Praxishandbuch KI-VO (eBook)

Natascha Windholz hat in Wien Rechtswissenschaften studiert. Nach ihrem Abschluss hat sie sich als Juristin für IT-Rechts- und Datenschutzagenden spezialisiert.

Inhalt 7
Vorwort 17
1 Was ist KI und wie unterscheiden sich Datenwissenschaft und Datenanalytik? 19
Gabriele Bolek-Fügl 19
1.1 Die Bausteine der KI 20
1.1.1 Daten 21
1.1.2 Algorithmen 23
1.1.3 Rechenleistung 25
1.1.4 Speicher 25
1.1.5 Messung und Modelloptimierung 26
1.1.6 Schnittstellen zur Interaktion 26
1.1.7 Sicherheit und Datenschutz 27
1.2 Datenwissenschaft und Datenanalytik 28
1.3 Entwicklung von KI in KMUs 29
2 Geopolitik der künstlichen Intelligenz 35
Veronica Cretu 35
2.1 Entstehende Landschaft von KI-Vorschriften 36
2.2 Das Rennen um die KI-Regulierung – die großen Drei 40
3 KI-Verordnung: Rechte und Pflichten 51
Gabriele Bolek-Fügl, Veronica Cretu, Julia Fuith, Merve Taner, Natascha Windholz, Carina Zehetmaier 51
3.1 Einführung zur KI-VO 52
3.1.1 Definition von KI-Systemen 57
3.1.2 Rollen von natürlichen oder juristischen Personen 58
3.1.3 Phasen der Markteinführung 60
3.1.4 Begriffe zur Nutzung von KI-Systemen 61
3.1.5 Datenbezogene Bezeichnungen 63
3.1.6 KI-Kompetenz 65
3.2 KI-Kompetenz für Anbieter 66
3.2.1 Einführung 67
3.2.2 Definition von KI-Kompetenz 70
3.2.3 KI-Kompetenz und die Bestimmungen der KI-VO 72
3.2.4 Vorschlag für ein Reifegrad-Framework für KI-Anbieter 74
3.3 Risikobasierter Ansatz 80
3.3.1 Verbotene KI-Systeme 80
3.3.2 Hochrisiko-KI-Systeme 87
3.3.2.1 Einstufung von KI als Hochrisiko-KI-System 87
3.3.2.2 Anhang III 91
3.3.2.3 Anforderungen an Hochrisiko-KI-Systeme 98
3.4 Grundrechtliche Folgenabschätzung 113
3.4.1 KI-VO und Grundrechte 114
3.4.1.1 Durchführung der Grundrechte-Folgenabschätzung 116
3.4.1.2 Folgenabschätzung als Teil von KI-Governance 126
3.4.1.3 Bereits bestehende Tools für Grundrechts-Folgenabschätzung 126
3.5 Harmonisierte Normen, Konformitätsbewertung, Bescheinigungen und Registrierung 128
3.5.1 Harmonisierte Normen und CE-Kennzeichnung 130
3.5.2 Konformitätsbewertungsverfahren 133
3.5.3 Ausnahmen vom Konformitätsbewertungsverfahren 136
3.5.4 EU-Konformitätserklärung 137
3.5.5 Registrierung 139
3.6 Transparenzverpflichtungen in der KI-VO 140
3.6.1 Leitlinien für die Umsetzung der Transparenzpflichten zu Daten und Datenverwaltung 143
3.6.2 Leitlinien für die Umsetzung der in Art. 13 KI-VO vorgesehenen Transparenzbestimmungen 145
3.6.3 Leitlinien zur Umsetzung der Transparenzpflichten für Anbieter und Bereitsteller bestimmter KI-Systeme und GPAI-Modelle 148
3.7 General Purpose Artificial Intelligence (GPAI) 150
3.7.1 ChatGPT: Beginn einer „KI-Revolution“? – Auswirkungen auf den Gesetzgebungsprozess 150
3.7.2 Aufnahme von GPAI in die KI-VO 152
