28.02.2025 – Compliance Training & der AI Act

Zusammenfassung des Trainingscalls: Compliance Training & der AI Act

In diesem Trainingscall tauchen wir tief in die regulatorischen Anforderungen des AI Act ein und beleuchten insbesondere seine Verknüpfung mit Haftungsfragen, Produktsicherheit und Datenschutz (DSGVO). Dabei geht es nicht nur um den AI Act selbst, sondern auch um angrenzende Regulierungen wie den Digital Markets Act (DMA), den Digital Services Act (DSA) sowie um Produkthaftungsregelungen (PLD – Product Liability Directive).

1. Einführung in den AI Act & seine Bedeutung

• Vier Risikostufen: Der AI Act kategorisiert KI-Anwendungen in verbotene, hochriskante, begrenzte und minimale Risiken.
• Hochrisiko-KI: Besonders reguliert sind KI-Systeme im medizinischen Bereich, Kreditvergabe, Versicherungen und Human Resources (z. B. Bewerberauswahl).
• Verbotene KI: Dazu gehören z. B. Social Scoring, biometrische Identifikation in der Öffentlichkeit und Emotionserkennung am Arbeitsplatz.
• Allzweck-KI (GPAI): Mit der Einführung von generativen Modellen wie GPT-4 musste der AI Act erweitert werden, um auch große, universelle KI-Modelle mit besonderen Vorschriften zu belegen.

2. Regulierungsmechanismen & Compliance-Anforderungen

Anbieter vs. Betreiber – Was will man sein?

• Anbieter sind Unternehmen, die ein KI-Modell entwickeln oder entwickeln lassen und unter eigener Marke in den Markt bringen.
• Betreiber setzen KI nur ein, ohne es maßgeblich zu verändern oder unter eigenem Namen anzubieten.
• Achtung: Wer ein bestehendes Modell feintunt oder eine Hochrisiko-KI nutzt, kann zum Anbieter werden – mit erheblichen rechtlichen Pflichten!

Feintuning & Anbieterstatus

• Wenn eine bestehende KI wie ChatGPT oder Mistral durch Feintuning auf Unternehmensdaten angepasst wird, kann das Unternehmen rechtlich zum Anbieter werden.
• Besonders heikel: Wer ein systemisch riskantes GPI (General Purpose AI) Modell feintunt, unterliegt hohen Compliance-Anforderungen.
• Workaround: Statt Feintuning kann man auf Prompt Engineering oder Retrieval-Augmented Generation (RAG) setzen, um den Anbieterstatus zu vermeiden.

3. Produkthaftung & KI-Haftung (PLD – Product Liability Directive)

• Die Produkthaftungsrichtlinie wurde reformiert: KI-Modelle und Software fallen nun explizit darunter.
• Beweislastumkehr: Geschädigte müssen nicht mehr nachweisen, dass die KI fehlerhaft war – das Unternehmen muss beweisen, dass es fehlerfrei war.
• Offenlegungspflichten: KI-Anbieter müssen im Schadensfall Modelldaten & Trainingsmethoden offenlegen.
• Dokumentationspflichten: Unternehmen sollten regelmäßig ihre Design-Entscheidungen protokollieren, um nachweisen zu können, dass ihr KI-System keine vermeidbaren Risiken hat.

4. Datenschutz (DSGVO) & KI

• DSGVO bleibt parallel anwendbar: Unternehmen müssen sicherstellen, dass personenbezogene Daten nicht unkontrolliert in KI-Systeme fließen.
• KI-Kompetenznachweise für Mitarbeiter: Alle, die mit KI arbeiten, müssen nachweislich geschult sein.
• Bewerbungsscreening mit KI = Hochrisiko! Eine KI, die Bewerbungen vorsortiert, unterliegt strengster Regulierung – auch wenn nur eine Vorauswahl getroffen wird.

5. Urheberrecht & KI-generierte Inhalte

• Urheberrechtliche Risiken entstehen beim Training, der Nutzung und beim Output von KI-Modellen.
• Text- & Datamining-Schranke: Inhalte dürfen nur für KI-Training verwendet werden, wenn der Rechteinhaber nicht widersprochen hat.
• Problematisch: Wenn KI-Inhalte Originalwerken zu ähnlich sind (z. B. bei der Generierung von Texten im Stil bekannter Autoren).
• Lösungen: Unternehmen sollten Plagiatsdetektoren verwenden oder KI-Modelle nutzen, die auf lizenzierte Daten trainiert wurden.

6. Praktische Handlungsempfehlungen für Unternehmen

✅ Vermeiden Sie den Anbieterstatus, wenn Sie nicht aktiv ein KI-Modell entwickeln oder feintunen wollen.
✅ Nutzen Sie KI nur für nicht-hochriskante Anwendungen, wenn Sie Compliance-Pflichten minimieren wollen.
✅ Dokumentieren Sie alle Design- & Entwicklungsentscheidungen, um haftungsrechtlich abgesichert zu sein.
✅ Implementieren Sie ein Schulungsprogramm für KI-Kompetenz, um rechtliche Vorgaben einzuhalten.
✅ Setzen Sie auf Transparenz & Datenschutz, um rechtliche Risiken zu reduzieren (z. B. keine sensiblen Daten in KI-Modelle einspeisen).

Fazit: KI-Compliance als Wettbewerbsfaktor

Der AI Act und angrenzende Regulierungen stellen Unternehmen vor neue Herausforderungen. Wer sich frühzeitig mit den Anforderungen auseinandersetzt, kann KI sicher und rechtskonform nutzen – und sich dadurch Wettbewerbsvorteile verschaffen.

