Aufzeichnungspflichten gem. Art. 12 KI-VO: Protokolle während Lebensdauer von KI-Systemen

Die EU-KI-Verordnung (KI-VO) sieht vor, dass Anbieter und Betreiber hochriskanter KI-Systeme gem. Artikel 12 KI-VO, bestimmte Aufzeichnungsvorgaben einhalten, und zwar während des gesamten Lebenszyklus einer KI. Eine ständige Überprüfbarkeit ist sinnvoll, damit KI-Systeme nicht in einer Black Box verschwinden.

Bisher besteht für Anbieter die Pflicht, technische Möglichkeiten für Protokollierungen zu schaffen. Eine tatsächliche Pflicht, diese durchzuführen, legt Art. 12 KI-VO bisher nicht fest. (1)

Aufzeichnungspflichten

Art. 12 KI-VO beschreibt, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt werden sollen, dass während ihres Betriebs automatische Protokolle oder Aufzeichnungen erstellt werden. Diese müssen ausreichend detailliert sein, damit

• die Funktionsweise des Systems nachvollzogen werden kann,
• Fehler oder Unregelmäßigkeiten identifiziert werden und
• Aufsichtsbehörden eine Überprüfung der Einhaltung gesetzlicher Vorgaben ermöglicht wird.

Die Art der aufzuzeichnenden Informationen richtet sich nach dem Zweck und den Risiken des jeweiligen KI-Systems. Typische Beispiele sind:

• Eingabedaten und Ergebnisse der Verarbeitung,
• wesentliche Parameter und getroffene Entscheidungen,
• Informationen über menschliche Eingriffe oder Systemänderungen.

Die Aufzeichnungen müssen datenschutzkonform verarbeitet werden: Personenbezogene Daten dürfen nur gespeichert werden, wie dies erforderlich und gesetzlich zulässig ist.

Es gibt 3 Protokollierungssituationen

Anwendung 1:

Die Marktüberwachungsbehörde soll die protokollierten Daten rückwirkend prüfen, dafür müssen diese mindestens sechs Monate verfügbar sein. Die Behörde kann dann bewerten, ob die Hochrisiko-KI eine Gefahr für Grundrechte, Sicherheit oder Gesundheit von Menschen darstellt. (2)

Anwendung 2:

Nach der Einführung am Markt soll der Anbieter die KI fortlaufend – also über den ganzen Lebenszyklus einer KI – beobachten bzw. er muss die technischen Möglichkeiten dafür bereitstellen. Ob das stichpunktartig oder in Echtzeit passiert, ist bisher nicht detailliert ausgeführt. (3)

Anwendung 3:

Der Betreiber muss den KI-Betrieb letztlich mit den vom Anbieter bereitgestellten technischen Möglichkeiten überwachen bzw. protokollieren, also diese verwenden, um KI-Systeme zu bewerten. (4)

Biometrische Fernidentifizierungssysteme

Was konkret protokolliert werden soll, legt Art. 12 KI-VO bisher nicht fest, mit einer Ausnahme: biometrische Fernidentifizierungssysteme, also KI-Systeme, die aus der Ferne anhand biometrischer Daten Personen im Abgleich mit Daten aus einer Datenbank identifizieren können. (5) Aufzeichnungen sollen folgendes beinhalten: Zeitraum der KI-System-Verwendung, Referenzdatenbank, übereinstimmende Eingabedaten sowie Identität der beiden verglichenen Personen. (6)

Die Aufbewahrungspflichten für die Aufzeichnungen (Protokolle) können je nach Art und Einsatz des KI-Systems variieren. Anbieter müssen diese Daten verfügbar halten, um auf Anfrage gegenüber Behörden oder bei Streitigkeiten Auskunft zu geben.

(Quellenangaben:
1 Vgl.: BeckOK KI-Recht/Siglmüller/Zdanowiecki KI-VO Art. 12 Rn. 10-16
2 Vgl. ebd. Art. 12 Rn. 21
3 Vgl. ebd. Art. 12 Rn. 22
4 Vgl. ebd. Art. 12 Rn. 23
5 Vgl. ebd. Art. 12 Rn. 24-27
6 Vgl. ebd. Art. 12 Rn. 32-35)