung von KI-Systemen ein, um den gesetzlichen Anforderungen gerecht zu werden. 3. Importeure und Distributoren: Akteure, die KI-Systeme in die EU einführen oder innerhalb der EU vertreiben, müssen überprüfen, dass die Produkte den Anforderungen der Verordnung entsprechen. Sie sind verantwortlich dafür, die notwendige Dokumentation zu beschaffen und sicherzustellen, dass die Systeme korrekt gekennzeichnet sind. 4. Dritte, die KI-Systeme modifizieren: Personen oder Organisationen, die bestehende KI-Systeme erheblich verändern, müssen sicherstellen, dass diese modifizierten Systeme den gesetzlichen Anforderungen entsprechen. Dies kann zusätzliche Konformitätsbewertungen und die Anpassung der Dokumentation erforderlich machen. 5. Nationale Aufsichtsbehörden und das europäische KI-Gremium: Diese Institutionen sind für die Überwachung der Einhaltung der Verordnung verantwortlich. Sie führen Inspektionen durch, bearbeiten Beschwerden, bewerten die Konformität von KI-Systemen und setzen Sanktionen bei Verstößen durch. 6. Dienstleister für Daten und Datenverarbeitung: Unternehmen, die Daten für das Training oder den Betrieb von KI-Systemen bereitstellen oder verarbeiten, müssen sicherstellen, dass diese Daten den Anforderungen an Qualität, Repräsentativität und Datenschutz entsprechen. Sie tragen zur Einhaltung der Verordnung bei, indem sie die Voraussetzungen für den rechtskonformen Einsatz von KI schaffen. 5 3. Diese Übergangsfristen gelten für die Umsetzung Die Umsetzung der neuen Vorschriften erfolgt schrittweise, um den betroffenen Unternehmen und Organisationen ausreichend Zeit zur Anpassung zu geben. Der folgende Zeitplan zeigt die wichtigsten Fristen auf: 1. August 2024: Inkrafttreten der Verordnung. Ab diesem Datum beginnen die Fristen für die Anpassung an die neuen Vorschriften zu laufen. 2. Februar 2025 (6 Monate später): Unternehmen müssen die Kennzeichnungspflicht für KI-Systeme, die mit Menschen interagieren, erfüllen. Dies umfasst auch die Transparenzanforderungen für KI-basierte Entscheidungsprozesse. 2. August 2025 (12 Monate später): Alle KI-Systeme mit hohem Risiko müssen den Anforderungen bezüglich Datenqualität, Transparenz und menschlicher Aufsicht entsprechen. Nationale Aufsichtsbehörden müssen benannt sein, um die Umsetzung zu beaufsichtigen. 2. August 2026 (24 Monate): Grundregel: Vollständige Einhaltung der Verordnung für alle betroffenen Unternehmen und Systeme. 2. August 2027 (36 Monate): Verlängerte Übergangfrist für bestimmte Hochrisikosysteme 4. Kernanforderungen: Das regelt die KI-VO Die neuen Anforderungen der KI-VO lassen sich in 4 Kernbereiche einteilen: 1. Risikobasierter Ansatz: Die Verordnung teilt KI-Systeme in vier Kategorien ein – inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Systeme mit inakzeptablem Risiko sind verboten, während für Systeme mit hohem Risiko strenge Vorschriften gelten, einschließlich Anforderungen an Datensätze, Transparenz, menschliche Aufsicht und Sicherheitsmaßnahmen. 2. Transparenz und Kennzeichnung: KI-Systeme, die mit Menschen interagieren, müssen als solche erkennbar sein. Diese Regelung soll die Transparenz erhöhen und sicherstellen, dass Nutzer wissen, wann sie mit einer KI interagieren. 