Die neue KI-Verordnung: Was ist zu beachten? – Teil 2: Pflichten bei Hochrisiko-KI-Systemen

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI VO) wird etappenweise bis zum 2. August 2026 wirksam. Um einen verantwortungsvollen Einsatz von KI zu gewährleisten, rückt die Verordnung ein ausgewogenes Verhältnis zwischen dem Grundrechteschutz und der Förderung von Innovationen in den Mittelpunkt. Im Rahmen einer Artikelserie geben wir einen ersten Überblick und wichtige Hinweise für die Praxis. Nachdem wir im Rahmen des ersten Teils (siehe Solidaris Information 4/2024) einen Überblick über die KI-VO gegeben haben, befassen wir uns nun mit den konkreten Maßnahmen und Pflichten, die Betreiber von Hochrisiko-KI-Systemen betreffen.


Betreiber sind nach Art. 3 Nr. 4 KI-VO natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System in eigener Verantwortung verwenden, es sei denn, dass KI-System wird im Rahmen der persönlichen nichtberuflichen Tätigkeit verwendet. Welche KI-Systeme als Hochrisiko einzustufen sind, ergibt sich aus Art. 6 Abs. 1 bis 3 KI-VO. Die für die Gesundheits- und Sozialwirtschaft wichtigsten Fälle sind in Art. 6 Abs. 1 i. V. m. Anhang I und Art. 6 Abs. 2 i. V. m. Anhang III KI-VO geregelt. Als Hochrisiko-KI-Systeme sind demnach insbesondere KI-Systeme anzusehen,

  • die in Medizinprodukten eingesetzt werden oder selbst solche sind.
  • die im Rahmen der allgemeinen oder beruflichen Bildung eingesetzt werden und dort zur Feststellung des Zugangs oder zur Bewertung von Lernergebnissen dienen.
  • die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um Bewerbungen zu sichten und Bewerber zu bewerten.
  • die dazu verwendet werden, Entscheidungen über die Bedingungen, die Beförderung oder die Beendigung des Arbeitsverhältnisses zu treffen oder die Leistung und das Verhalten von Personen in einem solchen Arbeitsverhältnis zu überwachen und zu beurteilen.
  • die dazu eingesetzt werden, um zu beurteilen, ob natürlich Personen Anspruch auf grundlegende öffentliche Unterstützungsleistungen und -dienste einschließlich Gesundheitsdiensten haben und ob entsprechende Leistungen zu entziehen sind.
  • die dazu eingesetzt werden, Notrufe von Personen zu klassifizieren oder den Einsatz von Notfall- und Rettungsdiensten zu priorisieren, sowie Systeme zur Patienteneinteilung bei der Notfallversorgung (Triage).
     

Pflichten und Maßnahmen im Überblick

Hochrisiko-KI-Systeme bergen – wie der Name schon sagt – besondere Risiken für die Personen, die mit dem KI-System in Berührung kommen. Um diese Risiken zu reduzieren, hat der Verordnungsgeber den Betreibern von Hochrisiko-KI-Systemen eine Reihe von Pflichten auferlegt:

Durchführung einer Bestandsaufnahme der KI-Systeme/Kategorisierung (Art. 6, 7, 11 KI-VO)

Die Bestandsaufnahme wird nicht explizit als eigene Pflicht für Betreiber aufgeführt, sondern wird vielmehr als implizite Pflicht vorausgesetzt. Betreiber müssen bereits vor dem Einsatz eines KI-Systems feststellen, in welche Kategorien das System einzuordnen ist. Davon ist auch der einzuhaltende Pflichtenkatalog abhängig. Daher empfiehlt es sich, frühzeitig eine Kategorisierung aller bestehenden und geplanten KI-Systeme vorzunehmen. Eine Bestandsaufnahme mit folgenden Inhalten kann dabei eine wertvolle Unterstützung darstellen:

  • Funktion des KI-Systems: Klärung, wofür das System eingesetzt wird, wie es funktioniert und welche Ergebnisse es liefern soll.
  • Datenquellen: Analyse, welche Daten das System nutzt, wie diese erhoben werden und ob sie datenschutzkonform verarbeitet werden.
  • Risiken identifizieren: Welche Systeme sind als Hochrisiko einzustufen?
  • Konformität sicherstellen: Sind die eingesetzten KI-Systeme mit der KI-VO kompatibel?
  • Effizient planen: Welche Systeme benötigen Anpassungen oder eine Datenschutz-Folgenabschätzung?

