Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

EU's AI-förordning: skyldigheter för företag

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Från och med den 2 februari 2025 måste tyska företag följa de allmänna bestämmelserna och förbuden i AI-lagen om de använder AI-system som ChatGPT, Copilot eller AI-spamfiltret från Outlook. Detta inkluderar bevis på AI-expertis och en riskbedömning av den AI som används. En översikt med rekommendationer.

Inledning

Tyska företag måste göra något från och med den 2 februari 2025 om de använder AI:

Artiklarna 1 till 4 i AI-VO utgör det första kapitlet. Där är allmänna föreskrifter fastställda.

Artikel 5 i AI-direktivet utgör kapitel II och innehåller förbud.

Från och med den 2 februari 2025 måste tyska företag därför följa allmänna regler och förbud om AI-system används i företaget. Användningen av ChatGPT, Copilot eller AI-system från andra leverantörer är redan en relevant användning i den mening som avses i AI-förordningen.

Enligt artikel 113 punkt a i AI-lagen gäller allmänna bestämmelser (artikel 1 till 4) och förbud (artikel 5) från den 2 februari 2025.

När gäller skyldigheterna?

Från och med den 2 augusti 2025 träder ytterligare bestämmelser från AI-förordningen i kraft, som särskilt påverkar AI-modeller med ett allmänt syfte. Till de senare hör välkända AI-system som ChatGPT, Microsoft Copilot eller AI-modellerna från Mistral.

Om skäl 12 i AI-förordningen används som riktmärke är även mjukvarusystem som använder AI att betrakta som AI-system. Exempel på detta är sökmotorer som genererar rekommendationer baserade på AI eller AI-baserade spamfilter. När det gäller spamfilter bör utbildningskravet vara minimalt, men de anställda bör åtminstone instrueras. Stora sökmotorer omfattas däremot av en annan förordning, nämligen förordningen om digitala tjänster, enligt skäl 118 i AI-förordningen.

Vilka skyldigheter gäller från och med den 2 februari 2025?

Skyldigheterna följer av artiklarna 4 och 5 i AI-förordningen. Artikel 3 innehåller viktiga definitioner av termer. De två första artiklarna innehåller information om förordningens tillämpningsområde och sakinnehåll.

Bevis på AI-kompetens

Artikel 4 i AI-förordningen handlar uteslutande om bevis på AI-kompetens. Detta innebär att varje företag vars anställda ska arbeta med AI-system måste tillhandahålla detta bevis.

Medarbetarna måste instrueras i enlighet med detta av företaget. Detta inkluderar även utbildning. Det är inte föreskrivet hur ett företag ska bevisa sin AI-kompetens. I detta avseende finns det bra sätt att göra detta på ett förnuftigt och effektivt sätt.

Ett exempel på bevis för AI-kompetens är nämnt i Dr. GDPR. Beviset består av:

  • Teknisk expertis
  • Expertis

Teknisk expertis bör åtminstone finnas tillgänglig och göras trovärdig om AI-system erbjuds eller AI-programmering sker. Det senare kan redan vara fallet genom att använda ett applikationsprogrammeringsgränssnitt (API), såsom det som erbjuds av ChatGPT.

Kategorisering av de AI-system som används

Artikel 5 i AI-förordningen innehåller ett stort antal förbud, dvs. ändamål för vilka AI-system får eller inte får användas. Det är t.ex. förbjudet att subliminalt påverka personer med hjälp av AI. Det är också förbjudet att utvärdera eller klassificera fysiska personer eller grupper av personer under en viss tidsperiod på grundval av deras sociala beteende. Artikel 5 innehåller ett stort antal andra förbud.

För att kunna utesluta de förbjudna syftena för ett AI-system som används måste AI-systemet analyseras och beskrivas. Därefter kan det kategoriseras och kontrolleras mot bestämmelserna i AI-förordningen.

Även kan det i samband med detta kläras upp, om ett företag bara är ägare till ett AI-system eller också en leverantör. Leverantör av AI-system måste uppfylla mycket mer skyldigheter än ägare.

Rekommendationer

Företagen bör göra sina anställda förtrogna med att arbeta med AI-system och ge instruktioner i deras eget intresse. Hur företagen går tillväga är upp till dem.

En inlämning är en utbildning av anställda. Den kan ske skriftligt eller i form av en personlig eller digital utbildning. Inlämningen syftar till att förse medarbetare med kunskap. Slutligen är AI ett verktyg för företag. I och med det bör säkerställas att AI-systemen för företaget skapar nytta.

En anvisning är snarare en reglerande åtgärd. Den syftar till att leda medarbetare vid arbete med AI-system i rätt riktning. För inte varje användning av AI är önskvärd eller meningsfull.

Allmän information som kompletteras med riktad information är att rekommendera vid en genomgång. I konkreta termer innebär detta:

  • Utbildning av anställda på plats, antingen i dina lokaler eller på ett utbildningscenter
  • Den inledande utbildningen kan också ske online, till exempel i form av ett webbinarium
  • Skapande av en instruktion som kan ingå i AI-Organisationsanvisning. Instruktionen ska stödja medarbetarna och den kan också vara levande, d.v.s. regelbundet uppdaterad. Därefter bör man överväga användningen av ett onlineerbjudande.

Instruktionerna för anställda som arbetar med AI i företaget omfattar särskilt:

  • Krav för godkänd yrkesmässig användning av AI
  • Riktlinjer för obehörig yrkesmässig användning av AI
  • Kontaktperson (t.ex. dataskyddsombudet)
  • En sådan anvisning kan också vara en del av en AI-organisationsanvisning

En AI-organisationsinstruktion som ett komplett dokument innehåller därför

  • Information för information till anställda och
  • Information för instruktion av medarbetare.

Olika typer av AI-användning

AI-system kan användas för olika uppgifter. Det finns också olika AI-system, t.ex. olika typer av AI-modeller. De mest kända är röstmodeller ("chatbots"). Det finns också bildgeneratorer, videogeneratorer, ljudmodeller etc.

Företag bör definiera de syften för vilka anställda är behöriga att använda ett visst AI-system.

Det är särskilt viktigt att förstå att alla resultat som genereras med AI måste kontrolleras innan de används vidare. Detta beror på att det inte är AI-systemet utan användaren av AI-resultaten som är ansvarig (initialt och ofta i slutändan) för AI-resultaten.

AI-utgåvor kan kränka upphovsrätten till tredje man. Det gäller både för bilder och alla andra typer av medier, som till exempel texter eller ljudfiler. Därför bör inte bilder genererade med hjälp av AI användas fritt av anställda. Reglera detta i era AI-organisationens instruktion!

Fortsättningsvis njuter innehåll som genererats med hjälp av AI inga upphovsrättsskydd. AI kan därför inte vara en upphovsman. Om du har skapat ett bra logotyp eller en bra text med hjälp av AI, se till att det aktuella bilden eller texten manuellt bearbetats. Endast så kan du senare hävda din upphovsrätt och hindra andra från att använda ditt verk utan ditt samtycke.

Dataskydd och datasäkerhet

AI-system hanterar mer data än någon annan typ av konventionellt IT-system.

Det är därför viktigt att leverantören åtnjuter AI-användarens (ditt företags?) förtroende. Leverantören anger också i vilket land huvudkontoret är beläget. Det är välkänt att det finns många underrättelselagar i USA som tillåter spionage på såväl utlänningar som egna medborgare. Dessa omfattar Cloud Act, presidentens exekutiva order 12333 och 14086 samt FISA avsnitt 702.

Personuppgifter kan inte automatiskt INTE anonymiseras eller pseudonymiseras på ett tillförlitligt sätt.

""Lösningar" som påstår detta kan avvisas (Exempel).

Känsliga uppgifter i företag omfattar särskilt:

  • Handelssekretess: Företagen kan göra med det vad de vill. Om det är meningsfullt att avkriminalisera hemligheter genom att dela ut dem är varje företags eget beslut.
  • Förtroliga uppgifter: Dessa uppgifter har subjektivt deklarerats som förtroutliga, exempelvis genom en sekretessöverenskommelse (NDA). Den andra parten kan dra till rätta juridiska steg om deras uppgifter delges vidare till tredje parterna (ChatGPT?).
  • Personuppgifter: Om det inte finns en giltig grund för att behandla uppgifterna enligt artikel 6 (1) GDPR , kan berörda personer inleda rättsliga åtgärder. ([1])

För personuppgifter är det också informationspliktigheter enligt Artikel 12 GDPR som ska uppfyllas. Det bör därför vara känt vad exakt som händer i ett användt AI-system. Det går bäst till om AI-systemet drives av sig självt.

Bevis på AI-kompetens

Bevis ska tillhandahållas i en form som är lämplig för den form av AI som drivs eller erbjuds.

Om en AI erbjuds på en webbplats bör beviset ske där, alltså på webbplatsen.

Om anställda får tillgång till en chattbot via intranätet bör informationen ges där eller via ett nyhetsbrev.

Innehållet i certifikatet visar på företagets eller medarbetarnas AI-kompetens. Det handlar om att göra kompetensen trovärdig. I vilket fall som helst är det inte obligatoriskt med en AI-officer. Att ha en person som är dedikerad till det viktiga ämnet AI i företag av en viss storlek är verkligen inte en dålig sak.

Riskbedömning av AI-system

En riskbedömning bör göras för varje AI-system och varje AI-verktyg som används i företaget.

Ju mer generellt AI-verktyg som används, desto svårare är det att bedöma risken. Som vi vet kan ChatGPT också användas för att skapa instruktioner för att bygga bomber (med lite ansträngning i form av uppmaningar). Å andra sidan uppstår frågan om vad som är poängen med ett AI-system utan ett specifikt syfte för ditt företag. Av dessa två skäl bör ditt företag endast tillåta användning av AI-system för specifika, meningsfulla ändamål. Det som kan göras med en sökmotor behöver inte göras med en chatbot.

Så kallad högrisk-AI ska inte användas. Den som ändå avser att göra det behöver en djupgående rådgivning som går långt utöver skriftliga råd.

Begränsning av risken

Företag är ansvariga gentemot omvärlden (initialt och ofta slutgiltigt) för sina anställdas agerande för företagets räkning.

Ett företag borde alltså ha ett eget intresse av att anställda inte använder de tillgängliga AI-systemen på ett okontrollerat sätt. I fallet med ChatGPT eller andra allmänt tillgängliga AI-system kan detta ske genom att anställda kommunicerar via en Förhandsgranska sidan med chatboten. Direktåtkomsten till ChatGPT via ChatGPT-egna chattgränssnitt ger företaget ingen kontroll.

En sådan inledande sida tar emot medarbetarnas förfrågningar till AI och vidarebefordrar dem till AI i bakgrunden. AI:ns svar skickas tillbaka till medarbetaren i motsatt riktning.

En positiv bieffekt är möjligheten att kontrollera kostnader och användningsintensitet. Vissa förfrågningar kan också blockeras. För vissa frågor till AI kan det vara meningsfullt att hänvisa direkt till ett internt företagsdokument istället för att låta ChatGPT ge svaret från världens kunskap.

Sammandrag

AI-förordningen inför måttliga skyldigheter för företag om de endast är operatörer av AI-system eller leverantörer av icke-farliga AI-system.

Dessa skyldigheter kräver dock en insats som bör göras i företagets eget intresse.

Ju tidigare aktiviteterna för att stärka och instruera medarbetarna i företaget påbörjas, desto snabbare kommer ett motståndskraftigt och praktiskt genomförbart tillstånd att uppnås. Huvudsyftet med det första steget är att begränsa företagets ansvar genom att instruera medarbetarna att inte utveckla någon verksamhet med AI som är farlig för företaget.

Om företag vill använda allmänt intelligenta system som ChatGPT eller Copilot, bör de också fundera över nytta av dessa system. Särskilt Copilot skiljer sig genom bristande kvalitet. ChatGPT är ett universellt system som inte känner till företagets språk och inte har optimerats för specifika användningsfall.

Dessa frågor kan klargöras när man skapar ett AI-organisationsdirektiv, som också kan namnge godkända AI-system.

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

AI-trender för år 2025