👉 Empfohlene nächste Schritte:

• Prüfen Sie Ihre KI-Nutzung auf Anbieter- oder Betreiberstatus
• Schulen Sie Ihre Teams zu AI Act, DSGVO & Produkthaftung
• Implementieren Sie Compliance- & Monitoring-Systeme

📌 Tipp: Achten Sie auf weitere Entwicklungen, insbesondere zu Guidelines & Gerichtsurteilen, die den AI Act weiter konkretisieren werden.

17.01.2025 – Rechtliche Aspekte im Kontext von KI

Zusammenfassung des Trainingscalls: Rechtliche Aspekte im Kontext von KI

1. Einführung und Vorstellung
   Im Fokus des Calls stand Professor Dr. Philipp Hacker, ein Experte für die rechtlichen Belange im Bereich künstliche Intelligenz (KI). Er gab Einblicke in aktuelle Regulierungen, darunter den europäischen AI Act, die DSGVO sowie Fragen zur Produkthaftung und Urheberrecht im Zusammenhang mit KI. Der Call richtete sich an Fachleute, die mit KI arbeiten, insbesondere in den Bereichen Beratung, Entwicklung und Implementierung.
2. Überblick über den AI Act und die KI-Regulierung
3. a) Grundsätze des AI Acts

• Risiko-basierte Regulierung: Der AI Act unterscheidet zwischen verschiedenen Risikostufen:
  • Verbotene KI: Z. B. Emotionserkennung am Arbeitsplatz.
  • Hochrisiko-KI: Anwendungen wie Recruiting-Software oder medizinische Diagnostik.
  • Begrenztes Risiko: KI-gestützte Chatbots, die lediglich Menschen unterstützen.
  • Minimales Risiko: Generelle Anwendungen wie Übersetzungssoftware.
• General Purpose AI (GPAI): Generative Modelle wie ChatGPT oder DALL-E fallen in eine neue Kategorie, da sie flexibel in verschiedenen Kontexten einsetzbar sind.
• Die Einführung von GPAI stellt Unternehmen vor die Herausforderung, je nach Anwendungszweck als Anbieter oder Betreiber eingestuft zu werden.

1. b) Rollen und Verantwortlichkeiten

• Anbieter sind Unternehmen, die KI-Modelle entwickeln oder vertreiben. Sie müssen sicherstellen, dass Modelle den gesetzlichen Anforderungen entsprechen.
• Betreiber nutzen KI-Modelle in einem spezifischen Kontext, z. B. für Recruiting, und tragen ebenfalls Compliance-Verantwortung.
• Feintuning von Modellen: Wer bestehende KI-Modelle (z. B. ChatGPT) auf spezifische Anwendungszwecke zuschneidet, könnte rechtlich zum Anbieter werden.

1. c) Transparenz- und Schulungspflichten

• Ab 2026 gilt eine Schulungspflicht für alle Mitarbeitenden, die mit KI arbeiten. Diese Schulungen müssen anwendungsspezifisch und dokumentiert sein.
• Bei der Nutzung von KI müssen Anwender klar darauf hinweisen, wenn sie mit einem KI-System interagieren (z. B. bei Chatbots).

3. Produkthaftung und Haftungsfragen
4. a) Produkthaftung

• Neue Regulierungen erweitern den Produktbegriff, sodass Software, einschließlich KI, unter die Produkthaftung fällt.
• Unternehmen müssen dokumentieren, dass ihre KI-Systeme sicher und frei von Fehlern sind.
• Offenlegungspflicht: Anbieter müssen im Falle eines Haftungsanspruchs Trainingsdaten, Modellarchitekturen und Algorithmen offenlegen.

1. b) Beweislastumkehr

• Bei Schadensfällen kann die Beweislast auf den Anbieter übergehen. Unternehmen müssen nachweisen, dass sie alle notwendigen Maßnahmen ergriffen haben, um Risiken zu minimieren.

4. Anwendungsbeispiele und praktische Tipps
5. a) Beispiele für Hochrisiko-KI

• Recruiting: Der Einsatz von KI zur Analyse von Bewerbungen fällt unter Hochrisiko-KI. Unternehmen, die solche Systeme nutzen, tragen erweiterte Haftung.
• Generative KI: Wer generative KI (z. B. für Content-Erstellung) einsetzt, sollte darauf achten, dass die Modelle transparent trainiert wurden und keine Urheberrechte verletzen.

1. b) Strategische Empfehlungen

• Verwenden Sie kleinere KI-Modelle (z. B. unterhalb der 10^25 FLOPS-Grenze), um strenge Anforderungen zu umgehen.
• Feintuning sollte sorgfältig abgewogen werden, um nicht ungewollt in die Anbieterrolle zu geraten.
• Alternative Ansätze wie Prompt Engineering oder Retrieval-Augmented Generation (RAG) vermeiden Änderungen am KI-Modell und reduzieren rechtliche Risiken.

1. c) Transparenz bei generierten Inhalten

• Bilder und Texte, die mit KI generiert wurden, müssen in bestimmten Kontexten als solche gekennzeichnet sein (z. B. „Generated by AI“).
• Deepfakes: KI-generierte Bilder und Videos, die täuschend echt wirken, müssen deutlich gekennzeichnet werden.