3. Anforderungen an die Datenqualität: Um Verzerrungen und Diskriminierung zu verhindern, müssen die für KI-Trainings- und Testdatensätze verwendeten Daten von hoher Qualität und repräsentativ sein. 4. Regulierung und Durchsetzung: Die Verordnung sieht die Einrichtung nationaler Aufsichtsbehörden vor, die die Einhaltung der Vorschriften überwachen und 6 Verstöße ahnden sollen. Außerdem wird ein europäisches KI-Gremium geschaffen, das die Koordination zwischen den Mitgliedstaaten erleichtert. Daraus ergeben sich folgende neue Pflichten für Unternehmen: Kennzeichnungspflicht: KI-Systeme müssen klar als solche gekennzeichnet sein. Dokumentation und Transparenz: Insbesondere für hochriskante Systeme müssen Unternehmen umfassende Dokumentation und Transparenz sicherstellen. Datenmanagement: Sicherstellung der Qualität und Repräsentativität der verwendeten Daten. Zusammenarbeit mit Aufsichtsbehörden: Bereitschaft zur Offenlegung und Zusammenarbeit bei Audits und Kontrollen. Anzeige Eine Sorge weniger: So automatisieren Sie die Dokumentation von Verarbeitungstätigkeiten, TOMs, Auftragsverarbeitern und Co. Das Problem: Wie sollen Sie als Datenschutzverantwortlicher das Verzeichnis der Verarbeitungstätigkeiten anlegen, wenn die Prozesse in den Fachabteilungen liegen? Die Lösung: Mit über 30 Vorlagen, intuitiven Formularen und Schritt-für-Schritt- Anleitungen dokumentieren die Kollegen Ihre Verarbeitungen ab sofort selbst! Als Verantwortlicher haben Sie selbst mehr Zeit für die Prüfung und können per Kommentarfunktion eingreifen. Auch TOM-Kataloge, Datenschutz-Folgenabschätzungen und Dienstleisterverträge erstellen und aktualisieren Sie nun an einem zentralen Speicherort, um Änderungen und Aufgaben festzuhalten. Ihnen bleibt: Ganz viel Zeit. Und die Gewissheit, dass Sie Ihre Dokumentationspflicht rechtssicher erfüllt haben. Legen Sie sich einfach hier Ihren Gratis-Account an. 7 4.1 Risikobasierter Ansatz – So teilen Sie Ihr KI-System in die Risikoklassen ein Die Verordnung legt unterschiedliche Risikostufen fest: 1. unannehmbares Risiko (verbotene KI-Systeme, Art. 5 KI-VO) 2. hohes Risiko (stark regulierter Bereich, Art. 6-27 KI-VO) 3. begrenztes Risiko (Art. 50 KI-VO) 4. minimales Risiko verbotene KI hohes Risiko begrenztes Risiko minimales Risiko Ein unannehmbares Risiko wird u. a. in folgenden Fällen angenommen: Ausnutzung der Schwäche oder Schutzbedürftigkeit von Personen biometrische Kategorisierung Bewertung des sozialen Verhaltens biometrische Echtzeit-Fernidentifizierungssysteme Datenbanken zur Gesichtserkennung Analyse von aufgezeichnetem Bildmaterial Zum Hochrisiko-Bereich zählen hingegen beispielsweise die folgenden KI-Technologien: Biometrische Identifizierung Verwaltung und Betrieb kritischer Infrastrukturen (KRITIS) Allgemeine und berufliche Bildung 8 Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen (z.B. Wohnen, Strom, Heizung, Internet, Ärzte...) Strafverfolgung Migration, Asyl und Grenzkontrolle Rechtspflege und demokratische Prozesse Hierbei gibt es für bestimmte Bereiche Ausnahmeregelungen, z. B. für Strafverfolgungsbehörden. Zusätzlich werden in der KI-VO auch noch KI-Modelle bzw. KI-Systeme mit allgemeinem Verwendungszweck geregelt (engl.: general purpose AI, kurz: GPAI). Dabei geht es um solche KI-Modelle bzw. -Systeme, die keinen spezifischen Anwendungszweck haben, sondern vielfältig einsetzbar sind (z. B. ChatGPT, Gemini, Llama oder Claude). GPAI werden aufgrund des in ihnen enthaltenen Risikos unterteilt, nämlich in GPAI mit und ohne systemisches Risiko. Die Einstufung in die eine oder die andere Kategorie hängt von der Leistungsfähigkeit der jeweiligen KI ab. 4.2 Diese Pflichten gelten für Hochrisiko-KI Wenn ein KI-System in die Hochrisikokategorie fällt, müssen folgende Vorgaben