Überblick AI Compliance

In dieser Session gibt Carsten Wittmann, erfahrener Unternehmensberater im Bereich KI, Compliance und Datenschutz, einen fundierten Überblick über das Thema AI Compliance und erklärt, warum dieses Thema ein strategischer Vorteil für Berater sein kann. Anstatt KI-Projekte einzuschränken, kann ein tieferes Verständnis von Compliance dabei helfen, innovative Lösungen zu ermöglichen und neue Chancen zu erkennen, die andere Unternehmen aufgrund von Unsicherheiten möglicherweise scheuen.

Key-Themen und Inhalte der Schulung:

1. Grundlagen und Relevanz von Datenschutz und EU-Regularien
   Datenschutz ist ein etablierter und zentraler Bestandteil der Compliance, insbesondere durch die Datenschutzgrundverordnung (DSGVO) in Europa. Wittmann betont, dass viele der Prinzipien und Anforderungen, die für Datenschutz gelten, bei KI-Lösungen in neuer Form relevant werden – insbesondere aufgrund der Nutzung von Tools, die oft außerhalb der EU, etwa in den USA, entwickelt werden. Informationssicherheit ist eine Grundvoraussetzung für Datenschutz, wird jedoch in dieser Session nur am Rande behandelt.
2. EU AI Act – die neue KI-Regulierung der EU
   Der EU AI Act zielt darauf ab, gesellschaftliche und ethische Risiken von KI zu regulieren. Die EU möchte sicherstellen, dass KI-Systeme z.B. nicht diskriminierend wirken und gleiche Chancen auf Zugang zu Bildung, Arbeitsmarkt und Kreditwesen ermöglichen. Diese Verordnung deckt viele ethische Fragestellungen ab, die für KI relevant sind, und gibt Unternehmen klare Vorgaben, wie KI sicher und verantwortungsvoll entwickelt und implementiert werden kann.
3. Management von KI-Compliance mit ISO-Standards
   Wittmann stellt die neue ISO 42001 vor – ein Managementsystem, das Unternehmen hilft, KI-Compliance strukturiert und effizient umzusetzen. Diese Norm bietet einen Rahmen, um Risiken zu minimieren und gesetzliche Anforderungen konsequent einzuhalten.
4. Branchenspezifische und internationale Regulierungen
   In Branchen wie der Pharma- oder Finanzindustrie gelten oft zusätzliche, branchenspezifische Regulierungen, die ebenfalls berücksichtigt werden müssen. Wittmann empfiehlt, das Know-how des Kunden zu nutzen und auf landesspezifische Anforderungen zu achten, insbesondere bei multinationalen Konzernen.
5. Struktur der Schulungssessions
   Die Schulung ist in mehrere Sessions aufgeteilt:
   • Einführung in die DSGVO: Ein Recap für Berater, um sicherzustellen, dass die Grundlagen präsent sind.
   • Datenschutz und KI: Spezifische Herausforderungen, die durch KI entstehen, und Lösungsansätze.
   • Grundlagen des EU AI Act: Schwerpunkte auf ethische Fragestellungen, Risikobewertung und Pflichten für Beteiligte in der KI-Landschaft.
   • Best Practices für Berater: Strategien, wie Berater erfolgreich Compliance-Lösungen in Kundenprojekten umsetzen können, ohne rechtliche Risiken einzugehen.
6. Empfehlung zur Rechtsberatung
   Wittmann erinnert daran, dass Berater keine juristische Beratung durchführen sollten. Bei Bedarf, insbesondere bei rechtlichen Unsicherheiten, sollte der Kunde spezialisierte Datenschutzexperten oder Anwälte hinzuziehen.

Abschließende Hinweise
Die letzte Session wird als Live-Session mit praktischen Fallbeispielen und Q&A gestaltet. Teilnehmer werden ermutigt, die vorausgegangenen Module vorab anzusehen, um aktiv an der abschließenden Diskussion teilzunehmen.

Einführung DSGVO

In dieser Session erklärt Carsten Wittmann die wichtigsten Prinzipien der DSGVO, die für Berater im KI-Bereich relevant sind.