3.7.3 KI-Modelle und KI-Systeme für den allgemeinen Verwendungszweck 153
3.7.3.1 Einstufungsvorschriften für GPAI-Modelle 153
3.7.3.2 Verpflichtungen 155
3.7.4 GPAI-Modelle mit systemischem Risiko 159
3.7.4.1 Einstufungsvorschriften für KI-Modelle mit allgemeinem Verwendungszweck mit systemischem Risiko gemäß Art. 51 KI-VO 159
3.7.4.2 Verpflichtungen für GPAI-Modelle mit systemischem Risiko gemäß Artikel 55 161
3.7.5 GPAI-Modelle und Hochrisiko-Systeme 162
3.7.6 Umsetzungsfrist und Strafen 162
3.8 KI-Reallabore 163
3.8.1 Einrichtung und Funktionsweise 164
3.8.2 Weiterverarbeitung von personenbezogenen Daten 167
3.8.3 Tests außerhalb von KI-Reallaboren 168
3.8.4 Einwilligungen zu Tests außerhalb von Reallaboren 170
3.8.5 Erleichterungen für KMUs 170
3.9 Behörden 171
3.9.1 Notifizierende Behörde 171
3.9.2 Konformitätsbewertungsstellen und notifizierte Stellen 172
3.10 Governance in der KI-VO 176
3.10.1 KI-Büro 176
3.10.2 KI-Gremium 176
3.10.2.1 Zusammensetzung 176
3.10.2.2 Aufgaben des KI-Gremium 177
3.10.3 Beratungsforum 178
3.10.4 Wissenschaftliches Gremium 179
3.10.5 Nationale Behörden 179
3.10.6 EU-Datenbank für Hochrisiko-KI-Systeme 180
3.10.7 Beobachtung nach Inverkehrbringen des KI-Systems 180
3.10.8 Austausch von Informationen über schwerwiegende Vorfälle 181
3.10.9 Rechtsdurchsetzung 182
3.10.10 Vertraulichkeit von Verfahren 183
3.10.11 Verfahren auf nationaler Ebene für den Umgang mit KI-Systemen, die ein Risiko bergen 184
3.10.12 Verfahren für KI-Systeme, die vom Anbieter nicht als Hochrisiko-KI klassifiziert wurden 185
3.10.13 Konforme KI-Systeme, die ein Risiko bergen 185
3.10.14 Formale Nichtkonformität 186
3.10.15 Rechtsmittel 186
3.10.15.1 Recht auf Erklärung einer Entscheidung 186
3.10.15.2 Rechtsmittel bei GPAI 187
3.11 Strafen und Sanktionen 188
3.12 KMUs und Start-ups in der KI-VO 191
3.12.1 Erleichterungen und Ausnahmen für KMUs und Start-ups 192
3.12.2 Checkliste: neues KI-System nach der KI-VO auf den Markt bringen 194
4 Datenschutz 201
Gabriele Bolek-Fügl 201
4.1 Allgemeine Anforderungen der DSGVO 203
4.1.1 Grundsätze für die Verarbeitung personenbezogener Daten 205
4.1.2 Rechtmäßigkeit der Verarbeitung 210
4.1.3 Informationspflicht bei Erhebung personenbezogener Daten 212
4.1.4 Rechte der betroffenen Personen 213
4.2 Datenschutz durch Technikgestaltung 215
4.2.1 Privacy by Design und Privacy by Default 215
4.2.2 Verantwortung für die gesetzeskonforme Verarbeitung 217
4.3 Anforderungen für Testdaten 219
4.4 Automatisierte Entscheidungsfindung 220
4.5 Orientierungshilfen und Empfehlungen der Datenschutz-Aufsichtsbehörden zu DSGVO und KI 224
4.5.1 Veröffentlichungen des European Data Protection Boards (Auszug) 224
4.5.2 Empfehlungen der DSK 227
