Meldepflichten für KI-Vorfälle

Falls es sich um ein Hochrisiko-KI-System handelt, kann eine Meldepflicht nach der KI-VO (Art. 73) bestehen. Die Meldung muss in folgenden Fristen erfolgen:

  • Innerhalb von 15 Tagen, wenn ein Zusammenhang zwischen dem KI-System und dem Vorfall festgestellt wurde.
  • Innerhalb von 2 Tagen, wenn es sich um einen weitverbreiteten Vorfall handelt, der größere Gruppen betrifft.
  • Innerhalb von 10 Tagen, wenn der Vorfall zu einem Todesfall oder schwerer körperlicher Schädigung geführt hat.

Die Meldung erfolgt an die zuständige Marktüberwachungsbehörde des jeweiligen Mitgliedstaats. Falls personenbezogene Daten betroffen sind, muss zusätzlich eine Meldung nach Art. 33 DSGVO an die zuständige Datenschutzaufsicht innerhalb von 72 Stunden erfolgen.

Quicktipps Meldefristen der KI-Verordnung

Untersuchung der Ursachen und langfristige Maßnahmen

Nachdem der Vorfall eingedämmt wurde, muss eine detaillierte Untersuchung stattfinden, um herauszufinden, warum es zu dem Problem gekommen ist. Dazu gehören:

  • Analyse der Trainingsdaten auf Verzerrungen oder Fehler
  • Überprüfung der Entscheidungslogik des KI-Systems
  • Bewertung der Datensicherheit und der menschlichen Kontrollmechanismen
  • Falls erforderlich, erneute Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO

 

Wenn durch den Vorfall größere Schwachstellen im System oder in den Unternehmensprozessen aufgedeckt wurden, müssen entsprechende technische und organisatorische Maßnahmen (TOMs) ergriffen werden. Dazu kann gehören:

  • Nachbesserung des KI-Modells oder Umstellung auf eine sicherere Lösung
  • Schulung der Mitarbeitenden, um bessere Entscheidungen im Umgang mit KI zu treffen
  • Anpassung der internen Kontrollmechanismen und Einführung regelmäßiger Audits
  • Überarbeitung der Unternehmensrichtlinien für KI-Nutzung
Muster Richtlinie KI-Vorfall

Muster

Richtlinie für KI-Vorfälle


Jetzt kostenlos herunterladen

Abschlussbericht und „Lessons Learned“

Jeder KI-Vorfall sollte mit einem detaillierten Bericht abgeschlossen werden. Dieser Bericht enthält:

  • Eine Zusammenfassung des Vorfalls
  • Die ergriffenen Maßnahmen zur Eindämmung
  • Die Untersuchungsergebnisse zur Ursache
  • Die umgesetzten Verbesserungen zur Vermeidung zukünftiger Vorfälle

NOVIDATA Updates

Newsletter Datenschutz, IT-Sicherheit & KI

Mit unserem Newsletter erhälst du aktuelle Informationen zu den Themen Datenschutz, IT-Sicherheit & KI regelmäßig bequem in dein Postfach!

Jetzt anmelden

Fazit

Der richtige Umgang mit KI-Vorfällen ist entscheidend, um Risiken für Unternehmen und betroffene Personen zu reduzieren. Ein gut durchdachter Notfallplan hilft dabei, schnell zu reagieren, Schäden zu begrenzen und regulatorische Anforderungen zu erfüllen. Unternehmen sollten diesen Plan regelmäßig überprüfen und testen, um ihre Systeme kontinuierlich zu verbessern und das Vertrauen in KI-Technologien zu stärken.

Weitere Themen zu KI, KI-VO und und KI-Kompetenz

Übersicht
KI-Verordnung
Akademie
Downloads
Inhalt wird geladen ...