1. Kernartikel der DSGVO
   Carsten stellt die wesentlichen Artikel der DSGVO vor, darunter die Grundsätze für die Datenverarbeitung(Artikel 5), die Rechtsgrundlagen (Artikel 6) und die besonderen Kategorien personenbezogener Daten(Artikel 9). Besonders relevant für KI sind auch die Rechte der betroffenen Personen (Artikel 12-21) sowie das Verbot automatisierter Entscheidungen ohne menschliche Überprüfung (Artikel 22).
2. Grundprinzipien des Datenschutzes
   Zu den zentralen Datenschutzprinzipien zählen die Datenminimierung, Zweckbindung, Speicherbegrenzung, sowie Integrität und Vertraulichkeit. Die DSGVO fordert, dass personenbezogene Daten nur für festgelegte Zwecke erhoben und nicht ohne Einwilligung anderweitig verwendet werden.
3. Verarbeitung personenbezogener Daten und Rechtsgrundlagen
   Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es gibt eine klare Rechtsgrundlage, wie etwa eine Einwilligung, einen Vertrag oder ein berechtigtes Interesse. Sensible Daten erfordern stets eine Einwilligung der betroffenen Person.
4. Verantwortlichkeit und Auftragsverarbeitung
   Derjenige, der über den Zweck und die Mittel der Datenverarbeitung entscheidet, trägt die Verantwortung. Externe Dienstleister, die Daten im Auftrag verarbeiten, benötigen einen Auftragsverarbeitungsvertrag und müssen sich an klare Vorgaben halten.
5. Verarbeitungsverzeichnis und Datenschutzerklärung
   Unternehmen müssen ein Verarbeitungsverzeichnis führen, in dem alle Datenverarbeitungsaktivitäten dokumentiert sind, sowie eine Datenschutzerklärung, die Betroffene über ihre Rechte und die Datenverarbeitung informiert.
6. Technische und organisatorische Maßnahmen
   Carsten erläutert wichtige Sicherheitsmaßnahmen, wie Datenverschlüsselung, Zugriffsrechte, Sicherheitsupdates und Backup-Verfahren, um die Integrität und Vertraulichkeit der Daten zu gewährleisten.
7. Datenschutzfolgeabschätzung (DSFA)
   Bei neuen Verarbeitungen mit hohen Risiken, wie vielen KI-Anwendungen, ist eine DSFA notwendig, um potenzielle Risiken für die betroffenen Personen zu bewerten und zu minimieren.

Diese Session bietet eine praxisnahe Einführung in die DSGVO-Grundlagen und vermittelt, wie Datenschutz im Kontext von KI korrekt umgesetzt wird.

Datenschutz im Kontext der KI

In diesem Trainingscall wurde umfassend über die datenschutzrechtlichen Anforderungen im Umgang mit Künstlicher Intelligenz (KI) gesprochen, insbesondere mit Blick auf die DSGVO. Die Hauptthemen umfassten die verschiedenen Aspekte des Datenschutzes entlang des gesamten KI-Prozesses, von den eingespeisten Daten über die Verarbeitung und das generierte Ergebnis bis hin zu den notwendigen Sicherheitsmaßnahmen.

Kernthemen des Calls

1. Personenbezogene Daten in KI-Anwendungen: Es wurde erklärt, wie KI-Systeme sowohl strukturierte als auch unstrukturierte Daten verarbeiten können. Dabei sind insbesondere unstrukturierte Daten (z. B. Textdokumente oder Chat-Verläufe) datenschutzrechtlich schwieriger zu handhaben, da hier potenziell personenbezogene Daten enthalten sein könnten.
2. Verarbeitungsprozess und Risiken: Die Verarbeitung von personenbezogenen Daten durch KI umfasst neben der Mustererkennung oft auch Prognosen und Profile, die für Vorhersagen und Entscheidungen genutzt werden. Diese Anwendungen bergen datenschutzrechtliche Herausforderungen wie Anonymisierung, Pseudonymisierung und das Risiko des Re-Identifizierens von Daten durch KI.
3. Rechtsgrundlagen und Einwilligungsprozesse: Es wurden mögliche Rechtsgrundlagen für KI-Anwendungen erläutert, wie berechtigtes Interesse oder Einwilligung, und darauf hingewiesen, dass klare Einwilligungsprozesse nötig sind. Der Call betonte, wie wichtig eine korrekte und transparente Kommunikation dieser Prozesse ist, um den Datenschutzanforderungen gerecht zu werden.
4. Sicherheitsmaßnahmen und Angriffsszenarien: Der Call behandelte die Notwendigkeit von Sicherheitsmaßnahmen, um KI-Anwendungen gegen Missbrauch zu schützen, etwa durch Zugriffskontrollen und Verschlüsselung. Neue Bedrohungen wie unerwünschte Anfragen („Prompts“) wurden als potenzielle Risiken für den Datenschutz identifiziert.
5. Empfehlungen für ein datenschutzkonformes KI-Design: Es wurde empfohlen, bei der Entwicklung von KI-Systemen datensparsam zu arbeiten und auf Anonymisierung und Pseudonymisierung zurückzugreifen, wenn möglich. Die Nutzung synthetischer Daten im Training und der Einsatz von PET (Privacy Enhancing Technologies) wurden als vielversprechende Ansätze vorgestellt, um die Privatsphäre zu schützen.
6. Datentransfer in Drittländer: Es wurden verschiedene Optionen zur DSGVO-konformen Übertragung personenbezogener Daten in die USA besprochen, darunter das EU/US Data Privacy Framework, Standardvertragsklauseln und Einwilligungen. Dabei wurde auf die besondere Bedeutung dieser Punkte für KI-Systeme hingewiesen, die oft auf amerikanische Cloud-Dienste zurückgreifen.
7. Datenschutzfolgenabschätzung (DSFA): Die DSFA wurde als zentrales Instrument betont, um datenschutzrechtliche Risiken zu bewerten und geeignete Schutzmaßnahmen zu entwickeln. Besondere Aufmerksamkeit galt KI-Anwendungen, da diese oft komplexe und schwer nachvollziehbare Entscheidungen treffen können.
8. Checkliste für DSGVO-konforme KI: Zum Abschluss des Calls wurde eine Checkliste vorgestellt, die alle wichtigen Punkte für die DSGVO-konforme Implementierung einer KI-Anwendung zusammenfasst – von der Wahl der Rechtsgrundlage über das Risikomanagement und die Implementierung technischer Schutzmaßnahmen bis hin zur regelmäßigen Überprüfung und Auditierung.

Der Call endete mit praktischen Hinweisen und einer Linkliste zu hilfreichen Ressourcen für das Thema Datenschutz und KI.

Fazit

Die Inhalte des Calls bieten eine fundierte Orientierung für die Entwicklung und Nutzung von KI-Anwendungen unter Berücksichtigung der DSGVO. Sie geben klare Handlungsempfehlungen für den Schutz personenbezogener Daten und die Risikominimierung. Datenschutz und KI bleiben ein dynamisches und komplexes Feld, das eine sorgfältige Planung und Umsetzung erfordert.

EU AI Act Grundlagen

In diesem Trainingscall wurde eine umfassende Einführung in die neue KI-Verordnung der EU, den EU AI Act, gegeben. Die Verordnung soll das Vertrauen in künstliche Intelligenz stärken, indem sie klare ethische Standards und Richtlinien für die Entwicklung und Nutzung von KI-Systemen festlegt. Hier ein Überblick über die wesentlichen Inhalte und Erkenntnisse:

1. Ethische Bedeutung der KI-Verordnung

• Die Verordnung setzt hohe Standards, um den sicheren und verantwortungsvollen Einsatz von KI zu gewährleisten, besonders in sensiblen Bereichen wie der Medizin, Luftfahrt und Finanzindustrie.
• Ziel ist es, einen ethischen Rahmen zu schaffen, der den Missbrauch und die Manipulation durch KI verhindert und gleichzeitig die Innovation fördert. Es geht nicht darum, KI zu blockieren, sondern sie sicherer und transparenter zu gestalten.

2. Anwendungsbereich und Risikobasierter Ansatz

• Die Verordnung gilt für alle Organisationen, auch solche außerhalb der EU, die KI-Modelle entwickeln und in Europa einsetzen.
• Ein zentraler Ansatz ist die Risikoklassifizierung: Anwendungen werden in verbotene, hochriskante, begrenzt riskante und risikoarme Kategorien eingeteilt. Je nach Risikostufe gelten spezifische Anforderungen an Transparenz, Kontrolle und Dokumentation.

3. Verbotene Anwendungen

• Anwendungen mit „inakzeptablem Risiko“ sind verboten, darunter soziale Bewertungssysteme (Social Scoring), Voraussagen kriminellen Verhaltens („Precrime“), Emotionserkennung in bestimmten Kontexten sowie Massenüberwachung durch biometrische Identifikation in Echtzeit.
• Diese Verbote sollen sicherstellen, dass KI-Systeme nicht zur Manipulation oder Diskriminierung von Personen genutzt werden.

4. Hochriskante KI-Systeme

• Hochrisiko-Anwendungen, etwa in Fahrzeugen, der medizinischen Diagnose oder bei der Bewertung von Bewerbungen, dürfen nur unter strengen Auflagen eingesetzt werden.
• Anbieter dieser Systeme müssen umfangreiche Nachweise zur Sicherheit und Unbedenklichkeit erbringen, bevor das System in Betrieb genommen wird. Dazu gehören u.a. Dokumentation, Qualitätsmanagement, Aufzeichnungs- und Meldepflichten sowie Konformitätsbewertungen.

5. Definition und Rolle von General Purpose AI

• General Purpose AI (GP-AI), wie Sprachmodelle und andere KI-Systeme mit breitem Anwendungsfeld, unterliegen spezifischen Anforderungen, da sie in vielfältigen Kontexten eingesetzt werden können.
• Anbieter solcher Modelle müssen umfassend dokumentieren, wie die Modelle trainiert wurden und welche Einschränkungen es gibt, um eine sichere Einbindung in verschiedene KI-Systeme zu ermöglichen.

6. Systemische Risiken und Überwachung

• Wenn General Purpose AI ein „systemisches Risiko“ für die Gesellschaft darstellt, muss dies gemeldet und das Modell kontinuierlich überwacht werden. Dazu zählen Modelle mit hoher Rechenleistung, breitem Dateneinsatz und hoher Komplexität.
• Die EU hat das Recht, bestimmte Modelle als systemisches Risiko einzustufen, was strenge Überwachungs- und Meldepflichten für den Anbieter nach sich zieht.

7. Kompetenzanforderungen und menschliche Aufsicht

• Die Verordnung legt Wert auf ausreichende „KI-Kompetenz“ bei den Nutzern und Entwicklern von KI-Systemen. Für hochriskante Systeme sind spezifische Schulungen erforderlich, um Risiken zu minimieren.
• Hochriskante KI-Systeme müssen unter „wirksamer menschlicher Aufsicht“ stehen, damit in Notsituationen rechtzeitig eingegriffen werden kann.

8. Überwachung und Durchsetzung

• Die EU plant die Einrichtung einer zentralen KI-Behörde sowie nationaler Marktüberwachungsbehörden, die die Einhaltung der Verordnung kontrollieren.
• Whistleblowing-Möglichkeiten sollen es jedem EU-Bürger ermöglichen, Verstöße zu melden, um eine bessere Kontrolle über die Einhaltung der Vorschriften zu gewährleisten.

9. Strafen bei Verstößen

• Bei Verstößen gegen die Verordnung drohen empfindliche Strafen, die je nach Schwere des Vergehens bis zu 7 % des weltweiten Jahresumsatzes eines Unternehmens betragen können.

10. Zeitplan und Ausblick

• Die Verordnung tritt stufenweise in Kraft: Verbotene KI-Anwendungen ab Februar 2025, Hochrisiko-KI und General Purpose AI ab August 2025, und weitere Bestimmungen bis 2026.
• Bis dahin sollen konkrete Auslegungshilfen und praktische Richtlinien geschaffen werden, um Unternehmen bei der Umsetzung zu unterstützen.

Fazit

Die EU KI-Verordnung setzt einen globalen Standard für die ethische und sichere Nutzung von KI. Durch die risikobasierte Klassifizierung und die Einführung klarer Verantwortlichkeiten wird ein Rahmen geschaffen, der die Innovationskraft der KI fördert, zugleich jedoch die Rechte und die Sicherheit der Bürger schützt.

Vorgehen für KI-Berater

Zusammenfassung des Trainingscalls

Dieser Trainingscall vermittelt eine umfassende Anleitung dazu, wie das komplexe Thema Compliance praktisch umgesetzt werden kann – sowohl im Kundensetting als auch für das eigene Geschäft. Der Schwerpunkt liegt dabei auf strategischem Vorgehen, praxistauglichen Tools und Checklisten sowie relevanten Schutzmaßnahmen für Berater. Nachfolgend eine detaillierte Zusammenfassung der Inhalte.

1. Überblick und Zielsetzung

Der Fokus liegt darauf, Compliance greifbar zu machen, indem Theorie in umsetzbare Schritte für Kundenprojekte und den eigenen Schutz übersetzt wird.

Themen im Fokus:

• Integration von Compliance in strategische Projekte
• Hilfsmittel wie Checklisten und FAQs
• Umgang mit typischen Kundenfragen
• Eigene Absicherung als Berater

2. Compliance in der strategischen Beratung

Einstieg in Compliance: Ziel ist es, im Erstgespräch Kompetenz zu zeigen, die Herausforderungen des Kunden zu verstehen, Ängste zu nehmen und Vertrauen aufzubauen.

Wichtige Fragen für das Kundengespräch:

• Wie sensibel ist das Unternehmen in Bezug auf Datenschutz und KI?
• Welche Stakeholder sind im Compliance-Bereich relevant (Datenschutzbeauftragter, AI Officer, Betriebsrat)?

Key Messages im Erstgespräch:

• Datenschutz ist kein Hindernis: Durch bewährte Methoden wie Datenminimierung oder DSGVO-konforme Anbieter bleibt Compliance gewährleistet.
• EU AI Act: Klare Abgrenzung zwischen verbotenen und risikoreichen KI-Systemen sowie Empfehlungen für risikoarme Projekte, die positive Erfahrungen fördern.

3. Vorgehen in Projekten: Strukturierte Umsetzung

Planungsphase:

• Definition des Use Cases und frühzeitige Einbindung des Datenschutzbeauftragten.
• Risikoeinstufung gemäß EU AI Act und Klärung der Rolle des Unternehmens (Anbieter oder Betreiber).
• Datenanalyse: Welche personenbezogenen Daten werden benötigt? Wie können diese minimiert werden?
• Festlegung der technischen und organisatorischen Maßnahmen.

Umsetzungsphase:

• Sicherstellung technischer und rechtlicher Anforderungen (z. B. Datenschutzfolgenabschätzung, Verarbeitungsverzeichnis, Einwilligungserklärungen).
• Erfüllung der Pflichten des EU AI Acts (z. B. Kennzeichnung von KI-Systemen, Monitoring und Notfallpläne).
• Mitarbeitertraining und Dokumentation der Trainingsmaßnahmen.

4. Tools und Ressourcen

Bereitgestellte Hilfsmittel:

• Musterfolien und Checklisten für Kundengespräche.
• Dokumente wie die Bitkom-Checkliste und DSGVO-Tools zur Orientierung.
• Custom GPT mit integrierten Gesetzestexten und weiterführenden Materialien.

5. Typische Kundenfragen und Antworten

DSGVO und KI – geht das zusammen?
Antwort: Ja, durch Datenschutzprinzipien wie Privacy by Design und Datenminimierung.

Wie verhindern wir Risiken durch KI?
Antwort: Auswahl DSGVO-konformer Anbieter, technische Schutzmaßnahmen und klare Nutzungsrichtlinien.

Warum Compliance nicht ignorieren?
Antwort: Bußgelder, Reputationsrisiken und mögliche „Shadow AI“, die ohne Kontrolle im Unternehmen entsteht.

Ethik und KI – wozu?
Antwort: Vertrauenswürdigkeit der KI sicherstellen und Mitarbeitermotivation stärken.

6. Aufbau eines KI-Managementsystems

ISO 42001 für größere Organisationen:
Harmonisiert mit dem EU AI Act und bietet umfassende Standards für Planung, Betrieb und Überwachung von KI-Systemen.

„Light“-Version für kleinere Unternehmen:

• Einrichtung eines AI-Boards mit klar definierten Rollen (AI Lead, IT, Datenschutz, Fachbereiche).
• Einführung von zentralen Prozessen wie Freigabeverfahren, Trainingskoordination und regelmäßigen Reviews.
• Dokumentation aller KI-Systeme (Use Case, Daten, Risikoeinstufung, Trainingsstatus).

7. Eigene Absicherung als Berater

Risikominimierung:

• Vermeidung von Haftungsrisiken durch klare Vertragsklauseln (Disclaimer „Keine Rechtsberatung“).
• Frühzeitige Einbindung des Datenschutzbeauftragten des Kunden.
• Transparenz durch dokumentierte Kundenentscheidungen.

Beraterhaftpflichtversicherung: Sicherstellung, dass potenzielle Schadensansprüche gedeckt sind.

Eigene Compliance sicherstellen: Sauberer Umgang mit Datenschutz und regulatorischen Vorgaben im eigenen Unternehmen.

8. Fazit und nächste Schritte

Wrap-up und Live-Session: In der nächsten Live-Session werden Fallbeispiele und Teilnehmerfragen vertieft behandelt.

Zusammenarbeit mit Kunden: Ziel ist es, Compliance als strategischen Vorteil und nicht als Hindernis zu positionieren.

Diese Session bietet eine wertvolle Mischung aus Praxiswissen, konkreten Tools und pragmatischen Ansätzen, um Compliance-Themen erfolgreich zu meistern – sowohl für Kundenprojekte als auch für die eigene Beratungspraxis.

Call – Datenschutz, Compliance und EU-AI-Act in der Praxis

Zusammenfassung des Trainingscalls

Thema: Grundlagen zu Datenschutz, Compliance und EU-AI-Act in der Praxis

Einstieg in die Themen

Der Call begann mit der Betonung, wie entscheidend fundierte Kenntnisse in Datenschutz und Compliance für die Arbeit mit KI-Systemen sind. Besonders relevant ist dies für die Gestaltung von Anwendungen und die Berücksichtigung von rechtlichen Rahmenbedingungen wie der DSGVO und dem EU-AI-Act. Referent Carsten Wittmann führte durch die wichtigsten Grundlagen und vermittelte Praxiswissen mit zahlreichen konkreten Beispielen.

Überblick über die Inhalte

1. Relevante Videos in der Akademie:
   • Datenschutz-Grundlagen: Für DSGVO-Erfahrene eher ein Auffrischungskurs, kein Fokus auf KI.
   • Datenschutz im Kontext von KI: Herausforderungen und Lösungsansätze, speziell für die Verknüpfung von KI und Datenschutz.
   • EU-AI-Act: Regulatorische Anforderungen und ethische Perspektiven zu KI-Risiken.
   • Vorgehen für KI-Berater: Tipps für Kundengespräche, rechtliche Absicherung und Best Practices.
2. Datenschutz und Compliance: Schlüsselthemen:
   • Die DSGVO bietet klare Regeln, die auch auf KI anwendbar sind.
   • Einwilligungen und Datenschutzfolgenabschätzungen (DSFA) sind entscheidend bei personenbezogenen Daten.
   • Besonderer Fokus auf sensible Daten (z. B. Gesundheitsdaten), die besondere Schutzmaßnahmen erfordern.

Diskussion relevanter Use Cases

• Datenschutz und KI in der Praxis:
  • Datenschutzkonforme Bot-Anwendungen: Eine einfache Aufklärung der Nutzer reicht nicht aus. Daten, die nicht gelöscht werden können, sind ein „No-Go“.
  • KI-gestützte HR-Systeme und Bewerbermanagement: Diese Anwendungen gelten als Hochrisiko und erfordern spezielle Absicherungen.
  • Emotionserkennung und Profiling: Hier gibt es noch keine klaren gesetzlichen Urteile, daher sollten Unternehmen vorsichtig sein und klare Grenzen ziehen.
• Kritische Anwendungen nach EU-AI-Act:
  • Verbotene Anwendungen wie Social Scoring, Verhaltensmanipulation oder biometrische Identifikation in Echtzeit.
  • Hohe Anforderungen bei Anwendungen mit hohem Risiko, wie in der Gesundheitsbranche oder bei automatisierten Entscheidungen.

Herausforderungen bei der Anwendung von KI

1. Dokumentation und Transparenz:
   • Der EU-AI-Act verlangt klare Dokumentation und Transparenz bei KI-Anwendungen, insbesondere bei hohen Risiken.
   • Schulung der Nutzer: Mitarbeiter müssen die Grenzen und Möglichkeiten der KI verstehen. Dies gilt sowohl für einfache Anwendungen als auch für komplexe, hochriskante Systeme.
2. Anonymisierung als Schlüsselstrategie:
   • Einsatz von Tools wie Luna AI, um personenbezogene Daten vor der Nutzung durch KI zu anonymisieren.
   • Strategien, um sensible Daten vorab zu pseudonymisieren und rechtliche Fallstricke zu umgehen.

Absicherung für Berater und Unternehmen

• Vertragsgestaltung:
  • Beratung sollte klar von Rechts- und Datenschutzberatung abgegrenzt werden. Ein Ausschluss solcher Haftungen in Verträgen ist unerlässlich.
  • Dokumentation von Beratungsinhalten und Optionen schützt vor späteren Regressansprüchen.
• Berufshaftpflichtversicherung:
  • Wichtig, um finanzielle Risiken bei Schadensfällen zu minimieren. Eine Vermögensschadenhaftpflicht deckt Beratungsfehler ab und beinhaltet oft Rechtsschutzleistungen.

Zusammenfassung EU-AI-Act

• Risiken und Chancen: Der EU-AI-Act regelt KI-Anwendungen nach Risikostufen (niedrig bis hoch). Ziel ist es, Vertrauen in KI-Systeme zu schaffen und ethische Mindeststandards zu sichern.
• Zentrale Anforderungen bei Hochrisiko-KI:
  • Strenge Auflagen wie Dokumentationspflichten, regelmäßige Audits und transparente Berichterstattung.
  • Fokus auf Barrierefreiheit und Cybersicherheit.
  • Menschliche Aufsicht und Entscheidungsoptionen müssen stets gewährleistet sein.

Ausblick und offene Punkte

• Haftungsfragen:
  • Noch ungelöste Themen, etwa zur Haftung bei KI-Entscheidungen oder Urheberrechtsfragen bei KI-generierten Inhalten.
  • Diskutiert wurde die Möglichkeit, Prozesse stärker zu dokumentieren, um später Ansprüche durchzusetzen (z. B. bei KI-gestützter Markenentwicklung).
• Praxisnahe Umsetzung:
  • Teilnehmer sollen ihre eigenen „Living Cases“ prüfen und weitere Sessions für detaillierte Analysen vorschlagen.

Fazit

Die Session war ein umfassender Leitfaden zur praktischen Umsetzung von Datenschutz, Compliance und EU-AI-Act-Regeln. Sie zeigte, dass die Anforderungen mit fundierter Vorbereitung gut umsetzbar sind. Besonders hilfreich waren die konkreten Beispiele und die Möglichkeit, offene Fragen zu klären. Teilnehmer sind eingeladen, bei Bedarf tiefergehende Einzelthemen in weiteren Sessions zu behandeln.