erfüllt werden: Stand der Technik beachten Risikomanagementsystem / Qualitätsmanagementsystem (Art. 9, 17 KI-VO) muss vorhanden sein Resilienz / Cyber-Security (Art. 15 KI-VO) Testverfahren / regelmäßige Tests (Art. 16 KI-VO) müssen stattfinden EU-Konformitätserklärung und CE-Kennzeichnung (Art. 16 KI-VO) müssen vorliegen Zusammenarbeit mit den zuständigen Behörden (Art. 21 KI-VO) Korrekturmaßnahmen / Informationspflichten müssen umgesetzt werden (Art. 20 KI-VO) technische Dokumentation / Aufbewahrungspflichten (Art. 11, 18 KI-VO) Transparenz (Art. 13 KI-VO) Protokollierung von Funktionsmerkmalen (Art. 12 KI-VO) Beobachtung nach Markteinführung (Art. 71 KI-VO) Meldung von „schwerwiegenden Vorfällen“ (Art. 73 KI-VO) Durchführung einer Grundrechte-Folgenabschätzung (Art. 27 KI-VO) Entwicklung mit Trainingsdaten, die eine bestimmte Qualität aufweisen (so genannte Daten-Governance, Art. 10 KI-VO) Registrierung (Art. 49 KI-VO) menschliche Aufsicht (Art. 14 KI-VO) Maßnahmen zur Barrierefreiheit (Art. 16 KI-VO) 9 Der verpflichtete Akteur muss diese Pflichten im Zweifel nachweisen. Primär werden hier die KI-Anbieter, also die KI-Hersteller, in die Pflicht genommen. In manchen Fällen aber auch die Betreiber. Darunter wird jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle verstanden, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet (Art. 3 Nr. 4 KI-VO). Wenn Ihr Unternehmen also beispielsweise seinen Beschäftigten ein individuell angepasstes KI-System als digitale Assistenz bereitstellt oder auf der Unternehmens- Website Kundenanfragen durch eine KI-Chatbot beantwortet, gilt Ihr Unternehmen ggf. schon als KI-Betreiber in diesem Sinne. 5. Dokumentation von KI-Systemen – diese Inhalte müssen Sie festhalten Die KI-Verordnung (EU) 2024/1689 legt klare Anforderungen an die Dokumentation von KI-Systemen, insbesondere für solche mit hohem Risiko, fest. Die konkreten Forderungen umfassen: 1. Technische Dokumentation: Allgemeine Beschreibung des KI-Systems: Eine detaillierte Beschreibung des KI-Systems, einschließlich seines Zwecks, der beabsichtigten Anwendungsbereiche und des Funktionsprinzips. Architektur des Systems: Informationen zur Struktur und Architektur des KI-Systems, einschließlich verwendeter Algorithmen, Modelle und Module. Technische Spezifikationen: Details zu den technischen Eigenschaften und Parametern des Systems, einschließlich der verwendeten Hardware und Software. Prozess der Systementwicklung: Eine Beschreibung des Entwicklungsprozesses, einschließlich der eingesetzten Methoden und Werkzeuge, sowie der Implementierungsstrategien. 2. Datenmanagement: Datenquellen und Datensätze: Detaillierte Angaben zu den verwendeten Datenquellen und Datensätzen, einschließlich Herkunft, Qualität, Eignung und Verarbeitungsmethoden. 10 Datenvorverarbeitung: Dokumentation der Vorverarbeitungs- und Bereinigungsmethoden, die auf die Daten angewendet wurden, um sie für das Training und die Nutzung des KI-Systems vorzubereiten. 3. Risikomanagement: Risikobewertung: Eine umfassende Analyse der potenziellen Risiken, die mit dem Einsatz des KI-Systems verbunden sind, einschließlich der möglichen Auswirkungen auf die Grundrechte und die Sicherheit. Maßnahmen zur Risikominderung: Beschreibungen der Maßnahmen und Strategien, die implementiert wurden, um identifizierte Risiken zu minimieren. 