5. Diskussion und Q&A

Häufige Fragen:

• Schulungen: Müssen alle Mitarbeitenden geschult werden?
  • Nein, nur jene, die direkt mit KI arbeiten oder Risiken der KI mit beeinflussen können.
• Feintuning: Wann wird ein Betreiber durch Feintuning zum Anbieter?
  • Sobald der Zweck des Modells erheblich verändert wird (z. B. Einsatz eines generativen Modells für Hochrisiko-Zwecke).
• Haftung: Wie kann man sich gegen Haftungsansprüche absichern?
  • Durch umfassende Dokumentation, Risikoanalysen und regelmäßige Modellüberprüfungen.

6. Fazit und nächste Schritte

• Die Regulierung von KI wird in den nächsten Jahren massiv an Bedeutung gewinnen. Unternehmen sollten sich frühzeitig auf die Anforderungen vorbereiten.
• Besonders wichtig sind Schulungen, Transparenz bei der Nutzung von KI und ein robustes Compliance-Management.
• Praktische Tools und Vorlagen (z. B. für Risikoanalysen) wurden von Philipp Hacker bereitgestellt und können bei Bedarf angefragt werden.

Abschluss: Der Call endete mit einem regen Austausch, und die Teilnehmenden bedankten sich für die praxisnahen und tiefgehenden Einblicke. Professor Hacker bleibt als Experte für weitere Fragen verfügbar.

10.03.2025 – AI Compliance & EU AI Act

Zusammenfassung des Trainingscalls: AI Compliance & EU AI Act

Im heutigen Trainingscall stand der EU AI Act im Mittelpunkt – ein Thema, das für viele Unternehmen immer relevanter wird. Carsten Wittmann, unser KI-Experte, gab wertvolle Einblicke in die aktuellen Entwicklungen, regulatorischen Anforderungen und praktische Umsetzungen der neuen Gesetzgebung.

Schwerpunkte des Calls

1. Einführung in den EU AI Act & KI-Compliance

• Der EU AI Act ist ein umfassendes Regelwerk zur Regulierung von Künstlicher Intelligenz in der EU.
• Die Kernziele sind ethische Nutzung, Risikominimierung und Schutz der Nutzerrechte.
• Unterschieden werden vier Risikoklassen für KI-Systeme:
  • Verbotene KI (z. B. Social Scoring, manipulative Systeme)
  • Hochrisiko-KI (z. B. HR-Systeme, Gesundheitssektor, kritische Infrastruktur)
  • Begrenztes Risiko (z. B. KI-Chatbots mit Transparenzpflicht)
  • Minimales Risiko (z. B. KI in Spielen oder Übersetzungstools)

2. Datenschutz & DSGVO im KI-Kontext

• DSGVO-Regeln gelten auch für KI-Modelle, insbesondere bei personenbezogenen Daten.
• Unternehmen müssen sicherstellen, dass die Trainingsdaten anonymisiert oder DSGVO-konform erfasst wurden.
• KI-Modelle müssen eine klare Nachvollziehbarkeit & Dokumentation der Datenverarbeitung gewährleisten.
• Berechtigtes Interesse als Rechtsgrundlage für KI-Nutzung bleibt ein Graubereich – eine Einwilligung ist oft die sicherere Option.
• Vorsicht bei Anbietern, die keine klaren Angaben zur Datenverarbeitung machen!

3. Herausforderungen für Unternehmen & KI-Nutzer

• Unternehmen tragen die Verantwortung für KI-Einsätze – auch wenn sie Drittanbieter nutzen.
• Besonders kritisch: HR-Systeme mit KI-gestützter Entscheidungsfindung.
• Anbieter müssen in Zukunft für Hochrisiko-KI eine Zertifizierung nachweisen.
• Abmahnanwälte & Regulierungsbehörden könnten in Zukunft gezielt nach Verstößen suchen.

4. KI-Kompetenz & Schulungsanforderungen

• Der EU AI Act fordert, dass Unternehmen ihre Mitarbeiter gezielt zu KI schulen.
• Die Schulung muss rollenbasiert sein:
  • Nutzer benötigen ein Basiswissen über Risiken und Nutzung.
  • Entscheider & Führungskräfte müssen über ethische & rechtliche Aspekte informiert sein.
  • KI-Entwickler & Betreiber brauchen tiefgehende Compliance-Kenntnisse.
• Es gibt noch keine festen Standards für KI-Schulungen, aber Unternehmen sollten eine KI-Richtlinie und interne Schulungen etablieren.

5. Praxisnahe Lösungen für Compliance

• Eine strukturierte Folgenabschätzung für KI-Systeme ist essenziell.
• Diskussion über die Möglichkeit, ein KI-gestütztes Tool zur Risikoabschätzung zu entwickeln.
• Vorschlag: Entwicklung einer praktischen Anleitung zur Folgenabschätzung, um Unternehmen die Umsetzung zu erleichtern.
• KI-Readiness-Workshops als erster Schritt für Unternehmen, um Potenziale und Risiken zu verstehen.

Fazit & Ausblick

• • Der EU AI Act bringt große Veränderungen, aber auch Chancen für Unternehmen, sich frühzeitig zu positionieren.
  • Die richtige Strategie, Schulung & Dokumentation ist entscheidend, um rechtliche Risiken zu vermeiden.
  • Praxisnahe Lösungen wie ein strukturiertes Bewertungsmodell für KI-Risiken sollen entwickelt werden.
  • Geplant: Ein Promptathon, um eine praxisnahe Vorgehensweise zur KI-Compliance zu erarbeiten.

Nov. 2024 – Überblick AI Compliance – 1

Zusammenfassung des Trainingscalls: Überblick AI Compliance

Nov. 2024 – Einführung in die DSGVO – 2

Zusammenfassung des Trainingscalls: Einführung in die DSGVO

In dieser Session erklärt Carsten Wittmann die wichtigsten Prinzipien der DSGVO, die für Berater im KI-Bereich relevant sind.

1. Kernartikel der DSGVO
   Carsten stellt die wesentlichen Artikel der DSGVO vor, darunter die Grundsätze für die Datenverarbeitung(Artikel 5), die Rechtsgrundlagen (Artikel 6) und die besonderen Kategorien personenbezogener Daten(Artikel 9). Besonders relevant für KI sind auch die Rechte der betroffenen Personen (Artikel 12-21) sowie das Verbot automatisierter Entscheidungen ohne menschliche Überprüfung (Artikel 22).
2. Grundprinzipien des Datenschutzes
   Zu den zentralen Datenschutzprinzipien zählen die Datenminimierung, Zweckbindung, Speicherbegrenzung, sowie Integrität und Vertraulichkeit. Die DSGVO fordert, dass personenbezogene Daten nur für festgelegte Zwecke erhoben und nicht ohne Einwilligung anderweitig verwendet werden.
3. Verarbeitung personenbezogener Daten und Rechtsgrundlagen
   Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es gibt eine klare Rechtsgrundlage, wie etwa eine Einwilligung, einen Vertrag oder ein berechtigtes Interesse. Sensible Daten erfordern stets eine Einwilligung der betroffenen Person.
4. Verantwortlichkeit und Auftragsverarbeitung
   Derjenige, der über den Zweck und die Mittel der Datenverarbeitung entscheidet, trägt die Verantwortung. Externe Dienstleister, die Daten im Auftrag verarbeiten, benötigen einen Auftragsverarbeitungsvertrag und müssen sich an klare Vorgaben halten.
5. Verarbeitungsverzeichnis und Datenschutzerklärung
   Unternehmen müssen ein Verarbeitungsverzeichnis führen, in dem alle Datenverarbeitungsaktivitäten dokumentiert sind, sowie eine Datenschutzerklärung, die Betroffene über ihre Rechte und die Datenverarbeitung informiert.
6. Technische und organisatorische Maßnahmen
   Carsten erläutert wichtige Sicherheitsmaßnahmen, wie Datenverschlüsselung, Zugriffsrechte, Sicherheitsupdates und Backup-Verfahren, um die Integrität und Vertraulichkeit der Daten zu gewährleisten.
7. Datenschutzfolgeabschätzung (DSFA)
   Bei neuen Verarbeitungen mit hohen Risiken, wie vielen KI-Anwendungen, ist eine DSFA notwendig, um potenzielle Risiken für die betroffenen Personen zu bewerten und zu minimieren.

Diese Session bietet eine praxisnahe Einführung in die DSGVO-Grundlagen und vermittelt, wie Datenschutz im Kontext von KI korrekt umgesetzt wird.

Nov. 2024 – Datenschutz im Kontext der KI – 3

Zusammenfassung des Trainingscalls: Datenschutz im Kontext der KI

In diesem Trainingscall wurde umfassend über die datenschutzrechtlichen Anforderungen im Umgang mit Künstlicher Intelligenz (KI) gesprochen, insbesondere mit Blick auf die DSGVO. Die Hauptthemen umfassten die verschiedenen Aspekte des Datenschutzes entlang des gesamten KI-Prozesses, von den eingespeisten Daten über die Verarbeitung und das generierte Ergebnis bis hin zu den notwendigen Sicherheitsmaßnahmen.

Kernthemen des Calls

1. Personenbezogene Daten in KI-Anwendungen: Es wurde erklärt, wie KI-Systeme sowohl strukturierte als auch unstrukturierte Daten verarbeiten können. Dabei sind insbesondere unstrukturierte Daten (z. B. Textdokumente oder Chat-Verläufe) datenschutzrechtlich schwieriger zu handhaben, da hier potenziell personenbezogene Daten enthalten sein könnten.
2. Verarbeitungsprozess und Risiken: Die Verarbeitung von personenbezogenen Daten durch KI umfasst neben der Mustererkennung oft auch Prognosen und Profile, die für Vorhersagen und Entscheidungen genutzt werden. Diese Anwendungen bergen datenschutzrechtliche Herausforderungen wie Anonymisierung, Pseudonymisierung und das Risiko des Re-Identifizierens von Daten durch KI.
3. Rechtsgrundlagen und Einwilligungsprozesse: Es wurden mögliche Rechtsgrundlagen für KI-Anwendungen erläutert, wie berechtigtes Interesse oder Einwilligung, und darauf hingewiesen, dass klare Einwilligungsprozesse nötig sind. Der Call betonte, wie wichtig eine korrekte und transparente Kommunikation dieser Prozesse ist, um den Datenschutzanforderungen gerecht zu werden.
4. Sicherheitsmaßnahmen und Angriffsszenarien: Der Call behandelte die Notwendigkeit von Sicherheitsmaßnahmen, um KI-Anwendungen gegen Missbrauch zu schützen, etwa durch Zugriffskontrollen und Verschlüsselung. Neue Bedrohungen wie unerwünschte Anfragen („Prompts“) wurden als potenzielle Risiken für den Datenschutz identifiziert.
5. Empfehlungen für ein datenschutzkonformes KI-Design: Es wurde empfohlen, bei der Entwicklung von KI-Systemen datensparsam zu arbeiten und auf Anonymisierung und Pseudonymisierung zurückzugreifen, wenn möglich. Die Nutzung synthetischer Daten im Training und der Einsatz von PET (Privacy Enhancing Technologies) wurden als vielversprechende Ansätze vorgestellt, um die Privatsphäre zu schützen.
6. Datentransfer in Drittländer: Es wurden verschiedene Optionen zur DSGVO-konformen Übertragung personenbezogener Daten in die USA besprochen, darunter das EU/US Data Privacy Framework, Standardvertragsklauseln und Einwilligungen. Dabei wurde auf die besondere Bedeutung dieser Punkte für KI-Systeme hingewiesen, die oft auf amerikanische Cloud-Dienste zurückgreifen.
7. Datenschutzfolgenabschätzung (DSFA): Die DSFA wurde als zentrales Instrument betont, um datenschutzrechtliche Risiken zu bewerten und geeignete Schutzmaßnahmen zu entwickeln. Besondere Aufmerksamkeit galt KI-Anwendungen, da diese oft komplexe und schwer nachvollziehbare Entscheidungen treffen können.
8. Checkliste für DSGVO-konforme KI: Zum Abschluss des Calls wurde eine Checkliste vorgestellt, die alle wichtigen Punkte für die DSGVO-konforme Implementierung einer KI-Anwendung zusammenfasst – von der Wahl der Rechtsgrundlage über das Risikomanagement und die Implementierung technischer Schutzmaßnahmen bis hin zur regelmäßigen Überprüfung und Auditierung.

Der Call endete mit praktischen Hinweisen und einer Linkliste zu hilfreichen Ressourcen für das Thema Datenschutz und KI.

Fazit

Die Inhalte des Calls bieten eine fundierte Orientierung für die Entwicklung und Nutzung von KI-Anwendungen unter Berücksichtigung der DSGVO. Sie geben klare Handlungsempfehlungen für den Schutz personenbezogener Daten und die Risikominimierung. Datenschutz und KI bleiben ein dynamisches und komplexes Feld, das eine sorgfältige Planung und Umsetzung erfordert.

Nov. 2024 – EU AI Act Grundlagen – 4

Zusammenfassung des Trainingscalls: EU AI Act Grundlagen

In diesem Trainingscall wurde eine umfassende Einführung in die neue KI-Verordnung der EU, den EU AI Act, gegeben. Die Verordnung soll das Vertrauen in künstliche Intelligenz stärken, indem sie klare ethische Standards und Richtlinien für die Entwicklung und Nutzung von KI-Systemen festlegt. Hier ein Überblick über die wesentlichen Inhalte und Erkenntnisse:

1. Ethische Bedeutung der KI-Verordnung

• Die Verordnung setzt hohe Standards, um den sicheren und verantwortungsvollen Einsatz von KI zu gewährleisten, besonders in sensiblen Bereichen wie der Medizin, Luftfahrt und Finanzindustrie.
• Ziel ist es, einen ethischen Rahmen zu schaffen, der den Missbrauch und die Manipulation durch KI verhindert und gleichzeitig die Innovation fördert. Es geht nicht darum, KI zu blockieren, sondern sie sicherer und transparenter zu gestalten.

2. Anwendungsbereich und Risikobasierter Ansatz

• Die Verordnung gilt für alle Organisationen, auch solche außerhalb der EU, die KI-Modelle entwickeln und in Europa einsetzen.
• Ein zentraler Ansatz ist die Risikoklassifizierung: Anwendungen werden in verbotene, hochriskante, begrenzt riskante und risikoarme Kategorien eingeteilt. Je nach Risikostufe gelten spezifische Anforderungen an Transparenz, Kontrolle und Dokumentation.

3. Verbotene Anwendungen

• Anwendungen mit „inakzeptablem Risiko“ sind verboten, darunter soziale Bewertungssysteme (Social Scoring), Voraussagen kriminellen Verhaltens („Precrime“), Emotionserkennung in bestimmten Kontexten sowie Massenüberwachung durch biometrische Identifikation in Echtzeit.
• Diese Verbote sollen sicherstellen, dass KI-Systeme nicht zur Manipulation oder Diskriminierung von Personen genutzt werden.

4. Hochriskante KI-Systeme

• Hochrisiko-Anwendungen, etwa in Fahrzeugen, der medizinischen Diagnose oder bei der Bewertung von Bewerbungen, dürfen nur unter strengen Auflagen eingesetzt werden.
• Anbieter dieser Systeme müssen umfangreiche Nachweise zur Sicherheit und Unbedenklichkeit erbringen, bevor das System in Betrieb genommen wird. Dazu gehören u.a. Dokumentation, Qualitätsmanagement, Aufzeichnungs- und Meldepflichten sowie Konformitätsbewertungen.

5. Definition und Rolle von General Purpose AI

• General Purpose AI (GP-AI), wie Sprachmodelle und andere KI-Systeme mit breitem Anwendungsfeld, unterliegen spezifischen Anforderungen, da sie in vielfältigen Kontexten eingesetzt werden können.
• Anbieter solcher Modelle müssen umfassend dokumentieren, wie die Modelle trainiert wurden und welche Einschränkungen es gibt, um eine sichere Einbindung in verschiedene KI-Systeme zu ermöglichen.

6. Systemische Risiken und Überwachung

• Wenn General Purpose AI ein „systemisches Risiko“ für die Gesellschaft darstellt, muss dies gemeldet und das Modell kontinuierlich überwacht werden. Dazu zählen Modelle mit hoher Rechenleistung, breitem Dateneinsatz und hoher Komplexität.
• Die EU hat das Recht, bestimmte Modelle als systemisches Risiko einzustufen, was strenge Überwachungs- und Meldepflichten für den Anbieter nach sich zieht.

7. Kompetenzanforderungen und menschliche Aufsicht

• Die Verordnung legt Wert auf ausreichende „KI-Kompetenz“ bei den Nutzern und Entwicklern von KI-Systemen. Für hochriskante Systeme sind spezifische Schulungen erforderlich, um Risiken zu minimieren.
• Hochriskante KI-Systeme müssen unter „wirksamer menschlicher Aufsicht“ stehen, damit in Notsituationen rechtzeitig eingegriffen werden kann.

8. Überwachung und Durchsetzung

• Die EU plant die Einrichtung einer zentralen KI-Behörde sowie nationaler Marktüberwachungsbehörden, die die Einhaltung der Verordnung kontrollieren.
• Whistleblowing-Möglichkeiten sollen es jedem EU-Bürger ermöglichen, Verstöße zu melden, um eine bessere Kontrolle über die Einhaltung der Vorschriften zu gewährleisten.

9. Strafen bei Verstößen

• Bei Verstößen gegen die Verordnung drohen empfindliche Strafen, die je nach Schwere des Vergehens bis zu 7 % des weltweiten Jahresumsatzes eines Unternehmens betragen können.

10. Zeitplan und Ausblick

• Die Verordnung tritt stufenweise in Kraft: Verbotene KI-Anwendungen ab Februar 2025, Hochrisiko-KI und General Purpose AI ab August 2025, und weitere Bestimmungen bis 2026.
• Bis dahin sollen konkrete Auslegungshilfen und praktische Richtlinien geschaffen werden, um Unternehmen bei der Umsetzung zu unterstützen.

Fazit

Die EU KI-Verordnung setzt einen globalen Standard für die ethische und sichere Nutzung von KI. Durch die risikobasierte Klassifizierung und die Einführung klarer Verantwortlichkeiten wird ein Rahmen geschaffen, der die Innovationskraft der KI fördert, zugleich jedoch die Rechte und die Sicherheit der Bürger schützt.

Nov. 2024 – Vorgehen für KI Berater – 5

Zusammenfassung des Trainingscalls: Vorgehen für KI Berater

Nov. 2024 – Datenschutz, Compliance & EU AI Act in der Praxis – 6

Zusammenfassung des Trainingscalls: Datenschutz, Compliamce & EU AI Act in der Praxis

Der Call begann mit der Betonung, wie entscheidend fundierte Kenntnisse in Datenschutz und Compliance für die Arbeit mit KI-Systemen sind. Besonders relevant ist dies für die Gestaltung von Anwendungen und die Berücksichtigung von rechtlichen Rahmenbedingungen wie der DSGVO und dem EU-AI-Act. Referent Carsten Wittmann führte durch die wichtigsten Grundlagen und vermittelte Praxiswissen mit zahlreichen konkreten Beispielen.

Überblick über die Inhalte

1. Relevante Videos in der Akademie:
   • Datenschutz-Grundlagen: Für DSGVO-Erfahrene eher ein Auffrischungskurs, kein Fokus auf KI.
   • Datenschutz im Kontext von KI: Herausforderungen und Lösungsansätze, speziell für die Verknüpfung von KI und Datenschutz.
   • EU-AI-Act: Regulatorische Anforderungen und ethische Perspektiven zu KI-Risiken.
   • Vorgehen für KI-Berater: Tipps für Kundengespräche, rechtliche Absicherung und Best Practices.
2. Datenschutz und Compliance: Schlüsselthemen:
   • Die DSGVO bietet klare Regeln, die auch auf KI anwendbar sind.
   • Einwilligungen und Datenschutzfolgenabschätzungen (DSFA) sind entscheidend bei personenbezogenen Daten.
   • Besonderer Fokus auf sensible Daten (z. B. Gesundheitsdaten), die besondere Schutzmaßnahmen erfordern.

Diskussion relevanter Use Cases

• Datenschutz und KI in der Praxis:
  • Datenschutzkonforme Bot-Anwendungen: Eine einfache Aufklärung der Nutzer reicht nicht aus. Daten, die nicht gelöscht werden können, sind ein „No-Go“.
  • KI-gestützte HR-Systeme und Bewerbermanagement: Diese Anwendungen gelten als Hochrisiko und erfordern spezielle Absicherungen.
  • Emotionserkennung und Profiling: Hier gibt es noch keine klaren gesetzlichen Urteile, daher sollten Unternehmen vorsichtig sein und klare Grenzen ziehen.
• Kritische Anwendungen nach EU-AI-Act:
  • Verbotene Anwendungen wie Social Scoring, Verhaltensmanipulation oder biometrische Identifikation in Echtzeit.
  • Hohe Anforderungen bei Anwendungen mit hohem Risiko, wie in der Gesundheitsbranche oder bei automatisierten Entscheidungen.

Herausforderungen bei der Anwendung von KI

1. Dokumentation und Transparenz:
   • Der EU-AI-Act verlangt klare Dokumentation und Transparenz bei KI-Anwendungen, insbesondere bei hohen Risiken.
   • Schulung der Nutzer: Mitarbeiter müssen die Grenzen und Möglichkeiten der KI verstehen. Dies gilt sowohl für einfache Anwendungen als auch für komplexe, hochriskante Systeme.
2. Anonymisierung als Schlüsselstrategie:
   • Einsatz von Tools wie Luna AI, um personenbezogene Daten vor der Nutzung durch KI zu anonymisieren.
   • Strategien, um sensible Daten vorab zu pseudonymisieren und rechtliche Fallstricke zu umgehen.

