KI-Datenschutz-Experte (AI-Privacy-Expert)

Sie nutzen KI im Unternehmen, sind sich aber unsicher welche Pflichten sich für Sie aus dem AI-Act / der KI-Verordnung ergeben? Wir beraten Sie gerne:

Ihr Experte - GDDcert.EU zertifizierter AI-Privacy-Expert

 

Alles aus einer Hand - Analyse, KI-Richtline, Mitarbeiterschulung

 

Sicheres Gefühl - AI-Act & DSGVO Compliance

AI-Act / KI-Verordnung Checkliste

  • Rechtssicherheit & Compliance - Identifizierung und Einhaltung rechtlicher Grundlagen
  • Kompetenzaufbau & Sensibilisierung - KI-Kompetenz im Unternehmen sicherstellen
  • Risikomanagement & Qualitätssicherung - Implementierung von Sicherheitsmaßnahmen für die Datenverarbeitung

KI in Ihrem Unternehmen - was Sie jetzt wissen müssen:

02. August 2024

  • AI-Act / KI-Verordnung tritt in Kraft
  • Es gelten Übergangsfristen

02. Februar 2025

  • Verbot bestimmter KI-Praktiken 
  • Unternehmen müssen Ihre Mitarbeitende erforderliche KI-Kompetenz vermitteln

02. August 2026

  • Alle Regelungen des AI-Act treten nun in Kraft
  • Hochrisiko Systeme mit bestimmten Vorschriften
  • Transparenzpflichten

Ab wann tritt der AI-Act / die KI-Verordnung in Kraft?
Welche Regelungen muss ich als Unternehmen beachten?

Die EU-Mitgliedsstaaten sind nun in der Verpflichtung, den AI-Act ins nationale Recht einzubinden. Die Konkretisierung der rechtlichen Anforderungen erfolgt aktuell noch an diversen Stellen.

 

KI-entwickelnde wie auch KI-nutzende Unternehmen sollten sich auf die Umsetzung vorbereiten. Dafür gilt es, sich früh mit den komplexen Anforderungen des AI-Acts auseinanderzusetzen. 

AI-Act im EU Amtsblatt der Europäischen Kommission in den Amtssprachen der EU-Mitgliedsstaaten: 

Die Verordnung ist seit dem 1. August 2024 in Kraft getreten. Es gelten gewisse Übergangsfristen:

Was ist der AI-Act / die KI-Verodnung?

Künstliche Intelligenz (KI) ist zu einem zentralen Bestandteil der digitalen Wirtschaft geworden. Ob in der Fertigung, im Gesundheitswesen oder im Finanzsektor – KI treibt Innovationen voran und schafft neue Möglichkeiten. Die Europäische Union hat mit dem Artificial Intelligence Act (AI-Act) dazu einen rechtlichen Rahmen verabschiedet mit dem Ziel, vertrauenswürdige KI und verantwortungsvolle KI-Innovationen in Europa zu fördern.

Was wird in der Verordnung geregelt?

Der AI-Act ist die erste umfassende Regulierung für künstliche Intelligenz weltweit. KI-Systeme werden in verschiedene Risikokategorien unterteilt. Je höher das Risiko, desto strenger sind die Vorgaben und Einschränkungen.

Welche Unternehmen sind betroffen?

Die Verordnung unterscheidet in drei Rollen:

  • KI-System Anbieter (Art. 3 Nr. 3 AI-Act)
  • KI-System Betreiber (Art. 3 Nr. 4 AI-Act)
  • Rollenwechsel (Art. 25 AI-Act) – Betreiber wird zum Anbieter

Welche Vorgaben gibt es zu beachten?

  • Klassifizierung, Bewertung und Dokumentation der KI-Systeme im Unternehmen
  • Erstellung einer KI-Richtline für das Unternehmen
  • KI-Kompetenz schaffen (Art. 4 AI-Act) 
  • Zusammenarbeit mit den Aufsichtsbehörden

(siehe AI-Act / KI-Veordnung Checkliste)

Pflicht der Unternehmen zur KI-Kompetenzvermittlung (Artikel 4) 

Artikel 4 verpflichtet Unternehmen sicherzustellen, dass alle beteiligten Akteure, die mit der Entwicklung, Implementierung und Nutzung von KI-Systemen in einem Unternehmen befasst sind, über die erforderlichen Kompetenzen und Kenntnisse verfügen. Dies betrifft Anbieter und Betreiber, unabhängig davon, ob es sich um eine KI mit minimalem oder hohen Risiko handelt. Sicherzustellen ist, dass Mitarbeiter ausreichend über die Funktionsweise, die potenziellen Risiken und die sicheren Einsatzmöglichkeiten der KI-Systeme informiert und je nach Bedarf geschult sind.