4. Transparenz und Erklärbarkeit: Nachvollziehbarkeit der Entscheidungen: Angaben darüber, wie Entscheidungen des KI-Systems nachvollzogen und erklärt werden können. Dies umfasst Informationen darüber, wie die Outputs des Systems zustande kommen und wie Nutzer die Entscheidungen des Systems verstehen können. Erklärungsprotokolle: Dokumentation, die sicherstellt, dass Nutzer oder betroffene Personen Zugriff auf Erklärungen über die Funktionsweise und die Entscheidungsfindung des KI-Systems haben. 5. Wartung und Überwachung: Systemüberwachung und -wartung: Pläne und Prozesse zur kontinuierlichen Überwachung der Leistung und Sicherheit des KI- Systems, einschließlich der Protokollierung von Systemverhalten und - abweichungen. Maßnahmen bei Fehlfunktionen: Protokolle und Verfahren, die im Falle von Systemfehlern oder -anomalien umgesetzt werden, einschließlich Korrekturmaßnahmen und Berichterstattung. 11 Tipp – Schnittstelle zum Datenschutz nutzen: Die Dokumentationsanforderungen der KI-Verordnung (EU) 2024/1689 stehen in engem Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten, wie es in der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben ist. Während das Verzeichnis der Verarbeitungstätigkeiten alle relevanten Informationen über die Verarbeitung personenbezogener Daten erfasst, wie z. B. den Zweck der Verarbeitung, die Kategorien betroffener Personen und Daten sowie die Sicherheitsmaßnahmen, fokussiert sich die technische Dokumentation der KI-Verordnung auf die detaillierte Beschreibung des KI- Systems, seiner Datenquellen, Algorithmen und Risikomanagementprozesse. Die Schnittstelle zwischen beiden Dokumentationen ist insbesondere bei KI- Systemen relevant, die personenbezogene Daten verarbeiten, da hier eine klare Darstellung notwendig ist, wie diese Daten genutzt werden, welche Entscheidungen darauf basieren und wie diese Entscheidungen erklärbar gemacht werden. So ergänzen sich beide Anforderungen und bieten eine umfassende Grundlage für die Transparenz, die Verantwortlichkeit und die rechtliche Sicherheit in der Nutzung von KI-Systemen. Anzeige GRATIS-Excel-Tool für simples Löschkonzept Mit dieser „Wunderwaffe“ ist Ihr DSGVO-Löschkonzept in 11 Minuten auf dem aktuellen Stand Müssen auch Sie Ihr Löschkonzept regelmäßig prüfen? … und haben das Gefühl, dass Sie immer wieder von vorne anfangen? Unser Muster-Löschkonzept als fertige Excel-Datei schafft Abhilfe – und kostet Sie keinen Cent! >> Jetzt gratis downloaden 12 Impressum PrivacyXperts ein Unternehmensbereich der VNR Verlag für die Deutsche Wirtschaft AG Theodor-Heuss-Str. 2–4 53095 Bonn Telefon: 0228 9550-160 Fax: 0228 3696480 E-Mail: [email protected] Internet: www.privacyxperts.de Vorstand: Richard Rentrop, Bonn Herausgeber und redaktioneller Verantwortlicher i.S.d.P.: Michael Jodda, Bonn Autoren: Andreas Würtz, Freiberg am Neckar © Titelbild: stock.adobe.com - Sansert Alle Angaben wurden mit äußerster Sorgfalt ermittelt und überprüft. Sie basieren jedoch auf der Richtigkeit uns erteilter Auskünfte und unterliegen Veränderungen. Eine Gewähr kann deshalb nicht übernommen werden. Vervielfältigungen jeder Art sind nur mit Genehmigung des Verlags gestattet. Diese Publikation richtet sich gleichermaßen an weibliche und männliche Leser. Aus Gründen der Lesbarkeit wird die männliche Schreibweise (z. B. Unternehmer, Mitarbeiter) gewählt. Diese schließt stets alle Geschlechterformen mit ein. © 2024 by PrivacyXperts – ein Unternehmensbereich der Verlag für die Deutsche Wirtschaft AG Bonn Berlin Bukarest Jacksonville Manchester Warschau Passau 13

KI-Verordnung (AI-Act) PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue