Künstliche Intelligenz
Das Thema Künstliche Intelligenz (KI) ist derzeit in aller Munde und in vielen Organisationen sind KI-Tools bereits Teil der täglichen Arbeitsabläufe. Neben vielfältigen Anwendungsmöglichkeiten birgt der Einsatz von KI aber auch einige Risiken. Mit der „Verordnung über künstliche Intelligenz“, der sog. KI-Verordnung (kurz KI-VO, engl. AI Act), soll das Risiko, das von KI-Systemen/-Modellen ausgeht, umfassend reguliert werden. Die Europäische Union (EU) gibt damit den rechtlichen Rahmen vor, an dem sich Unternehmen und Organisationen bei der Entwicklung, dem Einsatz und der Nutzung von KI orientieren sollen.
Am 1. August 2024 ist die KI-VO in Kraft getreten und gilt grundsätzlich ab dem 2. August 2026, einige Regelungen gelten jedoch bereits ab dem 2. August 2025 (siehe Art. 113 KI-VO) und wichtige Regelungen gelten schon ab dem 2. Februar 2025. Insbesondere dieses Datum ist so wichtig, da ab diesem Zeitpunkt die Verpflichtung gilt, Beschäftigte, die KI nutzen, mit einer angemessenen KI-Kompetenz auszustatten (Art. 4 KI-VO). Darüber hinaus gelten ab diesem Zeitpunkt Verbote, beispielsweise wenn es um Praktiken im KI-Bereich geht, die unterschwellig manipulierende oder täuschende Einsatzzwecke aufweisen (Art. 5 KI-VO). Man sollte daher möglichst zeitnah mit der Bestandaufnahme der vorhandenen KI-Systeme beginnen, diese auf verbotene KI-Praktiken prüfen und sich um Schulungskonzepte kümmern. Insbesondere im Bereich der verbotenen KI-Praktiken drohen ansonsten hohe Bußgelder (nach Art. 99 KI-VO bis zu 35 000 000 EUR oder von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres). Insgesamt bedarf auch die Einführung neuer KI-Systeme daher schon jetzt einer klaren Regelung.
Wir haben es uns zum Ziel gesetzt, Sie im KI-Dschungel zu unterstützen! Ganz egal, ob es dabei um datenschutzrechtliche Fragestellungen, Compliance, Belange der Informations- und Cybersicherheit oder um Schulungen zum Erwerb von KI-Kompetenz geht.
Unsere Dienstleistungen im Bereich KI
Profitieren Sie von unserem Know-how! Wir beraten seit über 20 Jahren Unternehmen, Behörden und sonstige Organisationen in den Bereichen Datenschutz, Informationssicherheit und Compliance.
Hier finden Sie eine Übersicht unserer Dienstleistungen im Bereich KI. Wir unterstützen Sie auch bei weiteren Themen rund um KI – sprechen Sie uns an!
KI-Beratung für Unternehmen und Organisationen
An Anbieter und Betreiber von KI-Anwendungen werden in der EU-Verordnung über künstliche Intelligenz (KI-VO) umfangreiche Anforderungen gestellt, bei deren Umsetzung wir gerne behilflich sind.
Unsere KI-Beratung umfasst folgende in der KI-VO normierte Tätigkeiten:
- Risikoklassifizierung von KI-Anwendungen (Art. 5, 6 und 51 KI-VO)
- Aufbau und Betrieb eines Risiko- und Qualitätsmanagementsystems (Art. 9 und 17 KI-VO)
- Beratung zu Aufzeichnungs-, Dokumentations-, Informations- und Meldepflichten (Art. 11, 12, 13, 18, 50 und 73 KI-VO)
- Durchführung einer Grundrechte-Folgenabschätzung (Art. 27 KI-VO)
- Registrierung der Anwendung in der EU-Datenbank (Art. 49 und 71 KI-VO)
- Unterstützung bei der Durchführung des Konformitätsbewertungsverfahren (i.S.d. Art. 43 und 47 KI-VO)
KI-Beauftragter für Ihr Unternehmen bzw. Ihre Organisation
Gerne unterstützen wir Sie vollumfänglich als KI-Beauftragter. Dabei nehmen wir alle verschiedene Beratungstätigkeiten gebündelt wahr. Wir vereinbaren mit Ihnen ein jährliches Pauschalkontingent, das dann sämtliche Beratungstätigkeiten umfasst.
Initial beginnen wir unsere Tätigkeit als KI-Beauftragter mit einer KI-Bestandsaufnahme: Auf der Grundlage Ihres Verzeichnisses der Verarbeitungstätigkeiten, das gemäß Art. 30 DSGVO für Anwendungen zu führen ist, in denen personenbezogenen Daten verarbeitet werden, klassifizieren wir Ihre KI-Systeme nach
- verbotenen KI-Systemen,
- allgemeinen KI-Systemen,
- bestimmten KI-Systemen,
- Hochrisiko-KI-Systemen
und dokumentieren diese in unserem Managementsystem DSN port. Eine solche Klassifizierung der Systeme ist wichtig, da für die vier genannten KI-Systeme unterschiedliche gesetzliche Anforderungen existieren. Sofern kein Verzeichnis der Verarbeitungstätigkeiten vorhanden ist, erstellen wir bei Bedarf ein solches Verzeichnis gleich mit.
Wir schulen Ihre Mitarbeitenden und KI-Projektverantwortlichen u. a. mithilfe von eLearning-Kursen und führen speziell für KI-Projektverantwortliche und die Geschäftsführung Workshops zur strategischen Ausrichtung der KI im Unternehmen durch.
Bei der Einrichtung eines Risiko- und Qualitätsmanagementsystems, das für Hochrisiko-KI-Systeme zwingend vorgeschrieben ist, sind wir Ihnen ebenso behilflich, wie bei der Registrierung Ihres Hochrisiko-KI-Systems.
Auf der Grundlage der KI-Bestandsaufnahme unterstützen wir Sie in allen Fragen zur KI, beraten Sie sowohl strategisch als auch datenschutzrechtlich, führen Schulungen zur Stärkung der KI-Kompetenz durch und informieren Sie kontinuierlich über neue gesetzliche Anforderungen.
KI-Bevollmächtigter gemäß KI-VO
Gemäß Art. 54 der „Verordnung über künstliche Intelligenz“ (KI-VO) müssen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, die ihren Firmensitz außerhalb der EU haben, einen in der Union niedergelassenen Bevollmächtigten benennen, der u. a. die Qualität der technischen Dokumentation und anderer Nachweise überprüft und diese für nationale und europäische Behörden bereithält.
Wir verfügen über diese Kompetenz und können für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck den KI-Bevollmächtigten stellen. Nehmen Sie gerne Kontakt mit uns auf!
Schulung von Mitarbeitenden gemäß Art. 4 KI-VO
Durch KI-Tools können Aufgaben im Arbeitsalltag oft in deutlich kürzerer Zeit erledigt werden. Zudem bietet der Einsatz von KI viele neue Anwendungsmöglichkeiten, um Arbeitsergebnisse zu verbessern. Die „Verordnung über künstliche Intelligenz“ (KI-VO) sieht jedoch vor, dass Anbieter und Betreiber von KI-Systemen ihre Beschäftigten schulen müssen, um sicherzustellen, dass sie „über ein ausreichendes Maß an KI-Kompetenz verfügen“ (Art. 4 KI-VO). Betroffen von dieser Regelung sind Personen in Organisationen, die KI-Systeme (auch im Auftrag) nutzen oder sich mit deren Betrieb befassen. Bei der Vermittlung der KI-Kompetenz sind sowohl die jeweiligen Kenntnisse und Erfahrungen sowie die Ausbildung der Person zu berücksichtigen als auch der Kontext, in dem KI-Systeme eingesetzt werden sollen.
Wir schulen Ihre Mitarbeitenden und vermitteln ihnen die in Art. 4 KI-VO geforderte KI-Kompetenz – ganz nach Ihrem Bedarf. Sie können bspw. KI-Seminare oder -Webinare über unsere DSN Akademie buchen. Das Team der Akademie erstellt auf Wunsch auch unternehmensspezifische Schulungen für bestimmte Gruppen von Beschäftigten. Das eLearning-Angebot von DSN train haben wir ebenfalls erweitert und bieten hier sowohl einen Kurs zum Erwerb der KI-Kompetenz für Projektverantwortliche an als auch einen Kurs zum Erwerb von KI-Grundwissen. In unseren interaktiven eLearnings wird Wissen kompakt anhand von spannenden Geschichten aus der Praxis vermittelt und kann durch das Lösen von Aufgaben direkt angewendet werden.
Wichtig: Wenn Sie uns als Ihren externen KI-Beauftragten bestellen, dann sind Schulungen auch ein Teil unserer Beratungstätigkeit. Bei Fragen nehmen Sie gerne Kontakt mit uns auf!
Datenschutzrechtliche Bewertung
Unabhängig von den Pflichten der „Verordnung über die künstliche Intelligenz“ (KI-VO), müssen Betreiber von KI-Systemen umfangreiche datenschutzrechtliche Pflichten einhalten, sofern personenbezogene Daten verarbeitet werden. Wir unterstützen Sie an dieser Stelle vollumfänglich – z. B. bei der datenschutzrechtlichen Bewertung des Einsatzes von KI-Anwendungen, inklusive Aufnahme ins Verzeichnis der Verarbeitungstätigkeiten, der Prüfung von Verträgen zur Auftragsverarbeitung, der Bereitstellung von Datenschutzinformationen und der Durchführung einer Datenschutz-Folgenabschätzung, sofern erforderlich (Art. 5, 13, 28, 35 DSGVO).
Falls Überschneidungen im Hinblick auf die Anforderungen der KI-VO bzgl. Hochrisiko-KI-Systemen auftreten, berücksichtigen wir diese und nutzen die auftretenden Synergieeffekte.
Einbindung der KI in das Informationssicherheits-Managementsystem (ISMS)
Vertraulichkeit, Verfügbarkeit und Integrität von KI-Systemen spielen in Zukunft eine immer wichtigere Rolle im Hinblick auf die Prozesse von Organisationen. Wir unterstützen Sie auch hier bei der Einbindung von KI-Systemen in ein systematisches und ggf. schon vorhandenes Informationssicherheits-Managementsystem (ISMS), z. B. nach ISO/IEC 27001.
Durchführung von Penetrationstests
KI-Anwendungen, die auf großen Sprachmodellen (Large Language Models, LLMs) basieren, weisen häufig Schwachstellen auf. Um diese Schwachstellen und Sicherheitslücken erkennen zu können, führen wir auf Ihre KI-Anwendung Security Scans und Penetrationstests nach OWASP Top 10 for Large Language Model Applications durch und erstellen einen detaillierten Prüfbericht (Art. 15 und 55 KI-VO).
Ihre Ansprechpartner
Bei allen Fragen rund um das Thema KI sprechen Sie uns gerne an. Wir stellen Ihnen ein zu Ihrer Fragestellung passendes, interdisziplinäres Team aus Berater*innen zusammen.
Oliver Stutz, Volljurist
Geschäftsführer
E-Mail: ostutz@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-314
datenschutz nord GmbH, Bremen
Sven Venzke-Caprarese, Volljurist
Geschäftsführer
E-Mail: svenzke-caprarese@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-318
datenschutz nord GmbH, Bremen
Dr. iur.
Christian Borchers, Volljurist
Geschäftsführer
E-Mail: office@re-move-this.datenschutz-sued.de
Telefon: +49 931 30 49 76-0
datenschutz süd GmbH, Würzburg
Sie benötigen Unterstützung in Ländern außerhalb Deutschlands?
Als Unternehmensgruppe betreuen wir Sie natürlich auch außerhalb Deutschlands in vielen Sprachen. Die FIRST PRIVACY steht Ihnen mit einem internationalen Team von Jurist*innen und jahrelanger Erfahrung gerne zur Seite. Vereinbaren Sie ein unverbindliches Beratungsgespräch.
Peter Suhren, Volljurist
Geschäftsführer
E-Mail: psuhren@re-move-this.first-privacy.com
Telefon: +49 421 69 66 32-822
FIRST PRIVACY GmbH, Bremen
Cihan Parlar, LL.M. (Tilburg)
Geschäftsführer
E-Mail: cparlar@re-move-this.first-privacy.com
Telefon: +31 20 211 7116
FIRST PRIVACY B.V., Amsterdam
Häufig gestellte Fragen (FAQ)
KI-Prüfschema für Hochrisiko-KI-Systeme
Wenn Sie unsicher sind, ob Ihr KI-System unter die Regelungen für Hochrisiko-KI-Systeme fällt, bieten wir Ihnen unter dem folgenden Link ein Prüfschema für Hochrisiko-KI-Systeme an. Bei Fragen können Sie uns auch gerne jederzeit kontaktieren.
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance.
Hier finden Sie unsere neuesten Beiträge zur KI-Verordnung (engl. AI Act):