4.5.3 Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg 231
4.5.4 Hamburgischer Beauftragter für Datenschutz zu LLMs 231
4.5.5 FAQ der österreichischen Datenschutzbehörde 234
4.6 ChatGPT und die Datenschutzbeschwerde von noyb 235
5 Geistiges Eigentum 239
Alexandra Ciarnau 239
5.1 Schutz der KI und ihrer Komponenten 240
5.1.1 Urheber- und Leistungsschutzrechte 242
5.1.1.1 Allgemeines 242
5.1.1.2 Individuell entwickelte KI-Systeme 242
5.1.1.3 Individuell entwickelte KI-Modelle 242
5.1.1.4 Input- und Trainingsdatenpool 243
5.1.1.5 Anwenderdokumentation und Benutzerhandbuch 243
5.1.1.6 Rechte und Ansprüche des Urhebers bzw. der Urheberin 244
5.1.1.7 Rechteeinräumung 245
5.1.1.8 Open-Source-Software 246
5.1.1.9 Patent- und Gebrauchsmusterschutz 246
5.1.2 Geschäftsgeheimnisschutz 247
5.2 Legal IP-Compliance beim Einsatz von KI 248
5.2.1 KI-Input-Seite 249
5.2.1.1 IP-rechtlich geschützte Input-Daten 249
5.2.1.2 KI-VO-Anforderungen an KI-Systeme 251
5.2.2 KI-Output-Seite 251
5.3 Checkliste 254
5.4 Referenztabelle Rechtsvorschriften 255
6 KI und IT-Vertragsrecht 259
Alexandra Ciarnau, Merve Taner 259
6.1 Lizenzierung von Standardsoftware 261
6.2 Softwareentwicklung 264
6.3 Softwarewartung 266
6.4 Open-Source-Software 267
6.4.1 Open-Source-KI – Wegbereiter für die Zukunft? 268
6.4.2 Definition von Open Source und Rechtsgrundlage 270
6.4.3 Rechtliche Problemfelder im Zusammenhang mit Open Source nach bereits existierenden Rechtsgrundlagen 271
6.4.4 Open-Source-Software-Strategie der Europäischen Kommission 275
6.4.5 Ausnahmen für Open Source in der KI-VO 275
6.5 Hardwarekauf und -wartung 278
6.6 Allgemeines zur Haftung 279
6.7 Referenztabelle Rechtsvorschriften 282
7 Privater Sektor 285
Kristina Altrichter, Gabriele Bolek-Fügl, Karin Bruckmüller, Alexandra Ciarnau, Julia Eisner, Isabella Hinterleitner, Manuela Machner, Renate Rechinger, Carina Zehetmaier, Klaudia Zotzmann-Koch 285
7.1 KI – von Vorurteilen zur Diskriminierung 285
7.1.1 Recht auf Gleichheit und Nichtdiskriminierung 291
7.1.2 Wie Vorurteile ihren Weg in die KI finden 294
7.1.2.1 Wie die KI-Verordnung Diskriminierung adressiert 297
7.1.2.2 Can we fix bias in AI? 300
7.2 Einsatz von KI in der Finanzbranche 303
7.2.1 Ausnahmen vom Anwendungsbereich 304
7.2.2 Verbotene KI-Systeme 306
7.2.3 Hochrisiko-KI-Systeme 309
7.2.3.1 Klassifizierung 309
7.2.3.2 Widerlegung der Hochrisiko-Eigenschaft 312
7.2.3.3 Wechselwirkungen zwischen Finanzregularien und der KI-VO 313
7.2.4 KI-Systeme/-Modelle mit allgemeinem Verwendungszweck 314
7.2.5 Bestimmte KI-Systeme 315
7.2.6 Behördenkompetenzen 315
7.3 KI im Versicherungswesen 316
7.3.1 Dynamic Underwriting und Risikoprüfung in der Krankenversicherung 318
7.4 KI und Whistleblowing 321
7.4.1 Whistleblower für die Kategorie KI 325
7.4.2 Einsatzgebiete von KI bei der Umsetzung der EU-Whistleblowing-Richtlinie 328
7.4.2.1 Herausforderungen im Whistleblowing-Prozess 328
7.4.2.2 Ablauf des Whistleblowing Use Case 331
7.5 Einsatz von KI bei zukünftigen und bestehenden Arbeitsverhältnissen 334
7.5.1 Verfassen von Stellenanzeigen mit KI 336
7.5.2 KI-Unterstützung bei Bewerberauswahl mittels Videoanalyse [4] 338
7.6 Einsatz von KI in der Bildung 341
7.6.1 Rollen in der KI-VO 343
7.6.2 KI-Kompetenz (Art. 4 KI-VO) 344
7.6.3 KI-Systeme mit „begrenztem“ Risiko in der Bildung 345
7.6.4 Hochrisiko-KI-Systeme in der Bildung 346
7.6.5 Verbotene KI-Systeme in der Bildung 350
7.7 KI im Gesundheitswesen 351
7.7.1 Beispiel: KI-Diagnose von Hauterkrankungen 352
7.7.1.1 Hochrisiko-KI-Einstufung im Sinne der KI-VO 353
7.7.1.2 Anforderungen und Pflichten des Krankenhausbetreibers nach der KI-VO 353
7.8 KI in der Werbung 357
7.8.1 Rechtliche Vorgaben für KI in der Werbung 358
7.8.1.1 Verbotene KI-Systeme 358
7.8.1.2 Schnittmengen mit weiteren Gesetzen 359
7.8.1.3 Datenhandel 360
7.8.1.4 Personalisierung 361
7.8.2 Energieverbrauch und Nachhaltigkeit 361
7.8.3 Best Practice: Generative KI in der Kreation 362
7.9 Tourismus 364
7.9.1 Use Case: Operative Effizienz 365
7.9.2 Use Case: Gästeerlebnisse 372
7.9.3 Use Case: Smarte Betriebe 376
7.10 Einsatz von KI beim autonomen Fahren 380
7.10.1 Österreichische & internationale Gesetzgebung
7.10.2 Entwicklung autonomer Fahrfunktionen 383
7.10.3 Die KI-VO und autonomes Fahren 385
8 Öffentlicher Sektor 387
Kristina Altrichter, Karin Bruckmüller, Veronica Cretu, Theresa Tisch, Natascha Windholz 387
8.1 „Public Decision-Making“ und KI 387
8.1.1 Anwendungsfälle in Anhang III der KI-VO 388
8.1.2 Beispiel: Vergabe von Sozialleistungen 389
8.1.3 Beispiel: Vergabe von Kindergartenplätzen („Kitaplätze“) 391
8.2 Einsatz von KI in der Strafverfolgung 392
8.2.1 Einsatz biometrischer Echtzeit-Fernidentifizierungssysteme 393
8.2.2 Umsetzungspflichten der Mitgliedstaaten 396
8.3 Einsatz von KI bei Wahlen und demokratischen Prozessen 396
8.3.1 Aufkommende Diskussionen über die Auswirkungen von KI auf Demokratie und Wahlprozesse 397
8.3.2 Wie ist KI im Zusammenhang mit Wahlen zu definieren? 400
8.3.3 Nutzung der Chancen und Minimierung von Risiken durch KI-Einsatz 400
8.3.4 KI und Integrität von Wahlen: eine hypothetische Analyse des Cambridge Analytica-Skandals im Rahmen der KI-VO 407
8.4 Einsatz von KI im NIS-Sektor 412
8.4.1 Einführung NIS und NIS 2 412
8.4.1.1 NIS2 413
8.4.2 Bedeutung von NIS2 für die Lieferkette 415
8.4.3 Einsatz von KI in NIS-Unternehmen 416
8.4.3.1 Anhang I KI-VO 416
8.4.3.2 Anhang III KI-VO 417
9 Ethik 421
Gabriele Bolek-Fügl, Valerie Hafez, Sabine Singer 421
9.1 Ethik-Leitlinien für vertrauenswürdige KI 421
9.1.1 Worum geht es? 422
9.1.2 Ethische Grundsätze der Leitlinien 423
9.1.3 Kernanforderungen 424
9.1.4 Methoden zur Umsetzung der Kernanforderungen 427
9.1.5 Werkzeuge für die Umsetzung 428
9.2 Relevante KI-Richtlinien & Policys
9.2.1 Empfehlung des OECD-Rats zu künstlicher Intelligenz 431
9.2.2 The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence 434
9.2.3 Compliance-Werkzeuge für viele Gelegenheiten 437
9.2.4 Artificial Intelligence Risk Management Framework 442
9.2.5 Weitere prägende Ethik-Richtlinien 444
9.3 EU- und weltweite Organe, Gremien und Ausschüsse 447
9.4 Vom Digitalen Humanismus zum wertebasierten KI-System 449
9.4.1 Value-based Engineering 451
9.4.2 Vorteile und strategische Bedeutung von Value-based Engineering 454
9.4.3 Fazit 456
10 Governance im Unternehmen 457
Gabriele Bolek-Fügl, Karin Bruckmüller, Veronica Cretu, Valerie Hafez, Klaudia Zotzmann-Koch 457
10.1 Praxisbeispiel: Beurteilung eines Use Cases nach der KI-VO 457
10.1.1 Beschreibung des Use Cases: KI-gestützte Brandfrüherkennung und Alarmierungssystem 458
10.1.2 Wie geht man an die Bearbeitung heran? 458
10.1.3 Fazit 468
10.2 Risikomanagement, menschliche Aufsicht und nützliche Werkzeuge 469
10.2.1 Governance im Lebenszyklus eines KI-Systems einbetten 470
10.2.2 Risiken erkennen und adressieren 471
10.2.2.1 Annäherungen an Risiken, Vorfälle, Unfälle und Betroffenheiten 471
10.2.2.2 Risiken messen 473
10.2.2.3 Verantwortung bei Vorfällen und Unfällen 474
10.2.2.4 Unbekanntes wahrnehmen und kontrollieren 475
10.2.3 Menschliche Aufsicht 476
10.2.3.1 Aufsicht aufschlüsseln 478
10.2.3.2 Aufsichtskompetenzen entwickeln und beibehalten 479
10.2.3.3 Aufsicht kontextsensibel gestalten 480
10.2.3.4 Externe bei der Aufsicht einbinden 480
10.2.3.5 Menschliche Aufsicht: Für und Wider 482
10.2.4 Fazit 483
10.3 Daten- und Wissensmanagement 485
10.3.1 Säulen des Data Governance Frameworks 491
10.4 Audit von künstlicher Intelligenz 497
10.4.1 Grundsätzliches zum Audit 498
10.4.2 Audit-Team 499
10.4.3 Unterschied Risikomanagement und Audit 500
10.4.4 Hilfreiche Audit-Checklisten 501
10.4.5 Praktisches Beispiel einer einfachen KI-Audit-Checkliste 503
10.5 Verhaltenskodex/Code of Conduct 507
10.5.1 Beispiel eines Code of Conduct für den Einsatz von künstlicher Intelligenz im Unternehmen 511
10.5.2 Weitere Betrachtungen zum KI-Verhaltenskodex 516
10.6 KI und Nachhaltigkeit 517
10.6.1 ESG – Environmental, Social and Corporate Governance 518
10.6.2 Diversität, Inklusion, Gerechtigkeit 519
10.6.3 Nutzen für die Umwelt 520
10.6.4 Hochrisiko-KI-Systeme 521
10.6.5 Lieferketten 522
10.6.6 Fazit 523
11 Die Autorinnen 525
Index 531