 

Termin: Als eine der ersten Umsetzungspflichten, die Anwendung finden, müssen Unternehmen dies bis zum 2. Februar 2025 durchführen.

In der Praxis bedeutet dies für Unternehmen, dass sie:

  • Schulungsprogramme entwickeln und implementieren müssen, die die notwendigen technischen und ethischen Grundlagen für den Umgang mit KI vermitteln.
  • Trainings zur sicheren Nutzung von KI-Systemen bereitstellen müssen, insbesondere wenn diese in sicherheitskritischen oder sensiblen Bereichen eingesetzt werden.
  • Regelmäßige Auffrischungskurse für die Mitarbeitenden anbieten müssen, um sicherzustellen, dass sie stets über die neuesten Entwicklungen und Best Practices im Umgang mit KI-Systemen informiert sind.

 

Der AI-Act legt besondere Anforderungen für unterschiedliche Arten von KI fest, abhängig von ihrem Risikopotenzial. Kurz um gilt: je höher das Risiko, desto strenger die Anforderungen. 

Der AI-Act & der Datenschutz (DSGVO)

Unternehmen, die Künstliche Intelligenz einsetzen, müssen beim Umgang mit personenbezogenen Daten die Datenschutz-Grundverordnung (DSGVO) beachten, die eine rechtmäßige, transparente und zweckgebundene Verarbeitung verlangt.

 

Werden KI-Systeme mit personenbezogenen Daten trainiert oder verarbeiten sie diese, dann müssen Unternehmen befugt auf einer Rechtsgrundlage gemäß der DSGVO wie z. B. einem berechtigen Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO bzw. bei besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 lit. a DSGVO) in allen Stufen der Datenverarbeitung, d. h. beim Erheben von Trainingsdaten, beim Verarbeiten von Trainingsdaten, bei der Bereitstellung solcher KI-Anwendungen, beim Nutzen von solchen und beim Nutzen von Ergebnissen solcher KI-Anwendungen, hierin enthaltene personenbezogene Daten verarbeiten dürfen. Die ist vorab zu klären und zu dokumentieren im Verzeichnis von Verarbeitungstätigkeiten.

 

Zudem müssen KI-Systeme so konfiguriert oder eingestellt sein, dass sie den Rechtsgrundsätzen Datenschutz durch Technik bzw. Technikvoreinstellung sowie dem Grundsatz der Datenminimierung (Art.5, Abs. 1 lit. c DSGVO) entsprechen. Unternehmen unterliegen hinsichtlich der Datenverarbeitung den Informationspflichten nach DSGVO. Bei KI-Systemen haben sie stets auch über die involvierte Logik zu informieren. Zwischen dem Anbieter und dem Betreiber einer KI ist ein Vertrag über Auftragsverarbeitung (weisungsgebundene Auftragsverarbeitung) abzuschließen. Hier sind die Vorgaben der DSGVO zu Drittstaatentransfers zu beachten. Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn mit dem verwendeten KI-System die Interaktion mit Betroffenen gesteuert oder persönliche Aspekte der betroffenen Person bewertet werden.

 

Die DSGVO verbietet abgesehen von engen Ausnahmen zudem ein automatisiertes Profiling von Personen, wenn hierdurch erzeugte Entscheidungen dieser Person gegenüber rechtlicher Wirkung entfalten oder diese Person in ähnlicher Weise beeinträchtigen (Art. 22 DSGVO).

Zusätzlich sollten Geschäftsgeheimnisse durch Maßnahmen wie Verschlüsselung, Zugriffsbeschränkungen und Vertraulichkeitsvereinbarungen gesichert werden.

Sie haben noch Fragen zum Thema AI-Act in Ihrem Unternehmen?

Wir sind Ihr Partner, der Sie bei der Umsetzung der ersten Pflichten aus dem AI-Act in Ihrem Unternehmen unterstützt.

©Urheberrecht. Alle Rechte vorbehalten.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.

Datenschutzeinstellungen

Website-Übersetzer

Datenschutzeinstellungen

Mit diesen Einstellungen aktivieren oder deaktivieren Sie die Datenerfassung von Funktionalitäten die auf dieser Website eingesetzt werden.

Alle Dienste auswählen
Website-Übersetzer
Mehr
Einstellungen speichern