Absicherung für Berater und Unternehmen

• Vertragsgestaltung:
  • Beratung sollte klar von Rechts- und Datenschutzberatung abgegrenzt werden. Ein Ausschluss solcher Haftungen in Verträgen ist unerlässlich.
  • Dokumentation von Beratungsinhalten und Optionen schützt vor späteren Regressansprüchen.
• Berufshaftpflichtversicherung:
  • Wichtig, um finanzielle Risiken bei Schadensfällen zu minimieren. Eine Vermögensschadenhaftpflicht deckt Beratungsfehler ab und beinhaltet oft Rechtsschutzleistungen.

Zusammenfassung EU-AI-Act

• Risiken und Chancen: Der EU-AI-Act regelt KI-Anwendungen nach Risikostufen (niedrig bis hoch). Ziel ist es, Vertrauen in KI-Systeme zu schaffen und ethische Mindeststandards zu sichern.
• Zentrale Anforderungen bei Hochrisiko-KI:
  • Strenge Auflagen wie Dokumentationspflichten, regelmäßige Audits und transparente Berichterstattung.
  • Fokus auf Barrierefreiheit und Cybersicherheit.
  • Menschliche Aufsicht und Entscheidungsoptionen müssen stets gewährleistet sein.

Ausblick und offene Punkte

• Haftungsfragen:
  • Noch ungelöste Themen, etwa zur Haftung bei KI-Entscheidungen oder Urheberrechtsfragen bei KI-generierten Inhalten.
  • Diskutiert wurde die Möglichkeit, Prozesse stärker zu dokumentieren, um später Ansprüche durchzusetzen (z. B. bei KI-gestützter Markenentwicklung).
• Praxisnahe Umsetzung:
  • Teilnehmer sollen ihre eigenen „Living Cases“ prüfen und weitere Sessions für detaillierte Analysen vorschlagen.

Fazit

Die Session war ein umfassender Leitfaden zur praktischen Umsetzung von Datenschutz, Compliance und EU-AI-Act-Regeln. Sie zeigte, dass die Anforderungen mit fundierter Vorbereitung gut umsetzbar sind. Besonders hilfreich waren die konkreten Beispiele und die Möglichkeit, offene Fragen zu klären. Teilnehmer sind eingeladen, bei Bedarf tiefergehende Einzelthemen in weiteren Sessions zu behandeln.

29.07.2024 – Datenschutz und KI-Anwendungen

Zusammenfassung des Trainingscalls: Datenschutz und KI-Anwendungen

In diesem Trainingscall ging es um die rechtlichen und praktischen Aspekte der Nutzung von KI-Anwendungen, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) und das kommende EU AI Act. Hier sind die wichtigsten Punkte zusammengefasst:

1. Umgang mit personenbezogenen Daten:

• Einwilligung: Bei der Nutzung von KI-Systemen müssen Unternehmen sicherstellen, dass sie die Einwilligung der betroffenen Personen einholen, insbesondere wenn personenbezogene Daten verarbeitet werden. Ein klassisches Beispiel ist die Einwilligung bei der Nutzung von Whiteboard-Anwendungen zur Transkription von Gesprächen.
• Lokalität der Datenverarbeitung: Es wird empfohlen, lokale KI-Systeme zu nutzen, um die Kontrolle über die Daten zu behalten und DSGVO-konform zu bleiben. Externe Anbieter sollten nur verwendet werden, wenn sie einen Auftragsverarbeitungsvertrag haben und die Daten entsprechend schützen.
• Datenminimierung: Es sollten nur die notwendigsten Daten verwendet werden, und diese sollten so anonymisiert wie möglich sein. Sensible Daten und ganze Transkripte von Gesprächen sollten nicht ungeschützt in KI-Systeme eingegeben werden.

2. Beispiele für KI-Anwendungen und ihre rechtliche Bewertung:

• Individuelle Kundenbriefe: Bei der Erstellung von individuellen Kundenbriefen mit KI ist die Einwilligung des Kunden notwendig. Daten dürfen nicht für das Training von KI-Systemen verwendet werden. Ein lokal betriebenes KI-System ist hierbei ideal.
• Chatbots: Chatbots auf Websites sollten vorzugsweise mit lokalen KI-Systemen betrieben werden. Externe Anbieter können genutzt werden, wenn personenbezogene Daten vor dem Transfer anonymisiert werden. Es ist wichtig, den Nutzer darüber zu informieren, dass er mit einer KI interagiert und keine sensiblen Daten eingeben sollte.
• Mitarbeiter-Chatbots: Diese sollten klar kennzeichnen, dass sie KI-gesteuert sind, und keine sensiblen Informationen verarbeiten. Tätigkeiten wie Urlaubsanfragen oder Reiseabrechnungen sind unproblematisch, solange der Mitarbeiter darüber informiert wird, dass er mit einer KI kommuniziert.

