Checkliste: Betreiberpflichten für KI-Systeme

Hier ein kurzer Abriss zu dem wohl häufigsten Anwendungsfall: Dem Betreiben von KI gestützten Systemen, die nicht selbst entwickelt sind.

Checkliste: Betreiberpflichten für KI-Systeme nach der DSGVO und dem AI Act im Überblick

Allgemeine Pflichten

1. Schulung und KI-Kompetenz, Art. 4 AI Act

• • Personal und andere Personen müssen im Umgang mit dem KI-System und den damit verbundenen Pflichten geschult werden.

2. Grundlagen der DSGVO einhalten, Art. 5 Abs. 1 Buchst. a, 6, 9, 12–22 DSGVO

• • Sicherstellung der Einhaltung der Grundsätze der Datenverarbeitung sowie der Rechtmäßigkeit und Wahrung der Betroffenenrechte.

3. Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

• • Bei Verarbeitung personenbezogener Daten mit hohem Risiko ist eine DSFA durchzuführen.

4. Technische und organisatorische Maßnahmen (TOMs), Art. 5 Abs. 1 Buchst. f, 24, 25, 32 DSGVO

• • Implementierung angemessener Sicherheitsmaßnahmen zum Schutz personenbezogener Daten.

5. Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO

• • Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, insbesondere bei Verarbeitung personenbezogener Daten.

6. Auftragsverarbeitungsvertrag, Art. 28 Abs. 3 DSGVO

• • Abschluss eines Auftragsverarbeitungsvertrags, wenn die Verarbeitung nicht selbst, sondern durch eine andere Person wahrgenommen wird.

Zusätzliche Pflicht bei KI-Systemen mit beschränktem Risiko

• • Betroffene Personen müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Unter bestimmten Umständen muss offengelegt werden, dass Inhalte künstlich erzeugt oder manipuliert wurden.

Zusätzliche Pflichten bei Hochrisiko KI Systemen

1. Verwendung gemäß Betriebsanleitung, Art. 26 Abs. 1 AI Act

• • Das KI-System muss entsprechend den Anweisungen des Anbieters verwendet werden.

2. Menschliche Aufsicht sicherstellen, Art. 26 Abs. 2 AI Act

• • Zuweisung qualifizierter Personen zur Überwachung des KI-Systems

3. Zweckbestimmung, Art. 26 Abs. 4 AI Act

• • Sicherstellung, dass Eingabedaten der Zweckbestimmung des Hochrisikosystem entsprechen und ausreichend repräsentativ sind.

4. Überwachung und Meldung von Vorfällen, Art. 26 Abs. 5 AI Act

• • Kontinuierliche Überwachung des Systembetriebs und Meldung von Risiken oder schwerwiegenden Vorfällen an den Anbieter und die zuständigen Behörden.

5. Protokollierung, Art. 26 Abs. 6 AI Act

• • Aufbewahrung der vom KI-System erzeugten Protokolle für mindestens sechs Monate.

6. Information der Beschäftigten, Art. 26 Abs. 7 AI Act

• • Vor dem Einsatz des Systems am Arbeitsplatz müssen die betroffenen Mitarbeiter informiert werden.

7. Registrierungspflicht, Art. 49 AI Act

• • Öffentliche Stellen oder Gatekeeper müssen die Nutzung des Hochrisiko KI Systems in der EU-Datenbank registrieren.

8. Fundamental Rights Impact Assessment (FRIA) für bestimmte Arten von Betreibern, Art. 27 AI Act

• • Durchführung einer Bewertung der Auswirkungen des KI-Systems auf die Grundrechte betroffener Personen.

Ein Auszug aus dem Buch Garling/Niemann/Roßmann, Generative KI in der Rechtsberatung, 1. Auflage, 2025, S 282-284.

Eine weitere kostenlose Leseprobe finden Sie in unserer Onlinebibliothek Anwaltspraxis Wissen