Welche Pflichten treffen Betreiber von Hochrisiko-KI-Systemen?
Betreiber von Hochrisiko-KI-Systemen treffen folgende Pflichten:
- Sicherstellung von KI-Kompetenz bei Personal u. sonstigen Personen, die mit Betrieb u. Nutzung von KI-Systemen befasst sind. (Art. 4 KI-VO)
- Unterlassung v. verbotenen Praktiken. (Art. 5 KI-VO)
- Implementierung eines Risikomanagements. (Art. 9 KI-VO)
- Sicherstellung menschlicher Aufsicht. (Art. 26 Abs. 2 KI-VO)
- Überwachung, dass vom Betreiber kontrollierte Eingabedaten dem Zweck des KI-Systems entsprechen und repräsentativ sind. (Art. 26 Abs. 4 KI-VO)
- Überwachung des Betriebs des KI-Systems. (Art. 26 Abs. 5 KI-VO)
- Informationspflichten gegenüber Anbietern, Händlern und Marktüberwachungsbehörde, wenn KI hohes Risiko für Gesundheit, Sicherheit oder Grundrechten von Personen birgt. (Art. 26 Abs. 5 KI-VO)
- Informationspflichten bei schwerwiegendem Vorfall gegenüber Anbieter, Einführer o. Händler und Marktüberwachungsbehörde. (Art. 26 Abs. 5 KI-VO)
- Aufbewahrung von automatisch erzeugten und unter der Kontrolle des Betreibers stehenden Protokollen für angemessenen Zeitraum, mindestens 6 Monate. (Art. 26 Abs. 5 KI-VO)
- Information der Arbeitnehmervertretung (sofern vorhanden) und der betroffenen Arbeitnehmer vor Verwendung des KI-Systems am Arbeitsplatz. (Art. 26 Abs. 7 KI-VO)
- Ggfs. (falls einschlägig) Durchführung einer Datenschutz-Folgenabschätzung. (Art. 26 Abs. 9 KI-VO)
- Information der vom KI-System betroffenen Personen. (Art. 26 Abs. 11 KI-VO)
- Zusammenarbeit mit zuständigen Behörden zur Umsetzung der KI-VO. (Art. 26 Abs. 12 KI-VO)
- Sofern einschlägig, Durchführung einer Grundrechte-Folgenabschätzung (Art. 27 KI-VO)
- Information der Betroffenen, sofern Emotionserkennungssystem oder KI zur biometrischen Kategorisierung betrieben wird. (Art. 50 Abs. 3 KI-VO)
- Offenlegung der Verwendung von KI-Systemen, die Deepfakes von Bild, Ton- oder Videos erzeugen. (Art. 50 Abs. 4 KI-VO)
- Offenlegung bei KI-erzeugten / manipulierten Texten, die Öffentlichkeit über Angelegenheiten v. öffentlichem Interesse informieren, es sei denn Inhalt unterliegt der menschlichen Überprüfung, redaktioneller Kontrolle oder jmd. trägt die Verantwortung für Veröffentlichung oder sie dient Strafverfolgung. (Art. 50 Abs. 4 KI-VO)
- Ergreifung notwendiger Korrekturmaßnahmen bei Produkten, die nach der Marktüberwachungsverordnung (VO EU 2019/1020) erhöhtes Risiko bergen, wenn Behörden feststellen, dass ein KI-System Anforderungen und Pflichten der KI-VO nicht erfüllt. (Art. 79 Abs. 2 KI-VO)
- Ergreifung notwendiger Korrekturmaßnahmen, wenn eine Behörde feststellt, dass das KI-System der KI-VO entspricht, aber dennoch ein Risiko für Gesundheit, Sicherheit oder Grundrechte von Personen oder Aspekte des Schutzes öffentlicher Interessen darstellt. (Art. 82 Abs. 1 KI-VO)
- Erläuterungspflicht der Entscheidungsfindung im Einzelfall ggü. Personen, die von einer Entscheidung des KI-Systems betroffen sind u. die rechtliche Auswirkungen haben oder Gesundheit, Sicherheit oder Grundrechte beinträchtigen (Ausnahme: Kritische Infrastruktur). (Art. 86 Abs. 1 KI-VO).Bereits bei der Auswahl des Hochrisiko-KI-Systems muss der Betreiber darauf achten, dass das KI-System bzw. der Anbieter des HRKIS bestimmte Voraussetzungen erfüllt. So müssen HRKIS im Hinblick auf Trainings-, Validierungs- und Testdatensätzen bestimmten Qualitätskriterien entsprechen (Art. 10 KI-VO). Es muss ferner eine ausreichende technische Dokumentation seitens des Anbieters erstellt werden (Art. 11 KI-VO). Um Aufzeichnungspflichten zu erfüllen, muss die KI eine Protokollierung ermöglichen (Art. 12 KI-VO). Insbesondere muss eine präzise, vollständige, eindeutige, barrierefreie und leicht verständliche Bedienungsanleitung vom Anbieter zur Verfügung gestellt werden. Darüber hinaus müssen HRKIS so konzipiert sein, dass sie während der Dauer ihrer Verwendung von natürlichen Personen wirksam beaufsichtigt werden können (Art. 14 KI-VO) und den Anforderungen aus Art. 15 KI-VO im Hinblick auf Genauigkeit, Robustheit und Cybersicherheit entsprechen.