3. Anforderungen an KI-Systeme gemäß dem EU AI Act:

• Risiko-Klassifizierung: KI-Systeme werden nach ihrem Risiko klassifiziert: Unvertretbares Risiko (verboten), hohes Risiko (strenge Anforderungen), begrenztes Risiko (Transparenzpflichten) und minimales/kein Risiko (keine besonderen Anforderungen).
• Dokumentationspflichten: Für KI-Systeme mit hohem Risiko sind umfassende Dokumentations- und Transparenzpflichten vorgeschrieben, einschließlich der Beschreibung der Datenverarbeitung, der Sicherheitsmaßnahmen und der menschlichen Aufsicht. Dies gilt z.B. für Systeme in der Gesundheitsversorgung, Strafverfolgung und kritischen Infrastrukturen.
• Verbotene Anwendungen: Zu den verbotenen Anwendungen gehören u.a. die Manipulation von Verhalten oder Willen, Social Scoring, vorausschauende Kriminalitätsbekämpfung (Pre-Crime), und die biometrische Identifikation in der Öffentlichkeit in Echtzeit.

4. Praktische Umsetzung und Monitoring:

• Prozesse und Monitoring: Unternehmen müssen Prozesse zur kontinuierlichen Überwachung und Bewertung ihrer KI-Systeme etablieren. Dies schließt die Einhaltung von Datenschutzvorgaben, die Sicherheit der Systeme und die Handhabung von Datenpannen ein. Es müssen auch Maßnahmen zur Risikominimierung und für ein datenschutzfreundliches Design implementiert werden.
• Transparenz und Kommunikation: Es ist wichtig, die Nutzer klar und verständlich über die Nutzung von KI-Systemen und die damit verbundenen Datenverarbeitungen zu informieren. Dies sollte in der Datenschutzerklärung oder durch Einwilligungen geschehen.

5. Fazit und Ausblick:

• Anpassung an neue Gesetze: Unternehmen sollten sich frühzeitig auf die Anforderungen des EU AI Act vorbereiten und ihre bestehenden KI-Systeme überprüfen und anpassen. Es ist ratsam, sich auf die Dokumentations- und Transparenzpflichten sowie auf die Risikobewertungen zu konzentrieren.
• Verantwortungsvoller Umgang mit Daten: Ein verantwortungsvoller und transparenter Umgang mit personenbezogenen Daten ist nicht nur rechtlich notwendig, sondern auch im Interesse der Unternehmen, um das Vertrauen der Kunden zu erhalten und rechtliche Risiken zu minimieren. Lokale KI-Lösungen können hierbei helfen, die Kontrolle über die Daten zu behalten und DSGVO-konform zu bleiben.

26.06.2024 – AI Compliance & EU AI Act

Zusammenfassung des Trainingscalls: AI Compliance & EU AI Act

Carsten Wittmann gab einen umfassenden Einblick in das Thema AI Compliance, insbesondere im Kontext des EU AI Acts. Hier sind die wesentlichen Punkte zusammengefasst:

1. Einführung in AI Compliance und den EU AI Act:
   • Carsten erklärte, dass AI Compliance ein umfassendes Thema ist, das über den EU AI Act hinausgeht.
   • Der EU AI Act ist eine neue Regulierung der EU, die darauf abzielt, den Einsatz von KI-Systemen zu kontrollieren und sicherzustellen, dass sie keine negativen Auswirkungen auf die Gesellschaft haben.
2. Carsten Wittmanns Hintergrund:
   • Carsten ist ein selbstständiger Unternehmensberater mit umfangreicher Erfahrung in Programmierung, Prozessoptimierung und Datenschutz.
   • Er hat sich zum AI Consultant weitergebildet und unterstützt Unternehmen bei der Implementierung und dem Change-Management von KI-Systemen.
3. Überblick über den EU AI Act:
   • Der Act klassifiziert KI-Anwendungen in verschiedene Risikostufen:
     • Verbotene KI (rote Karte): KI-Systeme, die manipulative, ausnutzende oder social scoring-basierte Aktivitäten durchführen.
     • Hohe Risiko-KI (orange Karte): Anwendungen, die strenge Auflagen erfüllen müssen, wie Sicherheitskomponenten in Autos oder Personenerkennungssysteme.
     • Begrenztes Risiko-KI (gelbe Karte): Systeme, die Transparenz und Information gewährleisten müssen.
     • Minimales Risiko-KI (grüne Karte): Anwendungen ohne besondere Pflichten.
4. Anwendungsbeispiele für einen Fußballverein:
   • Carsten nutzte das Beispiel eines Fußballvereins, um die Anwendung und Einordnung von KI im praktischen Kontext zu veranschaulichen.
   • Beispiele reichten vom Einsatz von KI im Fanshop (grüne Zone) über Fanbetreuung (gelbe Zone) bis hin zu Sicherheitsüberwachung (rote Zone).
5. Klassifizierung und Überwachung:
   • Der EU AI Act definiert auch die Verantwortlichkeiten und Überwachungsmechanismen.
   • Es gibt europäische und nationale Behörden, die die Einhaltung der Regelungen kontrollieren.
   • Jeder EU-Bürger hat das Recht, Verstöße zu melden.
6. Abschlussdiskussion und Fragen:
   • Die Teilnehmer stellten Fragen zu spezifischen Anwendungen von KI und den damit verbundenen Compliance-Anforderungen.
   • Themen wie die Veröffentlichung von KI-generierten Inhalten und die Unterschiede zwischen traditionellen Algorithmen und KI wurden diskutiert.

Carsten betonte, dass der EU AI Act darauf abzielt, einen sicheren und ethisch korrekten Einsatz von KI zu gewährleisten, was langfristig dazu beitragen könnte, Europa als Standort für vertrauenswürdige KI-Entwicklung zu etablieren.