30.09.2024Fachbeitrag

Update Datenschutz Nr. 185

Künstliche Intelligenz: Diese gesetzlichen Pflichten greifen bereits ab Februar 2025

Die Bundesregierung hat vor wenigen Tagen bestätigt, dass die Bundesnetzagentur die behördliche Aufsicht über die Einhaltung der KI-Verordnung übernehmen wird. Die Landesdatenschutzbehörden haben das Nachsehen; sie hatten sich aufgrund der Nähe zum Datenschutzrecht ebenfalls als KI-Aufsichtsbehörde ins Spiel gebracht. Es gibt allerdings zur obigen Zuständigkeit Ausnahmen: So soll etwa bei KI-Anwendungen im Automotive-Bereich das Kraftfahrtbundesamt zuständig sein, bei solchen im Medizinproduktebereich das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) oder für KI-Anwendungen im Finanzbereich die Bundesanstalt für Finanzdienstleistungen.

1. Umsetzungspflichten

Doch welche Pflichten kommen konkret auf Unternehmen zu, nachdem die KI-Verordnung nun im August 2024 in Kraft getreten ist?

Nutzer von KI-Systemen sind etwa verpflichtet, ihre beteiligten Mitarbeiter und auch Dienstleister im Hinblick auf KI-Kompetenz zu schulen (Art. 4). Verbotene KI-Systeme dürfen nicht eingesetzt werden (Art. 5). Bei Einsatz von KI-Systemen zur Emotionserkennung oder biometrischer Kategorisierung bestehen umfassende Informationspflichten, wie auch bei der Erstellung von Deepfakes oder unkontrollierter Erzeugung bzw. Manipulation von relevanten Texten, etwa auf Websites oder sozialen Netzwerken (Art. 50). Wird dagegen Hochrisiko-KI gemäß Art. 6 im Unternehmen eingesetzt, etwa zur Bewertung von Lernergebnissen (Bildung) oder zur Sichtung von Bewerbungen (Beschäftigungskontext), so kommt eine Vielzahl von Pflichten hinzu: Vornahme technischer und organisatorischer Maßnahmen gemäß Betriebsanleitung, Einrichtung von menschlicher Aufsicht mit entsprechender KI-Kompetenz, Einsatz zweckgerichteter und repräsentativer Eingabedaten, Einrichtung von Überwachungsverfahren, Informierung von Anbieter bzw. Händler und Behörde bei Risikoerkennung, umfassende Protokollierung, Informierung von Mitarbeitern und ggf. betreffenden Kunden über den Einsatz von Hochrisiko-KI, Registrierung in EU-Datenbank, Vornahme von Datenschutz-Folgenabschätzung oder Einholung von behördlicher Genehmigung und Berichtserstattung bei Einsatz biometrischer Fernidentifizierung (Art. 26).

Anbieter von KI-Systemen treffen ebenfalls umfangreiche Informations- und Hinweispflichten, etwa bei Funktionen zur Interaktion mit natürlichen Personen oder zur Erzeugung von Audio-, Bild-, Video- bzw. Textinhalten (Art. 50). Auch sie müssen ihre relevanten Mitarbeiter auf KI-Kompetenz schulen (Art. 4). Bei Anbieten von Hochrisiko-KI haben sie zudem u.a.  eine technische Dokumentation erstellen (Art. 11), ein Konformitätsverfahren durchführen (Art. 43) und eine Konformitätserklärung sowie CE-Kennzeichnung ausstellen (Artt. 16, 47 ff.), Kontaktdaten auf dem KI-System oder der Verpackung bereitstellen (Art. 16), eine Registrierung durchführen (Art. 49), Korrekturmaßnahmen einleiten bei fehlender KI-Compliance (Art. 20), Aufbewahrungspflichten erfüllen (Artt. 18 f.), ein Qualitätsmanagementsystem (Art. 17), ein Risikomanagement (Art. 9) und eine umfassendes Protokollierungssystem (Art. 12) einführen sowie neben weiteren Maßnahmen ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit sicherstellen (Art. 15).  

2. Umsetzungsfrist bis Februar 2025

Die meisten der obigen Pflichten gelten erst nach einer Übergangsfrist von zwei Jahren, also ab August 2026. Allerdings sieht Art. 113 vor, dass Kapitel 1 und Kapitel 2 bereits bis zum 2. Februar 2025 umzusetzen sind.

Doch welches sind nun die Pflichten für Unternehmen aus Kapitel 1 und Kapitel 2?

  • Einerseits gilt nach Art. 4, dass Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen müssen, um KI-Kompetenz zu schaffen bei ihren Mitarbeitern sowie beauftragten Personen mit KI-Zugang.
  • Andererseits greifen ab dem 2. Februar 2025 bereits die Verbote aus Art. 5. Das Inverkehrbringen, die Inbetriebnahme und die Verwendung bestimmter KI-Systeme ist hiernach unter Androhung eines Bußgeldes bis zu 35 Mio. EUR untersagt.  

2.1. KI-Kompetenz-Schulungen

Die Geschäftsführung ist verantwortlich, dass bis zum 2. Februar 2025 ein Konzept erstellt wird zur Schulung des Personals im Hinblick auf die Nutzung von KI-Systemen und KI-Modellen, unabhängig davon, ob einfache oder Hochrisiko-KI eingesetzt wird. Ab Februar 2025 haben dann unmittelbar entsprechende Schulungen stattzufinden. Bei Interesse sprechen Sie uns gern an. Wir als HEUKING führen entsprechende Schulungen bereits bei unseren Mandanten durch.

2.2 Verbotene KI-Systeme

Doch was sind nun die nach Art. 5 verbotenen KI-Systeme?  Hier eine unverbindliche Auflistung:

a)    Manipulative KI-Systeme

  • Unterschwellige Beeinflussung: KI-Systeme, die Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person einsetzen, um deren Verhalten wesentlich zu verändern und dadurch erheblichen Schaden zuzufügen oder mit hinreichender Wahrscheinlichkeit zuzufügen (Artikel 5 Absatz 1 lit. a).

b)    Ausbeuterische KI-Systeme

  • Ausnutzung von Schwächen: KI-Systeme, die eine Vulnerabilität oder Schutzbedürftigkeit einer natürlichen Person oder einer bestimmten Gruppe von Personen aufgrund ihres Alters, einer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation ausnutzen, um deren Verhalten wesentlich zu verändern und dadurch erheblichen Schaden zuzufügen oder mit hinreichender Wahrscheinlichkeit zuzufügen (Artikel 5 Absatz 1 lit. b).

c)    Soziale Bewertungssysteme

  • Bewertung des sozialen Verhaltens: KI-Systeme zur Bewertung oder Einstufung von natürlichen Personen oder Gruppen von Personen über einen bestimmten Zeitraum auf der Grundlage ihres sozialen Verhaltens oder bekannter, abgeleiteter oder vorhergesagter persönlicher Eigenschaften oder Persönlichkeitsmerkmale, die zu ungerechtfertigten oder unverhältnismäßigen Benachteiligungen führen (Artikel 5 Absatz 1 lit. c).

d)    Predictive Policing Systeme

  • Vorhersage von Straftaten: KI-Systeme zur Durchführung von Risikobewertungen in Bezug auf natürliche Personen, um das Risiko, dass eine natürliche Person eine Straftat begeht, ausschließlich auf der Grundlage des Profiling einer natürlichen Person oder der Bewertung ihrer persönlichen Merkmale und Eigenschaften zu bewerten oder vorherzusagen (Artikel 5 Absatz 1 lit. d).

e)    Gesichtserkennungssysteme

  • Erstellung oder Erweiterung von Datenbanken: KI-Systeme, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern (Artikel 5 Absatz 1 lit. e).

f)    Emotionserkennungssysteme

  • Ableitung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen: KI-Systeme zur Ableitung von Emotionen einer natürlichen Person am Arbeitsplatz und in Bildungseinrichtungen, es sei denn, die Verwendung des KI-Systems soll aus medizinischen oder Sicherheitsgründen eingeführt oder auf den Markt gebracht werden (Artikel 5 Absatz 1 lit. f).

g)    Biometrische Kategorisierungssysteme

  • Kategorisierung nach sensiblen Attributen: KI-Systeme zur biometrischen Kategorisierung, mit denen natürliche Personen individuell auf der Grundlage ihrer biometrischen Daten kategorisiert werden, um ihre Rasse, ihre politischen Einstellungen, ihre Gewerkschaftszugehörigkeit, ihre religiösen oder weltanschaulichen Überzeugungen, ihr Sexualleben oder ihre sexuelle Ausrichtung zu erschließen oder abzuleiten (Artikel 5 Absatz 1 lit. g).

3. Fazit

Die weit überwiegenden Pflichten für Unternehmen aus der KI-Verordnung ergeben sich für Anbieter und Nutzer von Hochrisiko-KI. Jedoch sind auch für Nutzer einfacher KI-Systeme wichtige Umsetzungspflichten vorgesehen. Grundsätzlich sind all diese Pflichten erst ab August 2026 zu erfüllen; es ist daher noch etwas Zeit (wie 2016 bei der DSGVO).

Allerdings greifen ab 2. Februar 2025 bereits insbesondere

  • die Pflicht zur Herstellung von KI-Kompetenz im Unternehmen (Art. 4) sowie
  • das Verbot von Inverkehrbringen und Inbetriebnahme bestimmter Arten von KI-Systemen.

4. Checkliste

Welche Checkliste ergibt sich mit Blick auf Februar 2025 hieraus für Unternehmen?

  • Bestandsaufnahme eingesetzter Softwaresysteme: Welche der von uns eingesetzten Softwareapplikationen erfüllt bereits die Anforderungen an KI-Systeme? Welche hiervon könnten als Hochrisiko-KI gemäß Art. 6 gelten?
  • Verbotene KI-Systeme: Abgleich der obigen Bestandsliste (unter Berücksichtigung geplanter Anschaffungen) mit der Liste verbotener KI-Systeme in Art. 5 und Umsetzung der sich hieraus ergebenden Konsequenzen.
  • KI-Kompetenz (Teil 1): Festlegung konkreter Vorgaben zur Einführung und Nutzung von KI-Systemen im Unternehmen, also Erstellung einer KI-Richtlinie.
  • KI-Kompetenz (Teil 2): Erstellung eines KI-Schulungskonzeptes zwecks Vorbereitung der ab 2. Februar 2024 notwendigen Schulungsmaßnahmen für Mitarbeiter und ggf. beauftragte Dienstleister.

 

KI-EVENT am 9. Oktober 2024

Haben Sie Interesse an weiteren, tiefgehenden Informationen zum Thema Künstliche Intelligenz und ihre rechtskonforme Umsetzung im Unternehmen? Dann laden wir Sie herzlich ein zur Teilnahme an unserem Live-KI-Event am 9. Oktober 2024 um 16.00 Uhr in Hamburg.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.