Durchführung einer Datenschutz-Folgenabschätzung (Art. 26 Abs. 9 KI-VO)

Beim Einsatz von Hochrisiko-KI-Systemen zur Verarbeitung von personenbezogenen Daten ist aufgrund der Nutzung einer neuen Technologie auch eine Datenschutz-Folgenabschätzung durchzuführen.

Technische und organisatorische Maßnahmen (Art. 26 Abs. 1 KI-VO)

Es sind technische und organisatorische Maßnahmen zu
ergreifen, um beim Betrieb der KI den durch die sogenannte Betriebsanleitung vorgegebenen Rahmen einzuhalten. 

Einsatz von geschulten und qualifizierten Aufsichtspersonen (Art. 26 Abs. 2 KI-VO)

Ebenso wichtig ist, dass der Betreiber nur solchen Personen die Aufsicht über das KI-System überlassen darf, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen. Die Aufsichtsperson muss jederzeit in der Lage sein, die Kontrolle über das System auszuüben, insbesondere bei Entscheidungen, die wesentliche Auswirkungen auf Einzelpersonen haben. Daraus ergibt sich eine umfassende Pflicht zur Schulung der Personen, die das KI-System bedienen sollen.

Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme (Art. 27 KI-VO)

Für manche Hochrisiko-Systeme ist sogar eine umfassende Grundrechte-Folgenabschätzung durchzuführen. Diese soll sicherstellen, dass das System keine Diskriminierung fördert, die Privatsphäre der Nutzer respektiert und anderen Grundrechten Rechnung trägt. Die wesentlichen Aspekte der Grundrechte-Folgenabschätzung sind:

  • Wahrung der Privatsphäre: Da im Sozial- und Gesundheitssektor oft sensible Daten verarbeitet werden, muss sichergestellt werden, dass entsprechende Daten vor unbefugtem Zugriff oder Missbrauch geschützt sind. Die Abschätzung prüft, ob das System den Datenschutzvorgaben entspricht und ob die Verarbeitung der Daten minimiert und sicher gestaltet sind.
  • Diskriminierungsfreiheit: Die KI darf keine voreingenommenen oder diskriminierenden Entscheidungen treffen, etwa aufgrund von Geschlecht, ethnischer Herkunft oder sozialem Status. 

Monitoring und Reporting (Art. 26 Abs. 5, 73 KI-VO)

Betreiber sind verpflichtet, die Leistung der KI-Systeme fortlaufend zu überwachen. Bei Vorfällen oder Sicherheitslücken muss eine Meldung an den Anbieter bzw. die zuständigen Behörden erfolgen.

Profiling (Art. 22 DS-GVO)

Zusätzlich sind die Vorgaben des Datenschutzes zu beachten. KI-Systeme, die automatisiert personenbezogene Daten verarbeiten, dürfen nur im Ausnahmefall (u. a. zu Vertragszwecken oder nach Einwilligung, Art. 22 Abs. 2 DS-GVO) Entscheidungen fällen, die gegenüber dem Betroffenen zu rechtlichen Wirkungen führen. Hier genügt laut EuGH (Schufa-Urteil) bereits, dass die KI eine Entscheidung vorbereitet bzw. vorwegnimmt, also der Nutzer diese als maßgeblich übernimmt.
 

Praxis-Hinweis

Die Anforderungen der KI-VO sind komplex. Insbesondere die Identifikation von Hochrisiko-KI-Systemen und die Durchführung einer rechtssicheren Grundrechte-Folgenabschätzung erfordern spezialisierte Expertise. Analysieren Sie im Rahmen einer Bestandsaufnahme, welche KI-Systeme Ihre Einrichtung betreibt. Seit dem 2. Februar 2025 dürfen KI-Systeme, die ein unannehmbares Risiko darstellen, nicht mehr verwendet werden. Stellen Sie außerdem sicher, dass alle Mitarbeiter, die KI-Systeme verwenden, ein ausreichendes KI-Verständnis haben.

Adrian Hellekes
Autor
+49 761 79186-25
Kontaktformular
vCard
Solidaris Alexander Gottwald
Autor
+49 251 48261-173
Kontaktformular
vCard
Adrian Hellekes
Autor
Adrian Hellekes
IT Compliance Manager (ISACA), Datenschutzbeauftragter (TÜVcert.), AI-Privacy-Expert (GDDcert. EU)
+49 761 79186-25
Kontaktformular
vCard
Solidaris Alexander Gottwald
Autor
Alexander Gottwald
Rechtsanwalt
+49 251 48261-173
Kontaktformular
vCard

Weitere Artikel, die Sie interessieren könnten

13.03.2025

Die letzten beiden Stellungnahmen der Regierungskommission zur Krankenhausreform - Was sind die Empfehlungen für die Zukunft?

Die im Mai 2022 eingerichtete Regierungskommission von Karl Lauterbach, deren Einsatz zur Abgabe von Empfehlungen für die notwendigen Reformen im Krankenhausbereich erfolgte, beendete nunmehr am letzten Freitag (7. März 2025) ihre Arbeit. Zum Abschluss gab sie ihre letzten beiden Stellungnahmen (13.(...)
10.03.2025

Omnibus-Verfahren: Weniger Berichtspflichten – Was ändert sich für die Gesundheits- und Sozialwirtschaft?

Die Europäische Kommission hat mit dem Omnibus-Verfahren umfassende Änderungen bei der CSRD (Corporate Sustainability Reporting Directive), der Taxonomie-Verordnung und der CSDDD (Corporate Sustainability Due Diligence Directive) auf den Weg gebracht. Ziel ist es, die Berichtspflichten für kleinere(...)
19.02.2025

KHVVG-Planungshilfe

Die Definitionen der Leistungsgruppen des Bundes sind bekannt. Wir haben an ca. 60.000 Fällen die unterschiedlichen Ergebnisse zwischen den beiden Leistungsgruppensystemen (NRW/Bund) simuliert.
18.02.2025

Nachhaltigkeitsberichterstattung – CSRD-Umsetzung stockt

Die Umsetzung der Corporate Sustainability Reporting Directive (CSRD) in nationales Recht verzögert sich weiterhin. Ursprünglich sollte die Umsetzung bis zum 6. Juli 2024 erfolgt sein, doch bislang gibt es lediglich einen Regierungsentwurf für das Umsetzungsgesetz. Angesichts der anstehenden(...)
18.02.2025

Schwierige Rahmenbedingungen in der Altenhilfe

Die Altenhilfebranche befindet sich in schweren wirtschaftlichen Turbulenzen. Regelmäßig wird von neuen Insolvenzen in der Altenpflege berichtet. „Jeden Tag schließen zwei Einrichtungen“ (FOCUS Online). „Durch die Branche rollt eine nie da gewesene Insolvenzwelle, hunderte Altenheime stehen vor der(...)
18.02.2025

EU-Vorgaben für die Barrierefreiheit von Websites

Was sich wie ein weiteres Bürokratiestärkungsgesetz liest, kommt als Tandem daher und hört auf die Namen Barrierefreiheitsstärkungsgesetz (BFSG) und Verordnung zum Barrierefreiheitsstärkungsgesetz (BFSGV). Gemeinsam dienen sie der Umsetzung der EU-Richtlinie 2019/882 über die(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß