EU AI Act – 2023 12 DE
Frei übersetzte Arbeitsversion aller Artikel (ohne Gründe und Anhänge):
Stand: 25 Dezember 2023
Titel I: ALLGEMEINE BESTIMMUNGEN
Artikel 1 Gegenstand
Ziel dieser Verordnung ist es, das Funktionieren des Binnenmarkts zu verbessern und die Einführung menschenzentrierter und vertrauenswürdiger künstlicher Intelligenz zu fördern und gleichzeitig ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte, die in der Charta verankert sind, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz vor schädlichen Auswirkungen von Systemen der künstlichen Intelligenz in der Union zu gewährleisten und Innovation zu unterstützen.
In dieser Verordnung wird Folgendes festgelegt:
a) harmonisierte Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Nutzung von Systemen der künstlichen Intelligenz (im Folgenden „KI-Systeme“) in der Union;
b) Verbote bestimmter Praktiken der künstlichen Intelligenz;
c) spezifische Anforderungen an KI-Systeme mit hohem Risiko und Verpflichtungen für die Betreiber solcher Systeme;
d) harmonisierte Transparenzvorschriften für bestimmte KI-Systeme;
da) harmonisierte Vorschriften für das Inverkehrbringen von KI-Modellen für allgemeine Zwecke;
e) Vorschriften über die Marktüberwachung, die Steuerung und Durchsetzung der Marktüberwachung;
ea) Maßnahmen zur Förderung von Innovationen, mit besonderem Schwerpunkt auf KMU, einschließlich Start-up-Unternehmen;
Artikel 2 Anwendungsbereich
1. Diese Verordnung gilt für:
a) Anbieter, die KI-Systeme für allgemeine Zwecke in der Union in Verkehr bringen oder in Betrieb nehmen oder in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen oder ansässig sind;
b) Betreiber von KI-Systemen, die ihren Sitz in der Union haben oder sich in der Union befinden;
c) Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder dort ansässig sind, wenn die von dem System erzeugte Leistung in der Union verwendet wird;
ca) Importeure und Händler von KI-Systemen;
cb) Produkthersteller, die ein KI-System zusammen mit ihrem Produkt und unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringen oder in Betrieb nehmen;
cc) Bevollmächtigte von Anbietern, die nicht in der Union niedergelassen sind.
cc) betroffene Personen, die sich in der Union befinden.
Für KI-Systeme, die gemäß Artikel 6 Absätze 1 und 2 als KI-Systeme mit hohem Risiko eingestuft sind und sich auf Produkte beziehen, die unter die in Anhang II, Abschnitt B aufgeführten Harmonisierungsrechtsvorschriften der Union fallen, gilt nur nur Artikel 84 dieser Verordnung. Artikel 53 gilt nur insoweit, als die Anforderungen an KI-Systeme mit hohem Risiko gemäß dieser Verordnung in die Harmonisierungsrechtsvorschriften der Union aufgenommen wurden.
3. Diese Verordnung gilt nicht für Bereiche, die nicht in den Anwendungsbereich des EU-Rechts fallen, und berührt in keinem Fall die Zuständigkeiten der Mitgliedstaaten im Bereich der nationalen Sicherheit, unabhängig von der Art der Stelle, die von den Mitgliedstaaten mit der Wahrnehmung der Aufgaben im Zusammenhang mit diesen Zuständigkeiten betraut wurde.
Diese Verordnung gilt nicht für KI-Systeme, wenn und soweit sie mit oder ohne Änderung dieser Systeme ausschließlich für militärische, verteidigungstechnische oder nationale Sicherheitszwecke in Verkehr gebracht, in Betrieb genommen oder verwendet werden, unabhängig von der Art der Stelle, die diese Tätigkeiten ausübt.
Diese Verordnung gilt nicht für KI-Systeme, die in der Union nicht in Verkehr gebracht oder in Betrieb genommen werden, wenn die Ergebnisse in der Union ausschließlich für militärische, verteidigungs- oder nationale Sicherheitszwecke verwendet werden, unabhängig von der Art der Einrichtung, die diese Tätigkeiten ausübt.
4. Diese Verordnung gilt nicht für Behörden in einem Drittland oder für internationale Organisationen, die gemäß Absatz 1 in den Anwendungsbereich dieser Verordnung fallen, wenn diese Behörden oder Organisationen KI-Systeme im Rahmen der internationalen Zusammenarbeit oder von Abkommen über die Strafverfolgung und die justizielle Zusammenarbeit mit der Union oder mit einem oder mehreren Mitgliedstaaten verwenden, sofern dieses Drittland oder diese internationalen Organisationen angemessene Garantien in Bezug auf den Schutz der Grundrechte und -freiheiten des Einzelnen bieten;
5. Diese Verordnung berührt nicht die Anwendung der Bestimmungen über die Haftung von Vermittlern in Kapitel II Abschnitt 4 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates [zu ersetzen durch die entsprechenden Bestimmungen des Gesetzes über digitale Dienste].
5a) Diese Verordnung gilt nicht für KI-Systeme und -Modelle, einschließlich ihrer Ergebnisse, die speziell für den alleinigen Zweck der wissenschaftlichen Forschung und Entwicklung entwickelt und in Betrieb genommen wurden.
5b) Diese Verordnung gilt nicht für Forschungs-, Test- und Entwicklungstätigkeiten in Bezug auf KI-Systeme oder -Modelle vor dem Inverkehrbringen oder der Inbetriebnahme; diese Tätigkeiten müssen unter Einhaltung des geltenden Unionsrechts durchgeführt werden. Die Erprobung unter realen Bedingungen fällt nicht unter diese Ausnahme.
5b) Diese Verordnung lässt die in anderen Rechtsakten der Union zum Verbraucherschutz und zur Produktsicherheit festgelegten Vorschriften unberührt.
5c) Diese Verordnung gilt nicht für Verpflichtungen von Betreibern, bei denen es sich um natürliche Personen handelt, die KI-Systeme im Rahmen einer rein persönlichen, nicht-beruflichen Tätigkeit nutzen.
5e) Diese Verordnung hindert die Mitgliedstaaten oder die Union nicht daran, Rechts- oder Verwaltungsvorschriften beizubehalten oder einzuführen, die für die Arbeitnehmer im Hinblick auf den Schutz ihrer Rechte bei der Nutzung von KI-Systemen durch Arbeitgeber günstiger sind, oder die Anwendung von Tarifverträgen, die für die Arbeitnehmer günstiger sind, zu fördern oder zuzulassen.
5g) Die in dieser Verordnung festgelegten Verpflichtungen gelten nicht für KI-Systeme, die unter freien und quelloffenen Lizenzen veröffentlicht werden, es sei denn, sie werden als KI-Systeme mit hohem Risiko oder als KI-Systeme, die unter Titel II und IV fallen, in Verkehr gebracht oder in Betrieb genommen.
Artikel 3 Begriffsbestimmungen
Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:
1. Ein KI-System ist ein maschinenbasiertes System, das so konzipiert ist, dass es mit unterschiedlichen Autonomiegraden arbeitet und das nach der Bereitstellung angepaßt werden kann und das für explizite oder implizite Zwecke aus den erhaltenen Eingaben ableitet, wie Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert werden können, die physische oder virtuelle Umgebungen beeinflussen können.
1a) „Risiko“ die Kombination aus der Wahrscheinlichkeit des Eintretens eines Schadens und der Schwere dieses Schadens;
2. „Anbieter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickeln lässt und diese unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt; ob entgeltlich oder unentgeltlich;
???
4. „Betreiber“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System unter ihrer Aufsicht nutzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit genutzt;
5. „Bevollmächtigter“ jede natürliche oder juristische Person, die sich in der Union befindet oder niedergelassen ist und von einem Anbieter eines KI-Systems oder eines KI-Modells für allgemeine Zwecke ein schriftliches Mandat erhalten und angenommen hat, in ihrem Namen die in dieser Verordnung festgelegten Verpflichtungen und Verfahren wahrzunehmen;
6. „Einführer“ jede in der Union ansässige natürliche oder juristische Person, die ein KI-System in Verkehr bringt, das den Namen oder die Marke einer außerhalb der Union ansässigen natürlichen oder juristischen Person trägt;
7. „Händler“ jede natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt, mit Ausnahme des Anbieters oder des Importeurs;
8. „Akteur“ den Anbieter, den Produkthersteller, den Betreiber, den Bevollmächtigten, den Importeur oder den Händler;
9. „Inverkehrbringen“ die erstmalige Bereitstellung eines KI-Systems oder eines universellen KI-Modells auf dem Unionsmarkt;
10. „Bereitstellung auf dem Markt“ jede entgeltliche oder unentgeltliche Bereitstellung eines KI-Systems oder eines KI-Modells für allgemeine Zwecke zum Vertrieb oder zur Nutzung auf dem Unionsmarkt im Rahmen einer gewerblichen Tätigkeit;
11. „Inbetriebnahme“ die Lieferung eines KI-Systems zur Erstverwendung direkt an den Betreiber oder zur Eigennutzung in der Union für seine Zweckbestimmung;
12. „Zweckbestimmung“ bezeichnet die Nutzung, für die ein KI-System vom Anbieter bestimmt ist, einschließlich des spezifischen Kontexts und der Nutzungsbedingungen, wie sie in den vom Anbieter bereitgestellten Informationen in der Gebrauchsanweisung, in den Werbe- oder Verkaufsmaterialien und -erklärungen sowie in der technischen Dokumentation angegeben sind;
13. „vernünftigerweise vorhersehbarer Missbrauch“ die Nutzung eines KI-Systems in einer Weise, die nicht seiner Zweckbestimmung entspricht, die sich aber aus vernünftigerweise vorhersehbarem menschlichem Verhalten oder der Interaktion mit anderen Systemen, einschließlich anderer KI-Systeme, ergeben kann;
14. „Sicherheitsbauteil eines Produkts oder Systems“ bezeichnet ein Bauteil eines Produkts oder eines Systems, das eine Sicherheitsfunktion für dieses Produkt oder System erfüllt oder dessen Ausfall oder Fehlfunktion die Gesundheit und Sicherheit von Personen oder Gütern gefährdet;
15. „Gebrauchsanweisung“ die vom Anbieter bereitgestellten Informationen, um den Nutzer insbesondere über die Zweckbestimmung und die ordnungsgemäße Verwendung eines KI-Systems zu informieren;
16. „Rückruf eines KI-Systems“ jede Maßnahme, die darauf abzielt, die Rückgabe an den Anbieter zu erreichen oder es außer Betrieb zu nehmen oder die Nutzung eines KI-Systems, das den Betreibern zur Verfügung gestellt wird, zu deaktivieren;
17. „Rücknahme eines KI-Systems“ jede Maßnahme, mit der verhindert werden soll, dass ein KI-System in der Lieferkette auf dem Markt bereitgestellt wird;
18. „Leistung eines KI-Systems“ bezeichnet die Fähigkeit eines KI-Systems, seine Zweckbestimmung zu erreichen;
19. „notifizierende Behörde“ die nationale Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig ist;
20. „Konformitätsbewertung“ bezeichnet das Verfahren, mit dem nachgewiesen wird, ob die Anforderungen des Titels III Kapitel 2 dieser Verordnung in Bezug auf ein Hochrisiko-KI-System erfüllt wurden;
21. „Konformitätsbewertungsstelle“ eine Stelle, die Konformitätsbewertungstätigkeiten Dritter durchführt, einschließlich Prüfungen, Zertifizierungen und Inspektionen;
22. „notifizierte Stelle“ eine Konformitätsbewertungsstelle, die gemäß dieser Verordnung und anderen einschlägigen Harmonisierungsrechtsvorschriften der Union notifiziert wurde;
23. „wesentliche Änderung“ bezeichnet eine Änderung des KI-Systems nach dessen Inverkehrbringen oder Inbetriebnahme, die in der ursprünglichen Konformitätsbewertung durch den Anbieter nicht vorgesehen oder geplant ist und durch die die Konformität des KI-Systems mit den Anforderungen des Titels III Kapitel 2 dieser Verordnung beeinträchtigt wird oder zu einer Änderung der Zweckbestimmung führt, für die das KI-System bewertet wurde;
24. „CE-Konformitätskennzeichnung“ (CE-Kennzeichnung) bezeichnet eine Kennzeichnung, mit der ein Anbieter angibt, dass ein KI-System den Anforderungen des Titels III Kapitel 2 dieser Verordnung und anderer anwendbarer Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten (im Folgenden „Harmonisierungsrechtsvorschriften der Union“) entspricht, die ihre Anbringung vorsehen;
25. „Überwachungssystem nach dem Inverkehrbringen“ alle Tätigkeiten, die von Anbietern von KI-Systemen durchgeführt werden, um Erfahrungen mit der Nutzung von KI-Systemen, die sie in Verkehr bringen oder in Betrieb nehmen, zu sammeln und zu überprüfen, um festzustellen, ob erforderliche Korrektur- oder Vorbeugungsmaßnahmen unverzüglich ergriffen werden müssen;
26. „Marktüberwachungsbehörde“ die nationale Behörde, die die Tätigkeiten durchführt und die Maßnahmen gemäß der Verordnung (EU) 2019/1020 ergreift;
27. „harmonisierte Norm“ eine europäische Norm im Sinne des Artikels 2 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012;
28. „gemeinsame Spezifikation“ bezeichnet eine Reihe technischer Spezifikationen im Sinne des Artikels 2 Nummer 4 der Verordnung (EU) Nr. 1025/2012, die Mittel zur Erfüllung bestimmter in der vorliegenden Verordnung festgelegter Anforderungen bereitstellen;
29. „Trainingsdaten“ Daten, die zum Trainieren eines KI-Systems durch Anpassung seiner erlernbaren Parameter verwendet werden;
30. „Validierungsdaten“ Daten, die unter anderem zur Evaluierung des trainierten KI-Systems und zur Abstimmung seiner nicht erlernbaren Parameter und seines Lernprozesses verwendet werden, um eine Unter- oder Überanpassung zu verhindern; in der Erwägung, dass es sich bei dem Validierungsdatensatz um einen separaten Datensatz oder einen Teil des Trainingsdatensatzes handelt, entweder als feste oder variable Aufteilung;
31. „Prüfdaten“ Daten, die für eine unabhängige Bewertung des KI-Systems verwendet werden, um die erwartete Leistung dieses Systems vor seinem Inverkehrbringen oder seiner Inbetriebnahme zu bestätigen;
32. „Eingabedaten“ Daten, die einem KI-System zur Verfügung gestellt oder direkt von diesem erfasst werden und auf deren Grundlage das System einen Output erzeugt;
33. „biometrische Daten“ personenbezogene Daten, die sich aus einer spezifischen technischen Verarbeitung ergeben, die sich auf die physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person bezieht, wie z. B. Gesichtsbilder oder daktyloskopische Daten;
a) „biometrische Identifizierung“ die automatisierte Erkennung physischer, physiologischer, verhaltensbezogener und psychologischer menschlicher Merkmale zum Zwecke der Feststellung der Identität einer Person durch Abgleich biometrischer Daten dieser Person mit gespeicherten biometrischen Daten von Personen in einer Datenbank;
b) ?
c) „biometrische Überprüfung“ die automatisierte Überprüfung der Identität natürlicher Personen durch Abgleich biometrischer Daten einer Person mit zuvor übermittelten biometrischen Daten (Eins-zu-eins-Überprüfung, einschließlich Authentifizierung);
d) „besondere Kategorien personenbezogener Daten“ die Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679, Artikel 10 der Richtlinie (EU) 2016/680 und Artikel 10 Absatz 1 der Verordnung (EU) 2018/1725;
e) „sensible operative Daten“ operative Daten im Zusammenhang mit Tätigkeiten zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, deren Offenlegung die Integrität des Strafverfahrens gefährden kann.
34. „Emotionserkennungssystem“ bezeichnet ein KI-System zum Zwecke der Identifizierung oder Ableitung von Emotionen oder Absichten natürlicher Personen auf der Grundlage ihrer biometrischen Daten;
35. „biometrisches Kategorisierungssystem“ bezeichnet ein KI-System zur Zuordnung natürlicher Personen zu bestimmten Kategorien auf der Grundlage ihrer biometrischen Daten, es sei denn, es handelt sich um eine Nebenleistung zu einer anderen kommerziellen Dienstleistung und ist aus objektiven technischen Gründen unbedingt erforderlich;
36. „biometrisches Fernidentifizierungssystem“ bezeichnet ein KI-System zur Identifizierung natürlicher Personen ohne deren aktive Beteiligung, in der Regel aus der Ferne durch Abgleich der biometrischen Daten einer Person mit den in einer Referenzdatenbank enthaltenen biometrischen Daten;
37. „biometrisches Echtzeit-Fernidentifizierungssystem“ bezeichnet ein biometrisches Fernidentifizierungssystem, bei dem die Erfassung biometrischer Daten, der Abgleich und die Identifizierung ohne erhebliche Verzögerung erfolgen. Dies umfasst nicht nur eine sofortige Identifizierung, sondern auch begrenzte kurze Verzögerungen, um eine Umgehung zu vermeiden.
38. „postalistisches biometrisches Fernidentifizierungssystem“ bezeichnet ein biometrisches Fernidentifizierungssystem, bei dem es sich nicht um ein „Echtzeit“-System zur biometrischen Fernidentifizierung handelt;
39. „öffentlich zugänglicher Raum“ jeden öffentlichen oder privaten physischen Ort, der einer unbestimmten Zahl natürlicher Personen zugänglich ist, unabhängig davon, ob bestimmte Zugangsbedingungen gelten können, und unabhängig von möglichen Kapazitätsbeschränkungen;
40. „Strafverfolgungsbehörde“
a) jede Behörde, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist; oder
b) jede andere Stelle oder Stelle, die nach dem Recht der Mitgliedstaaten mit der Ausübung hoheitlicher Gewalt und hoheitlicher Befugnisse zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, betraut ist;
41. „Strafverfolgung“ Tätigkeiten, die von Strafverfolgungsbehörden oder in ihrem Auftrag zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen durchgeführt werden, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
42. Büro für künstliche Intelligenz: die Aufgabe der Kommission, zur Umsetzung, Überwachung und Beaufsichtigung von KI-Systemen und zur KI-Governance beizutragen. Bezugnahmen in dieser Verordnung auf das Amt für künstliche Intelligenz sind als Bezugnahmen auf die Kommission zu verstehen.
43. „zuständige nationale Behörde“ eine der folgenden Behörden: die notifizierende Behörde und die Marktüberwachungsbehörde. In Bezug auf KI-Systeme, die von den Organen, Agenturen, sonstigen Stellen und Einrichtungen der EU in Betrieb genommen oder genutzt werden, ist jede Bezugnahme auf die zuständigen nationalen Behörden oder Marktüberwachungsbehörden in dieser Verordnung als Bezugnahme auf den Europäischen Datenschutzbeauftragten zu verstehen;
44. „schwerwiegender Vorfall“ bezeichnet einen Vorfall oder eine Fehlfunktion eines KI-Systems, der direkt oder indirekt zu Folgendem führt:
a) den Tod einer Person oder eine schwere Schädigung der Gesundheit einer Person;
b) eine schwerwiegende und irreversible Störung der Verwaltung und des Betriebs kritischer Infrastrukturen.
ba) Verletzung von Verpflichtungen aus dem Unionsrecht zum Schutz der Grundrechte;
bb) schwere Sach- oder Umweltschäden.
44a. „personenbezogene Daten“ personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679;
44c) „nicht personenbezogene Daten“ Daten, bei denen es sich nicht um personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679 handelt;
be) „Profiling“ jede Form der automatisierten Verarbeitung personenbezogener Daten im Sinne des Artikels 4 Nummer 4 der Verordnung (EU) 2016/679; oder im Falle von Strafverfolgungsbehörden – gemäß Artikel 3 Nummer 4 der Richtlinie (EU) 2016/680 oder im Falle von Organen, Einrichtungen oder sonstigen Stellen der Union gemäß Artikel 3 Nummer 5 der Verordnung (EU) 2018/1725;
bf) „Prüfplan im realen Fahrbetrieb“ ein Dokument, in dem die Ziele, die Methodik, der geografische, bevölkerungsbezogene und zeitliche Geltungsbereich, die Überwachung, Organisation und Durchführung von Prüfungen unter realen Bedingungen beschrieben werden;
44 eb) „Sandboxplan“ bezeichnet ein zwischen dem teilnehmenden Anbieter und der zuständigen Behörde vereinbartes Dokument, in dem die Ziele, Bedingungen, der Zeitrahmen, die Methodik und die Anforderungen für die im Rahmen des Sandboxs durchgeführten Tätigkeiten beschrieben werden.
bg) “ KI-Realabor“ bezeichnet einen konkreten und kontrollierten Rahmen, der von einer zuständigen Behörde eingerichtet wurde und Anbietern oder potenziellen Anbietern von KI-Systemen die Möglichkeit bietet, ein innovatives KI-System gemäß einem Sandbox-Plan für einen begrenzten Zeitraum unter regulatorischer Aufsicht zu entwickeln, zu trainieren, zu validieren und gegebenenfalls unter realen Bedingungen zu testen.
bh) „KI-Kompetenz“ bezieht sich auf Fähigkeiten, Kenntnisse und Verständnis, die es Anbietern, Nutzern und betroffenen Personen ermöglichen, unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Zusammenhang mit dieser Verordnung KI-Systeme in Kenntnis der Sachlage einzusetzen und sich der Chancen und Risiken der KI und der möglichen Schäden, die sie verursachen kann, bewusst zu werden.
bi) „Prüfung unter realen Bedingungen“ die vorübergehende Prüfung eines KI-Systems für seinen bestimmungsgemäßen Zweck unter realen Bedingungen außerhalb eines Labors oder einer anderweitig simulierten Umgebung mit dem Ziel, zuverlässige und belastbare Daten zu sammeln und die Konformität des KI-Systems mit den Anforderungen dieser Verordnung zu bewerten und zu überprüfen; Die Erprobung unter realen Bedingungen gilt nicht als Inverkehrbringen oder Inbetriebnahme des KI-Systems im Sinne dieser Verordnung, sofern alle Bedingungen gemäß Artikel 53 oder Artikel 54a erfüllt sind;
bj) „Prüfungsteilnehmer“ für die Zwecke von Versuchen unter realen Bedingungen: eine natürliche Person, die an Versuchen unter realen Bedingungen teilnimmt;
bk) „Einwilligung nach Aufklärung“ die freiwillige, spezifische, unmissverständliche und freiwillige Willensbekundung eines Prüfungsteilnehmers, an einem bestimmten Test unter realen Bedingungen teilzunehmen, nachdem er über alle Aspekte des Versuchs informiert wurde, die für die Entscheidung des Prüfungsteilnehmers zur Teilnahme relevant sind;
bl) „Deep Fake“ bezeichnet KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte, die existierenden Personen, Objekten, Orten oder anderen Entitäten oder Ereignissen ähneln und einer Person fälschlicherweise als authentisch oder wahrheitsgemäß erscheinen würden
44e. „weitverbreiteter Verstoß“ jede Handlung oder Unterlassung, die gegen das Unionsrecht verstößt und die Interessen Einzelpersonen schützt,
a) die die Kollektivinteressen von Personen mit Wohnsitz in mindestens zwei anderen Mitgliedstaaten als dem Mitgliedstaat geschädigt hat oder zu schädigen droht, in denen
i) die Handlung oder Unterlassung ihren Ursprung hat oder stattgefunden hat;
ii) der betreffende Anbieter oder gegebenenfalls sein bevollmächtigter Vertreter niedergelassen ist; oder
iii) der Deployer niedergelassen ist, wenn die Zuwiderhandlung vom Deployer begangen wird;
b) die die Interessen von Einzelpersonen schützt, die die Kollektivinteressen Einzelner geschädigt haben, verursachen oder zu schädigen geeignet sind und die gemeinsame Merkmale aufweisen, einschließlich derselben rechtswidrigen Praxis, die verletzt wird, und die gleichzeitig von demselben Wirtschaftsteilnehmer in mindestens drei Mitgliedstaaten begangen werden;
(44h) „kritische Infrastruktur“ bezeichnet einen Vermögenswert, eine Einrichtung, eine Ausrüstung, ein Netz oder ein System oder einen Teil davon, der für die Bereitstellung eines wesentlichen Dienstes im Sinne des Artikels 2 Absatz 4 der Richtlinie (EU) 2022/2557 erforderlich ist;
44b) „universelles KI-Modell“ bezeichnet ein KI-Modell, das unabhängig von der Art und Weise, wie das Modell auf dem Markt gebracht wird, eine Vielzahl unterschiedlicher Aufgaben kompetent ausführen kann, auch wenn es mit einer großen Datenmenge unter Verwendung der Selbstüberwachung in großem Maßstab trainiert wird, und das unabhängig von der Art und Weise, wie das Modell auf den Markt gebracht wird, kompetent ausführen kann und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann. Dies gilt nicht für KI-Modelle, die vor der Marktfreigabe für Forschungs-, Entwicklungs- und Prototyping-Aktivitäten verwendet werden.
44c „hochwirksame Fähigkeiten“ in allgemeinen KI-Modellen sind Fähigkeiten, die den Fähigkeiten entsprechen oder diese übertreffen, die in den fortschrittlichsten Allzweck-KI-Modellen erfasst werden.
44d „Systemrisiko auf Unionsebene“ ein Risiko, das spezifisch für die hochwirksamen Fähigkeiten von Allzweck-KI-Modellen ist, aufgrund ihrer Reichweite erhebliche Auswirkungen auf den Binnenmarkt hat und tatsächliche oder vernünftigerweise vorhersehbare negative Auswirkungen auf die öffentliche Gesundheit, Sicherheit, öffentliche Sicherheit, Grundrechte oder die Gesellschaft als Ganzes hat, die sich in großem Umfang über die gesamte Wertschöpfungskette ausbreiten können.
44e „Allzweck-KI-System“ bezeichnet ein KI-System, das auf einem Allzweck-KI-Modell beruht und eine Vielzahl von Zwecken erfüllen kann, und zwar sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme;
44f „Gleitkommaoperation“ bezeichnet jede mathematische Operation oder Zuweisung mit Gleitkommazahlen, die eine Teilmenge der reellen Zahlen sind, die typischerweise auf Computern durch eine ganze Zahl mit fester Genauigkeit dargestellt werden, die durch einen ganzzahligen Exponenten einer festen Basis skaliert wird.
44g „nachgeschalteter Anbieter“ bezeichnet einen Anbieter eines KI-Systems, einschließlich eines KI-Modells für allgemeine Zwecke, der ein KI-Modell integriert, unabhängig davon, ob das Modell von ihm selbst bereitgestellt wird und vertikal integriert ist oder ob es von einem anderen Unternehmen auf der Grundlage vertraglicher Beziehungen bereitgestellt wird.
Artikel 4a
???
Artikel 4b KI-Kompetenz
1) Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Namen mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, ein ausreichendes Maß an KI-Kompetenz aufweist, wobei deren technische Kenntnisse, Erfahrung, Aus- und Weiterbildung sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind und unter Berücksichtigung der Personen oder Personengruppen, an denen die KI-Systeme eingesetzt werden sollen.
TITEL II: VERBOTENE PRAKTIKEN IM BEREICH DER KÜNSTLICHEN INTELLIGENZ
Artikel 5 Verbotene Praktiken im Bereich der Künstlichen Intelligenz
1. Folgende Praktiken der künstlichen Intelligenz sind verboten:
a) das Inverkehrbringen, die Inbetriebnahme oder die Nutzung eines KI-Systems, das unterschwellige Techniken jenseits des Bewusstseins einer Person oder absichtlich manipulative oder irreführende Techniken einsetzt, mit dem Ziel oder der Wirkung, das Verhalten einer Person oder einer Personengruppe wesentlich zu verzerren, indem die Fähigkeit der Person, eine informierte Entscheidung zu treffen, erheblich beeinträchtigt wird, dadurch veranlasst wird, dass die Person eine Entscheidung trifft, die sie sonst nicht getroffen hätte, und zwar in einer Weise, die dieser Person, einer anderen Person oder einer Gruppe von Personen erheblichen Schaden zufügt oder zufügen kann;
b) das Inverkehrbringen, die Inbetriebnahme oder die Nutzung eines KI-Systems, das die Schwachstellen einer Person oder einer bestimmten Personengruppe aufgrund ihres Alters, ihrer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Lage ausnutzt, mit dem Ziel oder der Wirkung, das Verhalten dieser Person oder einer dieser Gruppe angehörenden Person in einer Weise wesentlich zu verzerren, die eine solche Verzerrung verursacht oder nach vernünftigem Ermessen wahrscheinlich verursacht dieser Person oder einer anderen Person einen erheblichen Schaden zuzufügen.
ba) das Inverkehrbringen oder die Inbetriebnahme zu diesem speziellen Zweck oder die Verwendung biometrischer Kategorisierungssysteme, die natürliche Personen auf der Grundlage ihrer biometrischen Daten individuell kategorisieren, um auf ihre Rasse, ihre politischen Meinungen, ihre Gewerkschaftszugehörigkeit, ihre religiösen oder philosophischen Überzeugungen, ihr Sexualleben oder ihre sexuelle Ausrichtung zu schließen oder zu schließen. Dieses Verbot erstreckt sich nicht auf die Kennzeichnung oder Filterung von rechtmäßig erworbenen biometrischen Datensätzen, wie z. B. Bildern, auf der Grundlage biometrischer Daten oder die Kategorisierung biometrischer Daten im Bereich der Strafverfolgung.
c) das Inverkehrbringen, die Inbetriebnahme oder die Nutzung von KI-Systemen zur Bewertung oder Klassifizierung natürlicher Personen oder Gruppen von natürlichen Personen oder Gruppen von natürlichen Personen über einen bestimmten Zeitraum auf der Grundlage ihres Sozialverhaltens oder bekannter, abgeleiteter oder vorhergesagter persönlicher oder Persönlichkeitsmerkmale, wobei der Social Score zu einem oder beiden der folgenden Punkte führt:
i) Benachteiligung oder Benachteiligung bestimmter natürlicher Personen oder ganzer Gruppen von Personen in sozialen Kontexten, die in keinem Zusammenhang mit den Kontexten stehen, in denen die Daten ursprünglich generiert oder erhoben wurden;
II) eine benachteiligende oder benachteiligende Behandlung bestimmter natürlicher Personen oder Gruppen von Personen, die nicht gerechtfertigt ist oder in keinem Verhältnis zu ihrem sozialen Verhalten oder ihrer Schwere steht;
d) die Verwendung biometrischer „Echtzeit“-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken, es sei denn, eine solche Verwendung ist für eines der folgenden Ziele unbedingt erforderlich:
i) die gezielte Suche nach konkreten Opfern von Entführung, Menschenhandel und sexueller Ausbeutung von Menschen sowie die Suche nach vermissten Personen
II) die Abwehr einer konkreten, erheblichen und unmittelbaren Gefahr für das Leben oder die körperliche Sicherheit natürlicher Personen oder einer tatsächlichen und gegenwärtigen oder tatsächlichen und vorhersehbaren Gefahr eines Terroranschlags
III) die Lokalisierung oder Identifizierung einer Person, die verdächtigt wird, eine Straftat begangen zu haben, zum Zwecke der strafrechtlichen Ermittlung, der Strafverfolgung oder der Strafvollstreckung wegen Straftaten gemäß Anhang IIa, die in dem betreffenden Mitgliedstaat mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens vier Jahren bedroht sind. Dieser Absatz gilt unbeschadet der Bestimmungen in Artikel 9 der DSGVO für die Verarbeitung biometrischer Daten zu anderen Zwecken als der Strafverfolgung.
da) das Inverkehrbringen, die Inbetriebnahme zu diesem speziellen Zweck oder die Verwendung eines KI-Systems zur Risikobewertung natürlicher Personen, um das Risiko einer natürlichen Person, eine Straftat zu begehen, zu bewerten oder vorherzusagen, und zwar ausschließlich auf der Grundlage der Erstellung von Profilen einer natürlichen Person oder der Bewertung ihrer Persönlichkeitsmerkmale und -merkmale;
db) das Inverkehrbringen, die Inbetriebnahme zu diesem bestimmten Zweck oder die Verwendung von KI-Systemen, die Gesichtserkennungsdatenbanken durch das ungezielte Scraping von Gesichtsbildern aus dem Internet oder CCTV-Aufnahmen erstellen oder erweitern;
dc) das Inverkehrbringen, die Inbetriebnahme für diesen spezifischen Zweck oder die Verwendung von KI-Systemen, um auf Emotionen einer natürlichen Person in den Bereichen Arbeitsplatz und Bildungseinrichtungen zu schließen, außer in Fällen, in denen die Verwendung des KI-Systems aus medizinischen oder Sicherheitsgründen eingerichtet oder in Verkehr gebracht werden soll;
1a) Dieser Artikel berührt nicht die Verbote, die gelten, wenn eine Praxis der künstlichen Intelligenz gegen anderes Unionsrecht verstößt.
2. Der Einsatz biometrischer „Echtzeit“-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zum Zwecke der Strafverfolgung für eines der in Absatz 1 Buchstabe d genannten Ziele darf nur für die in Absatz 1 Buchstabe d genannten Zwecke eingesetzt werden, um die Identität der konkret anvisierten Person zu bestätigen, und berücksichtigt dabei die folgenden Elemente:
a) die Art der Situation, die zu der möglichen Nutzung geführt hat, insbesondere die Schwere, die Wahrscheinlichkeit und das Ausmaß des Schadens, der durch die Nichtnutzung des Systems verursacht wurde;
b) die Folgen der Nutzung des Systems für die Rechte und Freiheiten aller betroffenen Personen, insbesondere die Schwere, die Wahrscheinlichkeit und das Ausmaß dieser Folgen.
Darüber hinaus muss der Einsatz biometrischer „Echtzeit“-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zum Zwecke der Strafverfolgung für eines der in Absatz 1 Buchstabe d genannten Ziele den erforderlichen und verhältnismäßigen Garantien und Bedingungen in Bezug auf die Verwendung gemäß den nationalen Rechtsvorschriften, die ihre Verwendung gestatten, entsprechen, insbesondere in Bezug auf die zeitliche, geografische und persönliche Beschränkungen. Die Verwendung des biometrischen Echtzeit-Fernidentifizierungssystems in öffentlich zugänglichen Räumen ist nur zulässig, wenn die Strafverfolgungsbehörde eine Folgenabschätzung im Bereich der Grundrechte gemäß Artikel 29a durchgeführt und das System gemäß Artikel 51 in der Datenbank registriert hat. In hinreichend begründeten dringenden Fällen kann die Nutzung des Systems jedoch auch ohne die Registrierung aufgenommen werden, sofern die Registrierung unverzüglich abgeschlossen wird.
3. In Bezug auf die Absätze 1 Buchstabe d und 2 bedarf jede Nutzung eines biometrischen Echtzeit-Fernidentifizierungssystems in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken einer vorherigen Genehmigung durch eine Justizbehörde oder eine unabhängige Verwaltungsbehörde, deren Entscheidung für den Mitgliedstaat, in dem die Nutzung erfolgen soll, bindend ist. auf begründeten Antrag und im Einklang mit den in Absatz 4 genannten nationalen Rechtsvorschriften ausgestellt werden. In hinreichend begründeten Dringlichkeitsfällen kann die Nutzung des Systems jedoch ohne Genehmigung aufgenommen werden, sofern eine solche Genehmigung unverzüglich, spätestens jedoch innerhalb von 24 Stunden, beantragt wird. Wird eine solche Genehmigung abgelehnt, so wird ihre Verwendung mit sofortiger Wirkung eingestellt, und alle Daten sowie die Ergebnisse und Ergebnisse dieser Verwendung werden unverzüglich verworfen und gelöscht.
Die zuständige Justizbehörde oder eine unabhängige Verwaltungsbehörde, deren Entscheidung bindend ist, erteilt die Genehmigung nur, wenn sie auf der Grundlage objektiver Beweise oder eindeutiger Anhaltspunkte davon überzeugt ist, dass die Verwendung des betreffenden biometrischen Echtzeit-Fernidentifizierungssystems für die Erreichung eines der in Absatz 1 genannten Ziele erforderlich und verhältnismäßig ist; Buchstabe d, wie im Ersuchen angegeben, und bleibt insbesondere auf das absolut Notwendige in Bezug auf den Zeitraum sowie den geografischen und persönlichen Geltungsbereich beschränkt. 2. Bei der Entscheidung über das Ersuchen berücksichtigt das zuständige Gericht oder eine unabhängige Verwaltungsbehörde, deren Entscheidung bindend ist, die in Absatz 2 genannten Elemente. Es wird sichergestellt, dass weder die Justizbehörde noch eine unabhängige Verwaltungsbehörde, deren Entscheidung allein auf der Grundlage der Ergebnisse des biometrischen Fernidentifizierungssystems verbindlich ist, Entscheidungen treffen können, die nachteilige Rechtswirkungen für eine Person haben.
3a) Unbeschadet des Absatzes 3 wird jede Verwendung eines biometrischen Echtzeit-Fernidentifizierungssystems in öffentlich zugänglichen Räumen zu Gefahrenabwehr- und Strafverfolgungszwecken der zuständigen Marktüberwachungsbehörde und der nationalen Datenschutzbehörde gemäß den in Absatz 4 genannten nationalen Vorschriften gemeldet. Die Notifizierung enthält mindestens die in Absatz 5 genannten Informationen und darf keine sensiblen Betriebsdaten enthalten.
4. Ein Mitgliedstaat kann beschließen, die Möglichkeit vorzusehen, die Verwendung biometrischer Fernidentifizierungssysteme in Echtzeit in öffentlich zugänglichen Räumen zum Zwecke der Strafverfolgung innerhalb der in Absatz 1 Buchstaben d, 2 und 3 genannten Grenzen und Bedingungen ganz oder teilweise zu genehmigen. 3. Die betreffenden Mitgliedstaaten legen in ihrem nationalen Recht die erforderlichen Durchführungsbestimmungen für die Beantragung, Erteilung und Ausübung der in Absatz 3 genannten Genehmigungen sowie für die Beaufsichtigung und Berichterstattung darüber fest. In diesen Vorschriften wird auch festgelegt, für welche der in Absatz 1 Buchstabe d genannten Ziele, einschließlich der in Absatz iii genannten Straftaten, die zuständigen Behörden ermächtigt werden können, diese Systeme zum Zwecke der Strafverfolgung zu nutzen. Die Mitgliedstaaten teilen der Kommission diese Vorschriften spätestens 30 Tage nach ihrem Erlass mit. Die Mitgliedstaaten können im Einklang mit dem Unionsrecht restriktivere Rechtsvorschriften für die Verwendung biometrischer Fernidentifizierungssysteme erlassen.
5. Die nationalen Marktüberwachungsbehörden und die nationalen Datenschutzbehörden der Mitgliedstaaten, denen die Verwendung biometrischer Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Gefahrenabwehr- und Strafverfolgungszwecken gemäß Absatz 3a gemeldet wurde, legen der Kommission Jahresberichte über diese Nutzung vor. Zu diesem Zweck stellt die Kommission den Mitgliedstaaten und den nationalen Marktüberwachungs- und Datenschutzbehörden eine Vorlage zur Verfügung, die Informationen über die Anzahl der von den zuständigen Justizbehörden oder einer unabhängigen Verwaltungsbehörde getroffenen Entscheidungen, deren Entscheidung für Genehmigungsanträge gemäß Absatz 3 bindend ist, und deren Ergebnis enthält.
6. Die Kommission veröffentlicht Jahresberichte über den Einsatz biometrischer Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen für Gefahrenabwehr- und Strafverfolgungszwecke auf der Grundlage aggregierter Daten in den Mitgliedstaaten auf der Grundlage der in Absatz 5 genannten Jahresberichte, die keine sensiblen operativen Daten der damit verbundenen Strafverfolgungsmaßnahmen enthalten.
Titel III: HOCHRISIKO-KI-SYSTEME
Kapitel 1 Klassifizierung von KI-Systemen als Hochrisiko-KI-Systeme
Artikel 6 Klassifizierungeforschriften für Hochrisiko-KI-Systeme
1. Unabhängig davon, ob ein KI-System unabhängig von den unter den Buchstaben a und b genannten Produkten in Verkehr gebracht oder in Betrieb genommen wird, gilt dieses KI-System als risikoreich, wenn die beiden folgenden Bedingungen erfüllt sind:
a) Das KI-System ist dazu bestimmt, als Sicherheitskomponente eines Produkts verwendet zu werden, oder das KI-System ist selbst ein Produkt, das unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union fällt;
b) das Produkt, dessen Sicherheitskomponente gemäß Buchstabe a) das KI-System ist, oder das KI-System selbst als Produkt einer Konformitätsbewertung durch Dritte unterzogen werden muss, um dieses Produkt gemäß den in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union in Verkehr zu bringen oder in Betrieb zu nehmen;
2. Zusätzlich zu den in Absatz 1 genannten KI-Systemen mit hohem Risiko gelten auch die in Anhang III genannten KI-Systeme als KI-Systeme mit hohem Risiko.
2a) Abweichend von Absatz 2 gelten KI-Systeme nicht als hohes Risiko, wenn sie kein erhebliches Risiko einer Schädigung der Gesundheit, der Sicherheit oder der Grundrechte natürlicher Personen darstellen, auch wenn sie das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflussen. Dies ist der Fall, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:
a) das KI-System soll eine eng gefasste verfahrenstechnische Aufgabe erfüllen;
b) das KI-System soll das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessern;
c) das KI-System dazu bestimmt ist, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und nicht dazu bestimmt ist, die zuvor abgeschlossene menschliche Bewertung ohne ordnungsgemäße menschliche Überprüfung zu ersetzen oder zu beeinflussen; oder
d) das KI-System soll eine vorbereitende Aufgabe für eine Bewertung erfüllen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist.
Ungeachtet des Unterabsatzes 1 dieses Absatzes gilt ein KI-System stets dann als System mit hohem Risiko, wenn das KI-System ein Profil natürlicher Personen erstellt.
2b) Ein Anbieter, der der Auffassung ist, dass ein in Anhang III genanntes KI-System kein hohes Risiko birgt, dokumentiert seine Bewertung, bevor dieses System in Verkehr gebracht oder in Betrieb genommen wird. Dieser Anbieter unterliegt der Registrierungspflicht gemäß Artikel 51 Absatz 1a) Auf Verlangen der zuständigen nationalen Behörden stellt der Anbieter die Dokumentation der Bewertung zur Verfügung.
2c) Die Kommission legt nach Anhörung des KI-Ausschusses und spätestens [18 Monate] nach Inkrafttreten dieser Verordnung Leitlinien vor, in denen die praktische Umsetzung dieses Artikels präzisiert wird, ergänzt durch eine umfassende Liste praktischer Beispiele für Anwendungsfälle mit hohem und nicht hohem Risiko für KI-Systeme gemäß Artikel 82b)
2d) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die in Absatz 2a Unterabsatz 1 Buchstaben a bis d festgelegten Kriterien zu ändern.
2a) Die Kommission kann delegierte Rechtsakte erlassen, mit denen die in Absatz 2a Unterabsatz 1 Buchstaben a bis d festgelegten Kriterien um neue Kriterien ergänzt oder geändert werden, wenn konkrete und zuverlässige Beweise für das Vorhandensein von KI-Systemen vorliegen, die in den Anwendungsbereich des Anhangs III fallen, aber kein erhebliches Risiko für Gesundheitsschäden darstellen — Sicherheit und Grundrechte.
Die Kommission erlässt delegierte Rechtsakte zur Streichung der in Absatz 2a Unterabsatz 1 festgelegten Kriterien, wenn konkrete und zuverlässige Beweise dafür vorliegen, dass dies zur Aufrechterhaltung des Schutzniveaus für Gesundheit, Sicherheit und Grundrechte in der Union erforderlich ist.
Eine Änderung der in Absatz 2a Unterabsatz 1 genannten Kriterien gemäß Absatz 2a Unterabsatz 1 darf das allgemeine Schutzniveau für Gesundheit, Sicherheit und Grundrechte in der Union nicht verringern.
Beim Erlass der delegierten Rechtsakte achtet die Kommission auf Kohärenz mit den gemäß Artikel 7 Absatz 1 erlassenen delegierten Rechtsakten und berücksichtigt Markt- und Technologieentwicklungen.
Artikel 7 Änderungen des Anhangs III
1) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um Anhang III durch Hinzufügung oder Änderung von Anwendungsfällen von Hochrisiko-KI-Systemen zu ändern, wenn die beiden folgenden Bedingungen erfüllt sind:
a) Die KI-Systeme sind für den Einsatz in einem der in Anhang III Nummern 1 bis 8 aufgeführten Bereiche bestimmt;
b) die KI-Systeme stellen ein Risiko einer Schädigung von Gesundheit und Sicherheit oder einer nachteiligen Auswirkung auf die Grundrechte dar und dieses Risiko ist gleich oder größer als das Risiko einer Schädigung oder nachteiliger Auswirkungen, die von den bereits in Anhang III genannten Hochrisiko-KI-Systemen ausgehen.
2. Bei der Bewertung für die Zwecke des Absatzes 1, ob ein KI-System ein Risiko einer Schädigung der Gesundheit und Sicherheit oder eines Risikos nachteiliger Auswirkungen auf die Grundrechte darstellt, das dem Risiko eines Schadens durch die bereits in Anhang III genannten Hochrisiko-KI-Systeme entspricht oder größer ist, berücksichtigt die Kommission die folgenden Kriterien:
a) die Zweckbestimmung des KI-Systems;
b) das Ausmaß, in dem ein KI-System eingesetzt wurde oder wahrscheinlich eingesetzt wird;
ba) Art und Umfang der vom KI-System verarbeiteten und genutzten Daten, insbesondere ob besondere Kategorien personenbezogener Daten verarbeitet werden;
bb) das Ausmaß, in dem das KI-System autonom handelt, und die Möglichkeit für einen Menschen, sich über eine Entscheidung oder Empfehlung hinwegzusetzen, die zu potenziellem Schaden führen kann;
c) das Ausmaß, in dem der Einsatz eines KI-Systems bereits zu einer Schädigung der Gesundheit und Sicherheit geführt hat, sich nachteilig auf die Grundrechte ausgewirkt hat oder Anlass zu erheblichen Bedenken hinsichtlich der Wahrscheinlichkeit eines solchen Schadens oder einer solchen nachteiligen Auswirkung gegeben hat, wie z. B. durch Berichte oder dokumentierte Behauptungen, die den zuständigen nationalen Behörden vorgelegt wurden, oder durch andere Berichte, gegebenenfalls.
d) das potenzielle Ausmaß eines solchen Schadens oder einer solchen nachteiligen Auswirkung, insbesondere im Hinblick auf seine Intensität und seine Fähigkeit, eine Vielzahl von Personen oder eine bestimmte Personengruppe unverhältnismäßig zu beeinträchtigen;
e) das Ausmaß, in dem potenziell geschädigte oder nachteilig betroffene Personen von dem mit einem KI-System erzielten Ergebnis abhängig sind, insbesondere weil es aus praktischen oder rechtlichen Gründen vernünftigerweise nicht möglich ist, sich von diesem Ergebnis abzumelden;
e) das Ausmaß, in dem sich potenziell geschädigte oder nachteilig betroffene Personen in Bezug auf den Nutzer eines KI-Systems in einer schutzbedürftigen Position befinden, insbesondere aufgrund eines Ungleichgewichts von Macht, Wissen, wirtschaftlichen oder sozialen Umständen oder Alter;
f) das Ausmaß, in dem ein Machtungleichgewicht besteht oder sich die potenziell geschädigten oder nachteilig betroffenen Personen in Bezug auf den Nutzer eines KI-Systems in einer schutzbedürftigen Position befinden, insbesondere aufgrund von Status, Autorität, Wissen, wirtschaftlichen oder sozialen Umständen oder Alter;
g) das Ausmaß, in dem das Ergebnis, das mit einem KI-System erzielt wird, leicht korrigierbar oder reversibel ist, wobei die technischen Lösungen, die zur Korrektur oder Umkehrung zur Verfügung stehen, nicht als leicht korrigierbar oder reversibel angesehen werden, wobei Ergebnisse mit nachteiligen Auswirkungen auf Gesundheit, Sicherheit und Grundrechte nicht als leicht korrigierbar oder reversibel angesehen werden.
gb) Umfang und Wahrscheinlichkeit des Nutzens des Einsatzes des KI-Systems für Einzelpersonen, Gruppen oder die Gesellschaft insgesamt, einschließlich möglicher Verbesserungen der Produktsicherheit;
h) das Ausmaß, in dem die bestehenden Rechtsvorschriften der Union Folgendes vorsehen:
i) wirksame Abhilfemaßnahmen in Bezug auf die Risiken, die von einem KI-System ausgehen, unter Ausschluss von Schadenersatzansprüchen;
ii) wirksame Maßnahmen zur Vermeidung oder wesentlichen Minimierung dieser Risiken.
2a) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die Liste in Anhang III zu ändern, indem KI-Systeme mit hohem Risiko gestrichen werden, wenn die beiden folgenden Bedingungen erfüllt sind:
a) die betreffenden KI-Systeme mit hohem Risiko stellen unter Berücksichtigung der in Absatz 2 genannten Kriterien keine erheblichen Risiken mehr für die Grundrechte, die Gesundheit oder die Sicherheit dar;
b) die Streichung das allgemeine Schutzniveau für Gesundheit, Sicherheit und Grundrechte nach dem Unionsrecht nicht verringert.
Kapitel 2 Anforderungen an Hochrisiko-KI-Systeme
Artikel 8 Einhaltung der Anforderungen
1. Hochrisiko-KI-Systeme müssen die in diesem Kapitel festgelegten Anforderungen erfüllen, wobei ihre Zweckbestimmung sowie der allgemein anerkannte Stand der Technik in Bezug auf KI und KI-verwandte Technologien zu berücksichtigen sind. Das in Artikel 9 genannte Risikomanagementsystem wird bei der Gewährleistung der Einhaltung dieser Anforderungen berücksichtigt.
2a) Enthält ein Produkt ein KI-System, für das die Anforderungen dieser Verordnung sowie die Anforderungen der in Anhang II Abschnitt A aufgeführten Harmonisierungsrechtsvorschriften der Union gelten, so sind die Anbieter dafür verantwortlich, dass ihr Produkt alle geltenden Anforderungen erfüllt, die nach den Harmonisierungsrechtsvorschriften der Union erforderlich sind.
Um sicherzustellen, dass die in Absatz 1 genannten Hochrisiko-KI-Systeme die Anforderungen des Kapitels 2 dieses Titels erfüllen, und um Kohärenz zu gewährleisten, Doppelarbeit zu vermeiden und zusätzlichen Aufwand zu minimieren, haben die Anbieter die Möglichkeit, die erforderlichen Prüf- und Berichterstattungsverfahren, Informationen und Unterlagen, die sie in Bezug auf ihr Produkt bereitstellen, gegebenenfalls in bereits bestehende Dokumentationen und Verfahren zu integrieren, die im Rahmen der Harmonisierung der Union erforderlich sind Rechtsvorschriften, die in Anhang II Abschnitt A aufgeführt sind.
Artikel 9 Risikomanagementsystem
1. In Bezug auf Hochrisiko-KI-Systeme ist ein Risikomanagementsystem einzurichten, umzusetzen, zu dokumentieren und aufrechtzuerhalten.
2. Unter dem Risikomanagementsystem ist ein kontinuierlicher iterativer Prozess zu verstehen, der während des gesamten Lebenszyklus eines Hochrisiko-KI-Systems geplant und durchgeführt wird und einer regelmäßigen systematischen Überprüfung und Aktualisierung bedarf. Sie umfasst folgende Schritte:
a) Ermittlung und Analyse der bekannten und vernünftigerweise vorhersehbaren Risiken, die das Hochrisiko-KI-System für die Gesundheit, die Sicherheit oder die Grundrechte darstellen kann, wenn das Hochrisiko-KI-System bestimmungsgemäß eingesetzt wird;
b) Abschätzung und Bewertung der Risiken, die entstehen können, wenn das Hochrisiko-KI-System bestimmungsgemäß und unter Bedingungen eines vernünftigerweise vorhersehbaren Missbrauchs eingesetzt wird;
c) Bewertung anderer möglicherweise auftretender Risiken auf der Grundlage der Analyse von Daten, die aus dem in Artikel 61 genannten System zur Überwachung nach dem Inverkehrbringen erhoben wurden;
d) Ergreifung geeigneter und gezielter Risikomanagementmaßnahmen zur Bewältigung der gemäß Buchstabe a dieses Absatzes ermittelten Risiken gemäß den Bestimmungen der folgenden Absätze.
2a) Die in diesem Absatz genannten Risiken betreffen nur Risiken, die durch die Entwicklung oder Gestaltung des Hochrisiko-KI-Systems oder die Bereitstellung angemessener technischer Informationen in angemessener Weise gemindert oder beseitigt werden können.
3. Bei den in Absatz 2 Buchstabe d genannten Risikomanagementmaßnahmen werden die Auswirkungen und möglichen Wechselwirkungen, die sich aus der kombinierten Anwendung der Anforderungen dieses Kapitels 2 ergeben, gebührend berücksichtigt, um die Risiken wirksamer zu minimieren und gleichzeitig ein angemessenes Gleichgewicht bei der Umsetzung der Maßnahmen zur Erfüllung dieser Anforderungen zu erreichen.
4. Die in Absatz 2 Buchstabe d genannten Risikomanagementmaßnahmen müssen so beschaffen sein, dass das mit jeder Gefahr verbundene relevante Restrisiko sowie das Gesamtrestrisiko der Hochrisiko-KI-Systeme als akzeptabel erachtet werden.
Bei der Ermittlung der am besten geeigneten Risikomanagementmaßnahmen ist Folgendes sicherzustellen:
a) Beseitigung oder Verringerung der ermittelten und gemäß Absatz 2 bewerteten Risiken, soweit dies technisch möglich ist, durch eine angemessene Konzeption und Entwicklung des Hochrisiko-KI-Systems,
b) gegebenenfalls die Durchführung angemessener Minderungs- und Kontrollmaßnahmen zur Bewältigung von Risiken, die nicht beseitigt werden können;
c) Bereitstellung der erforderlichen Informationen gemäß Artikel 13 gemäß Absatz 2 Buchstabe b des vorliegenden Artikels und gegebenenfalls Schulung der Einsatzkräfte.
Im Hinblick auf die Beseitigung oder Verringerung von Risiken im Zusammenhang mit der Nutzung des KI-Systems mit hohem Risiko sind die vom Betreiber zu erwartenden technischen Kenntnisse, Erfahrungen, Ausbildungen und Schulungen sowie der mutmaßliche Kontext, in dem das System verwendet werden soll, gebührend zu berücksichtigen.
5. Hochrisiko-KI-Systeme werden getestet, um die am besten geeigneten und zielgerichtetsten Risikomanagementmaßnahmen zu ermitteln. Durch die Tests muss sichergestellt werden, dass KI-Systeme mit hohem Risiko für ihren vorgesehenen Zweck durchgängig funktionieren und die Anforderungen dieses Kapitels erfüllen.
6. Die Prüfverfahren können Prüfungen unter realen Bedingungen gemäß Artikel 54a umfassen.
7) Die Erprobung der Hochrisiko-KI-Systeme wird gegebenenfalls zu jedem Zeitpunkt des Entwicklungsprozesses und in jedem Fall vor dem Inverkehrbringen oder der Inbetriebnahme durchgeführt. Die Tests sind anhand zuvor festgelegter Metriken und probabilistischer Schwellenwerte durchzuführen, die für die Zweckbestimmung des Hochrisiko-KI-Systems geeignet sind.
8. Bei der Umsetzung des in den Absätzen 1 bis 6 beschriebenen Risikomanagementsystems berücksichtigen die Anbieter, ob sich das Hochrisiko-KI-System angesichts seiner Zweckbestimmung voraussichtlich nachteilig auf Personen unter 18 Jahren und gegebenenfalls auf andere schutzbedürftige Personengruppen auswirken wird.
9. Bei Anbietern von Hochrisiko-KI-Systemen, die nach den einschlägigen sektorspezifischen Rechtsvorschriften der Union Anforderungen an interne Risikomanagementprozesse unterliegen, können die in den Absätzen 1 bis 8 beschriebenen Aspekte Teil der gemäß diesem Recht festgelegten Risikomanagementverfahren sein oder mit diesen kombiniert werden.
Artikel 10 Daten and Daten Governance
1. Hochrisiko-KI-Systeme, die Techniken verwenden, bei denen Modelle mit Daten trainiert werden, werden auf der Grundlage von Trainings-, Validierungs- und Testdatensätzen entwickelt, die die in den Absätzen 2 bis 5 genannten Qualitätskriterien erfüllen, wenn solche Datensätze verwendet werden.
2. Trainings-, Validierungs- und Testdatensätze unterliegen angemessenen Datenverwaltungs- und -verwaltungspraktiken, die für den beabsichtigten Zweck des KI-Systems geeignet sind. Diese Praktiken betreffen insbesondere
a) die relevanten Designentscheidungen;
aa) Vorgänge der Datenerhebung und Herkunft der Daten sowie im Falle personenbezogener Daten den ursprünglichen Zweck der Datenerhebung;
b) gestrichen
c) einschlägige Verarbeitungsvorgänge der Datenaufbereitung, wie z. B. Annotation, Kennzeichnung, Bereinigung, Aktualisierung, Anreicherung und Aggregation;
d) die Formulierung von Annahmen, insbesondere in Bezug auf die Informationen, die die Daten messen und darstellen sollen;
e) eine Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze;
f) Prüfung im Hinblick auf mögliche Verzerrungen, die sich auf die Gesundheit und Sicherheit von Personen auswirken, sich negativ auf die Grundrechte auswirken oder zu einer nach dem Unionsrecht verbotenen Diskriminierung führen können, insbesondere wenn die Datenergebnisse die Eingaben für künftige Vorgänge beeinflussen;
fa) geeignete Maßnahmen zur Aufdeckung, Verhinderung und Minderung möglicher Verzerrungen, die gemäß Buchstabe f festgestellt wurden;
g) die Ermittlung relevanter Datenlücken oder -mängel, die der Einhaltung dieser Verordnung entgegenstehen, und der Frage, wie diese Lücken und Mängel behoben werden können.
3. Schulungs-, Validierungs- und Testdatensätze müssen relevant, hinreichend repräsentativ und im bestmöglichen Umfang fehlerfrei und im Hinblick auf den beabsichtigten Zweck vollständig sein. Sie müssen über die geeigneten statistischen Eigenschaften verfügen, gegebenenfalls auch in Bezug auf die Personen oder Personengruppen, für die das Hochrisiko-KI-System eingesetzt werden soll. Diese Merkmale der Datensätze können auf der Ebene einzelner Datensätze oder einer Kombination davon erfüllt sein.
4. Die Datensätze berücksichtigen, soweit dies für die Zweckbestimmung erforderlich ist, die Merkmale oder Elemente, die für das spezifische geografische, kontextbezogene, verhaltensbezogene oder funktionale Umfeld, in dem das Hochrisiko-KI-System eingesetzt werden soll, spezifisch sind.
5. Soweit dies für die Zwecke der Gewährleistung der Erkennung und Korrektur von Verzerrungen in Bezug auf die Hochrisiko-KI-Systeme gemäß Absatz 2, Buchstabe f und fa unbedingt erforderlich ist, dürfen die Anbieter solcher Systeme ausnahmsweise besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeiten — Artikel 10 der Richtlinie (EU) 2016/680 und Artikel 10 Absatz 1 der Verordnung (EU) 2018/1725, vorbehaltlich geeigneter Garantien für die Grundrechte und Grundfreiheiten natürlicher Personen. Zusätzlich zu den Bestimmungen der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2018/1725 gelten alle folgenden Bedingungen für eine solche Verarbeitung:
a) die Erkennung und Korrektur von Verzerrungen durch die Verarbeitung anderer Daten, einschließlich synthetischer oder anonymisierter Daten, nicht wirksam erfüllt werden kann;
b) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, unterliegen technischen Beschränkungen für die Weiterverwendung der personenbezogenen Daten und dem Stand der Technik entsprechenden Sicherheits- und Datenschutzmaßnahmen, einschließlich der Pseudonymisierung;
c) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, Maßnahmen unterliegen, die sicherstellen, dass die verarbeiteten personenbezogenen Daten gesichert und geschützt sind, angemessenen Garantien unterliegen, einschließlich strenger Kontrollen und Dokumentation des Zugriffs, um Missbrauch zu vermeiden und sicherzustellen, dass nur befugte Personen Zugang zu diesen personenbezogenen Daten haben, die angemessen zur Vertraulichkeit verpflichtet sind;
d) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, dürfen nicht von anderen Parteien übermittelt, übertragen oder anderweitig abgerufen werden;
e) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, gelöscht werden, sobald die Verzerrung korrigiert wurde oder die personenbezogenen Daten das Ende ihrer Aufbewahrungsfrist erreicht haben, je nachdem, was zuerst eintritt;
f) das Verzeichnis der Verarbeitungstätigkeiten gemäß der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2018/1725 eine Begründung enthält, warum die Verarbeitung besonderer Kategorien personenbezogener Daten unbedingt erforderlich war, um Verzerrungen aufzudecken und zu korrigieren, und dieses Ziel durch die Verarbeitung anderer Daten nicht erreicht werden konnte.
6. Für die Entwicklung von Hochrisiko-KI-Systemen, bei denen keine Techniken zum Trainieren von Modellen verwendet werden, gelten die Absätze 2 bis 5 nur für die Testdatensätze.
Artikel 11 Technische Dokumentation
1. Die technischen Unterlagen eines Hochrisiko-KI-Systems sind vor dem Inverkehrbringen oder der Inbetriebnahme dieses Systems zu erstellen und auf dem neuesten Stand zu halten.
Die technischen Unterlagen sind so zu erstellen, dass nachgewiesen werden kann, dass das Hochrisiko-KI-System die Anforderungen dieses Kapitels erfüllt, und den zuständigen nationalen Behörden und notifizierten Stellen die erforderlichen Informationen in klarer und umfassender Form zur Verfügung gestellt werden, um die Konformität des KI-Systems mit diesen Anforderungen zu bewerten. Er enthält mindestens die in Anhang IV aufgeführten Elemente. KMU, einschließlich Start-up-Unternehmen, können die in Anhang IV genannten Bestandteile der technischen Dokumentation in vereinfachter Form bereitstellen. Zu diesem Zweck erstellt die Kommission ein vereinfachtes Formular für technische Unterlagen, das auf die Bedürfnisse von Klein- und Kleinstunternehmen zugeschnitten ist. Entscheidet sich ein KMU, einschließlich Start-up-Unternehmen, dafür, die in Anhang IV geforderten Informationen in vereinfachter Form bereitzustellen, so verwendet es das in diesem Absatz genannte Formular. Die notifizierten Stellen akzeptieren das Formular für die Zwecke der Konformitätsbewertung.
2. Wird ein Hochrisiko-KI-System im Zusammenhang mit einem Produkt, für das die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, in Verkehr gebracht oder in Betrieb genommen, so wird eine einzige technische Dokumentation erstellt, die alle in Absatz 1 genannten Informationen sowie die nach diesen Rechtsakten erforderlichen Informationen enthält.
3. Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um Anhang IV erforderlichenfalls zu ändern, um sicherzustellen, dass die technischen Unterlagen unter Berücksichtigung des technischen Fortschritts alle erforderlichen Informationen enthalten, um die Konformität des Systems mit den Anforderungen dieses Kapitels zu bewerten.
Artikel 12 Aufzeichnungspflichten
1. Hochrisiko-KI-Systeme müssen technisch die automatische Aufzeichnung von Ereignissen („Protokollen“) während der gesamten Lebensdauer des Systems ermöglichen.
2. Um ein Maß an Rückverfolgbarkeit der Funktionsweise des KI-Systems zu gewährleisten, das der Zweckbestimmung des Systems angemessen ist, müssen die Protokollierungsfunktionen die Aufzeichnung von Ereignissen ermöglichen, die für Folgendes relevant sind:
2a) i) Ermittlung von Situationen, die dazu führen können, dass das KI-System ein Risiko im Sinne von Artikel 65 Absatz 1 darstellt oder eine wesentliche Änderung vornimmt;
ii) Erleichterung der Überwachung nach dem Inverkehrbringen gemäß Artikel 61; und
iii) Überwachung des Betriebs von Hochrisiko-KI-Systemen gemäß Artikel 29 Absatz 4.
3. entfällt
4. Bei KI-Systemen mit hohem Risiko gemäß Anhang III Absatz 1 Buchstabe a müssen die Protokollierungskapazitäten mindestens Folgendes bieten:
a) Aufzeichnung des Zeitraums jeder Nutzung des Systems (Startdatum und -uhrzeit sowie Enddatum und -uhrzeit jeder Nutzung);
b) die Referenzdatenbank, mit der die Eingabedaten vom System abgeglichen wurden;
c) die Eingabedaten, bei denen die Suche zu einer Übereinstimmung geführt hat;
d) die Identifizierung der natürlichen Personen, die an der Überprüfung der Ergebnisse gemäß Artikel 14 Absatz 5 beteiligt sind.
Artikel 13 Transparenz und Bereitstellung von Informationen für die Betreiber
1. Hochrisiko-KI-Systeme sind so zu konzipieren und zu entwickeln, dass ihr Betrieb hinreichend transparent ist, damit die Betreiber die Ergebnisse des Systems interpretieren und angemessen nutzen können. Es ist für eine angemessene Art und ein angemessenes Maß an Transparenz zu sorgen, um die Einhaltung der einschlägigen Verpflichtungen des Anbieters und des Betreibers gemäß Kapitel 3 dieses Titels zu erreichen.
2. Hochrisiko-KI-Systemen ist eine Gebrauchsanweisung in geeigneter digitaler Form oder auf andere Weise beizufügen, die prägnante, vollständige, korrekte und klare Informationen enthält, die für die Nutzer relevant, zugänglich und verständlich sind.
3. Die Gebrauchsanweisung muss mindestens folgende Angaben enthalten:
a) die Identität und die Kontaktdaten des Anbieters und gegebenenfalls seines Bevollmächtigten;
b) die Merkmale, Fähigkeiten und Leistungsgrenzen des Hochrisiko-KI-Systems, einschließlich:
i) die Zweckbestimmung;
ii) das in Artikel 15 genannte Maß an Genauigkeit, einschließlich seiner Metriken, Robustheit und Cybersicherheit, anhand derer das Hochrisiko-KI-System getestet und validiert wurde und das zu erwarten ist, sowie alle bekannten und vorhersehbaren Umstände, die sich auf dieses erwartete Maß an Genauigkeit, Robustheit und Cybersicherheit auswirken können;
iii) alle bekannten oder vorhersehbaren Umstände im Zusammenhang mit der bestimmungsgemäßen Nutzung des Hochrisiko-KI-Systems oder unter Bedingungen eines vernünftigerweise vorhersehbaren Missbrauchs, der zu Risiken für die Gesundheit und Sicherheit oder die Grundrechte gemäß Artikel 9 Absatz 2 führen kann;
IIIa) gegebenenfalls die technischen Fähigkeiten und Merkmale des KI-Systems, um Informationen bereitzustellen, die für die Erläuterung seiner Ergebnisse relevant sind.
iv) gegebenenfalls seine Leistung in Bezug auf bestimmte Personen oder Personengruppen, für die das System verwendet werden soll;
v) gegebenenfalls Spezifikationen für die Eingabedaten oder andere relevante Informationen in Bezug auf die verwendeten Trainings-, Validierungs- und Testdatensätze unter Berücksichtigung der Zweckbestimmung des KI-Systems.
va) gegebenenfalls Informationen, die es den Betreibern ermöglichen, die Ergebnisse des Systems zu interpretieren und angemessen zu verwenden.
c) etwaige Änderungen des Hochrisiko-KI-Systems und seiner Leistung, die vom Anbieter zum Zeitpunkt der ersten Konformitätsbewertung im Voraus festgelegt wurden;
d) die in Artikel 14 genannten menschlichen Aufsichtsmaßnahmen, einschließlich der technischen Maßnahmen, die ergriffen wurden, um die Interpretation der Ergebnisse von KI-Systemen durch die Betreiber zu erleichtern;
e) die erforderlichen Rechen- und Hardwareressourcen, die voraussichtliche Lebensdauer des Hochrisiko-KI-Systems und alle erforderlichen Wartungs- und Pflegemaßnahmen, einschließlich ihrer Häufigkeit, um das ordnungsgemäße Funktionieren dieses KI-Systems zu gewährleisten, auch in Bezug auf Softwareaktualisierungen;
ea) gegebenenfalls eine Beschreibung der im KI-System enthaltenen Mechanismen, die es den Nutzern ermöglichen, die Protokolle gemäß Artikel 12 ordnungsgemäß zu erfassen, zu speichern und zu interpretieren.
Artikel 14 Menschliche Aufsicht
1. Hochrisiko-KI-Systeme sind so zu konzipieren und zu entwickeln, dass sie während des Zeitraums, in dem das KI-System in Betrieb ist, von natürlichen Personen wirksam beaufsichtigt werden können, auch mit geeigneten Werkzeugen für die Mensch-Maschine-Schnittstelle.
2. Die menschliche Aufsicht zielt darauf ab, die Risiken für Gesundheit, Sicherheit oder Grundrechte zu verhindern oder zu minimieren, die entstehen können, wenn ein KI-System mit hohem Risiko bestimmungsgemäß oder unter Bedingungen eines vernünftigerweise vorhersehbaren Missbrauchs eingesetzt wird, insbesondere wenn diese Risiken ungeachtet der Anwendung anderer in diesem Kapitel festgelegter Anforderungen fortbestehen.
3. Die Aufsichtsmaßnahmen müssen in einem angemessenen Verhältnis zu den Risiken, dem Grad der Autonomie und dem Nutzungskontext des KI-Systems stehen und durch eine oder alle der folgenden Arten von Maßnahmen sichergestellt werden:
a) Maßnahmen, die vom Anbieter ermittelt und, soweit technisch machbar, in das Hochrisiko-KI-System eingebaut werden, bevor es in Verkehr gebracht oder in Betrieb genommen wird;
b) Maßnahmen, die der Anbieter vor dem Inverkehrbringen oder der Inbetriebnahme des Hochrisiko-KI-Systems ermittelt hat und die geeignet sind, vom Nutzer umgesetzt zu werden.
4. Für die Zwecke der Durchführung der Absätze 1 bis 3 wird das Hochrisiko-KI-System dem Nutzer so zur Verfügung gestellt, dass natürliche Personen, denen die menschliche Aufsicht übertragen ist, in die Lage versetzt werden, je nach Angemessenheit und Verhältnismäßigkeit zu den Umständen:
a) die relevanten Kapazitäten und Grenzen des Hochrisiko-KI-Systems richtig zu verstehen und in der Lage zu sein, seinen Betrieb ordnungsgemäß zu überwachen, auch im Hinblick auf die Erkennung und Behebung von Anomalien, Funktionsstörungen und unerwarteten Leistungen;
???
c) sich der möglichen Tendenz bewusst zu sein, sich automatisch oder übermäßig auf die Ergebnisse eines Hochrisiko-KI-Systems zu verlassen („Automatisierungsverzerrung“), insbesondere bei Hochrisiko-KI-Systemen, die zur Bereitstellung von Informationen oder Empfehlungen für Entscheidungen natürlicher Personen verwendet werden;
d) die Ergebnisse des Hochrisiko-KI-Systems korrekt zu interpretieren, z. B. unter Berücksichtigung der verfügbaren Interpretationsinstrumente und -methoden;
e) in einer bestimmten Situation zu entscheiden, das Hochrisiko-KI-System nicht zu verwenden oder die Ergebnisse des Hochrisiko-KI-Systems anderweitig zu ignorieren, außer Kraft zu setzen oder umzukehren;
5. Bei KI-Systemen mit hohem Risiko gemäß Anhang III Nummer 1 Buchstabe a müssen die in Absatz 3 genannten Maßnahmen sicherstellen, dass der Betreiber auf der Grundlage der sich aus dem System ergebenden Identifizierung keine Maßnahmen oder Entscheidungen trifft, es sei denn, diese wurde von mindestens zwei natürlichen Personen mit der erforderlichen Kompetenz gesondert überprüft und bestätigt — Ausbildung und Autorität. Das Erfordernis einer getrennten Überprüfung durch mindestens zwei natürliche Personen gilt nicht für KI-Systeme mit hohem Risiko, die für Zwecke der Strafverfolgung, der Migration, der Grenzkontrolle oder des Asyls eingesetzt werden, wenn das Unionsrecht oder das nationale Recht die Anwendung dieser Anforderung für unverhältnismäßig hält.
Artikel 15 Genauigkeit, Robustheit und Cybersicherheit
1. Hochrisiko-KI-Systeme sind so zu konzipieren und zu entwickeln, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus gleichbleibend funktionieren.
1a) Um die technischen Aspekte der Messung der in Absatz 1 dieses Artikels genannten angemessenen Genauigkeits- und Robustheitsniveaus und anderer einschlägiger Leistungskennzahlen zu berücksichtigen, fördert die Kommission in Zusammenarbeit mit einschlägigen Interessenträgern und Organisationen wie Metrologie- und Benchmarking-Behörden gegebenenfalls die Entwicklung von Benchmarks und Messmethoden.
2) Die Genauigkeitsstufen und die relevanten Genauigkeitsmetriken von Hochrisiko-KI-Systemen sind in der beigefügten Gebrauchsanweisung zu deklarieren.
3.) Hochrisiko-KI-Systeme müssen so widerstandsfähig wie möglich gegenüber Fehlern, Störungen oder Inkonsistenzen sein, die innerhalb des Systems oder der Umgebung, in der das System betrieben wird, auftreten können, insbesondere aufgrund ihrer Wechselwirkung mit natürlichen Personen oder anderen Systemen. Zu diesem Zweck werden technische und organisatorische Maßnahmen getroffen.
Die Robustheit von KI-Systemen mit hohem Risiko kann durch technische Redundanzlösungen erreicht werden, die Backup- oder Ausfallsicherungspläne umfassen können.
Hochrisiko-KI-Systeme, die nach dem Inverkehrbringen oder der Inbetriebnahme weiter dazulernen, sind so zu entwickeln, dass das Risiko, dass möglicherweise verzerrte Ergebnisse den Input für künftige Vorgänge beeinflussen („Rückkopplungsschleifen“), so weit wie möglich beseitigt oder verringert werden, und es wird gebührend mit geeigneten Minderungsmaßnahmen begegnet.
4. Hochrisiko-KI-Systeme müssen widerstandsfähig gegenüber Versuchen unbefugter Dritter sein, ihre Nutzung, ihre Ergebnisse oder ihre Leistung durch Ausnutzung der Systemschwachstellen zu verändern.
Die technischen Lösungen, mit denen die Cybersicherheit von Hochrisiko-KI-Systemen gewährleistet werden soll, müssen den jeweiligen Umständen und Risiken angemessen sein.
Die technischen Lösungen zur Behebung KI-spezifischer Schwachstellen umfassen gegebenenfalls Maßnahmen zur Verhinderung, Erkennung, Reaktion darauf, Behebung und Kontrolle von Angriffen, mit denen versucht wird, den Trainingsdatensatz („Datenvergiftung“) oder vortrainierte Komponenten, die beim Training verwendet werden („Modellvergiftung“), Eingaben, die dazu führen sollen, dass das Modell einen Fehler macht („kontradiktorische Beispiele“ oder „Modellumgehung“), Vertraulichkeitsangriffe oder Modellfehler zu manipulieren.
Kapitel 3 Pflichten der Anbieter und Betreiber von Hochrisiko-KI-Systemen und anderer Beteiligter
Artikel 16 Pflichten der Anbieter von Hochrisiko-KI-Systemen
Anbieter von Hochrisiko-KI-Systemen müssen
a) sicherstellen, dass ihre Hochrisiko-KI-Systeme die Anforderungen des Kapitels 2 dieses Titels erfüllen;
aa) ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke, die Anschrift, unter der sie kontaktiert werden können, über das Hochrisiko-KI-System oder, falls dies nicht möglich ist, über die Verpackung bzw. die Begleitdokumentation angeben;
b) über ein Qualitätsmanagementsystem verfügen, das Artikel 17 entspricht;
c) die in Artikel 18 genannten Unterlagen aufzubewahren;
d) wenn sie sich unter ihrer Kontrolle befinden, die von ihren Hochrisiko-KI-Systemen gemäß Artikel 20 automatisch erstellten Protokolle aufbewahren;
e) sicherzustellen, dass das Hochrisiko-KI-System vor dem Inverkehrbringen oder der Inbetriebnahme dem einschlägigen Konformitätsbewertungsverfahren gemäß Artikel 43 unterzogen wird;
ea) eine EU-Konformitätserklärung gemäß Artikel 48 auszustellen;
eb) die CE-Kennzeichnung gemäß Artikel 49 an dem Hochrisiko-KI-System anzubringen, um die Konformität mit dieser Verordnung anzuzeigen;
f) die in Artikel 51 Absatz 1 genannten Registrierungspflichten zu erfüllen;
g) die erforderlichen Korrekturmaßnahmen zu ergreifen und Informationen gemäß Artikel 21 bereitzustellen;
i) In Zeile 313b nach oben verschoben
j) auf begründetes Verlangen einer zuständigen nationalen Behörde die Konformität des Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen.
ja) sicherstellen, dass das Hochrisiko-KI-System die Barrierefreiheitsanforderungen gemäß der Richtlinie 2019/882 über Barrierefreiheitsanforderungen für Produkte und Dienstleistungen und der Richtlinie 2016/2102 über den barrierefreien Zugang zu Websites und mobilen Anwendungen öffentlicher Stellen erfüllt.
Artikel 17 Qualitätsmanagementsystem
1. Anbieter von Hochrisiko-KI-Systemen richten ein Qualitätsmanagementsystem ein, das die Einhaltung dieser Verordnung sicherstellt. Dieses System wird systematisch und geordnet in Form schriftlicher Grundsätze, Verfahren und Anweisungen dokumentiert und umfasst mindestens folgende Aspekte:
a) eine Strategie für die Einhaltung der Rechtsvorschriften, einschließlich der Einhaltung der Konformitätsbewertungsverfahren und der Verfahren für das Management von Änderungen des Hochrisiko-KI-Systems;
b) Techniken, Verfahren und systematische Maßnahmen, die für den Entwurf, die Entwurfskontrolle und die Entwurfsprüfung des Hochrisiko-KI-Systems anzuwenden sind;
c) Techniken, Verfahren und systematische Maßnahmen, die für die Entwicklung, Qualitätskontrolle und Qualitätssicherung des Hochrisiko-KI-Systems anzuwenden sind;
d) Prüfungs-, Test- und Validierungsverfahren, die vor, während und nach der Entwicklung des Hochrisiko-KI-Systems durchzuführen sind, und die Häufigkeit, mit der sie durchgeführt werden müssen;
e) die anzuwendenden technischen Spezifikationen, einschließlich der Normen, und, falls die einschlägigen harmonisierten Normen nicht vollständig angewandt werden oder nicht alle einschlägigen Anforderungen des Kapitels II dieses Titels abdecken, die Mittel, mit denen sichergestellt werden soll, dass das Hochrisiko-KI-System diese Anforderungen erfüllt;
f) Systeme und Verfahren für die Datenverwaltung, einschließlich Datenerfassung, Datenerhebung, Datenanalyse, Datenkennzeichnung, Datenspeicherung, Datenfilterung, Data Mining, Datenaggregation, Datenspeicherung und alle anderen Vorgänge in Bezug auf die Daten, die vor und zum Zwecke des Inverkehrbringens oder der Inbetriebnahme von Hochrisiko-KI-Systemen durchgeführt werden;
g) das in Artikel 9 genannte Risikomanagementsystem;
h) die Einrichtung, Umsetzung und Aufrechterhaltung eines Systems zur Überwachung nach dem Inverkehrbringen gemäß Artikel 61;
i) Verfahren im Zusammenhang mit der Meldung eines schwerwiegenden Vorkommnisses gemäß Artikel 62;
j) die Abwicklung der Kommunikation mit den zuständigen nationalen Behörden, anderen einschlägigen Behörden, einschließlich derjenigen, die den Zugang zu Daten gewähren oder unterstützen, notifizierten Stellen, anderen Betreibern, Kunden oder anderen interessierten Parteien;
k) Systeme und Verfahren für die Aufzeichnung aller relevanten Unterlagen und Informationen;
l) Ressourcenmanagement, einschließlich Maßnahmen im Zusammenhang mit der Versorgungssicherheit;
m) einen Rahmen für die Rechenschaftspflicht, in dem die Verantwortlichkeiten der Geschäftsleitung und des sonstigen Personals in Bezug auf alle in diesem Absatz aufgeführten Aspekte festgelegt sind.
2. Die Umsetzung der in Absatz 1 genannten Aspekte muss in einem angemessenen Verhältnis zur Größe der Organisation des Anbieters stehen. Die Anbieter achten in jedem Fall das Maß an Strenge und das Schutzniveau, die erforderlich sind, um die Konformität ihrer KI-Systeme mit dieser Verordnung zu gewährleisten.
2a) Bei Anbietern von Hochrisiko-KI-Systemen, die nach dem einschlägigen sektoriellen Unionsrecht Verpflichtungen in Bezug auf Qualitätsmanagementsysteme oder deren gleichwertige Funktion unterliegen, können die in Absatz 1 beschriebenen Aspekte Teil der Qualitätsmanagementsysteme gemäß diesem Recht sein.
3. Bei Anbietern, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Unternehmensführung, ihre internen Regelungen oder Prozesse unterliegen, gilt die Verpflichtung zur Einrichtung eines Qualitätsmanagementsystems mit Ausnahme des Absatzes 1 Buchstaben g, h und i als erfüllt, wenn die Vorschriften über interne Governance-Regelungen oder -Prozesse gemäß den einschlägigen Rechtsvorschriften der Union über Finanzdienstleistungen eingehalten werden. In diesem Zusammenhang werden alle in Artikel 40 dieser Verordnung genannten harmonisierten Normen berücksichtigt.
Artikel 18 Führung der Dokumentation
1. Der Anbieter hält für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen oder der Inbetriebnahme des KI-Systems Folgendes für die zuständigen nationalen Behörden bereit:
a) die in Artikel 11 genannten technischen Unterlagen;
b) die Unterlagen über das in Artikel 17 genannte Qualitätsmanagementsystem;
c) gegebenenfalls die Unterlagen über die von den benannten Stellen genehmigten Änderungen;
d) gegebenenfalls die von den benannten Stellen ausgestellten Entscheidungen und sonstigen Unterlagen;
e) die EU-Konformitätserklärung gemäß Artikel 48.
1a) Jeder Mitgliedstaat legt die Bedingungen fest, unter denen die in Absatz 1 genannten Unterlagen den zuständigen nationalen Behörden während des in Absatz 1 genannten Zeitraums zur Verfügung stehen, wenn ein Anbieter oder sein in seinem Hoheitsgebiet ansässiger Bevollmächtigter vor Ablauf dieses Zeitraums in Konkurs geht oder seine Tätigkeit einstellt.
2. Anbieter, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Governance, ihre internen Regelungen oder Prozesse unterliegen, bewahren die technische Dokumentation als Teil der Dokumentation auf, die gemäß den einschlägigen Rechtsvorschriften der Union über Finanzdienstleistungen aufbewahrt wird.
Artikel 19 gelöscht
Artikel 20 Automatisch erzeugte Protokolle
1. Die Anbieter von Hochrisiko-KI-Systemen bewahren die in Artikel 12 Absatz 1 genannten Protokolle, die von ihren Hochrisiko-KI-Systemen automatisch erstellt werden, auf, soweit diese Protokolle unter ihrer Kontrolle stehen. Unbeschadet des geltenden Unionsrechts oder des nationalen Rechts werden die Protokolle für einen Zeitraum von mindestens 6 Monaten aufbewahrt, der der Zweckbestimmung des Hochrisiko-KI-Systems angemessen ist, sofern im geltenden Unionsrecht oder im nationalen Recht, insbesondere im Unionsrecht über den Schutz personenbezogener Daten, nichts anderes vorgesehen ist.
2. Bei Anbietern, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Unternehmensführung, ihre internen Regelungen oder Prozesse unterliegen, bewahren sie die von ihren Hochrisiko-KI-Systemen automatisch generierten Protokolle als Teil der Dokumentation auf, die gemäß den einschlägigen Rechtsvorschriften über Finanzdienstleistungen geführt wird.
Artikel 21 Berichtigungsmaßnahmen und Informationspflicht
Anbieter von KI-Systemen mit hohem Risiko, die der Auffassung sind oder Grund zu der Annahme haben, dass ein von ihnen in Verkehr gebrachtes oder in Betrieb genommenes AI-System nicht dieser Verordnung entspricht, ergreifen unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Systems herzustellen, es gegebenenfalls zurückzunehmen, zu deaktivieren oder zurückzurufen. Sie unterrichten die Händler des betreffenden AI-Systems mit hohem Risiko und gegebenenfalls die Verteiler, den Bevollmächtigten und die Importeure entsprechend. Ist mit dem AI-System mit hohem Risiko ein Risiko im Sinne des Artikels 65 I verbunden und wird dem Anbieter dieses Risiko bekannt, untersucht er – gegebenenfalls in Zusammenarbeit mit dem meldenden Betreiber – unverzüglich die Ursachen hierfür und unterrichtet die Marktüberwachungsbehörden der Mitgliedstaaten, in denen er das AI-System mit hohem Risiko bereitgestellt hat, sowie gegebenenfalls die notifizierte Stelle, die für das AI-System mit hohem Risiko eine Bescheinigung gemäß Artikel 44 ausgestellt hat, insbesondere über die Art der Nichtkonformität und die ergriffenen Korrekturmaßnahmen.
Artikel 22 gelöscht
Artikel 23 Zusammenarbeit mit den zuständigen Behörden
1. Die Anbieter von Hochrisiko-KI-Systemen stellen dieser Behörde auf begründetes Verlangen alle Informationen und Unterlagen, die für den Nachweis der Konformität des Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels erforderlich sind, in einer von der Behörde leicht verständlichen Sprache in einer von dem betreffenden Mitgliedstaat festgelegten Amtssprache der Union zur Verfügung.
1a) Auf begründeten Antrag einer zuständigen nationalen Behörde gewähren die Anbieter der ersuchenden zuständigen nationalen Behörde gegebenenfalls auch Zugang zu den in Artikel 12 Absatz 1 genannten Protokollen, die automatisch vom Hochrisiko-KI-System generiert werden, soweit sich diese Protokolle unter ihrer Kontrolle befinden.
1b) Alle Informationen, die eine zuständige nationale Behörde gemäß den Bestimmungen dieses Artikels erhält, werden unter Beachtung der in Artikel 70 festgelegten Vertraulichkeitsverpflichtungen behandelt.
Artikel 24 ???
Artikel 25 Bevollmächtigte
Bevor sie ihre Systeme auf dem Unionsmarkt bereitstellen, benennen außerhalb der Union niedergelassene Anbieter mit schriftlichem Mandat einen in der Union niedergelassenen Bevollmächtigten.
1b) Der Anbieter ermöglicht es seinem Bevollmächtigten, seine Aufgaben gemäß dieser Verordnung wahrzunehmen.
2. Der Bevollmächtigte nimmt die Aufgaben wahr, die in dem vom Anbieter erteilten Mandat festgelegt sind. Sie stellt den Marktüberwachungsbehörden auf Verlangen eine Kopie des Mandats in einer der Amtssprachen des Organs der Union zur Verfügung, die von der zuständigen nationalen Behörde festgelegt wird. Für die Zwecke dieser Verordnung ermächtigt das Mandat den Bevollmächtigten, folgende Aufgaben wahrzunehmen:
-a) zu überprüfen, ob die EU-Konformitätserklärung und die technischen Unterlagen ausgestellt wurden und ob der Anbieter ein geeignetes Konformitätsbewertungsverfahren durchgeführt hat;
a) hält den zuständigen nationalen Behörden und den in Artikel 63 Absatz 7 genannten nationalen Behörden für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen oder der Inbetriebnahme des Hochrisiko-KI-Systems die Kontaktdaten des Anbieters, von dem der Bevollmächtigte benannt wurde, eine Kopie der EU-Konformitätserklärung bereit, die technischen Unterlagen und gegebenenfalls die von der benannten Stelle ausgestellte Bescheinigung;
b) einer zuständigen nationalen Behörde auf begründetes Verlangen alle Informationen und Unterlagen, einschließlich der gemäß Buchstabe a aufbewahrten, zur Verfügung zu stellen, die erforderlich sind, um die Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen, einschließlich des Zugangs zu den Protokollen gemäß Artikel 12 Absatz 1, automatisch vom Hochrisiko-KI-System generiert werden, soweit diese Protokolle unter der Kontrolle des Anbieters stehen;
c) auf begründetes Ersuchen mit den zuständigen Behörden bei allen Maßnahmen zusammenzuarbeiten, die diese in Bezug auf das Hochrisiko-KI-System ergreifen, insbesondere um die von dem Hochrisiko-KI-System ausgehenden Risiken zu verringern und zu mindern;
Artikel 26 Pflichten der Einführer
Vor dem Inverkehrbringen eines KI-Systems mit hohem Risiko stellen die Einführer eines solchen Systems sicher, dass ein solches System mit dieser Verordnung konform ist, indem sie überprüfen, ob
a) das einschlägige Konformitätsbewertungsverfahren gemäß Artikel 43 vom Anbieter dieses KI-Systems durchgeführt wurde;
b) der Anbieter die technischen Unterlagen gemäß Artikel 11 und Anhang IV erstellt hat;
c) das System mit der erforderlichen CE-Konformitätskennzeichnung versehen ist und von der EU-Konformitätserklärung und der Gebrauchsanweisung begleitet wird;
ca) der Anbieter einen Bevollmächtigten gemäß Artikel 25 Absatz 1 bestellt hat.
2. Hat ein Einführer hinreichenden Grund zu der Annahme, dass ein KI-System mit hohem Risiko nicht dieser Verordnung entspricht, gefälscht ist oder von gefälschten Unterlagen begleitet ist, so darf er dieses System erst in Verkehr bringen, wenn die Konformität dieses KI-Systems hergestellt wurde. Stellt das Hochrisiko-KI-System ein Risiko im Sinne von Artikel 65 Absatz 1 dar, so unterrichtet der Einführer den Anbieter des KI-Systems, die Bevollmächtigten und die Marktüberwachungsbehörden entsprechend.
3. Die Einführer geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke und die Anschrift, unter der sie kontaktiert werden können, auf dem Hochrisiko-KI-System und gegebenenfalls auf der Verpackung oder den Begleitunterlagen an.
4. Solange sich ein KI-System mit hohem Risiko in ihrer Verantwortung befindet, stellen die Einführer sicher, dass die Lagerungs- oder Transportbedingungen die Einhaltung der Anforderungen des Kapitels 2 dieses Titels nicht beeinträchtigen.
4a. Die Einführer bewahren für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen oder der Inbetriebnahme des KI-Systems gegebenenfalls eine Kopie der von der notifizierten Stelle ausgestellten Bescheinigung über die Gebrauchsanweisung und der EU-Konformitätserklärung auf.
5. Die Einführer stellen den zuständigen nationalen Behörden auf begründetes Verlangen alle erforderlichen Informationen und Unterlagen, einschließlich der gemäß Absatz 4a aufbewahrten Unterlagen, zur Verfügung, um die Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen, und zwar in einer Sprache, die für sie leicht verständlich ist. Zu diesem Zweck stellen sie auch sicher, dass die technischen Unterlagen diesen Behörden zur Verfügung gestellt werden können.
5a) Die Einführer arbeiten mit den zuständigen nationalen Behörden bei allen Maßnahmen zusammen, die diese Behörden ergreifen, insbesondere um die von dem Hochrisiko-KI-System ausgehenden Risiken zu verringern und zu mindern.
Artikel 27 Pflichten der Händler
1. Bevor die Händler ein KI-System mit hohem Risiko auf dem Markt bereitstellen, überprüfen sie, ob das KI-System mit hohem Risiko mit der erforderlichen CE-Konformitätskennzeichnung versehen ist, ob ihm eine Kopie der EU-Konformitätserklärung und der Gebrauchsanweisung beigefügt ist und ob der Anbieter bzw. der Importeur des Systems ihren Verpflichtungen gemäß Artikel 16 nachgekommen sind. Buchstabe aa und b bzw. Artikel 26 Absatz 3.
2. Ist ein Händler der Auffassung oder hat er aufgrund der ihm vorliegenden Informationen Grund zu der Annahme, dass ein KI-System mit hohem Risiko die Anforderungen des Kapitels 2 dieses Titels nicht erfüllt, so stellt er das KI-System mit hohem Risiko erst dann auf dem Markt bereit, wenn die Konformität dieses Systems mit diesen Anforderungen hergestellt wurde. Stellt das System ein Risiko im Sinne von Artikel 65 Absatz 1 dar, so unterrichtet der Händler darüber hinaus den Anbieter bzw. den Einführer des Systems.
3. Die Händler stellen sicher, dass die Lagerungs- oder Transportbedingungen die Konformität des Systems mit den Anforderungen des Kapitels 2 dieses Titels nicht gefährden, solange sie für ein KI-System mit hohem Risiko verantwortlich sind.
4. Ein Händler, der auf der Grundlage der ihm vorliegenden Informationen der Auffassung ist oder Grund zu der Annahme hat, dass ein von ihm auf dem Markt bereitgestelltes KI-System mit hohem Risiko nicht den Anforderungen des Kapitels 2 dieses Titels entspricht, ergreift die erforderlichen Korrekturmaßnahmen, um dieses System mit diesen Anforderungen in Einklang zu bringen. sie zurückzuziehen oder zurückzurufen, oder stellen sicher, dass der Anbieter, der Einführer oder gegebenenfalls ein relevanter Marktteilnehmer diese Korrekturmaßnahmen ergreift. 1. Stellt das KI-System mit hohem Risiko ein Risiko im Sinne von Artikel 65 Absatz 1 dar, so unterrichtet der Händler unverzüglich den Anbieter oder Importeur des Systems und die zuständigen nationalen Behörden der Mitgliedstaaten, in denen er das Produkt bereitgestellt hat, zu diesem Zweck und macht dabei ausführliche Angaben, insbesondere über die Nichtkonformität und etwaige ergriffene Korrekturmaßnahmen.
5. Auf begründetes Verlangen einer zuständigen nationalen Behörde stellen die Händler des Hochrisiko-KI-Systems dieser Behörde alle Informationen und Unterlagen über ihre Tätigkeiten gemäß den Absätzen 1 bis 4 zur Verfügung, die erforderlich sind, um die Konformität eines Hochrisikosystems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen.
5a. Die Händler arbeiten mit den zuständigen nationalen Behörden bei allen Maßnahmen zusammen, die diese Behörden in Bezug auf ein KI-System ergreifen, dessen Vertreiber sie sind, insbesondere um das von dem Hochrisiko-KI-System ausgehende Risiko zu verringern oder zu mindern.
Artikel 28 Verantwortlichkeiten entlang der KI-Wertschöpfungskette
1. Jeder Händler, Importeur, Betreiber oder sonstige Dritte gilt für die Zwecke dieser Verordnung als Anbieter eines Hochrisiko-KI-Systems und unterliegt den Verpflichtungen des Anbieters gemäß Artikel 16, wenn einer der folgenden Umstände vorliegt:
a) Sie setzen ihren Namen oder ihre Marke auf ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System, unbeschadet vertraglicher Vereinbarungen, die eine anderweitige Aufteilung der Verpflichtungen vorsehen.
b) sie nehmen eine wesentliche Änderung an einem Hochrisiko-KI-System vor, das bereits in Verkehr gebracht oder bereits in Betrieb genommen wurde, und zwar in einer Weise, dass es ein Hochrisiko-KI-System im Sinne von Artikel 6 bleibt;
ba) sie ändern die Zweckbestimmung eines KI-Systems, einschließlich eines KI-Systems für allgemeine Zwecke, das nicht als Hochrisikosystem eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so dass das KI-System gemäß Artikel 6 zu einem KI-System mit hohem Risiko wird
c) gestrichen
2. Treten die in Absatz 1 Buchstaben a bis ba genannten Umstände ein, so gilt der Anbieter, der das KI-System ursprünglich in Verkehr gebracht oder in Betrieb genommen hat, für die Zwecke dieser Verordnung nicht mehr als Anbieter dieses spezifischen KI-Systems. Dieser ehemalige Anbieter arbeitet eng zusammen, stellt die erforderlichen Informationen zur Verfügung und stellt den nach vernünftigem Ermessen erwarteten technischen Zugang und die sonstige Unterstützung bereit, die für die Erfüllung der in dieser Verordnung festgelegten Verpflichtungen, insbesondere in Bezug auf die Einhaltung der Konformitätsbewertung von KI-Systemen mit hohem Risiko, erforderlich sind. Dieser Absatz gilt nicht in den Fällen, in denen der ehemalige Anbieter den Wechsel seines Systems in ein Hochrisikosystem und damit die Verpflichtung zur Herausgabe der Dokumentation ausdrücklich ausgeschlossen hat.
2a) Bei Hochrisiko-KI-Systemen, bei denen es sich um Sicherheitskomponenten von Produkten handelt, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, gilt der Hersteller dieser Produkte als Anbieter des Hochrisiko-KI-Systems und unterliegt den Verpflichtungen nach Artikel 16 in einem der folgenden Szenarien:
i) Das Hochrisiko-KI-System wird zusammen mit dem Produkt unter dem Namen oder der Marke des Produkts in Verkehr gebracht Hersteller;
ii) das Hochrisiko-KI-System wird nach dem Inverkehrbringen des Produkts unter dem Namen oder der Marke des Produktherstellers in Betrieb genommen.
2b) Der Anbieter eines Hochrisiko-KI-Systems und der Dritte, der ein KI-System, Werkzeuge, Dienste, Komponenten oder Prozesse bereitstellt, die in einem Hochrisiko-KI-System verwendet oder integriert werden, geben im Wege einer schriftlichen Vereinbarung die erforderlichen Informationen, Fähigkeiten, technischen Zugang und sonstige Unterstützung auf der Grundlage des allgemein anerkannten Stands der Technik an, damit der Anbieter des Hochrisiko-KI-Systems die Verpflichtungen gemäß dieser Verordnung. Diese Verpflichtung gilt nicht für Dritte, die der Öffentlichkeit andere Werkzeuge, Dienste, Prozesse oder KI-Komponenten unter einer freien und offenen Lizenz zugänglich machen. Das KI-Büro kann freiwillige Mustervertragsbedingungen zwischen Anbietern von Hochrisiko-KI-Systemen und Dritten, die Tools, Dienste, Komponenten oder Prozesse bereitstellen, die in Hochrisiko-KI-Systemen verwendet oder integriert werden, entwickeln und empfehlen. Bei der Ausarbeitung freiwilliger Mustervertragsbedingungen berücksichtigt das KI-Büro mögliche vertragliche Anforderungen, die in bestimmten Sektoren oder Geschäftsfällen gelten. Die Mustervertragsbedingungen werden veröffentlicht und stehen in einem leicht verwendbaren elektronischen Format kostenlos zur Verfügung.
2b) Die Absätze 2 und 2a berühren nicht die Notwendigkeit, die Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse im Einklang mit dem Unionsrecht und dem nationalen Recht zu achten und zu schützen.
Artikel 29 Pflichten der Betreiber von Hochrisiko-KI-Systemen
1. Die Betreiber von Hochrisiko-KI-Systemen ergreifen geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass sie diese Systeme gemäß den Absätzen 2 und 5 dieses Artikels gemäß der den Systemen beigefügten Gebrauchsanweisung verwenden.
1a) Die Betreiber übertragen die menschliche Aufsicht natürlichen Personen, die über die erforderliche Kompetenz, Ausbildung und Befugnis sowie über die erforderliche Unterstützung verfügen.
1a) In dem Umfang, in dem die Betreiber die Kontrolle über das Hochrisiko-KI-System ausüben, stellen sie sicher, dass die natürlichen Personen, die mit der Beaufsichtigung der Hochrisiko-KI-Systeme durch Menschen betraut sind, über die erforderlichen Kompetenzen, Schulungen und Befugnisse sowie über die erforderliche Unterstützung verfügen
2. Die Verpflichtungen nach den Absätzen 1 und 1a gelten unbeschadet anderer Verpflichtungen des Betreibers nach Unionsrecht oder nationalem Recht und des Ermessens des Betreibers bei der Organisation seiner eigenen Ressourcen und Tätigkeiten für die Zwecke der Durchführung der vom Anbieter angegebenen menschlichen Aufsichtsmaßnahmen.
3. Unbeschadet der Absätze 1 und 1a stellt der Betreiber, soweit er die Kontrolle über die Eingabedaten ausübt, sicher, dass die Eingabedaten im Hinblick auf die Zweckbestimmung des Hochrisiko-KI-Systems relevant und hinreichend repräsentativ sind.
4. Die Betreiber überwachen den Betrieb des Hochrisiko-KI-Systems auf der Grundlage der Gebrauchsanweisung und unterrichten gegebenenfalls die Anbieter gemäß Artikel 61. Haben sie Grund zu der Annahme, dass die Verwendung gemäß der Gebrauchsanweisung dazu führen könnte, dass das KI-System ein Risiko im Sinne des Artikels 65 Absatz 1 darstellt, so unterrichten sie unverzüglich den Anbieter oder Händler und die zuständige Marktüberwachungsbehörde und setzen die Nutzung des Systems aus. Sie unterrichten auch unverzüglich zuerst den Anbieter und dann den Einführer oder Händler und die zuständigen Marktüberwachungsbehörden, wenn sie ein schwerwiegendes Vorkommnis festgestellt haben. Ist der Betreiber nicht in der Lage, den Anbieter zu erreichen, so gilt Artikel 62 entsprechend. Diese Verpflichtung gilt nicht für sensible Betriebsdaten von Nutzern von KI-Systemen, bei denen es sich um Strafverfolgungsbehörden handelt.
Bei Betreibern, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Governance, ihre Vorkehrungen oder Prozesse unterliegen, gilt die in Unterabsatz 1 genannte Überwachungspflicht als erfüllt, wenn sie die Vorschriften über interne Governance-Regelungen, -Prozesse und -Mechanismen gemäß den einschlägigen Rechtsvorschriften für Finanzdienstleistungen einhalten.
1. Betreiber von Hochrisiko-KI-Systemen bewahren die von diesem Hochrisiko-KI-System automatisch generierten Protokolle in dem Umfang, in dem sie unter ihrer Kontrolle stehen, für einen Zeitraum von mindestens sechs Monaten auf, der für die Zweckbestimmung des Hochrisiko-KI-Systems angemessen ist, sofern im geltenden Unionsrecht oder im nationalen Recht, insbesondere in den Rechtsvorschriften der Union über den Schutz personenbezogener Daten, nichts anderes bestimmt ist.
Betreiber, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Governance, ihre internen Regelungen oder Prozesse unterliegen, führen die Protokolle als Teil der Dokumentation, die gemäß den einschlägigen Rechtsvorschriften der Union über Finanzdienstleistungen geführt wird.
a) Vor der Inbetriebnahme oder dem Einsatz eines Hochrisiko-KI-Systems am Arbeitsplatz müssen die Betreiber, die Arbeitgeber sind, die Arbeitnehmervertreter und die betroffenen Arbeitnehmer darüber informieren, dass sie dem System unterliegen. Diese Informationen werden gegebenenfalls im Einklang mit den Vorschriften und Verfahren bereitgestellt, die in den Rechtsvorschriften und Gepflogenheiten der Union und der Mitgliedstaaten über die Unterrichtung der Arbeitnehmer und ihrer Vertreter festgelegt sind.
b) Betreiber von Hochrisiko-KI-Systemen, bei denen es sich um Behörden oder Organe, Einrichtungen und sonstige Stellen der Union handelt, erfüllen die in Artikel 51 genannten Registrierungspflichten. Stellen sie fest, dass das System, das sie zu verwenden beabsichtigen, nicht in der EU-Datenbank gemäß Artikel 60 registriert ist, so nutzen sie dieses System nicht und unterrichten den Anbieter oder den Händler.
c) Betreiber von Hochrisiko-KI-Systemen, bei denen es sich um Behörden handelt, einschließlich der in Artikel 51 Absatz 1a Buchstabe b genannten Organe, Einrichtungen und sonstigen Stellen der Union, müssen die in Artikel 51 genannten Registrierungspflichten erfüllen.
6. Gegebenenfalls verwenden die Betreiber von Hochrisiko-KI-Systemen die gemäß Artikel 13 bereitgestellten Informationen, um ihrer Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 oder Artikel 27 der Richtlinie (EU) 2016/680 nachzukommen —
6a. Unbeschadet der Richtlinie (EU) 2016/680 beantragt der Einsatz eines KI-Systems zur postferngesteuerten biometrischen Identifizierung im Rahmen einer Untersuchung zur gezielten Durchsuchung einer Person, die wegen einer Straftat verurteilt wurde oder einer Straftat verdächtigt wird, zuvor oder unverzüglich, spätestens jedoch innerhalb von 48 Stunden, eine Genehmigung durch eine Justizbehörde oder eine Verwaltungsbehörde, deren Entscheidung bindend ist und einer gerichtlichen Überprüfung unterliegt, für die Nutzung des Systems, es sei denn, das System dient der erstmaligen Identifizierung eines potenziellen Verdächtigen auf der Grundlage objektiver und nachprüfbarer Tatsachen, die in unmittelbarem Zusammenhang mit der Straftat stehen. Jede Verwendung ist auf das für die Aufklärung einer bestimmten Straftat unbedingt erforderliche Maß zu beschränken. Wird die beantragte Genehmigung gemäß Unterabsatz 1 dieses Absatzes abgelehnt, so wird die Verwendung des mit dieser Genehmigung verknüpften biometrischen Identifizierungssystems nach der Fernbestimmung mit sofortiger Wirkung eingestellt, und die personenbezogenen Daten im Zusammenhang mit der Nutzung des Systems, für das die Genehmigung beantragt wurde, werden gelöscht. In jedem Fall darf ein solches KI-System zur postferngesteuerten biometrischen Identifizierung nicht ungezielt für Strafverfolgungszwecke eingesetzt werden, ohne dass ein Zusammenhang mit einer Straftat, einem Strafverfahren, einer tatsächlichen und gegenwärtigen oder tatsächlichen und vorhersehbaren Bedrohung durch eine Straftat oder der Suche nach einer bestimmten vermissten Person besteht. Es muss sichergestellt werden, dass die Strafverfolgungsbehörden keine Entscheidung, die nachteilige rechtliche Auswirkungen auf eine Person hat, ausschließlich auf der Grundlage der Ergebnisse dieser biometrischen Fernidentifizierungssysteme treffen können. Dieser Absatz gilt unbeschadet der Bestimmungen von Artikel 10 der Richtlinie (EU) 2016/680 und Artikel 9 der DSGVO für die Verarbeitung biometrischer Daten. Unabhängig von der Zweckbestimmung oder dem Betreiber wird jede Nutzung dieser Systeme in der einschlägigen Polizeiakte dokumentiert und der zuständigen Marktüberwachungsbehörde und der nationalen Datenschutzbehörde auf Anfrage zur Verfügung gestellt, wobei die Offenlegung sensibler operativer Daten im Zusammenhang mit der Strafverfolgung ausgeschlossen ist. Dieser Unterabsatz berührt nicht die Befugnisse, die den Aufsichtsbehörden durch die Richtlinie 2016/680 übertragen werden. Darüber hinaus legen die Entsetzer den zuständigen Marktüberwachungs- und nationalen Datenschutzbehörden jährliche Berichte über die Verwendung biometrischer Identifizierungssysteme vor, wobei die Offenlegung sensibler operativer Daten im Zusammenhang mit der Strafverfolgung ausgeschlossen ist. Die Berichte können aggregiert werden, um mehrere Bereitstellungen in einem Vorgang abzudecken. Die Mitgliedstaaten können im Einklang mit dem Unionsrecht restriktivere Rechtsvorschriften für die Verwendung biometrischer Fernidentifizierungssysteme erlassen.
6b. Unbeschadet des Artikels 52 unterrichten Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III, die Entscheidungen in Bezug auf natürliche Personen treffen oder bei der Entscheidungsfindung helfen, die natürlichen Personen darüber, dass sie der Nutzung des Hochrisiko-KI-Systems unterliegen. Für KI-Systeme mit hohem Risiko, die zu Strafverfolgungszwecken eingesetzt werden, gilt Artikel 13 der Richtlinie 2016/680.
6c. Die Einsatzkräfte arbeiten mit den jeweils zuständigen nationalen Behörden bei allen Maßnahmen zusammen, die diese Behörden im Zusammenhang mit dem Hochrisikosystem zur Durchführung dieser Verordnung ergreifen.
Artikel 29a Grundrechtliche Folgenabschätzung für KI-Systeme mit hohem Risiko
1. Vor der Inbetriebnahme eines KI-Systems mit hohem Risiko im Sinne von Artikel 6 Absatz 2, mit Ausnahme von KI-Systemen, die für den Einsatz in dem in Anhang III Nummer 2 genannten Bereich bestimmt sind, führen die Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts oder um private Betreiber, die öffentliche Dienstleistungen erbringen, handelt, sowie die Betreiber, die Systeme mit hohem Risiko im Sinne von Anhang III Nummer 5 Buchstaben b und d einsetzen, eine Abschätzung der Folgen durch, die sich aus dem Einsatz des Systems für die Grundrechte ergeben können. Zu diesem Zweck führen die Errichter eine Bewertung durch, die Folgendes umfasst.
a) eine Beschreibung der Prozesse des Betreibers, in denen das KI-System mit hohem Risiko entsprechend seinem Zweck eingesetzt wird;
b) eine Beschreibung des Zeitraums und der Häufigkeit, in der jedes KI-System mit hohem Risiko genutzt werden soll
c) die Kategorien natürlicher Personen und Gruppen, die von der Verwendung in dem spezifischen Kontext betroffen sein könnten;
d) die spezifischen Schadensrisiken, die sich auf die gemäß Buchstabe c) ermittelten Personengruppen auswirken können, wobei die vom Anbieter gemäß Artikel 13 gemachten Angaben zu berücksichtigen sind;
e) eine Beschreibung der Durchführung von Maßnahmen der menschlichen Aufsicht gemäß der Gebrauchsanweisung;
f) die Maßnahmen, die im Falle der Verwirklichung dieser Risiken zu ergreifen sind, einschließlich der Vorkehrungen für interne Kontroll- und Beschwerdemechanismen.
2. Die in Absatz 1 festgelegte Verpflichtung gilt für den ersten Einsatz des KI-Systems mit hohem Risiko. Der Betreiber kann sich in vergleichbaren Fällen auf zuvor durchgeführte Grundrechtsfolgenabschätzungen oder bestehende Folgenabschätzungen des Anbieters stützen. Stellt der Betreiber während des Einsatzes des AI-Systems mit hohem Risiko fest, dass sich einer der in Absatz 1 aufgeführten Faktoren ändert oder nicht mehr aktuell ist, ergreift er die erforderlichen Maßnahmen zur Aktualisierung derInformationen
3. Nach Durchführung der Folgenabschätzung teilt der Betreiber der Marktüberwachungsbehörde die Ergebnisse der Abschätzung mit und legt dabei das ausgefüllte Formblatt gemäß Absatz 5 als Teil der Mitteilung vor. In dem in Artikel 47 Absatz 1 genannten Fall kann der Betreiber von diesen Verpflichtungen befreit werden.
4. Wird eine der in diesem Artikel festgelegten Verpflichtungen bereits durch die gemäß Artikel 35 der Verordnung (EU) 2016/679 oder Artikel 27 der Richtlinie (EU) 2016/680 durchgeführte Datenschutz-Folgenabschätzung erfüllt, wird die in Absatz 1 genannte Grundrechtsfolgenabschätzung in Verbindung mit dieser Datenschutz-Folgenabschätzung durchgeführt.
5. Das KI-Büro entwickelt eine Vorlage für einen Fragebogen, auch in Form eines automatisierten Tools, um den Nutzern die vereinfachte Umsetzung der Verpflichtungen dieses Artikels zu erleichtern.
Kapitel 4 Notifizierte Behörden und notifizierte Stellen
Artikel 30 Notifizierende Behörden
1. Jeder Mitgliedstaat benennt oder errichtet mindestens eine notifizierende Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen sowie für deren Überwachung zuständig ist. Diese Verfahren werden in Zusammenarbeit zwischen den notifizierenden Behörden aller Mitgliedstaaten entwickelt.
2. Die Mitgliedstaaten können beschließen, dass die Bewertung und Überwachung gemäß Absatz 1 von einer nationalen Akkreditierungsstelle im Sinne und im Einklang mit der Verordnung (EG) Nr. 765/2008 durchgeführt wird.
3. Die notifizierenden Behörden werden so eingerichtet, organisiert und betrieben, dass kein Interessenkonflikt mit den Konformitätsbewertungsstellen entsteht und die Objektivität und Unparteilichkeit ihrer Tätigkeiten gewahrt bleibt.
4. Die notifizierenden Behörden sind so zu organisieren, dass Entscheidungen über die Notifizierung von Konformitätsbewertungsstellen von anderen kompetenten Personen getroffen werden als denen, die die Bewertung dieser Stellen durchgeführt haben.
5. Die notifizierenden Behörden dürfen keine Tätigkeiten, die von Konformitätsbewertungsstellen durchgeführt werden, oder Beratungsdienstleistungen auf kommerzieller oder wettbewerblicher Basis anbieten oder erbringen.
6. Die notifizierenden Behörden wahren die Vertraulichkeit der Informationen, die sie gemäß Artikel 70 erhalten.
7. Den notifizierenden Behörden steht für die ordnungsgemäße Erfüllung ihrer Aufgaben eine ausreichende Anzahl kompetenter Mitarbeiter zur Verfügung. Das zuständige Personal muss gegebenenfalls über das für seine Tätigkeit erforderliche Fachwissen in Bereichen wie Informationstechnologien, künstliche Intelligenz und Recht, einschließlich der Überwachung der Grundrechte, verfügen.
Artikel 31 Antrag einer Konformitätsbewertungsstelle auf Notifizierung
1. Die Konformitätsbewertungsstellen stellen bei der notifizierenden Behörde des Mitgliedstaats, in dem sie niedergelassen sind, einen Antrag auf Notifizierung.
2. Dem Notifizierungsantrag ist eine Beschreibung der Konformitätsbewertungstätigkeiten, des Konformitätsbewertungsmoduls bzw. der Konformitätsbewertungsmodule und der Technologien der künstlichen Intelligenz beizufügen, für die die Konformitätsbewertungsstelle nach eigenen Angaben kompetent ist, sowie gegebenenfalls eine von einer nationalen Akkreditierungsstelle ausgestellte Akkreditierungsurkunde, aus der hervorgeht, dass die Konformitätsbewertungsstelle die Anforderungen des Artikels 33 erfüllt. Alle gültigen Dokumente, die sich auf bestehende Benennungen der antragstellenden notifizierten Stelle im Rahmen anderer Harmonisierungsrechtsvorschriften der Union beziehen, sind hinzuzufügen.
3. Kann die betreffende Konformitätsbewertungsstelle keine Akkreditierungsurkunde vorlegen, so legt sie der notifizierenden Behörde die Nachweise vor, die für die Überprüfung, Anerkennung und regelmäßige Überwachung der Einhaltung der Anforderungen des Artikels 33 erforderlich sind. Für notifizierte Stellen, die nach anderen Harmonisierungsrechtsvorschriften der Union benannt wurden, können alle Dokumente und Bescheinigungen im Zusammenhang mit diesen Benennungen gegebenenfalls zur Unterstützung ihres Benennungsverfahrens gemäß dieser Verordnung verwendet werden.
Artikel 32 Notifizierungsverfahren
1. Die notifizierenden Behörden dürfen nur Konformitätsbewertungsstellen notifizieren, die die Anforderungen des Artikels 33 erfüllt haben.
2. Die notifizierenden Behörden notifizieren der Kommission und den anderen Mitgliedstaaten über das von der Kommission entwickelte und verwaltete elektronische Notifizierungsinstrument jede in Absatz 1 genannte Konformitätsbewertungsstelle.
3. Die in Absatz 2 genannte Notifizierung enthält vollständige Angaben zu den Konformitätsbewertungstätigkeiten, dem Konformitätsbewertungsmodul bzw. den Konformitätsbewertungsmodulen und den betroffenen Arten von KI-Systemen sowie den entsprechenden Befähigungsnachweis. Stützt sich eine Notifizierung nicht auf eine Akkreditierungsurkunde gemäß Artikel 31 Absatz 2, so legt die notifizierende Behörde der Kommission und den anderen Mitgliedstaaten Unterlagen vor, aus denen hervorgeht, dass die Konformitätsbewertungsstelle kompetent ist und welche Vorkehrungen getroffen wurden, um sicherzustellen, dass diese Stelle regelmäßig überwacht wird und weiterhin die Anforderungen des Artikels 33 erfüllt.
4. Die betreffende Konformitätsbewertungsstelle darf die Tätigkeiten einer notifizierten Stelle nur ausüben, wenn die Kommission oder die anderen Mitgliedstaaten innerhalb von zwei Wochen nach einer Notifizierung durch eine notifizierende Behörde, wenn sie eine Akkreditierungsurkunde gemäß Artikel 31 Absatz 2 beifügt, oder innerhalb von zwei Monaten nach einer Notifizierung durch die notifizierende Behörde, wenn sie Unterlagen gemäß Artikel 31 Absatz 3 enthält, keine Einwände erheben.
4a. Werden Einwände erhoben, so konsultiert die Kommission unverzüglich die betreffenden Mitgliedstaaten und die Konformitätsbewertungsstelle. In Anbetracht dessen entscheidet die Kommission, ob die Zulassung gerechtfertigt ist oder nicht. Die Kommission richtet ihre Entscheidung an den betreffenden Mitgliedstaat und die zuständige Konformitätsbewertungsstelle.
4b. Gestrichen [unter Abs. 2]
Artikel 33 Anforderungen an notifizierte Stellen
1. Eine notifizierte Stelle wird nach dem nationalen Recht eines Mitgliedstaats errichtet und besitzt Rechtspersönlichkeit.
2. Die notifizierten Stellen erfüllen die für die Erfüllung ihrer Aufgaben erforderlichen Anforderungen an Organisation, Qualitätsmanagement, Ressourcen und Verfahren sowie angemessene Anforderungen an die Cybersicherheit.
3. Die Organisationsstruktur, die Zuweisung der Zuständigkeiten, die Meldewege und die Arbeitsweise der notifizierten Stellen müssen gewährleisten, dass Vertrauen in die Leistung und die Ergebnisse der von den notifizierten Stellen durchgeführten Konformitätsbewertungstätigkeiten besteht.
4. Die notifizierten Stellen müssen unabhängig von dem Anbieter eines Hochrisiko-KI-Systems sein, für das sie Konformitätsbewertungstätigkeiten durchführen. Die notifizierten Stellen müssen auch unabhängig von anderen Betreibern sein, die ein wirtschaftliches Interesse an dem bewerteten Hochrisiko-KI-System haben, sowie von etwaigen Wettbewerbern des Anbieters. Dies schließt nicht aus, dass bewertete KI-Systeme, die für den Betrieb der Konformitätsbewertungsstelle erforderlich sind, oder für persönliche Zwecke verwendet werden.
4a. Eine Konformitätsbewertungsstelle, ihre oberste Leitungsebene und das für die Wahrnehmung der Konformitätsbewertungsaufgaben zuständige Personal dürfen nicht direkt an der Konzeption, Entwicklung, Vermarktung oder Nutzung von Hochrisiko-KI-Systemen beteiligt sein oder die an diesen Tätigkeiten beteiligten Parteien vertreten. Sie dürfen keine Tätigkeiten ausüben, die ihre Unabhängigkeit bei der Beurteilung oder Integrität in Bezug auf Konformitätsbewertungstätigkeiten, für die sie notifiziert wurden, beeinträchtigen könnten. Dies gilt insbesondere für Beratungsleistungen.
5. Die notifizierten Stellen sind so zu organisieren und zu betreiben, dass die Unabhängigkeit, Objektivität und Unparteilichkeit ihrer Tätigkeiten gewährleistet ist. Die notifizierten Stellen dokumentieren und implementieren eine Struktur und Verfahren, um die Unparteilichkeit zu gewährleisten und die Grundsätze der Unparteilichkeit in ihrer gesamten Organisation, ihrem Personal und ihren Bewertungstätigkeiten zu fördern und anzuwenden.
6. Die notifizierten Stellen verfügen über dokumentierte Verfahren, mit denen sichergestellt wird, dass ihr Personal, ihre Ausschüsse, ihre Zweigstellen, ihre Unterauftragnehmer und alle assoziierten Stellen oder Mitarbeiter externer Stellen die Vertraulichkeit der Informationen gemäß Artikel 70 wahren, in deren Besitz sie während der Durchführung von Konformitätsbewertungstätigkeiten gelangen, es sei denn, die Offenlegung ist gesetzlich vorgeschrieben. 1. Die Bediensteten der notifizierten Stellen sind verpflichtet, das Berufsgeheimnis in Bezug auf alle Informationen zu wahren, die sie bei der Wahrnehmung ihrer Aufgaben gemäß dieser Verordnung erhalten, mit Ausnahme der notifizierenden Behörden des Mitgliedstaats, in dem sie tätig sind.
7. Die notifizierten Stellen verfügen über Verfahren für die Durchführung von Tätigkeiten, die der Größe eines Unternehmens, der Branche, in der es tätig ist, seiner Struktur und dem Komplexitätsgrad des betreffenden KI-Systems gebührend Rechnung tragen.
8. Die notifizierten Stellen schließen für ihre Konformitätsbewertungstätigkeiten eine angemessene Haftpflichtversicherung ab, es sei denn, der Mitgliedstaat, in dem sie niedergelassen sind, übernimmt die Haftung nach nationalem Recht oder dieser Mitgliedstaat ist selbst unmittelbar für die Konformitätsbewertung verantwortlich.
9. Die notifizierten Stellen müssen in der Lage sein, alle ihnen nach dieser Verordnung obliegenden Aufgaben mit einem Höchstmaß an beruflicher Integrität und der erforderlichen Kompetenz auf dem jeweiligen Gebiet wahrzunehmen, unabhängig davon, ob diese Aufgaben von notifizierten Stellen selbst oder in ihrem Auftrag und unter ihrer Verantwortung ausgeführt werden.
10. Die notifizierten Stellen müssen über ausreichende interne Kompetenzen verfügen, um die von externen Parteien in ihrem Namen ausgeführten Aufgaben wirksam bewerten zu können. Die notifizierte Stelle muss ständig über ausreichend Verwaltungs-, technisches, juristisches und wissenschaftliches Personal verfügen, das über Erfahrung und Kenntnisse in Bezug auf die einschlägigen Arten von Systemen der künstlichen Intelligenz, Daten und Datenverarbeitung sowie auf die Anforderungen des Kapitels 2 dieses Titels verfügt.
11. Die notifizierten Stellen beteiligen sich an den Koordinierungstätigkeiten gemäß Artikel 38. Sie beteiligen sich auch direkt an europäischen Normungsorganisationen oder sind in diesen vertreten oder stellen sicher, dass sie über die einschlägigen Normen informiert und auf dem neuesten Stand sind.
Artikel 33a Vermutung der Konformität mit den Anforderungen an notifizierte Stellen
Weist eine Konformitätsbewertungsstelle ihre Konformität mit den Kriterien nach, die in den einschlägigen harmonisierten Normen oder Teilen davon festgelegt sind, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, so wird davon ausgegangen, dass sie die Anforderungen des Artikels 33 erfüllt, sofern die anwendbaren harmonisierten Normen diese Anforderungen abdecken.
Artikel 34 Zweigstellen von notifizierten Stellen und Vergabe von Unteraufträgen durch notifizierte Stellen
1. Vergibt eine notifizierte Stelle bestimmte Aufgaben im Zusammenhang mit der Konformitätsbewertung an Unterauftragnehmer oder greift sie auf eine Zweigstelle zurück, so stellt sie sicher, dass der Unterauftragnehmer oder die Zweigstelle die Anforderungen des Artikels 33 erfüllt, und unterrichtet die notifizierende Behörde entsprechend.
2. Die notifizierten Stellen übernehmen die volle Verantwortung für die Aufgaben, die von Unterauftragnehmern oder Zweigstellen ausgeführt werden, unabhängig davon, wo diese niedergelassen sind.
3. Tätigkeiten dürfen nur mit Zustimmung des Anbieters an Unterauftragnehmer vergeben oder von einer Tochtergesellschaft ausgeführt werden. Die notifizierten Stellen machen eine Liste ihrer Zweigstellen öffentlich zugänglich.
4. Die einschlägigen Unterlagen über die Bewertung der Qualifikationen des Unterauftragnehmers oder der Zweigstelle und die von ihnen im Rahmen dieser Verordnung durchgeführten Arbeiten werden der notifizierenden Behörde für einen Zeitraum von fünf Jahren ab dem Datum der Beendigung der Unterauftragsvergabe zur Verfügung gehalten.
Artikel 34a Operative Pflichten notifizierter Stellen
1. Die notifizierten Stellen überprüfen die Konformität des Hochrisiko-KI-Systems gemäß den in Artikel 43 genannten Konformitätsbewertungsverfahren.
2. Die notifizierten Stellen üben ihre Tätigkeiten unter Vermeidung unnötiger Belastungen für die Anbieter aus und berücksichtigen gebührend die Größe eines Unternehmens, die Branche, in der es tätig ist, seine Struktur und den Grad der Komplexität des betreffenden Hochrisiko-KI-Systems. Dabei achtet die notifizierte Stelle jedoch auf die Strenge und das Schutzniveau, die erforderlich sind, um die Anforderungen dieser Verordnung durch das Hochrisiko-KI-System zu erfüllen. Besonderes Augenmerk wird auf die Minimierung des Verwaltungsaufwands und der Befolgungskosten für Kleinst- und Kleinunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelegt.
3. Die notifizierten Stellen stellen alle einschlägigen Unterlagen zur Verfügung und legen diese auf Verlangen vor, einschließlich der Unterlagen der Anbieter an die notifizierende Behörde gemäß Artikel 30 um dieser Behörde die Durchführung ihrer Bewertungs-, Benennungs-, Notifizierungs- und Überwachungstätigkeiten zu ermöglichen und die in diesem Kapitel beschriebene Bewertung zu erleichtern.
Artikel 35 Kennnummern und Verzeichnisse der gemäß dieser Verordnung benannten Stellen
1. Die Kommission weist den notifizierten Stellen eine Kennnummer zu. Sie vergibt eine einzige Nummer, auch wenn eine Stelle nach mehreren Rechtsakten der Union notifiziert ist.
2. Die Kommission veröffentlicht die Liste der gemäß dieser Verordnung notifizierten Stellen, einschließlich der ihnen zugeteilten Kennnummern und der Tätigkeiten, für die sie notifiziert wurden. Die Kommission sorgt dafür, dass die Liste auf dem neuesten Stand gehalten wird.
Artikel 36 Änderungen der Meldungen
-1. Die notifizierende Behörde unterrichtet die Kommission und die anderen Mitgliedstaaten über alle relevanten Änderungen der Notifizierung einer notifizierten Stelle über das in Artikel 32 Absatz 2 genannte elektronische Notifizierungsinstrument.
-1a) Die in den Artikeln 31 und 32 beschriebenen Verfahren gelten für die Ausweitung des Geltungsbereichs der Notifizierung. Für Änderungen der Notifizierung, bei denen es sich nicht um eine Erweiterung ihres Anwendungsbereichs handelt, gelten die in den folgenden Absätzen festgelegten Verfahren.
1. Falls eine notifizierende Behörde vermutet oder darüber unterrichtet wird, dass eine notifizierte Stelle die in Artikel 33 festgelegten Anforderungen nicht mehr erfüllt oder dass sie ihren Verpflichtungen nicht nachkommt, so untersucht die den Sachverhalt unverzüglich und mit äußerster Sorgfalt. In diesem Zusammenhang teilt sie der betreffenden notifizierten Stelle die erhobenen Einwände mit und gibt ihr die Möglichkeit, dazu Stellung zu nehmen. Kommt die notifizierende Behörde zu dem Schluss, dass die überprüfte notifizierte Stelle die in Artikel 33 festgelegten Anforderungen nicht mehr erfüllt oder dass sie ihren Verpflichtungen nicht nachkommt, schränkt sie die Notifizierung gegebenenfalls ein, setzt sie aus oder widerruft sie, wobei sie das Ausmaß der Nichterfüllung oder Pflichtverletzung berücksichtigt. Sie setzt zudem die Kommission und die übrigen Mitgliedstaaten unverzüglich davon in Kenntnis.
Beschließt eine notifizierte Stelle, ihre Konformitätsbewertungstätigkeiten einzustellen, so unterrichtet sie die notifizierende Behörde und die betroffenen Anbieter so bald wie möglich, im Falle einer geplanten Einstellung jedoch ein Jahr vor der Einstellung ihrer Tätigkeit. Die Zertifikate können für einen vorübergehenden Zeitraum von neun Monaten nach Einstellung der Tätigkeit der notifizierten Stelle gültig bleiben, sofern eine andere notifizierte Stelle schriftlich bestätigt hat, dass sie die Verantwortung für die KI-Systeme übernimmt, die unter diese Zertifikate fallen. Die neue notifizierte Stelle führt bis zum Ende dieses Zeitraums eine vollständige Bewertung der betroffenen KI-Systeme durch, bevor sie neue Zertifikate für diese Systeme ausstellt. Hat die notifizierte Stelle ihre Tätigkeit eingestellt, so widerruft die notifizierende Behörde die Benennung.
1. Hat eine notifizierende Behörde hinreichende Gründe für die Annahme, dass eine notifizierte Stelle die Anforderungen des Artikels 33 nicht mehr erfüllt oder ihren Verpflichtungen nicht nachkommt, so untersucht sie die Angelegenheit unverzüglich mit größter Sorgfalt. In diesem Zusammenhang unterrichtet sie die betreffende benannte Stelle über die erhobenen Einwände und gibt ihr Gelegenheit zur Stellungnahme. Kommt die notifizierende Behörde zu dem Schluss, dass die notifizierte Stelle die Anforderungen des Artikels 33 nicht mehr erfüllt oder ihren Verpflichtungen nicht nachkommt, so schränkt sie die Notifizierung ein, setzt sie aus oder widerruft sie, je nachdem, wie schwerwiegend die Nichterfüllung dieser Anforderungen oder Verpflichtungen ist. Er setzt die Kommission und die anderen Mitgliedstaaten unverzüglich davon in Kenntnis.
2a) Wurde ihre Benennung ausgesetzt, eingeschränkt oder ganz oder teilweise zurückgezogen, so unterrichtet die notifizierte Stelle die betreffenden Hersteller spätestens innerhalb von 10 Tagen.
2b) Im Falle einer Einschränkung, Aussetzung oder Rücknahme einer Notifizierung ergreift die notifizierende Behörde geeignete Maßnahmen, um sicherzustellen, dass die Akten der betreffenden notifizierten Stelle aufbewahrt werden, und stellt sie den notifizierenden Behörden in anderen Mitgliedstaaten und den Marktüberwachungsbehörden auf deren Verlangen zur Verfügung.
2c) Im Falle einer Einschränkung, Aussetzung oder des Entzugs einer Benennung hat die notifizierende Behörde
a) Bewertung der Auswirkungen auf die von der notifizierten Stelle ausgestellten Bescheinigungen;
b) der Kommission und den anderen Mitgliedstaaten innerhalb von drei Monaten nach Mitteilung der Änderungen der Notifizierung einen Bericht über ihre Feststellungen vorzulegen;
c) von der notifizierten Stelle verlangen, dass sie innerhalb einer von der Behörde festgelegten angemessenen Frist alle Bescheinigungen aussetzt oder zurückzieht, die zu Unrecht ausgestellt wurden, um die Konformität der auf dem Markt befindlichen KI-Systeme sicherzustellen;
d) unterrichtet die Kommission und die Mitgliedstaaten über die Bescheinigungen, deren Aussetzung oder Widerruf sie verlangt hat;
e) den zuständigen nationalen Behörden des Mitgliedstaats, in dem der Anbieter seinen eingetragenen Geschäftssitz hat, alle relevanten Informationen über die Bescheinigungen zur Verfügung zu stellen, für die er die Aussetzung oder den Entzug beantragt hat. Diese zuständige Behörde ergreift erforderlichenfalls geeignete Maßnahmen, um ein potenzielles Risiko für die Gesundheit, die Sicherheit oder die Grundrechte zu vermeiden.
2d) Mit Ausnahme von Bescheinigungen, die zu Unrecht ausgestellt wurden, und in Fällen, in denen eine Notifizierung ausgesetzt oder eingeschränkt wurde, bleiben die Bescheinigungen unter folgenden Umständen gültig:
a) Die notifizierende Behörde hat innerhalb eines Monats nach der Aussetzung oder Beschränkung bestätigt, dass in Bezug auf die von der Aussetzung oder Beschränkung betroffenen Bescheinigungen kein Risiko für die Gesundheit, die Sicherheit oder die Grundrechte besteht, und die notifizierende Behörde hat einen Zeitplan und Maßnahmen festgelegt, mit denen die Aussetzung oder Beschränkung voraussichtlich behoben werden soll; oder
b) die notifizierende Behörde hat bestätigt, dass während der Dauer der Aussetzung oder Beschränkung keine für die Aussetzung relevanten Bescheinigungen ausgestellt, geändert oder neu ausgestellt werden, und gibt an, ob die notifizierte Stelle in der Lage ist, bestehende Bescheinigungen, die für den Zeitraum der Aussetzung oder Beschränkung ausgestellt wurden, weiterhin zu überwachen und dafür verantwortlich zu bleiben. Stellt die für notifizierte Stellen zuständige Behörde fest, dass die notifizierte Stelle nicht in der Lage ist, bestehende ausgestellte Bescheinigungen zu unterstützen, so teilt der Anbieter den zuständigen nationalen Behörden des Mitgliedstaats, in dem der Anbieter des von der Bescheinigung erfassten Systems seinen eingetragenen Geschäftssitz hat, innerhalb von drei Monaten nach der Aussetzung oder Beschränkung Folgendes mit: eine schriftliche Bestätigung, dass eine andere qualifizierte benannte Stelle vorübergehend die Aufgaben der notifizierten Stelle übernimmt, um die Bescheinigungen während des Zeitraums der Aussetzung oder Einschränkung zu überwachen und für sie verantwortlich zu bleiben.
2e) Mit Ausnahme von Bescheinigungen, die zu Unrecht ausgestellt wurden, und im Falle des Entzugs einer Benennung bleiben die Bescheinigungen unter folgenden Umständen neun Monate lang gültig:
a) wenn die zuständige nationale Behörde des Mitgliedstaats, in dem der Anbieter des unter das Zertifikat fallenden KI-Systems seinen eingetragenen Geschäftssitz hat, bestätigt hat, dass mit den betreffenden Systemen kein Risiko für Gesundheit, Sicherheit und Grundrechte besteht; und
b) eine andere benannte Stelle schriftlich bestätigt hat, dass sie die unmittelbare Verantwortung für diese Systeme übernehmen und ihre Bewertung innerhalb von zwölf Monaten nach dem Widerruf der Benennung abgeschlossen haben wird.
Unter den in Unterabsatz 1 genannten Umständen kann die zuständige nationale Behörde des Mitgliedstaats, in dem der Anbieter des durch das Zertifikat erfassten Systems seinen Sitz hat, die vorläufige Gültigkeit der Bescheinigungen um weitere Zeiträume von drei Monaten verlängern, die insgesamt zwölf Monate nicht überschreiten dürfen.
Artikel 37 Anfechtung der Kompetenz notifizierter Stellen
1. Die Kommission untersucht erforderlichenfalls alle Fälle, in denen begründete Zweifel an der Kompetenz einer notifizierten Stelle oder an der kontinuierlichen Erfüllung der Anforderungen des Artikels 33 durch eine notifizierte Stelle und der für sie geltenden Zuständigkeiten bestehen.
2. Die notifizierende Behörde stellt der Kommission auf Anfrage alle relevanten Informationen im Zusammenhang mit der Notifizierung oder der Aufrechterhaltung der Kompetenz der betreffenden notifizierten Stelle zur Verfügung.
3. Die Kommission stellt sicher, dass alle sensiblen Informationen, die sie im Rahmen ihrer Untersuchungen gemäß diesem Artikel erlangt hat, gemäß Artikel 70 vertraulich behandelt werden
4. Stellt die Kommission fest, dass eine notifizierte Stelle die Anforderungen für ihre Notifizierung nicht oder nicht mehr erfüllt, so unterrichtet sie den notifizierenden Mitgliedstaat entsprechend und fordert ihn auf, die erforderlichen Korrekturmaßnahmen zu ergreifen, einschließlich der Aussetzung oder des Widerrufs der Notifizierung, falls erforderlich. Ergreift der Mitgliedstaat nicht die erforderlichen Korrekturmaßnahmen, so kann die Kommission die Benennung im Wege von Durchführungsrechtsakten aussetzen, einschränken oder widerrufen. Dieser Durchführungsrechtsakt wird nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 38 Koordinierung der notifizierten Stellen
1. Die Kommission sorgt dafür, dass in den von dieser Verordnung erfassten Bereichen eine zweckmäßige Koordinierung und Zusammenarbeit zwischen den an den Konformitätsbewertungsverfahren für KI-Systeme im Rahmen dieser Verordnung beteiligten notifizierten Stellen in Form einer sektoralen Gruppe notifizierter Stellen eingerichtet und ordnungsgemäß weitergeführt wird.
2. Die Mitgliedstaaten sorgen dafür, dass sich die von ihnen notifizierten Stellen direkt oder über benannte Vertreter an der Arbeit dieser Gruppe beteiligen.
Artikel 39 Konformitätsbewertungsstellen in Drittländern
Konformitätsbewertungsstellen, die nach dem Recht eines Drittlandes errichtet wurden, mit dem die Union ein Abkommen geschlossen hat, können ermächtigt werden, die Tätigkeiten notifizierter Stellen gemäß dieser Verordnung durchzuführen.
Kapitel 5 NORMEN, KONFORMITÄTSBEWERTUNG, ZERTIFIKATE, REGISTRIERUNG
Artikel 40 Harmonisierte Normen und Normungsleistungen
1. Bei KI-Systemen mit hohem Risiko, die harmonisierten Normen oder Teilen davon entsprechen, deren Fundstellen gemäß der Verordnung (EU) Nr. 1025/2012 im Amtsblatt der Europäischen Union veröffentlicht wurden, wird davon ausgegangen, dass sie den Anforderungen des Kapitels 2 dieses Titels oder gegebenenfalls der den Anforderungen des [Kapitels über die GPAI] entsprechen, soweit diese Normen diese Anforderungen abdecken.
2. Die Kommission erteilt gemäß Artikel 10 der Verordnung (EU) Nr. 1025/2012 unverzüglich Normungsaufträge für alle Anforderungen des Titels II Kapitel III und gegebenenfalls des [GPAI-Kapitels] dieser Verordnung. In dem Normungsauftrag werden auch Ergebnisse zu Berichterstattungs- und Dokumentationsprozessen zur Verbesserung der Ressourcenleistung von KI-Systemen, wie z. B. Verringerung des Energie- und anderen Ressourcenverbrauchs des Hochrisiko-KI-Systems während seines Lebenszyklus, und zur energieeffizienten Entwicklung von KI-Modellen für allgemeine Zwecke gefordert. Bei der Ausarbeitung eines Normungsauftrags konsultiert die Kommission den Ausschuss und die einschlägigen Interessenträger, einschließlich des Beirats.
Bei der Erteilung eines Normungsauftrags an europäische Normungsorganisationen legt die Kommission fest, dass die Normen kohärent sein müssen, auch mit den bestehenden und künftigen Normen, die in den verschiedenen Sektoren für Produkte entwickelt wurden, die unter die in Anhang II aufgeführten bestehenden Sicherheitsvorschriften der Union fallen, klar sein müssen und darauf abzielen, sicherzustellen, dass KI-Systeme oder -Modelle, die in der Union in Verkehr gebracht oder in Betrieb genommen werden, die einschlägigen Anforderungen dieser Verordnung erfüllen.
Die Kommission fordert die europäischen Normungsorganisationen gemäß Artikel 24 der Verordnung (EU) Nr. 1025/2012 auf, nachzuweisen, dass sie sich nach besten Kräften um die Erreichung der oben genannten Ziele bemüht haben.
1c) Die am Normungsprozess beteiligten Akteure bemühen sich, Investitionen und Innovationen im Bereich KI zu fördern, unter anderem durch die Erhöhung der Rechtssicherheit, sowie die Wettbewerbsfähigkeit und das Wachstum des Unionsmarktes und tragen zur Stärkung der weltweiten Zusammenarbeit bei der Normung und zur Berücksichtigung bestehender internationaler Normen im Bereich der KI bei, die mit den Werten der Union im Einklang stehen; Grundrechte und -interessen zu verbessern und die Multi-Stakeholder-Governance zu verbessern, um eine ausgewogene Interessenvertretung und eine wirksame Beteiligung aller relevanten Interessenträger gemäß den Artikeln 5, 6 und 7 der Verordnung (EU) Nr. 1025/2012 zu gewährleisten
Artikel 41 Gemeinsame Spezifikationen
1. Der Kommission wird die Befugnis übertragen, nach Anhörung des in Artikel 58 genannten Beirats nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren Durchführungsrechtsakte zur Festlegung gemeinsamer Spezifikationen für die Anforderungen des Kapitels 2 dieses Titels oder gegebenenfalls mit den Anforderungen des Artikels [GPAI-Kapitel] für KI-Systeme, die in den Anwendungsbereich dieser Verordnung fallen, wenn die folgenden Bedingungen erfüllt sind:
a) die Kommission gemäß Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 eine oder mehrere europäische Normungsorganisationen mit der Ausarbeitung einer harmonisierten Norm für die Anforderungen des Kapitels 2 dieses Titels beauftragt hat; und
i) der Auftrag von keiner der europäischen Normungsorganisationen angenommen wurde; oder ii) die harmonisierten Normen, die diesem Ersuchen entsprechen, nicht innerhalb der gemäß Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 gesetzten Frist vorgelegt werden; oder (iii) die einschlägigen harmonisierten Normen den Grundrechtsbelangen nicht ausreichend Rechnung tragen; oder (iv) die harmonisierten Normen dem Ersuchen nicht entsprechen; und
b) keine Bezugnahme auf harmonisierte Normen, die die Anforderungen gemäß
Kapitel II dieses Titels wurde gemäß der Verordnung (EU) Nr. 1025/2012 im Amtsblatt der Europäischen Union veröffentlicht, und es ist nicht zu erwarten, dass eine solche Fundstelle innerhalb einer angemessenen Frist veröffentlicht wird.
1a) Vor der Ausarbeitung des Entwurfs eines Durchführungsrechtsakts unterrichtet die Kommission den in Artikel 22 der Verordnung (EU) Nr. 1025/2012 genannten Ausschuss, dass sie der Auffassung ist, dass die Bedingungen des Absatzes 1 erfüllt sind.
3. Bei KI-Systemen mit hohem Risiko, die den in Absatz 1 genannten gemeinsamen Spezifikationen oder Teilen davon entsprechen, wird davon ausgegangen, dass sie den Anforderungen des Kapitels 2 dieses Titels entsprechen, soweit diese gemeinsamen Spezifikationen diese Anforderungen abdecken.
3a) Wird eine harmonisierte Norm von einer europäischen Normungsorganisation angenommen und der Kommission zur Veröffentlichung ihrer Fundstelle im Amtsblatt der Europäischen Union vorgeschlagen, so bewertet die Kommission die harmonisierte Norm gemäß der Verordnung (EU) Nr. 1025/2012. 2. Wird die Fundstelle einer harmonisierten Norm im Amtsblatt der Europäischen Union veröffentlicht, so hebt die Kommission die in den Absätzen 1 und 1b genannten Rechtsakte oder Teile davon auf, die dieselben Anforderungen wie in Kapitel 2 dieses Titels erfüllen.
4. Erfüllen Anbieter von KI-Systemen mit hohem Risiko die in Absatz 1 genannten gemeinsamen Spezifikationen nicht, so begründen sie ordnungsgemäß, dass sie technische Lösungen eingeführt haben, die die Anforderungen des Kapitels II in einem mindestens gleichwertigen Umfang erfüllen.
4b. Ist ein Mitgliedstaat der Auffassung, dass eine gemeinsame Spezifikation die Anforderungen des Kapitels 2 dieses Titels nicht vollständig erfüllt, so teilt er dies der Kommission mit einer ausführlichen Begründung mit, und die Kommission bewertet diese Informationen und ändert gegebenenfalls den Durchführungsrechtsakt zur Festlegung der betreffenden gemeinsamen Spezifikation.
Artikel 42 Vermutung der Konformität mit bestimmten Anforderungen
1. Bei KI-Systemen mit hohem Risiko, die auf der Grundlage von Daten trainiert und getestet wurden, die das spezifische geografische, verhaltensbezogene, kontextbezogene oder funktionale Umfeld widerspiegeln, in dem sie eingesetzt werden sollen, wird davon ausgegangen, dass sie die jeweiligen Anforderungen gemäß Artikel 10 Absatz 4 erfüllen.
2. Bei KI-Systemen mit hohem Risiko, die im Rahmen eines Cybersicherheitssystems gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates1 zertifiziert wurden oder für die eine Konformitätserklärung ausgestellt wurde und deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, wird davon ausgegangen, dass sie die Cybersicherheitsanforderungen gemäß Artikel 15 der vorliegenden Verordnung erfüllen, sofern die Cybersicherheitszertifikate oder Konformitätserklärungen oder Teile davon decken diese Anforderungen ab.
Artikel 43 Konformitätsbewertung
1. Bei den in Anhang III Nummer 1 aufgeführten KI-Systemen mit hohem Risiko entscheidet sich der Anbieter, wenn er zum Nachweis der Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels harmonisierte Normen gemäß Artikel 40 oder gegebenenfalls gemeinsame Spezifikationen gemäß Artikel 41 angewandt hat, für eines der folgenden Verfahren:
a) das Konformitätsbewertungsverfahren auf der Grundlage der in Anhang VI genannten internen Kontrolle; oder
b) das Konformitätsbewertungsverfahren auf der Grundlage der Bewertung des Qualitätsmanagementsystems und der Bewertung der technischen Unterlagen unter Einbeziehung einer notifizierten Stelle gemäß Anhang VII.
Beim Nachweis der Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels wendet der Anbieter in folgenden Fällen das in Anhang VII beschriebene Konformitätsbewertungsverfahren an:
a) wenn es keine harmonisierten Normen gemäß Artikel 40 gibt und keine gemeinsamen Spezifikationen gemäß Artikel 41 verfügbar sind;
aa) der Anbieter hat die harmonisierte Norm nicht oder nur teilweise angewandt;
b) wenn die unter Buchstabe a genannten gemeinsamen Spezifikationen bestehen, der Anbieter sie jedoch nicht angewandt hat;
c) wenn eine oder mehrere der unter Buchstabe a genannten harmonisierten Normen mit einer Einschränkung und nur für den Teil der Norm veröffentlicht wurden, der eingeschränkt wurde;
Für die Zwecke des in Anhang VII genannten Konformitätsbewertungsverfahrens kann der Anbieter jede der notifizierten Stellen auswählen. Soll das System jedoch von Strafverfolgungs-, Einwanderungs- oder Asylbehörden sowie von Organen, Einrichtungen oder sonstigen Stellen der EU in Betrieb genommen werden, so fungiert die in Artikel 63 Absätze 5 bzw. 6 genannte Marktüberwachungsbehörde als notifizierte Stelle.
2. Bei KI-Systemen mit hohem Risiko gemäß Anhang III Nummern 2 bis 8 wenden die Anbieter das Konformitätsbewertungsverfahren auf der Grundlage der internen Kontrolle gemäß Anhang VI an, das die Beteiligung einer notifizierten Stelle nicht vorsieht.
3. Bei Hochrisiko-KI-Systemen, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, befolgt der Anbieter die einschlägige Konformitätsbewertung gemäß diesen Rechtsakten. Die Anforderungen des Kapitels 2 dieses Titels gelten für diese Hochrisiko-KI-Systeme und sind Teil dieser Bewertung. Ziffern 4.3, 4.4 und 4.5. und Anhang VII Nummer 4.6 Absatz 5 gelten ebenfalls.
Für die Zwecke dieser Bewertung sind notifizierte Stellen, die gemäß diesen Rechtsakten notifiziert wurden, berechtigt, die Konformität der Hochrisiko-KI-Systeme mit den Anforderungen des Kapitels 2 dieses Titels zu überprüfen, sofern die Einhaltung der Anforderungen gemäß Artikel 33 Absätze 4, 9 und 10 durch diese notifizierten Stellen im Rahmen des Notifizierungsverfahrens nach diesen Rechtsakten bewertet wurde.
Ermöglichen die in Anhang II Abschnitt A aufgeführten Rechtsakte dem Hersteller des Produkts, sich von einer Konformitätsbewertung durch Dritte abzumelden, sofern er alle harmonisierten Normen angewandt hat, die alle einschlägigen Anforderungen abdecken, so kann der Hersteller von dieser Möglichkeit nur Gebrauch machen, wenn er auch harmonisierte Normen oder gegebenenfalls harmonisierte Normen angewandt hat gemeinsame Spezifikationen gemäß Artikel 41, die die Anforderungen des Kapitels 2 dieses Titels abdecken.
4. Hochrisiko-KI-Systeme, die bereits einem Konformitätsbewertungsverfahren unterzogen wurden, werden bei jeder wesentlichen Änderung einem neuen Konformitätsbewertungsverfahren unterzogen, unabhängig davon, ob das geänderte System für den weiteren Vertrieb bestimmt ist oder vom derzeitigen Betreiber weiterhin verwendet wird.
Bei Hochrisiko-KI-Systemen, die nach dem Inverkehrbringen oder der Inbetriebnahme weiter dazulernen, Änderungen des Hochrisiko-KI-Systems und seiner Leistung, die vom Anbieter zum Zeitpunkt der ersten Konformitätsbewertung festgelegt wurden und Teil der Informationen sind, die in den technischen Unterlagen gemäß Anhang IV Nummer 2 Buchstabe f enthalten sind, stellt keine wesentliche Änderung dar.
5. Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die Anhänge VI und VII unter Berücksichtigung des technischen Fortschritts zu aktualisieren.
Der Kommission wird die Befugnis übertragen, delegierte Rechtsakte zur Änderung der Absätze 1 und 2 zu erlassen, um KI-Hochrisikosysteme gemäß Anhang III Nummern 2 bis 8 dem Konformitätsbewertungsverfahren gemäß Anhang VII oder Teilen davon zu unterwerfen. Die Kommission erlässt solche delegierten Rechtsakte unter Berücksichtigung der Wirksamkeit des Konformitätsbewertungsverfahrens auf der Grundlage der in Anhang VI genannten internen Kontrolle bei der Vermeidung oder Minimierung der von solchen Systemen ausgehenden Risiken für Gesundheit und Sicherheit und den Schutz der Grundrechte sowie der Verfügbarkeit angemessener Kapazitäten und Ressourcen bei den notifizierten Stellen.
Artikel 44 Bescheinigungen
1. Die von den benannten Stellen gemäß Anhang VII ausgestellten Bescheinigungen werden in einer Sprache abgefasst, die von den zuständigen Behörden des Mitgliedstaats, in dem die benannte Stelle niedergelassen ist, leicht verstanden werden kann.
2. Die Bescheinigungen sind für den angegebenen Zeitraum gültig, der bei KI-Systemen, die unter Anhang II fallen, fünf Jahre und bei KI-Systemen gemäß Anhang III vier Jahre nicht überschreiten darf. Auf Antrag des Anbieters kann die Gültigkeit eines Zertifikats auf der Grundlage einer Neubewertung gemäß den geltenden Konformitätsbewertungsverfahren um weitere Zeiträume verlängert werden, die bei KI-Systemen des Anhangs II jeweils fünf Jahre und bei KI-Systemen des Anhangs III vier Jahre nicht überschreiten dürfen. Ein Nachtrag zu einem Zeugnis bleibt so lange gültig, wie das durch ihn ergänzte Zeugnis gültig ist.
3. Stellt eine notifizierte Stelle fest, dass ein KI-System die Anforderungen des Kapitels 2 dieses Titels nicht mehr erfüllt, so setzt sie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit die ausgestellte Bescheinigung aus oder widerruft sie oder erlegt ihr Beschränkungen auf, es sei denn, die Einhaltung dieser Anforderungen wird durch geeignete Korrekturmaßnahmen sichergestellt, die der Anbieter des Systems innerhalb einer von der notifizierten Stelle gesetzten angemessenen Frist ergreift. Die notifizierte Stelle begründet ihre Entscheidung.
Artikel 45 Rechtsbehelf gegen Entscheidungen notifizierter Stellen
Gegen Entscheidungen der notifizierten Stellen, auch über ausgestellte Konformitätsbescheinigungen, steht ein Beschwerdeverfahren zur Verfügung.
Artikel 46 Informationspflichten der notifizierten Stellen
1. Die notifizierten Stellen unterrichten die notifizierende Behörde über Folgendes:
a) alle Bescheinigungen über die Bewertung der technischen Unterlagen der Union, alle Ergänzungen zu diesen Bescheinigungen und Zulassungen für Qualitätsmanagementsysteme, die gemäß den Anforderungen des Anhangs VII ausgestellt wurden;
b) jede Verweigerung, Einschränkung, Aussetzung oder Rücknahme einer Bescheinigung über die Bewertung der Unionsdokumentation oder einer Zulassung für ein Qualitätsmanagementsystem, die gemäß den Anforderungen des Anhangs VII ausgestellt wurde;
c) alle Umstände, die sich auf den Umfang oder die Bedingungen der Notifizierung auswirken;
d) alle Auskunftsersuchen, die sie von den Marktüberwachungsbehörden über Konformitätsbewertungstätigkeiten erhalten haben;
e) auf Verlangen Konformitätsbewertungstätigkeiten, die im Rahmen ihrer Notifizierung durchgeführt werden, und alle anderen Tätigkeiten, einschließlich grenzüberschreitender Tätigkeiten und der Vergabe von Unteraufträgen.
2. Jede notifizierte Stelle unterrichtet die anderen notifizierten Stellen über
a) Zulassungen von Qualitätssicherungssystemen, die sie verweigert, ausgesetzt oder widerrufen hat, und auf Antrag Zulassungen von Qualitätssicherungssystemen, die sie erteilt hat;
b) EU-Bescheinigungen über die Bewertung der technischen Dokumentation oder deren Ergänzungen, die sie abgelehnt, zurückgezogen, ausgesetzt oder anderweitig eingeschränkt hat, sowie auf Antrag die von ihr ausgestellten Bescheinigungen und/oder Ergänzungen dazu.
3. Jede notifizierte Stelle stellt den anderen notifizierten Stellen, die ähnliche Konformitätsbewertungstätigkeiten für dieselben Arten von KI-Systemen durchführen, einschlägige Informationen über Fragen im Zusammenhang mit negativen und auf Anfrage positiven Konformitätsbewertungsergebnissen zur Verfügung.
3a) 2. Die in den Absätzen 1 bis 3 genannten Verpflichtungen sind gemäß Artikel 70 zu erfüllen.
Artikel 47 Abweichung vom Konformitätsbewertungsverfahren
1. Abweichend von Artikel 43 und auf hinreichend begründeten Antrag kann jede Marktüberwachungsbehörde aus außergewöhnlichen Gründen der öffentlichen Sicherheit oder des Schutzes von Leben und Gesundheit von Personen das Inverkehrbringen oder die Inbetriebnahme bestimmter KI-Systeme mit hohem Risiko im Hoheitsgebiet des betreffenden Mitgliedstaats genehmigen — Umweltschutz und den Schutz wichtiger industrieller und infrastruktureller Vermögenswerte. Diese Zulassung gilt für einen begrenzten Zeitraum, während die erforderlichen Konformitätsbewertungsverfahren durchgeführt werden, wobei die außergewöhnlichen Gründe, die die Ausnahme rechtfertigen, zu berücksichtigen sind. Der Abschluss dieser Verfahren erfolgt unverzüglich.
1a) 2. In hinreichend begründeten Dringlichkeitsfällen aus außergewöhnlichen Gründen der öffentlichen Sicherheit oder im Falle einer spezifischen, erheblichen und unmittelbaren Bedrohung des Lebens oder der körperlichen Sicherheit natürlicher Personen können die Strafverfolgungsbehörden oder Katastrophenschutzbehörden ein bestimmtes Hochrisiko-KI-System ohne die in Absatz 1 genannte Genehmigung in Betrieb nehmen, sofern eine solche Genehmigung während oder nach der Verwendung unverzüglich beantragt wird; Wird eine solche Genehmigung abgelehnt, so wird ihre Verwendung mit sofortiger Wirkung eingestellt, und alle Ergebnisse und Outputs dieser Verwendung werden unverzüglich verworfen.
2. Die in Absatz 1 genannte Zulassung wird nur erteilt, wenn die Marktüberwachungsbehörde zu dem Schluss gelangt, dass das Hochrisiko-KI-System die Anforderungen des Kapitels 2 dieses Titels erfüllt. 2. Die Marktüberwachungsbehörde unterrichtet die Kommission und die anderen Mitgliedstaaten über jede gemäß Absatz 1 erteilte Zulassung. Diese Verpflichtung gilt nicht für sensible operative Daten im Zusammenhang mit den Tätigkeiten der Strafverfolgungsbehörden.
3. Hat innerhalb von 15 Kalendertagen nach Eingang der in Absatz 2 genannten Informationen weder ein Mitgliedstaat noch die Kommission Einwände gegen eine von einer Marktüberwachungsbehörde eines Mitgliedstaats gemäß Absatz 1 erteilte Zulassung erhoben, so gilt diese Zulassung als gerechtfertigt.
4. Erhebt ein Mitgliedstaat innerhalb von 15 Kalendertagen nach Eingang der Mitteilung gemäß Absatz 2 Einwände gegen eine von einer Marktüberwachungsbehörde eines anderen Mitgliedstaats erteilte Zulassung oder ist die Kommission der Auffassung, dass die Zulassung gegen das Unionsrecht verstößt oder die Schlussfolgerung der Mitgliedstaaten hinsichtlich der Konformität des Systems gemäß Absatz 2 unbegründet ist, die Kommission konsultiert unverzüglich den betreffenden Mitgliedstaat; Der/die betroffene(n) Unternehmer(s) wird konsultiert und erhält die Möglichkeit, seinen Standpunkt darzulegen. In Anbetracht dessen entscheidet die Kommission, ob die Zulassung gerechtfertigt ist oder nicht. Die Kommission richtet ihre Entscheidung an den betreffenden Mitgliedstaat und den betreffenden Betreiber bzw. die betreffenden Betreiber.
5. Wird die Zulassung als nicht gerechtfertigt erachtet, so entzieht sie ihr die Marktüberwachungsbehörde des betreffenden Mitgliedstaats.
6. Für Hochrisiko-KI-Systeme im Zusammenhang mit Produkten, die unter die in Anhang II Abschnitt A genannten Harmonisierungsrechtsvorschriften der Union fallen, gelten nur die in diesen Rechtsvorschriften festgelegten Konformitätsbewertungsausnahmeverfahren.
Artikel 48 EU-Konformitätserklärung
1. Der Anbieter stellt für jedes Hochrisiko-KI-System eine schriftliche, maschinenlesbare, physische oder elektronisch signierte EU-Konformitätserklärung aus und hält sie 10 Jahre lang nach dem Inverkehrbringen oder der Inbetriebnahme des KI-Hochrisikosystems für die zuständigen nationalen Behörden bereit. In der EU-Konformitätserklärung ist das KI-System mit hohem Risiko anzugeben, für das sie ausgestellt wurde. Eine Kopie der EU-Konformitätserklärung ist den jeweils zuständigen nationalen Behörden auf Verlangen vorzulegen.
2. Aus der EU-Konformitätserklärung geht hervor, dass das betreffende Hochrisiko-KI-System die Anforderungen des Kapitels 2 dieses Titels erfüllt. Die EU-Konformitätserklärung enthält die in Anhang V aufgeführten Informationen und wird in eine Sprache übersetzt, die von den zuständigen nationalen Behörden des Mitgliedstaats/der Mitgliedstaaten, in denen das Hochrisiko-KI-System in Verkehr gebracht oder bereitgestellt wird, leicht verstanden werden kann.
3. Unterliegen Hochrisiko-KI-Systeme anderen Harmonisierungsrechtsvorschriften der Union, die ebenfalls eine EU-Konformitätserklärung erfordern, so wird eine einzige EU-Konformitätserklärung für alle für das Hochrisiko-KI-System geltenden Rechtsvorschriften der Union ausgestellt. Die Erklärung enthält alle Angaben, die für die Identifizierung der Harmonisierungsrechtsvorschriften der Union, auf die sich die Erklärung bezieht, erforderlich sind.
4. Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Anbieter die Verantwortung für die Einhaltung der Anforderungen des Kapitels 2 dieses Titels. Der Anbieter hält die EU-Konformitätserklärung gegebenenfalls auf dem neuesten Stand.
5. Der Kommission wird die Befugnis übertragen, delegierte Rechtsakte gemäß Artikel 73 zu erlassen, um den Inhalt der EU-Konformitätserklärung in Anhang V zu aktualisieren und Elemente aufzunehmen, die angesichts des technischen Fortschritts erforderlich werden.
Artikel 49 CE-Kennzeichnung der Konformität
1. Die CE-Konformitätskennzeichnung unterliegt den allgemeinen Grundsätzen des Artikels 30 der Verordnung (EG) Nr. 765/2008.
1a) Bei digital bereitgestellten KI-Systemen mit hohem Risiko darf eine digitale CE-Kennzeichnung nur dann verwendet werden, wenn sie über die Schnittstelle, von der aus auf das KI-System zugegriffen wird, oder über einen leicht zugänglichen maschinenlesbaren Code oder andere elektronische Mittel leicht zugänglich ist.
2. Die CE-Kennzeichnung wird bei KI-Systemen mit hohem Risiko sichtbar, leserlich und dauerhaft angebracht. Ist dies aufgrund der Art des Hochrisiko-KI-Systems nicht möglich oder nicht gerechtfertigt, so ist es auf der Verpackung bzw. in den Begleitunterlagen anzubringen.
3. Gegebenenfalls wird der CE-Kennzeichnung die Kennnummer der notifizierten Stelle hinzugefügt, die für die Konformitätsbewertungsverfahren gemäß Artikel 43 verantwortlich ist. Die Kennnummer der notifizierten Stelle wird von der Stelle selbst oder nach ihren Anweisungen vom Anbieter oder seinem Bevollmächtigten angebracht. Die Kennnummer ist auch in allen Werbematerialien anzugeben, in denen darauf hingewiesen wird, dass das Hochrisiko-KI-System die Anforderungen für die CE-Kennzeichnung erfüllt.
3a) Unterliegen Hochrisiko-KI-Systeme anderen Rechtsvorschriften der Union, die ebenfalls die Anbringung der CE-Kennzeichnung vorsehen, so gibt die CE-Kennzeichnung an, dass das Hochrisiko-KI-System auch die Anforderungen dieses anderen Rechts erfüllt.
Artikel 50 In Artikel 18 verschoben
Artikel 51 Registrierung
Vor dem Inverkehrbringen oder der Inbetriebnahme eines in Anhang III aufgeführten Hochrisiko-KI-Systems, mit Ausnahme der in Anhang III Nummer 2 genannten Hochrisiko-KI-Systeme, registriert der Anbieter oder gegebenenfalls der Bevollmächtigte sich und sein System in der in Artikel 60 genannten EU-Datenbank.
1a) Vor dem Inverkehrbringen oder der Inbetriebnahme eines KI-Systems, bei dem der Anbieter nach Anwendung des Verfahrens nach Artikel 6 Absatz 2a zu dem Schluss gekommen ist, dass es kein hohes Risiko darstellt, registriert der Anbieter oder gegebenenfalls der Bevollmächtigte sich und dieses System in der in Artikel 60 genannten EU-Datenbank.
1b) Vor der Inbetriebnahme oder Nutzung eines in Anhang III aufgeführten Hochrisiko-KI-Systems, mit Ausnahme der in Anhang III Nummer 2 aufgeführten Hochrisiko-KI-Systeme, registrieren sich die Betreiber, bei denen es sich um Behörden, Einrichtungen oder Einrichtungen oder in ihrem Namen handelnde Personen handelt, wählen das System aus und registrieren seine Nutzung in der in Artikel 60 genannten EU-Datenbank.
1c) Bei Hochrisiko-KI-Systemen gemäß Anhang III Nummern 1, 6 und 7 in den Bereichen Strafverfolgung, Migration, Asyl und Grenzkontrollmanagement erfolgt die Registrierung gemäß den Absätzen 1 bis 1b in einem sicheren, nicht öffentlichen Bereich der EU-Datenbank gemäß Artikel 60 und umfasst nur die folgenden Informationen: gegebenenfalls – Anhang VIII Abschnitt A Nummern 1 bis 9 mit Ausnahme der Nummern 5a, 7 und 8
– Anhang VIII Nummern 1 bis 3 Abschnitt B – Anhang VIII Nummern 1 bis 9 Abschnitt X mit Ausnahme der Nummern 6 und 7 sowie Anhang VIIIa Nummern 1 bis 5 mit Ausnahme von Nummer 4.
Nur die Kommission und die in Artikel 63 Absatz 5 genannten nationalen Behörden haben Zugang zu diesen geschützten Bereichen der EU-Datenbank.
1d) Die in Anhang III Nummer 2 genannten KI-Systeme mit hohem Risiko werden auf nationaler Ebene registriert.
TITEL IV:TRANSPARENZPFLICHTEN FÜR ANBIETER UND BETREIBER BESTIMMTER KI-SYSTEME UND GPAI-MODELLE
Artikel 52 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme und GPAI-Modelle
1. Die Anbieter stellen sicher, dass KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, so konzipiert und entwickelt werden, dass die betroffenen natürlichen Personen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus der Sicht einer normal informierten, aufmerksamen und verständigen natürlichen Person unter Berücksichtigung der Umstände und des Kontexts der Nutzung offensichtlich. Diese Verpflichtung gilt nicht für KI-Systeme, die gesetzlich zur Aufdeckung, Verhütung, Untersuchung und Verfolgung von Straftaten zugelassen sind, vorbehaltlich angemessener Garantien für die Rechte und Freiheiten Dritter, es sei denn, diese Systeme stehen der Öffentlichkeit zur Verfügung, um eine Straftat zu melden.
1a) Anbieter von KI-Systemen, einschließlich GPAI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, stellen sicher, dass die Ergebnisse des KI-Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Die Anbieter stellen sicher, dass ihre technischen Lösungen wirksam, interoperabel, robust und zuverlässig sind, soweit dies technisch machbar ist, und berücksichtigen dabei die Besonderheiten und Einschränkungen der verschiedenen Arten von Inhalten, die Implementierungskosten und den allgemein anerkannten Stand der Technik, wie er in den einschlägigen technischen Normen zum Ausdruck kommen kann.
Diese Verpflichtung gilt nicht, soweit die KI-Systeme eine unterstützende Funktion für die Standardbearbeitung erfüllen oder die vom Betreiber bereitgestellten Eingabedaten oder deren Semantik nicht wesentlich verändern oder wenn dies gesetzlich zulässig ist, um Straftaten aufzudecken, zu verhüten, zu untersuchen und zu verfolgen.
2. Die Betreiber eines Emotionserkennungssystems oder eines biometrischen Kategorisierungssystems informieren die natürlichen Personen, die diesem System ausgesetzt sind, über den Betrieb des Systems und verarbeiten die personenbezogenen Daten gemäß der Verordnung (EU) 2016/679, der Verordnung (EU) 2016/1725 und der Richtlinie (EU) 2016/280. Diese Verpflichtung gilt nicht für KI-Systeme, die für die biometrische Kategorisierung und Emotionserkennung verwendet werden und die gesetzlich zulässig sind, um Straftaten aufzudecken, zu verhindern und zu untersuchen, vorbehaltlich angemessener Garantien für die Rechte und Freiheiten Dritter und im Einklang mit dem Unionsrecht.
3. Betreiber eines KI-Systems, das Bild-, Audio- oder Videoinhalte, die ein Deep Fake darstellen, erzeugt oder manipuliert, legen offen, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Diese Verpflichtung gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Untersuchung und Verfolgung von Straftaten gesetzlich zulässig ist. Ist der Inhalt Teil eines offensichtlich künstlerischen, kreativen, satirischen oder fiktionalen analogen Werks oder Programms, so beschränken sich die in diesem Absatz festgelegten Transparenzpflichten auf die Offenlegung des Vorhandenseins solcher erzeugten oder manipulierten Inhalte in einer angemessenen Weise, die die Darstellung oder den Genuss des Werks nicht behindert.
Betreiber eines KI-Systems, das Texte generiert oder manipuliert, die mit dem Ziel veröffentlicht werden, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, müssen offenlegen, dass der Text künstlich erzeugt oder manipuliert wurde. Diese Verpflichtung gilt nicht, wenn die Nutzung gesetzlich zur Aufdeckung, Verhütung, Untersuchung und Verfolgung von Straftaten zulässig ist oder wenn die KI-generierten Inhalte einem Prozess der menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt.
3a) Die in den Absätzen 1 bis 3 genannten Informationen werden den betroffenen natürlichen Personen spätestens zum Zeitpunkt der ersten Interaktion oder Exposition in klarer und unterscheidbarer Weise zur Verfügung gestellt. Die Informationen müssen den geltenden Barrierefreiheitsanforderungen entsprechen.
4. Die Absätze 1, 2 und 3 berühren nicht die Anforderungen und Pflichten gemäß Titel III dieser Verordnung und lassen andere Transparenzpflichten für Nutzer von KI-Systemen, die im Unionsrecht oder im nationalen Recht festgelegt sind, unberührt.
4a. Das KI-Büro fördert und erleichtert die Ausarbeitung von Verhaltenskodizes auf Unionsebene, um die wirksame Umsetzung der Verpflichtungen in Bezug auf die Erkennung und Kennzeichnung künstlich erzeugter oder manipulierter Inhalte zu erleichtern. Der Kommission wird die Befugnis übertragen, Durchführungsrechtsakte zu erlassen, um diese Verhaltenskodizes nach dem Verfahren des Artikels 52e Absätze 6-8 zu genehmigen. Ist die Kommission der Auffassung, dass der Kodex nicht angemessen ist, so wird ihr die Befugnis übertragen, nach dem Prüfverfahren des Artikels 73 Absatz 2 einen Durchführungsrechtsakt zu erlassen, in dem die gemeinsamen Regeln für die Umsetzung dieser Verpflichtungen festgelegt werden.
TITEL VIII A: ALLGEMEINE KI-MODELLE KAPITEL 1 KLASSIFIZIERUNGSREGELN
KAPITEL I
Artikel 52a Einstufung von Allzweck-KI-Modellen als Allzweck-KI-Modelle mit Systemrisiko
1. Ein universelles KI-Modell wird als universelles KI-Modell mit systemischem Risiko eingestuft, wenn es eines der folgenden Kriterien erfüllt:
a) es verfügt über Fähigkeiten mit hoher Wirkung, die auf der Grundlage geeigneter technischer Instrumente und Methoden, einschließlich Indikatoren und Benchmarks, bewertet werden;
b) auf der Grundlage eines Beschlusses der Kommission, von Amts wegen oder nach einer qualifizierten Warnung des wissenschaftlichen Gremiums, dass ein KI-Modell für allgemeine Zwecke Fähigkeiten oder Auswirkungen hat, die denen von Buchstabe a gleichwertig sind.
2. Es wird davon ausgegangen, dass ein universelles KI-Modell über hohe Wirkungsfähigkeiten gemäß Absatz 1 Buchstabe a verfügt, wenn die kumulierte Menge an Rechenleistung, die für sein Training verwendet wird, gemessen in Gleitkommaoperationen (FLOPs) größer als 10^25 ist.
3. Die Kommission erlässt delegierte Rechtsakte gemäß Artikel 73 Absatz 2, um die in den vorstehenden Absätzen aufgeführten Schwellenwerte zu ändern und Benchmarks und Indikatoren erforderlichenfalls unter Berücksichtigung sich entwickelnder technologischer Entwicklungen, wie z. B. algorithmischer Verbesserungen oder erhöhter Hardwareeffizienz, zu ergänzen, damit diese Schwellenwerte dem Stand der Technik entsprechen.
Artikel 52b Verfahren
1. Erfüllt ein universelles KI-Modell die in Artikel A Absatz 1 Buchstabe a genannten Anforderungen, so teilt der betreffende Anbieter dies der Kommission unverzüglich und in jedem Fall innerhalb von zwei Wochen mit, nachdem diese Anforderungen erfüllt sind oder bekannt wird, dass diese Anforderungen erfüllt werden. Diese Mitteilung enthält die Angaben, die erforderlich sind, um nachzuweisen, dass die einschlägigen Anforderungen erfüllt sind. Erlangt die Kommission Kenntnis von einem KI-Modell für allgemeine Zwecke, das Systemrisiken birgt, die ihr nicht gemeldet wurden, kann sie beschließen, es als Modell mit Systemrisiko zu bezeichnen.
2. Der Anbieter eines universellen KI-Modells, das die Anforderungen gemäß Artikel A Absatz 1 Buchstabe a kann mit seiner Anmeldung hinreichend substantiierte Argumente vorbringen, um nachzuweisen, dass das universelle KI-Modell, obwohl es die genannten Anforderungen erfüllt, aufgrund seiner spezifischen Merkmale keine Systemrisiken birgt und daher nicht als universelles KI-Modell mit Systemrisiko eingestuft werden sollte.
3. Gelangt die Kommission zu dem Schluss, dass die gemäß Absatz 2 vorgebrachten Argumente nicht hinreichend begründet sind und der betreffende Anbieter nicht nachweisen konnte, dass das Allzweck-KI-Modell aufgrund seiner spezifischen Merkmale keine Systemrisiken birgt, so weist sie diese Argumente zurück, und das Allzweck-KI-Modell gilt als Allzweck-KI-Modell mit Systemrisiko.
4. Die Kommission kann von Amts wegen oder nach einer qualifizierten Warnung des wissenschaftlichen Gremiums gemäß Artikel [Warnungen des wissenschaftlichen Gremiums vor Systemrisiken durch das wissenschaftliche Gremium] 1. auf der Grundlage von Kriterien gemäß Anhang YY. Der Kommission wird die Befugnis übertragen, die Kriterien in Anhang YY im Wege delegierter Rechtsakte gemäß Artikel 74 Absatz 2 festzulegen und zu aktualisieren.
4a) Auf begründeten Antrag eines Anbieters, dessen Modell gemäß Absatz 4 als universelles KI-Modell mit Systemrisiko eingestuft wurde, berücksichtigt die Kommission den Antrag und kann beschließen, auf der Grundlage der in Anhang YY festgelegten Kriterien erneut zu bewerten, ob davon ausgegangen werden kann, dass das KI-Modell für allgemeine Zwecke weiterhin Systemrisiken birgt. Ein solcher Antrag muss objektive, konkrete und neue Gründe enthalten, die seit der Benennungsentscheidung aufgetreten sind. Die Anbieter können frühestens sechs Monate nach der Benennungsentscheidung eine Neubewertung beantragen. Beschließt die Kommission nach ihrer Neubewertung, die Einstufung als universelles KI-Modell mit Systemrisiko beizubehalten, können die Anbieter frühestens sechs Monate nach dieser Entscheidung eine Neubewertung beantragen.
5. Die Kommission stellt sicher, dass eine Liste von universellen KI-Modellen mit Systemrisiken veröffentlicht wird, und hält diese Liste auf dem neuesten Stand, unbeschadet der Notwendigkeit, die Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse im Einklang mit dem Unionsrecht und dem nationalen Recht zu achten und zu schützen.
Kapitel II Pflichten für Anbieter von universellen KI-Modellen
Artikel 52c Pflichten für Anbieter von universellen KI-Modellen
1. Anbieter von KI-Modellen für allgemeine Zwecke
a) Erstellung und Aktualisierung der technischen Unterlagen des Modells, einschließlich seines Trainings- und Testverfahrens und der Ergebnisse seiner Bewertung, die mindestens die in Anhang XX aufgeführten Elemente enthalten müssen, um sie dem KI-Büro und den zuständigen nationalen Behörden auf Anfrage zur Verfügung zu stellen;
b) Informationen und Unterlagen für Anbieter von KI-Systemen, die beabsichtigen, das universelle KI-Modell in ihr KI-System zu integrieren, zu erstellen, auf dem neuesten Stand zu halten und zur Verfügung zu stellen. Unbeschadet der Notwendigkeit, die Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse im Einklang mit dem Unionsrecht und dem nationalen Recht zu achten und zu schützen, müssen die Informationen und Unterlagen
i) den Anbietern von KI-Systemen ein gutes Verständnis der Fähigkeiten und Grenzen des universellen KI-Modells zu vermitteln und ihren Verpflichtungen gemäß dieser Verordnung nachzukommen; und
ii) mindestens die in Anhang XY aufgeführten Elemente enthalten;
c) Einführung einer Strategie zur Achtung des Urheberrechts der Union, insbesondere zur Ermittlung und Achtung der gemäß Artikel 4 Absatz 3 der Richtlinie (EU) 2019/790 geäußerten Rechtsvorbehalte, auch durch modernste Technologien;
d) eine hinreichend detaillierte Zusammenfassung über die Inhalte, die für das Training des universellen KI-Modells verwendet werden, gemäß einer vom KI-Büro bereitgestellten Vorlage zu erstellen und öffentlich zugänglich zu machen;
– 2. Die in Absatz 1 genannten Verpflichtungen, mit Ausnahme der Buchstaben c und d, gelten nicht für Anbieter von KI-Modellen, die der Öffentlichkeit im Rahmen einer freien und offenen Lizenz zugänglich gemacht werden, die den Zugang, die Nutzung, die Änderung und die Verbreitung des Modells ermöglicht.
und deren Parameter, einschließlich der Gewichte, der Informationen über die Modellarchitektur und der Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden. Diese Ausnahme gilt nicht für universelle KI-Modelle mit systemischen Risiken.
2. Anbieter von KI-Modellen für allgemeine Zwecke arbeiten bei der Ausübung ihrer Zuständigkeiten und Befugnisse gemäß dieser Verordnung erforderlichenfalls mit der Kommission und den zuständigen nationalen Behörden zusammen.
3. Anbieter von KI-Modellen für allgemeine Zwecke können sich bis zur Veröffentlichung einer harmonisierten Norm auf Verhaltenskodizes im Sinne des Artikels E stützen, wenn sie die Einhaltung der Verpflichtungen nach Absatz 1 nachweisen. Die Einhaltung einer europäisch harmonisierten Norm gewährt den Anbietern die Vermutung der Konformität. Anbieter von universellen KI-Modellen mit systemischen Risiken, die sich nicht an einen genehmigten Verhaltenskodex halten, müssen alternative angemessene Mittel zur Einhaltung der Vorschriften für die Genehmigung durch die Kommission nachweisen.
4. Um die Einhaltung des Anhangs XX, insbesondere Nummer 2, Buchstaben d und e, zu erleichtern, wird der Kommission die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die Mess- und Berechnungsmethoden im Einzelnen festzulegen, um eine vergleichbare und überprüfbare Dokumentation zu ermöglichen.
4a) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 Absatz 2 delegierte Rechtsakte zur Änderung der Anhänge XX und XY unter Berücksichtigung der sich entwickelnden technologischen Entwicklungen zu erlassen.
4b) Alle gemäß den Bestimmungen dieses Artikels erlangten Informationen und Unterlagen, einschließlich Geschäftsgeheimnisse, werden unter Beachtung der in Artikel 70 festgelegten Vertraulichkeitsverpflichtungen behandelt.
Artikel 52ca Bevollmächtigter
1. Vor dem Inverkehrbringen eines KI-Modells für allgemeine Zwecke auf dem Unionsmarkt benennen die außerhalb der Union niedergelassenen Anbieter per schriftlichem Mandat einen in der Union niedergelassenen Bevollmächtigten und ermöglichen es ihm, seine Aufgaben gemäß dieser Verordnung wahrzunehmen.
2. Der Bevollmächtigte nimmt die Aufgaben wahr, die in dem vom Anbieter erteilten Mandat festgelegt sind. Er stellt dem KI-Büro auf Anfrage eine Kopie des Mandats in einer der Amtssprachen der Organe der Union zur Verfügung. Für die Zwecke dieser Verordnung ermächtigt der Bevollmächtigte den Bevollmächtigten, folgende Aufgaben wahrzunehmen:
a) zu überprüfen, ob die in Anhang IXa genannten technischen Unterlagen erstellt wurden und alle in Artikel 52c und gegebenenfalls Artikel 52d genannten Verpflichtungen vom Anbieter erfüllt wurden;
b) eine Kopie der technischen Unterlagen für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen des Modells für das KI-Büro und die zuständigen nationalen Behörden sowie die Kontaktdaten des Anbieters, von dem der Bevollmächtigte benannt wurde, bereitzuhalten;
c) dem KI-Büro auf begründetes Verlangen alle Informationen und Unterlagen, einschließlich der gemäß Buchstabe a aufbewahrten, zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen aus diesem Titel nachzuweisen;
d) Zusammenarbeit mit dem KI-Büro und den zuständigen nationalen Behörden auf begründetes Ersuchen bei allen Maßnahmen, die diese in Bezug auf das Allzweck-KI-Modell mit systemischen Risiken ergreifen, auch wenn das Modell in KI-Systeme integriert wird, die in der Union in Verkehr gebracht oder in Betrieb genommen werden
3. Mit dem Mandat wird dem Bevollmächtigten die Befugnis übertragen, sich zusätzlich oder anstelle des Anbieters an das KI-Amt oder die zuständigen nationalen Behörden in allen Fragen im Zusammenhang mit der Gewährleistung der Einhaltung dieser Verordnung zu wenden.
4. Der Bevollmächtigte beendet das Mandat, wenn er der Auffassung ist oder Grund zu der Annahme hat, dass der Anbieter gegen seine Verpflichtungen aus dieser Verordnung verstößt. In einem solchen Fall unterrichtet er das KI-Büro auch unverzüglich über die Beendigung des Mandats und die Gründe dafür.
5. Die in diesem Artikel festgelegte Verpflichtung gilt nicht für Anbieter von KI-Modellen für allgemeine Zwecke, die der Öffentlichkeit im Rahmen einer freien Open-Source-Lizenz zugänglich gemacht werden, die den Zugang, die Nutzung, die Änderung und die Verbreitung des Modells ermöglicht, und deren Parameter, einschließlich der Gewichte, der Informationen über die Modellarchitektur und der Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden, es sei denn, die universellen KI-Modelle bergen systemische Risiken.
Kapitel III Pflichten für Anbieter von Allzweck-KI-Modellen mit Systemrisiko
Artikel 52d Pflichten für Anbieter von universellen KI-Modellen mit Systemrisiko
1. Zusätzlich zu den in Artikel C aufgeführten Pflichten müssen Anbieter von universellen KI-Modellen mit Systemrisiko
a) Durchführung einer Modellbewertung im Einklang mit standardisierten Protokollen und Instrumenten, die den Stand der Technik widerspiegeln, einschließlich der Durchführung und Dokumentation kontradiktorischer Tests des Modells mit dem Ziel, systemische Risiken zu ermitteln und zu mindern;
b) Bewertung und Minderung möglicher Systemrisiken auf Unionsebene, einschließlich ihrer Quellen, die sich aus der Entwicklung, dem Inverkehrbringen oder der Verwendung von universellen KI-Modellen mit Systemrisiken ergeben können;
c) einschlägige Informationen über schwerwiegende Sicherheitsvorfälle und mögliche Korrekturmaßnahmen zu deren Behebung zu verfolgen, zu dokumentieren und unverzüglich dem KI-Büro und gegebenenfalls den zuständigen nationalen Behörden zu melden;
d) Gewährleistung eines angemessenen Niveaus des Cybersicherheitsschutzes für das universelle KI-Modell mit systemischen Risiken und die physische Infrastruktur des Modells.
2. Anbieter von Allzweck-KI-Modellen mit Systemrisiko können sich bis zur Veröffentlichung einer harmonisierten Norm auf Verhaltenskodizes im Sinne des Artikels E berufen, um die Einhaltung der Verpflichtungen nach Absatz 1 nachzuweisen. Die Einhaltung einer europäisch harmonisierten Norm gewährt den Anbietern die Vermutung der Konformität. Anbieter von universellen KI-Modellen mit systemischen Risiken, die sich nicht an einen genehmigten Verhaltenskodex halten, müssen alternative angemessene Mittel zur Einhaltung der Vorschriften nachweisen, die von der Kommission genehmigt werden können.
3. Alle gemäß den Bestimmungen dieses Artikels erlangten Informationen und Unterlagen, einschließlich Geschäftsgeheimnisse, werden unter Beachtung der Geheimhaltungspflichten gemäß Artikel 70 behandelt.
Artikel 52e Verhaltenskodizes
1. Das KI-Büro fördert und erleichtert die Ausarbeitung von Verhaltenskodizes auf Unionsebene, um unter Berücksichtigung internationaler Ansätze zur ordnungsgemäßen Anwendung dieser Verordnung beizutragen.
2. Das KI-Büro und der KI-Beirat bemühen sich sicherzustellen, dass die Verhaltenskodizes die in den Artikeln C und D vorgesehenen Verpflichtungen abdecken, aber nicht unbedingt darauf beschränkt sind, einschließlich der folgenden Aspekte:
a) mit Mitteln sichergestellt wird, dass die in Artikel C Buchstaben a) und b) genannten Informationen unter Berücksichtigung der Markt- und Technologieentwicklungen auf dem neuesten Stand gehalten werden und dass die Zusammenfassung der für die Ausbildung verwendeten Inhalte angemessen detailliert ist;
b) die Ermittlung der Art und des Charakters der Systemrisiken auf Unionsebene, gegebenenfalls einschließlich ihrer Quellen;
c) die Maßnahmen, Verfahren und Modalitäten für die Bewertung und das Management der Systemrisiken auf Unionsebene, einschließlich ihrer Dokumentation. Die Bewertung und das Management der Systemrisiken auf Unionsebene stehen in einem angemessenen Verhältnis zu den Risiken, berücksichtigen ihre Schwere und Wahrscheinlichkeit und berücksichtigen die besonderen Herausforderungen bei der Bewältigung dieser Risiken im Hinblick auf die möglichen Möglichkeiten, wie solche Risiken entlang der KI-Wertschöpfungskette entstehen und sich materialisieren können.
3. Das KI-Amt kann die Anbieter von allgemeinen KI-Modellen sowie zuständigen nationalen Behörden, sich an der Ausarbeitung von Verhaltenskodizes zu beteiligen. Organisationen der Zivilgesellschaft, Industrie, Wissenschaft und andere einschlägige Interessenträger wie nachgelagerte Anbieter und unabhängige Sachverständige können den Prozess unterstützen.
4. Das KI-Büro und das Gremium bemühen sich sicherzustellen, dass in den Verhaltenskodizes ihre spezifischen Ziele klar festgelegt sind und Verpflichtungen oder Maßnahmen, gegebenenfalls einschließlich zentraler Leistungsindikatoren, enthalten sind, um die Erreichung dieser Ziele sicherzustellen und den Bedürfnissen und Interessen aller interessierten Parteien, einschließlich der betroffenen Personen, gebührend Rechnung zu tragen — auf Unionsebene.
5. Das KI-Büro kann alle Anbieter von universellen KI-Modellen zur Teilnahme an den Verhaltenskodizes einladen. Für Anbieter von universellen KI-Modellen, die keine Systemrisiken bergen, sollte diese Beteiligung auf die in Absatz 2 Buchstabe a dieses Artikels vorgesehenen Verpflichtungen beschränkt werden, es sei denn, sie erklären ausdrücklich ihr Interesse, dem vollständigen Kodex beizutreten.
6. Das KI-Büro soll sicherstellen, dass die Teilnehmer an den Verhaltenskodizes dem KI-Büro regelmäßig über die Umsetzung der Verpflichtungen und der ergriffenen Maßnahmen sowie über deren Ergebnisse Bericht erstatten, gegebenenfalls auch in Bezug auf die zentralen Leistungsindikatoren. Bei den zentralen Leistungsindikatoren und Berichtsverpflichtungen werden Unterschiede in Größe und Kapazität zwischen den verschiedenen Teilnehmern berücksichtigt.
7. Das KI-Büro und der KI-Beirat überwachen und bewerten regelmäßig die Verwirklichung der Ziele der Verhaltenskodizes durch die Teilnehmer und ihren Beitrag zur ordnungsgemäßen Anwendung dieser Verordnung. 2. Das KI-Büro und das Gremium bewerten, ob die Verhaltenskodizes die in den Artikeln C und D vorgesehenen Verpflichtungen, einschließlich der in Absatz 2 dieses Artikels aufgeführten Fragen, abdecken, und überwachen und bewerten regelmäßig die Erreichung ihrer Ziele. Sie veröffentlichen ihre Bewertung der Angemessenheit der Verhaltenskodizes. Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, den Verhaltenskodex zu genehmigen und ihm eine allgemeine Gültigkeit in der Union zu verleihen. Diese Durchführungsrechtsakte werden nach dem Prüfverfahren des Artikels 74 Absatz 2 erlassen.
8. Gegebenenfalls fördert und erleichtert das Büro für KI auch die Überprüfung und Anpassung der Verhaltenskodizes, insbesondere im Lichte neu entstehender Standards. Das KI-Büro soll bei der Bewertung der verfügbaren Standards behilflich sein.
9. Kann bis zum Zeitpunkt des Inkrafttretens der Verordnung ein Verhaltenskodex nicht fertiggestellt werden oder ist das KI-Büro der Auffassung, dass er gemäß Absatz 6 nicht angemessen ist, so kann die Kommission im Wege von Durchführungsrechtsakten gemeinsame Regeln für die Umsetzung der in den Artikeln C [Artikel 52c] und D [Artikel 52d] vorgesehenen Verpflichtungen festlegen — einschließlich der in Absatz 2 genannten Fragen.
TITEL V: MASSNAHMEN ZUR INNOVATIONSFÖRDERUNG
Artikel 53 KI-Reallabore
1. Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden mindestens ein KI-Reallabor auf nationaler Ebene einrichten, das 24 Monate nach Inkrafttreten einsatzbereit ist. Das KI-Reallabor kann auch gemeinsam mit einem oder mehreren anderen Mitgliedstaaten eingerichtet werden zuständigen Behörden der Mitgliedstaaten. Die Kommission kann technische Unterstützung, Beratung und Instrumente für die Einrichtung und den Betrieb von KI-Reallaboren bereitstellen.
Die im vorstehenden Absatz festgelegte Verpflichtung kann auch durch die Teilnahme an einem bestehenden KI-Reallabor erfüllt werden, sofern diese Beteiligung ein gleichwertiges Maß an nationaler Abdeckung für die teilnehmenden Mitgliedstaaten bietet.
1a) Darüber hinaus können zusätzliche KI-Reallabore auf regionaler oder lokaler Ebene oder gemeinsam mit den zuständigen Behörden anderer Mitgliedstaaten eingerichtet werden.
1b) Der Europäische Datenschutzbeauftragte kann auch ein KI-Reallabor für die Organe, Einrichtungen und sonstigen Stellen der EU einrichten und die Rollen und Aufgaben der zuständigen nationalen Behörden gemäß diesem Kapitel wahrnehmen.
1c) Die Mitgliedstaaten stellen sicher, dass die in den Absätzen 1 und 1a genannten zuständigen Behörden ausreichende Ressourcen bereitstellen, um diesem Artikel wirksam und rechtzeitig nachzukommen. Gegebenenfalls arbeiten die zuständigen nationalen Behörden mit anderen einschlägigen Behörden zusammen und können die Einbeziehung anderer Akteure innerhalb des KI-Ökosystems zulassen. Dieser Artikel berührt nicht andere Reallabore, die nach nationalem Recht oder Unionsrecht eingerichtet wurden. Die Mitgliedstaaten sorgen für ein angemessenes Maß an Zusammenarbeit zwischen den Behörden, die diese anderen KI-Reallabore beaufsichtigen, und den zuständigen nationalen Behörden.
1d) KI-Reallabore, die gemäß Artikel 53 Absatz 1 dieser Verordnung eingerichtet wurden, bieten im Einklang mit den Artikeln 53 und 53a ein kontrolliertes Umfeld, das Innovationen fördert und die Entwicklung, Ausbildung, Erprobung und Validierung innovativer KI-Systeme für einen begrenzten Zeitraum erleichtert, bevor sie gemäß einem zwischen den potenziellen Anbietern und der zuständigen Behörde vereinbarten speziellen Sandboxplan in Verkehr gebracht oder in Betrieb genommen werden. Solche regulatorischen KI-Reallabore können Tests unter realen Bedingungen umfassen, die in dem KI-Reallabor überwacht werden.
1e) Die zuständigen Behörden stellen im Rahmen des KI-Reallabors gegebenenfalls Leitlinien, Aufsicht und Unterstützung bereit, um Risiken zu ermitteln, insbesondere in Bezug auf die Grundrechte, den Gesundheitsschutz und die Sicherheit, Tests, Minderungsmaßnahmen und deren Wirksamkeit in Bezug auf die Verpflichtungen und Anforderungen dieser Verordnung und gegebenenfalls anderer Rechtsvorschriften der Union und der Mitgliedstaaten, die im Rahmen des KI-Reallabors beaufsichtigt werden.
1f) Die zuständigen Behörden geben Anbietern und potenziellen Anbietern Leitlinien zu den regulatorischen Erwartungen und zur Erfüllung der in dieser Verordnung festgelegten Anforderungen und Pflichten an die Hand.
Auf Verlangen des Anbieters oder potenziellen Anbieters des KI-Systems legt die zuständige Behörde einen schriftlichen Nachweis über die erfolgreich im KI-Reallabor durchgeführten Tätigkeiten vor. Die zuständige Behörde legt auch einen Abschlussbericht vor, in dem die im KI-Reallabor durchgeführten Tätigkeiten und die damit verbundenen Ergebnisse und Lernergebnisse im Einzelnen aufgeführt sind. Die Anbieter können diese Unterlagen verwenden, um die Einhaltung dieser Verordnung im Rahmen des Konformitätsbewertungsverfahrens oder einschlägiger Marktüberwachungstätigkeiten nachzuweisen. In diesem Zusammenhang werden die Ausgangsberichte und die schriftlichen Nachweise der zuständigen nationalen Behörde von den Marktüberwachungsbehörden und den notifizierten Stellen positiv berücksichtigt, um die Konformitätsbewertungsverfahren in angemessenem Umfang zu beschleunigen.
1fa) Vorbehaltlich der Vertraulichkeitsbestimmungen des Artikels 70 und mit Zustimmung des KI-Reallabor-Anbieters/potenziellen Anbieters sind die Europäische Kommission und der Ausschuss ermächtigt, auf die Abschlussberichte zuzugreifen, und berücksichtigen diese gegebenenfalls bei der Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung. Stimmen sowohl der Anbieter als auch der potenzielle Anbieter und die zuständige nationale Behörde dem ausdrücklich zu, kann der Ausstiegsbericht über die in diesem Artikel genannte zentrale Informationsplattform öffentlich zugänglich gemacht werden.
1g) Die Einrichtung von KI-Reallaboren soll zu folgenden Zielen beitragen:
a) Verbesserung der Rechtssicherheit, um die Einhaltung dieser Verordnung oder gegebenenfalls anderer anwendbarer Rechtsvorschriften der Union und der Mitgliedstaaten zu erreichen;
b) Unterstützung des Austauschs bewährter Verfahren durch die Zusammenarbeit mit den Behörden, die an der KI-Realabor beteiligt sind;
c) Förderung von Innovation und Wettbewerbsfähigkeit und Erleichterung der Entwicklung eines KI-Ökosystems;
d) Beitrag zum evidenzbasierten regulatorischen Lernen;
e) Erleichterung und Beschleunigung des Zugangs zum Unionsmarkt für KI-Systeme, insbesondere wenn sie von kleinen und mittleren Unternehmen (KMU), einschließlich Start-up-Unternehmen, bereitgestellt werden.
2. Die zuständigen nationalen Behörden stellen sicher, dass die innovativen KI-Systeme die Verarbeitung personenbezogener Daten beinhalten oder anderweitig in den Aufsichtsbereich anderer nationaler Behörden oder zuständiger Behörden fallen, die den Zugang zu Daten gewähren oder unterstützen, der nationalen Datenschutzbehörden und dieser anderen nationalen Behörden, die in den Betrieb des KI-Reallabors einbezogen sind und im Rahmen ihrer jeweiligen Aufgaben und Befugnisse an der Überwachung dieser Aspekte beteiligt sind, soweit zutreffend.
3. Die KI-Reallabore berühren nicht die Aufsichts- und Korrekturbefugnisse der zuständigen Behörden, die die KI-Reallabore beaufsichtigen, auch auf regionaler oder lokaler Ebene. Erhebliche Risiken für Gesundheit, Sicherheit und Grundrechte, die bei der Entwicklung und Erprobung solcher KI-Systeme festgestellt werden, müssen zu einer angemessenen Risikominderung führen. Die zuständigen nationalen Behörden sind befugt, das Testverfahren oder die Teilnahme am KI-Reallabor vorübergehend oder dauerhaft auszusetzen, wenn keine wirksame Abhilfemaßnahme möglich ist, und das KI-Büro über eine solche Entscheidung zu unterrichten. Die zuständigen nationalen Behörden üben ihre Aufsichtsbefugnisse im Rahmen der einschlägigen Rechtsvorschriften aus und nutzen ihren Ermessensspielraum bei der Umsetzung von Rechtsvorschriften für ein bestimmtes KI-Sandbox-Projekt mit dem Ziel, Innovationen im Bereich KI in der Union zu unterstützen.
4. Anbieter und potenzielle Anbieter in der KI-Reallabore haften weiterhin anwendbaren Rechtsvorschriften der Union und der Mitgliedstaaten für Schäden, die Dritten durch die Experimente im Reallabor entstehen. Unter der Voraussetzung, dass der/die potenzielle Anbieter den spezifischen Plan und die Bedingungen für seine Teilnahme einhalten und die Leitlinien der zuständigen nationalen Behörde nach Treu und Glauben befolgen, werden von den Behörden jedoch keine Verwaltungsbußen wegen Verstößen gegen diese Verordnung verhängt. Soweit andere zuständige Behörden, die für andere Unionsbehörden zuständig sind,
4b. Die KI-Reallabore werden so konzipiert und umgesetzt, dass sie gegebenenfalls die grenzüberschreitende Zusammenarbeit zwischen den zuständigen nationalen Behörden erleichtern.
5. Die zuständigen nationalen Behörden koordinieren ihre Tätigkeiten und arbeiten im Rahmen des Ausschusses zusammen.
5a. Die zuständigen nationalen Behörden unterrichten das KI-Büro und den Ausschuss über die Einrichtung eines KI-Reallabors und können um Unterstützung und Beratung bitten. Eine Liste geplanter und bestehender KI-Reallabore wird vom KI-Büro öffentlich zugänglich gemacht und auf dem neuesten Stand gehalten, um mehr Interaktion in den Reallaboren und die grenzüberschreitende Zusammenarbeit zu fördern.
5b. Die zuständigen nationalen Behörden legen dem KI-Büro und dem Ausschuss Jahresberichte vor, beginnend ein Jahr nach der Einrichtung des KI-Reallabors und dann jedes Jahr bis zu dessen Beendigung sowie einen Abschlussbericht. Diese Berichte enthalten Informationen über die Fortschritte und Ergebnisse der Umsetzung dieser Sandkästen, einschließlich bewährter Verfahren, Sicherheitsvorfälle, gewonnener Erkenntnisse und Empfehlungen zu ihrer Einrichtung und gegebenenfalls zur Anwendung und möglichen Überarbeitung dieser Verordnung, einschließlich ihrer delegierten Rechtsakte und Durchführungsrechtsakte, und anderer Rechtsvorschriften der Union, die innerhalb des Sandboxs beaufsichtigt werden. Diese Jahresberichte oder Zusammenfassungen davon werden der Öffentlichkeit online zur Verfügung gestellt. Die Kommission berücksichtigen gegebenenfalls die Jahresberichte bei der Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung.
6. Die Kommission entwickelt eine einzige und dedizierte Schnittstelle, die alle relevanten Informationen im Zusammenhang mit KI-Reallaboren enthält, damit Interessenträger mit Reallaboren interagieren und Anfragen bei den zuständigen Behörden stellen sowie unverbindliche Leitlinien zur Konformität innovativer Produkte, Dienstleistungen und Geschäftsmodelle, in die KI-Technologien eingebettet sind, gemäß Artikel 55 Absatz 1 Buchstabe c einholen können. Die Kommission stimmt sich gegebenenfalls proaktiv mit den zuständigen nationalen Behörden ab.
Artikel 53a Modalitäten und Funktionsweise von Reallaboren für KI
Um eine Fragmentierung in der Union zu vermeiden, erlässt die Kommission einen Durchführungsrechtsakt, in dem die Modalitäten für die Einrichtung, Entwicklung, Durchführung, den Betrieb und die Beaufsichtigung der KI-Reallabore festgelegt sind. Der Durchführungsrechtsakt enthält gemeinsame Grundsätze zu folgenden Fragen:
a) Förderfähigkeit und Auswahl für die Teilnahme an der KI-Realabor;
b) Verfahren für die Beantragung, Teilnahme, Überwachung, Ausstieg aus und Beendigung der KI-Realabor, einschließlich des Sandbox-Plans und des Exit-Berichts;
c) die für die Teilnehmer geltenden Teilnahmebedingungen.
Mit den Durchführungsrechtsakten wird sichergestellt, dass
a) Reallabore stehen jedem potenziellen Anbieter eines KI-Systems offen, der die Förder- und Auswahlkriterien erfüllt. Die Kriterien für den Zugang zum Regulatory Sandbox sind transparent und fair, und die zuständigen Behörden informieren die Antragsteller innerhalb von 3 Monaten nach Antragstellung über ihre Entscheidung.
b) Reallabore ermöglichen einen breiten und gleichberechtigten Zugang und halten mit der Nachfrage nach Beteiligung Schritt; Potenzielle Anbieter können auch Anträge in Partnerschaften mit Nutzern und anderen relevanten Dritten einreichen;
c) Die Modalitäten und Bedingungen für Reallabore sollen so weit wie möglich die Flexibilität der zuständigen nationalen Behörden bei der Einrichtung und dem Betrieb ihrer KI-Reallabore;
d) der Zugang zu den KI-Reallaboren ist für KMU und Start-up-Unternehmen kostenlos, unbeschadet außergewöhnlicher Kosten, die die zuständigen nationalen Behörden auf faire und verhältnismäßige Weise zurückfordern können;
e) sie erleichtern potenziellen Anbietern anhand der Lernergebnisse der KI-Reallabore die Erfüllung der Konformitätsbewertungspflichten dieser Verordnung oder die freiwillige Anwendung der in Artikel 69 genannten Verhaltenskodizes;
f) KI-Reallabore erleichtern die Einbeziehung anderer einschlägiger Akteure innerhalb des KI-Ökosystems, wie z. B. notifizierte Stellen und Normungsorganisationen (KMU, Start-up-Unternehmen, Unternehmen, Innovatoren, Test- und Versuchseinrichtungen, Forschungs- und Versuchslabore und digitale Innovationszentren, Exzellenzzentren, einzelne Forscher), um die Zusammenarbeit mit dem öffentlichen und dem privaten Sektor zu ermöglichen und zu erleichtern;
g) die Verfahren, Verfahren und administrativen Anforderungen für die Bewerbung, Auswahl, Teilnahme und das Verlassen des Sandboxs sind einfach, leicht verständlich und klar kommuniziert, um die Beteiligung von KMU und Start-up-Unternehmen mit begrenzten rechtlichen und administrativen Kapazitäten zu erleichtern, und sind in der gesamten Union gestrafft, um eine Fragmentierung zu vermeiden, und die Teilnahme an einem von einem Mitgliedstaat eingerichteten regulatorischen Sandbox oder vom EDSB anerkannt werden und in der gesamten Union die gleichen Rechtswirkungen haben;
h) Die Teilnahme am KI-Reallabor ist auf einen Zeitraum beschränkt, der der Komplexität und dem Umfang des Projekts angemessen ist. Diese Frist kann von der zuständigen nationalen Behörde verlängert werden;
i) Die KI-Reallabore erleichtern die Entwicklung von Instrumenten und Infrastrukturen für die Erprobung, das Benchmarking, die Bewertung und die Erläuterung von Dimensionen von KI-Systemen, die für das regulatorische Lernen relevant sind, wie Genauigkeit, Robustheit und Cybersicherheit sowie Maßnahmen zur Minderung von Risiken für die Grundrechte, die Umwelt und die Gesellschaft insgesamt.
3. Potenzielle Anbieter in den KI-Reallabore, insbesondere KMU und Start-up-Unternehmen, werden gegebenenfalls auf Dienste vor der Einführung wie Leitlinien zur Umsetzung dieser Verordnung, auf andere wertschöpfende Dienste wie Hilfe bei Normungsdokumenten und Zertifizierungen, Prüf- und Versuchseinrichtungen, digitale Hubs, Exzellenzzentren und [EU-Benchmarking-Kapazitäten] verwiesen.
4. Wenn die zuständigen nationalen Behörden erwägen, Tests unter realen Bedingungen zuzulassen, die im Rahmen einer gemäß diesem Artikel eingerichteten KI-Reallabore überwacht werden, vereinbaren sie mit den Teilnehmern ausdrücklich die Bedingungen für diese Tests und insbesondere die geeigneten Garantien zum Schutz der Grundrechte, der Gesundheit und der Sicherheit. Gegebenenfalls arbeiten sie mit anderen zuständigen nationalen Behörden zusammen, um einheitliche Verfahren in der gesamten Union zu gewährleisten.
Artikel 54 Weiterverarbeitung personenbezogener Daten zur Entwicklung bestimmter KI-Systeme im öffentlichen Interesse im KI-Reallabor
1. Im regulatorischen KI-Reallabor dürfen personenbezogene Daten, die rechtmäßig für andere Zwecke erhoben wurden, ausschließlich für die Zwecke der Entwicklung, des Trainings und der Erprobung bestimmter KI-Systeme in dem KI-Reallabor verarbeitet werden, wenn alle folgenden Bedingungen erfüllt sind:
a) KI-Systeme werden von einer Behörde oder einer anderen natürlichen oder juristischen Person des öffentlichen Rechts oder des Privatrechts zur Wahrung eines wesentlichen öffentlichen Interesses und in einem oder mehreren der folgenden Bereiche entwickelt:
???
ii) öffentliche Sicherheit und öffentliche Gesundheit, einschließlich der Erkennung, Diagnose, Verhütung, Kontrolle und Behandlung von Krankheiten sowie Verbesserung der Gesundheitssysteme;
iii) ein hohes Maß an Schutz und Verbesserung der Umweltqualität, Schutz der biologischen Vielfalt, Umweltverschmutzung sowie ökologischer Wandel, Eindämmung des Klimawandels und Anpassung an den Klimawandel;
iiia) Nachhaltigkeit im Energiebereich
iiib) Sicherheit und Resilienz von Verkehrssystemen und Mobilität, kritischen Infrastrukturen und Netzen;
iiic) Effizienz und Qualität der öffentlichen Verwaltung und der öffentlichen Dienstleistungen;
b) die verarbeiteten Daten sind erforderlich, um eine oder mehrere der in Titel III Kapitel 2 genannten Anforderungen zu erfüllen, wenn diese Anforderungen durch die Verarbeitung anonymisierter, synthetischer oder anderer nicht personenbezogener Daten nicht wirksam erfüllt werden können;
c) es gibt wirksame Überwachungsmechanismen, um festzustellen, ob während der Sandbox-Experimente hohe Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Artikel 35 der Verordnung (EU) 2016/679 und Artikel 39 der Verordnung (EU) 2018/1725 auftreten können, sowie einen Reaktionsmechanismus, um diese Risiken unverzüglich zu mindern, und erforderlichenfalls die Verarbeitung einzustellen;
d) alle personenbezogenen Daten, die im Rahmen der Sandbox verarbeitet werden sollen, befinden sich in einer funktional getrennten, isolierten und geschützten Datenverarbeitungsumgebung unter der Kontrolle des potenziellen Anbieters, und nur befugte Personen haben Zugang zu diesen Daten;
(e) Anbieter dürfen die ursprünglich erhobenen Daten nur in Übereinstimmung mit dem EU-Datenschutzrecht weitergeben. Personenbezogene Daten, die in der Sandbox erstellt wurden, können nicht außerhalb der Sandbox geteilt werden
f) die Verarbeitung personenbezogener Daten im Rahmen des KI-Reallabors führt nicht zu Maßnahmen oder Entscheidungen, die die betroffenen Personen betreffen, und beeinträchtigt auch nicht die Anwendung ihrer im Unionsrecht über den Schutz personenbezogener Daten verankerten Rechte;
(g) die im Rahmen des KI-Reallabors verarbeiteten personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen geschützt und gelöscht werden, sobald die Teilnahme an der Sandbox beendet ist oder die personenbezogenen Daten das Ende ihrer Aufbewahrungsfrist erreicht haben;
h) die Protokolle über die Verarbeitung personenbezogener Daten im Rahmen des KI-Reallabors werden für die Dauer der Teilnahme an der Sandbox aufbewahrt, sofern das Unionsrecht oder das nationale Recht nichts anderes vorsehen;
i) eine vollständige und detaillierte Beschreibung des Verfahrens und der Gründe für das Training, die Erprobung und die Validierung des KI-Systems wird zusammen mit den Prüfergebnissen als Teil der technischen Dokumentation in Anhang IV aufbewahrt;
j) eine kurze Zusammenfassung des im KI-Reallabor entwickelten KI-Projekts, seiner Ziele und erwarteten Ergebnisse, die auf der Website der zuständigen Behörden veröffentlicht werden. Diese Verpflichtung gilt nicht für sensible operative Daten im Zusammenhang mit den Tätigkeiten der Strafverfolgungs-, Grenzkontroll-, Einwanderungs- oder Asylbehörden.
1a) 2. Zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, erfolgt die Verarbeitung personenbezogener Daten in KI-Reallaboren unter der Kontrolle und Verantwortung der Strafverfolgungsbehörden auf der Grundlage eines bestimmten Mitgliedstaats- oder Unionsrechts und unterliegt denselben kumulativen Bedingungen gemäß Absatz 1.
1. Absatz 1 gilt unbeschadet der Rechtsvorschriften der Union oder der Mitgliedstaaten, die die Verarbeitung zu anderen als den in diesen Rechtsvorschriften ausdrücklich genannten Zwecken ausschließen, sowie der Rechtsvorschriften der Union oder der Mitgliedstaaten, die die Grundlage für die Verarbeitung personenbezogener Daten festlegen, die für die Entwicklung, Erprobung und Schulung innovativer KI-Systeme erforderlich sind, oder anderer Rechtsgrundlagen. im Einklang mit den Rechtsvorschriften der Union über den Schutz personenbezogener Daten.
Artikel 54a Erprobung von Hochrisiko-KI-Systemen unter realen Bedingungen außerhalb von KI-Reallaboren
1. Die Erprobung von KI-Systemen unter realen Bedingungen außerhalb von KI-Reallaboren kann von Anbietern oder potenziellen Anbietern von KI-Hochrisikosystemen, die in Anhang III aufgeführt sind, im Einklang mit den Bestimmungen dieses Artikels und dem in diesem Artikel genannten Plan für die Erprobung im praktischen Fahrbetrieb unbeschadet der Verbote nach Artikel 5 durchgeführt werden.
Die Einzelheiten des Plans für die Erprobung im praktischen Fahrbetrieb werden in Durchführungsrechtsakten festgelegt, die von der Kommission nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen werden.
Diese Bestimmung gilt unbeschadet der Rechtsvorschriften der Union oder der Mitgliedstaaten über die Erprobung von Hochrisiko-KI-Systemen im Zusammenhang mit Produkten, die unter die in Anhang II aufgeführten Rechtsvorschriften fallen, unter reale Bedingungen.
2. Anbieter oder potenzielle Anbieter können KI-Systeme mit hohem Risiko gemäß Anhang III jederzeit unter realen Bedingungen testen, bevor das KI-System allein oder in Partnerschaft mit einem oder mehreren potenziellen Betreibern in Verkehr gebracht oder in Betrieb genommen wird.
3. Die Erprobung von Hochrisiko-KI-Systemen unter realen Bedingungen gemäß diesem Artikel erfolgt unbeschadet einer ethischen Überprüfung, die nach nationalem Recht oder Unionsrecht erforderlich sein kann.
4. Anbieter oder potenzielle Anbieter dürfen die Prüfungen nur dann unter realen Bedingungen durchführen, wenn alle folgenden Bedingungen erfüllt sind:
a) Der Anbieter oder potenzielle Anbieter hat einen Plan für die Prüfung unter realen Bedingungen erstellt und ihn der Marktüberwachungsbehörde des Mitgliedstaats/der Mitgliedstaaten vorgelegt, in dem/denen die Tests unter realen Bedingungen durchgeführt werden sollen;
b) die Marktüberwachungsbehörde des Mitgliedstaats/der Mitgliedstaaten, in dem/denen die Prüfung unter realen Bedingungen durchgeführt werden soll, hat die Prüfung unter realen Bedingungen und den Prüfplan unter realen Bedingungen genehmigt. Hat die Marktüberwachungsbehörde in diesem Mitgliedstaat innerhalb von 30 Tagen keine Antwort gegeben, so gelten die Tests unter realen Bedingungen und der Prüfplan für den realen Fahrbetrieb als genehmigt. In Fällen, in denen das nationale Recht keine stillschweigende Genehmigung vorsieht, ist die Prüfung unter realen Bedingungen genehmigungspflichtig;
c) der Anbieter oder potenzielle Anbieter mit Ausnahme der in Anhang III Nummern 1, 6 und 7 genannten Hochrisiko-KI-Systeme in den Bereichen Strafverfolgung, Migration, Asyl und Grenzkontrollmanagement sowie der in Anhang III Nummer 2 genannten Hochrisiko-KI-Systeme hat die Erprobung unter realen Bedingungen im nicht-öffentlichen Teil der EU-Datenbank gemäß Artikel 60 Absatz 3 mit einer unionsweit eindeutigen Kennnummer und die in Anhang VIIIa genannten Angaben.
d) der Anbieter oder potenzielle Anbieter, der die Tests unter realen Bedingungen durchführt, ist in der Union niedergelassen oder hat einen gesetzlichen Vertreter benannt, der in der Union niedergelassen ist;
e) Daten, die für die Zwecke der Erprobung unter realen Bedingungen erhoben und verarbeitet werden, dürfen nur dann an Drittländer außerhalb der Union übermittelt werden, sofern angemessene und anwendbare Garantien nach dem Unionsrecht getroffen werden.
f) die Erprobung unter realen Bedingungen dauert nicht länger als zur Erreichung ihrer Ziele erforderlich und in jedem Fall nicht länger als 6 Monate, die um einen zusätzlichen Betrag von 6 Monaten verlängert werden können, sofern der Anbieter dies der Marktüberwachungsbehörde zuvor mitgeteilt und eine Erläuterung der Notwendigkeit einer solchen Fristverlängerung beigefügt ist;
g) Personen, die aufgrund ihres Alters oder ihrer körperlichen oder geistigen Behinderung schutzbedürftigen Gruppen angehören, angemessen geschützt werden;
h) wenn ein Anbieter oder potenzieller Anbieter die Erprobung unter realen Bedingungen in Zusammenarbeit mit einem oder mehreren potenziellen Betreibern organisiert, wurden diese über alle Aspekte der Erprobung unterrichtet, die für ihre Entscheidung zur Teilnahme relevant sind, und erhielten die einschlägigen Anweisungen zur Verwendung des in Artikel 13 genannten KI-Systems; Der Anbieter oder potenzielle Anbieter und der/die Betreiber(s) schließen eine Vereinbarung, in der ihre Aufgaben und Zuständigkeiten im Hinblick auf die Gewährleistung der Einhaltung der Bestimmungen für die Prüfung unter realen Bedingungen gemäß dieser Verordnung und anderen geltenden Rechtsvorschriften der Union und der Mitgliedstaaten;
i) die Prüfungsteilnehmer unter realen Bedingungen eine Einwilligung nach Aufklärung gemäß Artikel 54b erteilt haben, oder im Falle von Strafverfolgungsbehörden, wenn die Einholung einer Einwilligung nach Aufklärung die Prüfung des KI-Systems verhindern würde, dürfen die Prüfung selbst und das Ergebnis der Prüfung unter realen Bedingungen keine negativen Auswirkungen auf den Prüfungsteilnehmer haben, und seine personenbezogenen Daten werden nach der Prüfung gelöscht durchgeführt wird.
j) die Erprobung unter realen Bedingungen wird von dem Anbieter oder potenziellen Anbieter und dem/den Einsatzbetreiber(n) wirksam beaufsichtigt, und zwar mit Personen, die auf dem betreffenden Gebiet angemessen qualifiziert sind und über die erforderlichen Kapazitäten, Schulungen und Befugnisse verfügen, um ihre Aufgaben zu erfüllen;
k) die Vorhersagen, Empfehlungen oder Entscheidungen des KI-Systems können effektiv rückgängig gemacht und außer Acht gelassen werden.
5. Jeder Prüfungsteilnehmer unter realen Bedingungen oder gegebenenfalls sein gesetzlicher Vertreter kann sich jederzeit ohne daraus resultierende Nachteile und ohne Angabe von Gründen von der Prüfung zurückziehen, indem er seine Einwilligung nach Aufklärung widerruft und die sofortige und dauerhafte Löschung seiner personenbezogenen Daten verlangt.
Der Widerruf der Einwilligung nach Aufklärung hat keine Auswirkungen auf die bereits durchgeführten Tätigkeiten. 5a. Gemäß Artikel 63a übertragen die Mitgliedstaaten ihren Marktüberwachungsbehörden die Befugnis, von Anbietern und potenziellen Anbietern Informationen zu verlangen, unangekündigte Fern- oder Vor-Ort-Prüfungen durchzuführen und die Durchführung der Durchführung der Tests unter realen Bedingungen und der damit verbundenen Produkte zu überprüfen. Die Marktüberwachungsbehörden nutzen diese Befugnisse, um eine sichere Durchführung dieser Tests zu gewährleisten.
6. Jedes schwerwiegende Vorkommnis, das bei der Prüfung unter realen Bedingungen festgestellt wird, der nationalen Marktüberwachungsbehörde gemäß Artikel 62 dieser Verordnung gemeldet werden. Der Anbieter oder potenzielle Anbieter ergreift unverzügliche Abhilfemaßnahmen oder, falls dies nicht möglich ist, setzt die Prüfung unter realen Bedingungen aus, bis eine solche Risikominderung stattfindet, oder beendet sie auf andere Weise. Der Anbieter oder potenzielle Anbieter legt ein Verfahren für den unverzüglichen Rückruf des KI-Systems nach Beendigung der Prüfung unter realen Bedingungen fest.
7. Die Anbieter oder potenziellen Anbieter unterrichten die nationale Marktüberwachungsbehörde des Mitgliedstaats/der Mitgliedstaaten, in dem/denen die Prüfung unter realen Bedingungen durchgeführt werden soll, über die Aussetzung oder Beendigung der Prüfung unter realen Bedingungen und die endgültigen Ergebnisse.
8. Der Anbieter und der potenzielle Anbieter haften nach den geltenden Haftungsvorschriften der Union und der Mitgliedstaaten für alle Schäden, die während ihrer Teilnahme an der Prüfung unter realen Bedingungen verursacht werden.
Artikel 54b Einwilligung nach Aufklärung zur Teilnahme an Tests unter realen Bedingungen außerhalb von KI-Reallaboren
1. Für die Zwecke von Versuchen unter realen Bedingungen gemäß Artikel 54a wird die Einwilligung nach Aufklärung vom Prüfungsteilnehmer freiwillig erteilt, bevor er an solchen Versuchen teilnimmt und nachdem er ordnungsgemäß mit prägnanten, klaren, relevanten und verständlichen Informationen über Folgendes unterrichtet wurde:
i) die Art und die Ziele der Prüfung unter realen Bedingungen und die möglichen Unannehmlichkeiten, die mit ihrer Teilnahme verbunden sein können;
ii) die Bedingungen, unter denen die Versuche unter realen Bedingungen durchzuführen sind, einschließlich der voraussichtlichen Dauer der Teilnahme des Prüfungsteilnehmers;
iii) die Rechte und Garantien des Prüfungsteilnehmers in Bezug auf die Teilnahme, insbesondere sein Recht, die Teilnahme an der Prüfung unter realen Bedingungen zu verweigern, und das Recht, sich jederzeit von der Prüfung unter realen Bedingungen zurückzuziehen, ohne dass daraus Nachteile entstehen und ohne Angabe von Gründen angegeben werden zu müssen;
iv) die Modalitäten für die Beantragung der Aufhebung oder Nichtbeachtung der Vorhersagen, Empfehlungen oder Entscheidungen des KI-Systems;
v) die unionsweit eindeutige einheitliche Kennnummer der Prüfung unter realen Bedingungen gemäß Artikel 54a Absatz 4c und die Kontaktdaten des Anbieters oder seines gesetzlichen Vertreters, bei dem weitere Informationen eingeholt werden können.
2 Die Einwilligung nach Aufklärung ist zu datieren und zu dokumentieren und der betroffenen Person oder ihrem gesetzlichen Vertreter in Kopie auszuhändigen.
Artikel 55 Maßnahmen für Kleinanbieter und Kleinnutzer
1. Die Mitgliedstaaten ergreifen folgende Maßnahmen:
a) KMU, einschließlich Start-up-Unternehmen, mit Sitz oder Zweigniederlassung in der Union, vorrangigen Zugang zu den KI-Reallaboren zu gewähren, sofern sie die Förderbedingungen und Auswahlkriterien erfüllen. Der vorrangige Zugang schließt andere KMU, einschließlich anderer als der in Unterabsatz 1 genannten Start-up-Unternehmen, nicht vom Zugang zur KI-Reallabore aus, sofern sie die Förderbedingungen und Auswahlkriterien erfüllen;
b) Organisation spezifischer Sensibilisierungs- und Schulungsmaßnahmen für die Anwendung dieser Verordnung, die auf die Bedürfnisse von KMU, einschließlich Start-up-Unternehmen, Nutzern und gegebenenfalls lokalen Behörden, zugeschnitten sind;
c) Nutzung bestehender spezieller Kanäle und gegebenenfalls Einrichtung neuer Kanäle für die Kommunikation mit KMU, einschließlich Start-up-Unternehmen, Nutzern, anderen Innovatoren und gegebenenfalls lokalen Behörden, um Beratung zu leisten und Fragen zur Durchführung dieser Verordnung zu beantworten, auch in Bezug auf die Teilnahme an KI-Reallaboren;
ca) Erleichterung der Beteiligung von KMU und anderen einschlägigen Interessenträgern am Entwicklungsprozess der Normung.
2. Bei der Festsetzung der Gebühren für die Konformitätsbewertung gemäß Artikel 43 werden die besonderen Interessen und Bedürfnisse der KMU-Anbieter, einschließlich Start-up-Unternehmen, berücksichtigt, wobei diese Gebühren proportional zu ihrer Größe, Marktgröße und anderen relevanten Indikatoren gesenkt werden.
2a) Das KI-Büro ergreift folgende Maßnahmen:
a) auf Verlangen des KI-Ausschusses standardisierte Muster für die unter diese Verordnung fallenden Bereiche zur Verfügung zu stellen;
b) Entwicklung und Pflege einer zentralen Informationsplattform, die allen Marktteilnehmern in der gesamten Union einfach zugängliche Informationen im Zusammenhang mit dieser Verordnung zur Verfügung stellt;
c) Durchführung geeigneter Kommunikationskampagnen zur Sensibilisierung für die sich aus dieser Verordnung ergebenden Verpflichtungen;
d) Bewertung und Förderung der Konvergenz bewährter Verfahren bei der Vergabe öffentlicher Aufträge in Bezug auf KI-Systeme.
Artikel 55a Ausnahmeregelungen für bestimmte Marktteilnehmer
2b) Kleinstunternehmen im Sinne von Artikel 2 Absatz 3 des Anhangs der Kommission
Empfehlung 2003/361/EG betreffend die Definition von Kleinstunternehmen sowie kleinen und mittleren Unternehmen, sofern diese Unternehmen keine Partnerunternehmen oder verbundenen Unternehmen im Sinne von Artikel 3 des genannten Anhangs haben, bestimmte Elemente des Qualitätsmanagementsystems gemäß Artikel 17 dieser Verordnung in vereinfachter Weise erfüllen können. Zu diesem Zweck erarbeitet die Kommission Leitlinien zu den Elementen des Qualitätsmanagementsystems, die unter Berücksichtigung der Bedürfnisse von Kleinstunternehmen vereinfacht erfüllt werden können, ohne das Schutzniveau und die Notwendigkeit der Einhaltung der Anforderungen an KI-Systeme mit hohem Risiko zu beeinträchtigen.
2c) 2. Geltungsbereich Absatz 1 ist nicht dahin auszulegen, dass er diese Unternehmer von der Erfüllung anderer Anforderungen und Verpflichtungen gemäß dieser Verordnung, einschließlich der in den Artikeln 9, 10, 11, 12, 13, 14, 15, 61 und 62 festgelegten Anforderungen und Verpflichtungen, befreit.
TITEL VI: GOVERNANCE
Artikel 55b Governance auf Unionsebene 1.
Die Kommission entwickelt das Fachwissen und die Fähigkeiten der Union im Bereich der künstlichen Intelligenz.
Zu diesem Zweck hat die Kommission mit Beschluss […]“ 2.
Die Mitgliedstaaten erleichtern die dem KI-Büro übertragenen Aufgaben gemäß dieser Verordnung
Kapitel 1 Europäischer Ausschuss für künstliche Intelligenz
Artikel 56 Einrichtung und Struktur des Europäischen Ausschusses für künstliche Intelligenz
1) Es wird ein „Europäischer Ausschuss für künstliche Intelligenz“ (im Folgenden „Ausschuss“) eingerichtet.
2. Der Ausschuss setzt sich aus einem Vertreter je Mitgliedstaat zusammen. Der Europäische Datenschutzbeauftragte nimmt als Beobachter teil. Das AI Office nimmt auch an den Sitzungen des Verwaltungsrats teil, ohne an den Abstimmungen teilzunehmen. Andere nationale und Unionsbehörden, -gremien oder -sachverständige können vom Ausschuss von Fall zu Fall zu den Sitzungen eingeladen werden, wenn die erörterten Fragen für sie von Bedeutung sind.
2a) Jeder Vertreter wird von seinem Mitgliedstaat für einen Zeitraum von drei Jahren benannt, der einmal verlängert werden kann.
2b) Die Mitgliedstaaten stellen sicher, dass ihre Vertreter im Ausschuss
a) in ihrem Mitgliedstaat über die einschlägigen Zuständigkeiten und Befugnisse verfügen, um aktiv zur Erfüllung der in Artikel 58 genannten Aufgaben des Ausschusses beizutragen; b) als zentrale Kontaktstelle gegenüber dem Ausschuss benannt werden und gegebenenfalls unter Berücksichtigung der Bedürfnisse der Mitgliedstaaten als zentrale Anlaufstelle für Interessenträger; c) befugt sind, die Kohärenz und Koordinierung zwischen den zuständigen nationalen Behörden in ihrem Mitgliedstaat bei der Durchführung dieser Verordnung zu erleichtern, unter anderem durch die Erhebung einschlägiger Daten und Informationen zur Erfüllung ihrer Aufgaben im Ausschuss.
Die benannten Vertreter der Mitgliedstaaten geben sich mit Zweidrittelmehrheit die Geschäftsordnung des Ausschusses. In der Geschäftsordnung werden insbesondere die Verfahren für das Auswahlverfahren, die Dauer des Mandats und die Festlegung der Aufgaben des Vorsitzenden, die Abstimmungsmodalitäten sowie die Organisation der Tätigkeiten des Ausschusses und seiner Untergruppen festgelegt.
3a) Der Ausschuss richtet zwei ständige Untergruppen ein, die eine Plattform für die Zusammenarbeit und den Austausch zwischen den Marktüberwachungsbehörden und den notifizierenden Behörden in Fragen der Marktüberwachung bzw. der notifizierten Stellen bieten.
Die ständige Untergruppe für Marktüberwachung sollte als Verwaltungsbehörde fungieren
Kooperationsgruppe (ADCO) für diese Verordnung im Sinne des Artikels 30 der Verordnung (EU) 2019/1020.
Der Ausschuss kann gegebenenfalls weitere ständige oder nichtständige Untergruppen einsetzen, um bestimmte Fragen zu prüfen. Gegebenenfalls können Vertreter des in Artikel [XX] genannten Beratungsgremiums als Beobachter zu solchen Untergruppen oder zu spezifischen Sitzungen dieser Untergruppen eingeladen werden.
3b) Der Ausschuss ist so organisiert und arbeitsfähig, dass die Objektivität und Unparteilichkeit seiner Tätigkeit gewährleistet ist.
4. Den Vorsitz im Ausschuss führt einer der Vertreter der Mitgliedstaaten. Das Europäische Büro für KI nimmt die Sekretariatsgeschäfte des Ausschusses wahr. beruft die Sitzungen auf Antrag des Vorsitzenden ein und bereitet die Tagesordnung im Einklang mit den Aufgaben des Ausschusses gemäß dieser Verordnung und seiner Geschäftsordnung vor.
Artikel 57 ???
Artikel 58 Aufgaben des Verwaltungsrats
Der Ausschuss berät und unterstützt die Kommission und die Mitgliedstaaten, um die kohärente und wirksame Anwendung dieser Verordnung zu erleichtern. Zu diesem Zweck kann der Ausschuss insbesondere:
a) zur Koordinierung zwischen den für die Anwendung dieser Verordnung zuständigen nationalen Behörden beizutragen und in Zusammenarbeit und mit Zustimmung der betroffenen Marktüberwachungsbehörden gemeinsame Tätigkeiten der in Artikel 63 Absatz 7a genannten Marktüberwachungsbehörden zu unterstützen;
b) Sammlung und Austausch von technischem und regulatorischem Fachwissen und bewährten Verfahren zwischen den Mitgliedstaaten;
c) Beratung bei der Durchführung dieser Verordnung, insbesondere in Bezug auf die Durchsetzung der Vorschriften für allgemeine KI-Modelle;
i) über technische Spezifikationen oder bestehende Normen in Bezug auf die in Titel III Kapitel 2 festgelegten Anforderungen,
ii) über die Anwendung der in Artikel 40 genannten harmonisierten Normen oder der in Artikel 41 genannten gemeinsamen Spezifikationen,
iii) über die Ausarbeitung von Leitfäden, einschließlich der Leitlinien für die Festsetzung von Geldbußen gemäß Artikel 71.
d) Beitrag zur Harmonisierung der Verwaltungspraktiken in den Mitgliedstaaten, unter anderem in Bezug auf die Abweichung von den Konformitätsbewertungsverfahren gemäß Artikel 47, das Funktionieren von Reallaboren und Tests unter realen Bedingungen gemäß den Artikeln 53, 54 und 54a;
e) auf Ersuchen der Kommission oder auf eigene Initiative Empfehlungen und schriftliche Stellungnahmen zu allen relevanten Fragen im Zusammenhang mit der Durchführung dieser Verordnung und ihrer kohärenten und wirksamen Anwendung, einschließlich
i) über die Entwicklung und Anwendung von Verhaltenskodizes und Verhaltenskodizes gemäß dieser Verordnung sowie den Leitlinien der Kommission; ii) die Evaluierung und Überprüfung dieser Verordnung gemäß Artikel 84, einschließlich der in Artikel 62 genannten Berichte über schwerwiegende Vorkommnisse und der Funktionsweise der in Artikel 60 genannten Datenbank, die Vorbereitung der delegierten Rechtsakte oder Durchführungsrechtsakte und mögliche Angleichungen dieser Verordnung an die in Anhang II aufgeführten Rechtsakte;
iii) über technische Spezifikationen oder bestehende Normen in Bezug auf die Anforderungen des Titels III Kapitel 2,
iv) über die Anwendung harmonisierter Normen oder gemeinsamer Spezifikationen gemäß den Artikeln 40 und 41,
v) Trends wie die globale Wettbewerbsfähigkeit Europas im Bereich der künstlichen Intelligenz, die Einführung künstlicher Intelligenz in der Union und die Entwicklung digitaler Kompetenzen; (via) Trends in Bezug auf die sich entwickelnde Typologie von KI-Wertschöpfungsketten, insbesondere in Bezug auf die sich daraus ergebenden Auswirkungen auf die Rechenschaftspflicht;
vi) über die mögliche Notwendigkeit einer Änderung des Anhangs III gemäß Artikel 7 und über die mögliche Notwendigkeit einer etwaigen Überarbeitung von Artikel 5 gemäß Artikel 84 unter Berücksichtigung der einschlägigen verfügbaren Erkenntnisse und der neuesten technologischen Entwicklungen;
f) Unterstützung der Kommission bei der Förderung der KI-Kompetenz, des öffentlichen Bewusstseins und des Verständnisses für die Vorteile, Risiken, Garantien sowie Rechte und Pflichten im Zusammenhang mit der Nutzung von KI-Systemen;
g) Erleichterung der Entwicklung gemeinsamer Kriterien und eines gemeinsamen Verständnisses der in dieser Verordnung vorgesehenen einschlägigen Konzepte zwischen den Marktteilnehmern und den zuständigen Behörden, unter anderem durch einen Beitrag zur Entwicklung von Referenzwerten; h) gegebenenfalls Zusammenarbeit mit anderen Organen, Einrichtungen und sonstigen Stellen der Union sowie mit einschlägigen Sachverständigengruppen und Netzen der Union, insbesondere in den Bereichen Produktsicherheit, Cybersicherheit, Wettbewerb, digitale und Mediendienste, Finanzdienstleistungen, Verbraucherschutz, Daten- und Grundrechtsschutz; i) Beitrag zur wirksamen Zusammenarbeit mit den zuständigen Behörden von Drittländern und mit internationalen Organisationen;
h) Unterstützung der zuständigen nationalen Behörden und der Kommission bei der Entwicklung des für die Durchführung dieser Verordnung erforderlichen organisatorischen und technischen Fachwissens, unter anderem durch einen Beitrag zur Bewertung des Schulungsbedarfs für das Personal der Mitgliedstaaten, die an der Durchführung dieser Verordnung beteiligt sind;
i1) Unterstützung des KI-Büros bei der Unterstützung der zuständigen nationalen Behörden bei der Einrichtung und Entwicklung von Reallaboren und Erleichterung der Zusammenarbeit und des Informationsaustauschs zwischen den Reallaboren;
i) Mitwirkung und sachdienliche Beratung bei der Ausarbeitung von Leitfäden;
l) Beratung der Kommission in internationalen Angelegenheiten im Bereich der künstlichen Intelligenz. m) Abgabe von Stellungnahmen an die Kommission zu den qualifizierten Ausschreibungen in Bezug auf allgemeine KI-Modelle;
n) Stellungnahmen der Mitgliedstaaten zu den qualifizierten Ausschreibungen in Bezug auf allgemeine KI-Modelle und zu den nationalen Erfahrungen und Verfahren bei der Überwachung und Durchsetzung der KI-Systeme, insbesondere der Systeme, in die die allgemeinen KI-Modelle integriert sind, einzuholen.
Artikel 58a Beirat
1. Es wird ein beratender Beirat eingerichtet, der den Ausschuss und die Kommission berät und ihnen technisches Fachwissen zur Verfügung stellt, damit sie zu ihren Aufgaben im Rahmen dieser Verordnung beitragen können.
2. Die Mitglieder des Beirats repräsentieren eine ausgewogene Auswahl von Interessenträgern, darunter Industrie, Start-up-Unternehmen, KMU, die Zivilgesellschaft und die Wissenschaft. Die Zusammensetzung des Beirats ist ausgewogen in Bezug auf kommerzielle und nichtkommerzielle Interessen und innerhalb der Kategorie der kommerziellen Interessen in Bezug auf KMU und andere Unternehmen.
3. Die Kommission ernennt die Mitglieder des Beirats gemäß den im vorstehenden Absatz genannten Kriterien aus dem Kreis der Interessenträger mit anerkanntem Fachwissen auf dem Gebiet der KI.
4. Die Amtszeit der Mitglieder des Beirats beträgt zwei Jahre und kann um höchstens vier Jahre verlängert werden.
5. Die Agentur der Europäischen Union für Grundrechte, die Agentur der Europäischen Union für Cybersicherheit, das Europäische Komitee für Normung (CEN), das Europäische Komitee für elektrotechnische Normung (CENELEC) und das Europäische Institut für Telekommunikationsnormen (ETSI) sind ständige Mitglieder des Beirats.
6. Der Beirat gibt sich eine Geschäftsordnung. Er wählt aus seiner Mitte zwei Ko-Vorsitzende nach den in Absatz 2 genannten Kriterien. Die Amtszeit der Ko-Vorsitzenden beträgt zwei Jahre und kann einmal verlängert werden.
7. Der Beirat tritt mindestens zweimal jährlich zusammen. Der Beirat kann Sachverständige und andere Interessenträger zu seinen Sitzungen einladen.
8. Bei der Wahrnehmung seiner in Absatz 1 genannten Aufgaben kann der Beirat auf Ersuchen des Ausschusses oder der Kommission Stellungnahmen, Empfehlungen und schriftliche Beiträge ausarbeiten
9. Der Beirat kann gegebenenfalls ständige oder nichtständige Untergruppen einsetzen, um spezifische Fragen im Zusammenhang mit den Zielen dieser Verordnung zu prüfen.
10. Der Beirat erstellt einen Jahresbericht über seine Tätigkeiten. Dieser Bericht wird der Öffentlichkeit zugänglich gemacht.
Kapitel 1a Wissenschaftliches Gremium unabhängiger Sachverständiger
Artikel 58b Wissenschaftliches Gremium unabhängiger Sachverständiger
1. Die Kommission erlässt im Wege eines Durchführungsrechtsakts Bestimmungen über die Einsetzung eines wissenschaftlichen Gremiums unabhängiger Sachverständiger (im Folgenden „wissenschaftliches Gremium“), das die Durchsetzungsmaßnahmen im Rahmen dieser Verordnung unterstützen soll. Diese Durchführungsrechtsakte werden nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.
2. Das wissenschaftliche Gremium besteht aus Sachverständigen, die von der Kommission auf der Grundlage aktueller wissenschaftlicher oder technischer Fachkenntnisse auf dem Gebiet der künstlichen Intelligenz ausgewählt werden, die für die in Absatz 3 genannten Aufgaben erforderlich sind, und die nachweisen können, dass sie alle folgenden Bedingungen erfüllen:
a) besondere Fachkenntnisse und Kompetenzen sowie wissenschaftliche oder technische Fachkenntnisse auf dem Gebiet der künstlichen Intelligenz;
b) Unabhängigkeit von Anbietern von KI-Systemen oder allgemeinen KI-Modellen oder -Systemen;
c) Fähigkeit, Tätigkeiten sorgfältig, genau und objektiv auszuführen. Die Kommission legt in Absprache mit dem KI-Ausschuss die Zahl der Sachverständigen im Gremium entsprechend den erforderlichen Bedürfnissen fest und sorgt für eine ausgewogene Vertretung der Geschlechter und der geografischen Vertretung.
3. Das wissenschaftliche Gremium berät und unterstützt das Europäische KI-Büro insbesondere in Bezug auf folgende Aufgaben:
a) Unterstützung der Umsetzung und Durchsetzung dieser Verordnung in Bezug auf allgemeine KI-Modelle und -Systeme, insbesondere durch
i) Warnung des KI-Büros vor möglichen Systemrisiken von Allzweck-KI-Modellen auf Unionsebene gemäß Artikel [Warnungen des wissenschaftlichen Gremiums vor Systemrisiken];
ii) Beitrag zur Entwicklung von Instrumenten und Methoden zur Bewertung der Fähigkeiten von universellen KI-Modellen und -Systemen, auch durch Benchmarks; iii) Beratung bei der Einstufung von Allzweck-KI-Modellen mit systemischen Risiken;
iii) Beratung bei der Einstufung von Allzweck-KI-Modellen mit systemischen Risiken;
(IIII) Beratung bei der Klassifizierung verschiedener universeller KI-Modelle und -Systeme;
iv) Mitwirkung an der Entwicklung von Instrumenten und Vorlagen
b) Unterstützung der Arbeit der Marktüberwachungsbehörden auf deren Ersuchen;
c) Unterstützung grenzüberschreitender Marktüberwachungstätigkeiten gemäß Artikel 63 Absatz 7a, unbeschadet der Befugnisse der Marktüberwachungsbehörden;
d) Unterstützung des KI-Büros bei der Wahrnehmung seiner Aufgaben im Rahmen der Schutzklausel gemäß Artikel 66;
4. Die Sachverständigen nehmen ihre Aufgaben unparteiisch und objektiv wahr und gewährleisten die Vertraulichkeit der Informationen und Daten, die sie bei der Wahrnehmung ihrer Aufgaben und Tätigkeiten erhalten. Sie dürfen bei der Wahrnehmung ihrer Aufgaben nach Absatz 3 von niemandem Weisungen einholen oder entgegennehmen. Jeder Sachverständige erstellt eine Interessenerklärung, die der Öffentlichkeit zugänglich gemacht wird. Das KI-Büro richtet Systeme und Verfahren ein, um potenzielle Interessenkonflikte aktiv zu bewältigen und zu verhindern.
5. Der in Absatz 1 genannte Durchführungsrechtsakt enthält Bestimmungen über die Bedingungen, das Verfahren und die Modalitäten, unter denen das wissenschaftliche Gremium und seine Mitglieder Ausschreibungen abgeben und das KI-Büro um Unterstützung bei der Wahrnehmung seiner Aufgaben ersuchen können.
Artikel 58c Zugang der Mitgliedstaaten zum Sachverständigenpool
1. Die Mitgliedstaaten können Sachverständige des wissenschaftlichen Gremiums zur Unterstützung ihrer Durchsetzungsmaßnahmen im Rahmen dieser Verordnung hinzuziehen.
2. Die Mitgliedstaaten können verpflichtet werden, Gebühren für die Beratung und Unterstützung durch die Sachverständigen zu entrichten. Die Struktur und die Höhe der Gebühren sowie der Umfang und die Struktur der erstattungsfähigen Kosten werden in dem in Artikel 58b Absatz 1 genannten Durchführungsrechtsakt festgelegt, wobei die Ziele der angemessenen Durchführung dieser Verordnung, die Kostenwirksamkeit und die Notwendigkeit, einen effektiven Zugang zu Sachverständigen für alle Mitgliedstaaten zu gewährleisten, zu berücksichtigen sind
3. Die Kommission erleichtert den Mitgliedstaaten bei Bedarf den rechtzeitigen Zugang zu den Sachverständigen und stellt sicher, dass die Kombination von Unterstützungstätigkeiten, die von EU-KI-Testunterstützung gemäß Artikel 68a und Sachverständigen gemäß diesem Artikel durchgeführt werden, effizient organisiert ist und den bestmöglichen Mehrwert bietet.
KAPITEL 2 Zuständige nationale Behörden
Artikel 59 Benennung der zuständigen nationalen Behörden und der zentralen Anlaufstelle
1. Gestrichen
2. 2. 1. Jeder Mitgliedstaat errichtet oder benennt mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde für die Zwecke dieser Verordnung als nationale zuständige Behörden. Diese zuständigen nationalen Behörden üben ihre Befugnisse unabhängig, unparteiisch und unvoreingenommen aus, um die Grundsätze der Objektivität ihrer Tätigkeiten und Aufgaben zu wahren und die Anwendung und Durchführung dieser Verordnung zu gewährleisten. Die Mitglieder dieser Behörden unterlassen jede Handlung, die mit ihrem Amt unvereinbar ist. Unter der Voraussetzung, dass diese Grundsätze eingehalten werden, können diese Tätigkeiten und Aufgaben von einer oder mehreren benannten Behörden entsprechend den organisatorischen Erfordernissen des Mitgliedstaats wahrgenommen werden.
3. Die Mitgliedstaaten teilen der Kommission die Identität der notifizierenden Behörden und der Marktüberwachungsbehörden sowie die Aufgaben dieser Behörden sowie spätere Änderungen mit. Die Mitgliedstaaten machen Informationen darüber, wie die zuständigen Behörden und die zentrale Anlaufstelle auf elektronischem Wege kontaktiert werden können, öffentlich zugänglich, indem sie … [12 Monate nach dem Datum des Inkrafttretens dieser Verordnung]. Die Mitgliedstaaten benennen eine Marktüberwachungsbehörde, die als zentrale Anlaufstelle für diese Verordnung fungiert, und teilen der Kommission die Identität der zentralen Anlaufstelle mit. Die Kommission macht eine Liste der zentralen Anlaufstellen öffentlich zugänglich.
4. Die Mitgliedstaaten stellen sicher, dass die zuständige nationale Behörde mit angemessenen technischen, finanziellen und personellen Ressourcen und Infrastrukturen ausgestattet wird, damit sie ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen kann. Insbesondere muss die zuständige nationale Behörde ständig über eine ausreichende Zahl von Mitarbeitern verfügen, deren Kompetenzen und Fachkenntnisse ein tiefgreifendes Verständnis von Technologien der künstlichen Intelligenz, Daten und Datenverarbeitung, Schutz personenbezogener Daten, Cybersicherheit, Grundrechte, Gesundheits- und Sicherheitsrisiken sowie Kenntnisse bestehender Normen und rechtlicher Anforderungen umfassen. Die Mitgliedstaaten bewerten und aktualisieren die in diesem Absatz genannten Kompetenz- und Ressourcenanforderungen erforderlichenfalls jährlich.
4a. Die zuständigen nationalen Behörden müssen ein angemessenes Maß an Cybersicherheitsmaßnahmen erfüllen.
4b?
4c. Bei der Wahrnehmung ihrer Aufgaben handeln die zuständigen nationalen Behörden im Einklang mit den in Artikel 70 festgelegten Vertraulichkeitspflichten.
5. Spätestens ein Jahr nach Inkrafttreten dieser Verordnung und danach alle zwei Jahre erstatten die Mitgliedstaaten der Kommission Bericht über den Stand der finanziellen und personellen Ressourcen der zuständigen nationalen Behörden und bewerten deren Angemessenheit. Die Kommission leitet diese Informationen an den Ausschuss zur Erörterung und etwaigen Empfehlungen weiter.
6. Die Kommission erleichtert den Erfahrungsaustausch zwischen den zuständigen nationalen Behörden.
7. Die zuständigen nationalen Behörden können insbesondere KMU, einschließlich Start-up-Unternehmen, Leitlinien und Ratschläge zur Durchführung dieser Verordnung geben, wobei sie gegebenenfalls die Leitlinien und Ratschläge des Ausschusses und der Kommission berücksichtigen. Beabsichtigen die zuständigen nationalen Behörden, Leitlinien und Ratschläge in Bezug auf ein KI-System in Bereichen zu geben, die unter andere Rechtsvorschriften der Union fallen, so werden die nach diesen Rechtsvorschriften der Union zuständigen nationalen Behörden gegebenenfalls konsultiert.
8. Fallen Organe, sonstige Stellen und Einrichtungen der Union in den Anwendungsbereich dieser Verordnung, so fungiert der Europäische Datenschutzbeauftragte als zuständige Behörde für ihre Beaufsichtigung.
TITEL VII: EU-DATENBANK FÜR KI-SYSTEME MIT HOHEM RISIKO, DIE IN ANHANG III AUFGEFÜHRT SIND
Artikel 60 EU-Datenbank für KI-Hochrisikosysteme gemäß Anhang III
1. Die Kommission richtet in Zusammenarbeit mit den Mitgliedstaaten eine EU-Datenbank mit den in den Absätzen 2 und 2a genannten Informationen über KI-Hochrisikosysteme gemäß Artikel 6 Absatz 2 ein, die gemäß den Artikeln 51 und 54a registriert sind, und pflegt sie. Bei der Festlegung der funktionalen Spezifikationen einer solchen Datenbank konsultiert die Kommission die einschlägigen Sachverständigen, und bei der Aktualisierung der funktionalen Spezifikationen einer solchen Datenbank konsultiert die Kommission den KI-Ausschuss.
2. Die in Anhang VIII Abschnitt A aufgeführten Daten werden vom Anbieter oder gegebenenfalls vom Bevollmächtigten in die EU-Datenbank eingegeben.
2a) Die in Anhang VIII Abschnitt B aufgeführten Daten werden von dem Entsendenden, der gemäß Artikel 51 Absätze 1a und 1b Behörden, Agenturen oder Einrichtungen ist oder in deren Namen handelt, in die EU-Datenbank eingegeben.
3. Mit Ausnahme des in Artikel 51 Absatz 1c und Artikel 54a Absatz 5 genannten Abschnitts müssen die in der gemäß Artikel 51 registrierten EU-Datenbank enthaltenen Informationen in benutzerfreundlicher Weise zugänglich und öffentlich zugänglich sein. Die Informationen sollten leicht navigierbar und maschinenlesbar sein. Die gemäß Artikel 54a registrierten Informationen sind nur den Marktüberwachungsbehörden und der Kommission zugänglich, es sei denn, der potenzielle Anbieter oder der potenzielle Anbieter hat zugestimmt, diese Informationen auch der Öffentlichkeit zugänglich zu machen.
4. Die EU-Datenbank enthält personenbezogene Daten nur insoweit, als dies für die Erhebung und Verarbeitung von Informationen gemäß dieser Verordnung erforderlich ist. Zu diesen Informationen gehören die Namen und Kontaktdaten der natürlichen Personen, die für die Registrierung des Systems verantwortlich sind und über die rechtliche Befugnis verfügen, den Anbieter bzw. den Betreiber zu vertreten. Datenbank enthält personenbezogene Daten nur, soweit dies für die Erfassung und Verarbeitung von Informationen gemäß dieser Verordnung erforderlich ist. Zu diesen Informationen gehören die Namen und Kontaktdaten der natürlichen Personen, die für die Registrierung des Systems verantwortlich sind und die rechtlich befugt sind, den Anbieter zu vertreten
5. Die Kommission ist für die EU-Datenbank verantwortlich. Sie stellt den Anbietern, potenziellen Anbietern und Betreibern angemessene technische und administrative Unterstützung zur Verfügung. Die Datenbank muss den geltenden Barrierefreiheitsanforderungen entsprechen.
TITEL VIII: ÜBERWACHUNG NACH DEM INVERKEHRBRINGEN, INFORMATIONSAUSTAUSCH, MARKTÜBERWACHUNG
Kapitel 1 Überwachung nach dem Inverkehrbringen
Artikel 61 Überwachung nach dem Inverkehrbringen durch Anbieter und Überwachungsplan für KI-Systeme mit hohem Risiko nach dem Inverkehrbringen
1. Die Anbieter richten ein Überwachungssystem für die Zeit nach dem Inverkehrbringen ein und dokumentieren es, das in einem angemessenen Verhältnis zur Art der Technologien der künstlichen Intelligenz und den Risiken des Hochrisiko-KI-Systems steht.
2. Das System zur Überwachung nach dem Inverkehrbringen erhebt, dokumentiert und analysiert aktiv und systematisch einschlägige Daten über die Leistung von Hochrisiko-KI-Systemen während ihrer gesamten Lebensdauer und ermöglicht es dem Anbieter, die kontinuierliche Konformität von KI-Systemen mit den Anforderungen des Titels III zu bewerten. Kapitel 2. Gegebenenfalls umfasst die Überwachung nach dem Inverkehrbringen eine Analyse der Interaktion mit anderen KI-Systemen. Diese Verpflichtung gilt nicht für sensible Betriebsdaten von Einsatzkräften, bei denen es sich um Strafverfolgungsbehörden handelt.
3. Das System zur Überwachung nach dem Inverkehrbringen stützt sich auf einen Plan zur Überwachung nach dem Inverkehrbringen. Das Überwachungskonzept für die Zeit nach dem Inverkehrbringen ist Teil der in Anhang IV genannten technischen Unterlagen. Die Kommission erlässt bis sechs Monate vor Inkrafttreten dieser Verordnung einen Durchführungsrechtsakt mit detaillierten Bestimmungen zur Festlegung eines Musters für das Überwachungskonzept für die Zeit nach dem Inverkehrbringen und der Liste der Elemente, die in den Plan aufzunehmen sind.
4. Bei KI-Systemen mit hohem Risiko, die unter die in Anhang II Abschnitt A genannten Rechtsakte fallen, haben die Anbieter, bei denen bereits ein System und ein Plan für die Überwachung nach dem Inverkehrbringen gemäß diesen Rechtsvorschriften eingerichtet wurden, die Möglichkeit, gegebenenfalls die in Absatz 1 beschriebenen erforderlichen Elemente zu integrieren, um Kohärenz zu gewährleisten, Doppelarbeit zu vermeiden und zusätzlichen Aufwand zu minimieren. 2 und 3 unter Verwendung des in Absatz 3 genannten Musters in bereits bestehende Systeme und Pläne im Rahmen der in Anhang II Abschnitt A aufgeführten Harmonisierungsrechtsvorschriften der Union, sofern damit ein gleichwertiges Schutzniveau erreicht wird.
Unterabsatz 1 gilt auch für die in Anhang III Nummer 5 genannten KI-Systeme mit hohem Risiko, die von Finanzinstituten in Verkehr gebracht oder in Betrieb genommen werden und Anforderungen an ihre interne Unternehmensführung, ihre internen Regelungen oder Prozesse gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen unterliegen.
Kapitel 2 AUSTAUSCH VON INFORMATIONEN ÜBER SCHWERWIEGENDE VORKOMMNISSE
Artikel 62 Meldung schwerwiegender Vorkommnisse
1. Anbieter von Hochrisiko-KI-Systemen, die in der Union in Verkehr gebracht werden, melden den Marktüberwachungsbehörden der Mitgliedstaaten, in denen der Vorfall aufgetreten ist, jeden schwerwiegenden Vorkommnis.
1a) 2. Die Frist für die Meldung gemäß Absatz 1 wird in der Regel der Schwere des schwerwiegenden Vorkommnisses Rechnung getragen.
1b) 2. Die in Absatz 1 genannte Meldung erfolgt unverzüglich, nachdem der Anbieter einen ursächlichen Zusammenhang zwischen dem KI-System und dem schwerwiegenden Vorfall oder die hinreichende Wahrscheinlichkeit eines solchen Zusammenhangs festgestellt hat, in jedem Fall jedoch spätestens 15 Tage, nachdem der Anbieter oder gegebenenfalls der Betreiber von dem schwerwiegenden Vorfall Kenntnis erlangt hat. 1c) 2. Unbeschadet des Absatzes 1b wird im Falle eines weitverbreiteten Verstoßes oder eines schwerwiegenden Vorfalls im Sinne von Artikel 3 Nummer 44 Buchstabe b die in Absatz 1 genannte Meldung unverzüglich, spätestens jedoch zwei Tage, nachdem der Anbieter oder gegebenenfalls der Betreiber von diesem Vorfall Kenntnis erlangt hat, vorgelegt.
1d) 2. Ungeachtet des Absatzes 1b erfolgt die Meldung im Falle des Todes einer Person unverzüglich, nachdem der Anbieter oder der Betreiber einen ursächlichen Zusammenhang zwischen dem Hochrisiko-KI-System und dem schwerwiegenden Vorfall festgestellt hat oder sobald er einen ursächlichen Zusammenhang vermutet, spätestens jedoch 10 Tage nach dem Tag, an dem der Anbieter oder Gegebenenfalls erlangt der Einsatzleiter Kenntnis von dem schwerwiegenden Vorfall.
1e) Wenn dies zur Gewährleistung einer rechtzeitigen Berichterstattung erforderlich ist, kann der Anbieter oder gegebenenfalls der Betreiber einen unvollständigen Erstbericht vorlegen, auf den ein vollständiger Bericht folgt.
1a) Nach der Meldung eines schwerwiegenden Vorfalls gemäß Unterabsatz 1 führt der Anbieter unverzüglich die erforderlichen Untersuchungen in Bezug auf den schwerwiegenden Vorfall und das betreffende KI-System durch. Dazu gehören eine Risikobewertung des Sicherheitsvorfalls und Korrekturmaßnahmen. Der Anbieter arbeitet bei den in Unterabsatz 1 genannten Untersuchungen mit den zuständigen Behörden und gegebenenfalls mit der betroffenen notifizierten Stelle zusammen und führt keine Untersuchungen durch, bei denen das betreffende KI-System in einer Weise geändert wird, die sich auf eine spätere Bewertung der Ursachen des Sicherheitsvorfalls auswirken könnte, bevor er die zuständigen Behörden über eine solche Maßnahme unterrichtet.
2. Nach Eingang einer Meldung im Zusammenhang mit einem schwerwiegenden Sicherheitsvorfall gemäß Artikel 3 Nummer 44 Buchstabe c unterrichtet die zuständige Marktüberwachungsbehörde die in Artikel 64 Absatz 3 genannten nationalen Behörden oder Stellen. 2. Die Kommission erarbeitet spezielle Leitlinien, um die Einhaltung der in Absatz 1 genannten Verpflichtungen zu erleichtern. Diese Leitlinien werden spätestens 12 Monate nach Inkrafttreten dieser Verordnung herausgegeben und regelmäßig bewertet.
2a) 2. Die Marktüberwachungsbehörde ergreift innerhalb von sieben Tagen nach Eingang der in Absatz 1 genannten Mitteilung geeignete Maßnahmen gemäß Artikel 19 der Verordnung (EU) 2019/1020 und wendet die in der Verordnung (EU) 2019/1020 vorgesehenen Notifizierungsverfahren an.
3. Bei KI-Systemen mit hohem Risiko gemäß Anhang III, die von Anbietern in Verkehr gebracht oder in Betrieb genommen werden, die Rechtsvorschriften der Union unterliegen, in denen Meldepflichten festgelegt sind, die den in dieser Verordnung festgelegten gleichwertig sind, ist die Meldung schwerwiegender Sicherheitsvorfälle auf die in Artikel 3 Nummer 44 Buchstabe c genannten Vorfälle beschränkt.
3a) Bei Hochrisiko-KI-Systemen, bei denen es sich um Sicherheitsbauteile von Produkten oder selbst um Produkte handelt, die unter die Verordnung (EU) 2017/745 und die Verordnung (EU) 2017/746 fallen, ist die Meldung schwerwiegender Sicherheitsvorfälle auf die in Artikel 3 Nummer 44 Buchstabe c genannten Sicherheitsvorfälle beschränkt und erfolgt an die zuständige nationale Behörde, die von den Mitgliedstaaten, in denen der Vorfall aufgetreten ist, zu diesem Zweck ausgewählt wurde.
3a) Die zuständigen nationalen Behörden unterrichten die Kommission gemäß Artikel 20 der Verordnung (EU) 2019/1020 unverzüglich über jeden schwerwiegenden Vorfall, unabhängig davon, ob sie Maßnahmen ergriffen hat oder nicht.
3. Kapitel: Vollstreckung
Artikel 63 Marktüberwachung und Kontrolle von KI-Systemen auf dem Unionsmarkt
1. 1. Die Verordnung (EU) 2019/1020 gilt für KI-Systeme, die unter die vorliegende Verordnung fallen. Für die Zwecke der wirksamen Durchsetzung dieser Verordnung gilt jedoch Folgendes:
a) Jede Bezugnahme auf einen Wirtschaftsakteur im Sinne der Verordnung (EU) 2019/1020 ist so zu verstehen, dass sie alle in Artikel 2 Absatz 1 der vorliegenden Verordnung genannten Unternehmer einschließt;
b) Jede Bezugnahme auf ein Produkt im Sinne der Verordnung (EU) 2019/1020 ist so zu verstehen, dass sie alle KI-Systeme umfasst, die in den Anwendungsbereich der vorliegenden Verordnung fallen.
2. Im Rahmen ihrer Berichterstattungspflichten gemäß Artikel 34 Absatz 4 der Verordnung (EU) 2019/1020 melden die Marktüberwachungsbehörden der Kommission und den zuständigen nationalen Wettbewerbsbehörden jährlich alle Informationen, die im Rahmen von Marktüberwachungstätigkeiten ermittelt wurden und die für die Anwendung des Wettbewerbsrechts der Union von potenziellem Interesse sein könnten. Außerdem erstatten sie der Kommission jährlich Bericht über die Anwendung verbotener Praktiken, die in dem betreffenden Jahr stattgefunden haben, und über die ergriffenen Maßnahmen.
3. Bei Hochrisiko-KI-Systemen, die sich auf Produkte beziehen, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, ist die Marktüberwachungsbehörde für die Zwecke dieser Verordnung die für die Marktüberwachungstätigkeiten zuständige Behörde, die gemäß diesen Rechtsakten benannt wurde. Abweichend vom vorstehenden Absatz können die Mitgliedstaaten in begründeten Fällen eine andere einschlägige Behörde benennen, die als Marktüberwachungsbehörde fungiert, sofern die Koordinierung mit den einschlägigen sektoralen Marktüberwachungsbehörden sichergestellt ist, die für die Durchsetzung der in Anhang II aufgeführten Rechtsakte zuständig sind.
3a) Die in den Artikeln 65, 66, 67 und 68 dieser Verordnung genannten Verfahren gelten nicht für KI-Systeme im Zusammenhang mit Produkten, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, wenn diese Rechtsakte bereits Verfahren vorsehen, die ein gleichwertiges Schutzniveau gewährleisten und dasselbe Ziel verfolgen. In diesem Fall gelten stattdessen diese sektoralen Verfahren
3b) Unbeschadet der Befugnisse der Marktüberwachungsbehörden gemäß Artikel 14 der Verordnung (EU) 2019/1020 können die Marktüberwachungsbehörden die in Artikel 14 Absatz 4 Buchstaben d und j der Verordnung (EU) 2019/1020 genannten Befugnisse gegebenenfalls aus der Ferne ausüben, um die wirksame Durchsetzung dieser Verordnung zu gewährleisten.
4. Bei Hochrisiko-KI-Systemen, die von Finanzinstituten, die den Rechtsvorschriften der Union über Finanzdienstleistungen unterliegen, in Verkehr gebracht, in Betrieb genommen oder genutzt werden, ist die Marktüberwachungsbehörde für die Zwecke dieser Verordnung die jeweils nationale Behörde, die für die Finanzbeaufsichtigung dieser Institute gemäß diesen Rechtsvorschriften zuständig ist, sofern das Inverkehrbringen Inbetriebnahme oder Nutzung des KI-Systems steht in unmittelbarem Zusammenhang mit der Erbringung dieser Finanzdienstleistungen. , die von auf der Grundlage des Finanzdienstleistungsrechts der Union regulierten Finanzinstituten in Verkehr gebracht, in Betrieb genommen oder eingesetzt werden, gilt als Marktüberwachungsbehörde für die Zwecke dieser Verordnung die in jenen Rechtsvorschriften für die Finanzaufsicht über diese Institute benannte Behörde.
4a. Abweichend vom vorstehenden Unterabsatz kann der Mitgliedstaat unter begründeten Umständen und unter der Voraussetzung, dass die Koordinierung sichergestellt ist, eine andere einschlägige Behörde als Marktüberwachungsbehörde für die Zwecke dieser Verordnung benennen. Die nationalen Marktüberwachungsbehörden, die beaufsichtigte Kreditinstitute beaufsichtigen, die gemäß der Richtlinie 2013/36/EU reguliert werden und an dem durch die Verordnung (EU) Nr. 1204/2013 des Rates eingerichteten einheitlichen Aufsichtsmechanismus (SSM) teilnehmen, sollten der Europäischen Zentralbank unverzüglich alle Informationen melden, die im Rahmen ihrer Marktüberwachungstätigkeiten ermittelt wurden und die für die Aufsichtsaufgaben der Europäischen Zentralbank gemäß der genannten Verordnung von Interesse sein könnten Regulierung.
5. Für die in Nummer 1 aufgeführten Hochrisiko-KI-Systeme, soweit die Systeme zu Gefahrenabwehr- und Strafverfolgungszwecken und zu den in Anhang III Nummern 6, 7 und 8 genannten Zwecken eingesetzt werden, benennen die Mitgliedstaaten als Marktüberwachungsbehörden für die Zwecke dieser Verordnung entweder die gemäß der Verordnung (EU) 2016/679 zuständigen Datenschutzaufsichtsbehörden, oder der Richtlinie (EU) 2016/680 oder einer anderen Behörde, die gemäß den Bestimmungen der Artikel 1 bis 44 der Richtlinie oder der Richtlinie (EU) 2016/680 benannt wurde. Die Marktüberwachungstätigkeiten dürfen in keiner Weise die Unabhängigkeit der Justizbehörden beeinträchtigen oder ihre Tätigkeit in ihrer justiziellen Eigenschaft beeinträchtigen
6. Fallen Organe, sonstige Stellen und Einrichtungen der Union in den Anwendungsbereich dieser Verordnung, so fungiert der Europäische Datenschutzbeauftragte als ihre Marktüberwachungsbehörde, es sei denn, es handelt sich um den Gerichtshof in seiner justiziellen Eigenschaft.
7. Die Mitgliedstaaten erleichtern die Koordinierung zwischen den gemäß dieser Verordnung benannten Marktüberwachungsbehörden und anderen einschlägigen nationalen Behörden oder Stellen, die die Anwendung der in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union oder anderer Rechtsvorschriften der Union, die für die in Anhang III genannten Hochrisiko-KI-Systeme relevant sein könnten, überwachen
7a. Die Marktüberwachungsbehörden und die Kommission können gemeinsame Tätigkeiten, einschließlich gemeinsamer Untersuchungen, vorschlagen, die entweder von den Marktüberwachungsbehörden oder von den Marktüberwachungsbehörden gemeinsam mit der Kommission durchgeführt werden und die darauf abzielen, die Einhaltung der Vorschriften zu fördern, Verstöße zu ermitteln, das Bewusstsein zu schärfen und Leitlinien in Bezug auf bestimmte Kategorien von Hochrisiko-KI-Systemen bereitzustellen, die ein ernstes Risiko in Bezug auf mehreren Mitgliedstaaten gemäß Artikel 9 der Verordnung (EU) 2019/1020. Das KI-Büro leistet Koordinierungsunterstützung für gemeinsame Ermittlungen.
7a. Unbeschadet der in der Verordnung (EU) 2019/1020 vorgesehenen Befugnisse und soweit relevant und auf das zur Erfüllung ihrer Aufgaben erforderliche Maß beschränkt, gewährt der Anbieter uneingeschränkten Zugang zu den Unterlagen sowie zu den Schulungs-, Validierungs- und Testdatensätzen, die für die Entwicklung des Hochrisiko-KI-Systems verwendet werden, einschließlich gegebenenfalls und vorbehaltlich Sicherheitsvorkehrungen über Anwendungsprogrammierschnittstellen (API) oder andere einschlägige technische Mittel und Werkzeuge, die den Fernzugriff ermöglichen.
7b. Den Marktüberwachungsbehörden wird auf begründeten Antrag und nur dann Zugang zum Quellcode des Hochrisiko-KI-Systems gewährt, wenn die folgenden kumulativen Bedingungen erfüllt sind:
a) der Zugang zum Quellcode ist erforderlich, um die Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Titels III Kapitel 2 zu bewerten, und
b) die Test-/Auditverfahren und Überprüfungen auf der Grundlage der vom Anbieter bereitgestellten Daten und Unterlagen ausgeschöpft wurden oder sich als unzureichend erwiesen haben.
7c. Alle Informationen und Unterlagen, die von den Marktüberwachungsbehörden eingeholt werden, werden im Einklang mit den Vertraulichkeitsverpflichtungen gemäß Artikel 70 behandelt.
Artikel 63a Amtshilfe, Marktüberwachung und Kontrolle von KI-Systemen für allgemeine Zwecke
1. Beruht ein KI-System auf einem KI-Modell für allgemeine Zwecke und werden das Modell und das System von demselben Anbieter entwickelt, so ist das KI-Büro befugt, die Einhaltung der Verpflichtungen dieser Verordnung durch dieses KI-System zu überwachen und zu überwachen. Zur Wahrnehmung von Überwachungs- und Aufsichtsaufgaben verfügt das KI-Amt über alle Befugnisse einer Marktüberwachungsbehörde im Sinne der Verordnung (EU) 2019/1020.
2. Haben die zuständigen Marktüberwachungsbehörden hinreichende Gründe für die Annahme, dass KI-Systeme für allgemeine Zwecke, die von den Betreibern direkt für mindestens einen Zweck verwendet werden können, der gemäß dieser Verordnung als Hochrisikosystem eingestuft wird, die Anforderungen dieser Verordnung nicht erfüllen, so arbeiten sie mit dem KI-Amt zusammen, um die Einhaltung der Vorschriften zu bewerten, und unterrichten den Ausschuss und andere Marktüberwachungsbehörden entsprechend.
3. Ist eine nationale Marktüberwachungsbehörde nicht in der Lage, ihre Untersuchung des Hochrisiko-KI-Systems abzuschließen, weil sie nicht in der Lage ist, auf bestimmte Informationen im Zusammenhang mit dem KI-Modell zuzugreifen, obwohl sie alle geeigneten Anstrengungen unternommen hat, um diese Informationen zu erhalten, kann sie ein begründetes Ersuchen an das KI-Amt richten, bei dem der Zugang zu diesen Informationen durchgesetzt werden kann. In diesem Fall übermittelt das KI-Büro der ersuchenden Behörde unverzüglich, in jedem Fall aber innerhalb von 30 Tagen, alle Informationen, die das KI-Amt für relevant hält, um festzustellen, ob ein Hochrisiko-KI-System nicht konform ist. Die nationalen Marktbehörden wahren die Vertraulichkeit der Informationen, die sie gemäß Artikel 70 erhalten. Das Verfahren des Kapitels VI der Verordnung (EU) Nr. 1020/2019 gilt entsprechend.
Artikel 63b Beaufsichtigung der Prüfungen unter realen Bedingungen durch die Marktüberwachungsbehörden
1. Die Marktüberwachungsbehörden verfügen über die Kompetenz und die Befugnisse, um sicherzustellen, dass die Prüfungen unter realen Bedingungen im Einklang mit dieser Verordnung stehen.
2. Werden KI-Systeme, die im Rahmen einer KI-Realabor gemäß Artikel 54 beaufsichtigt werden, unter realen Bedingungen getestet, so überprüfen die Marktüberwachungsbehörden im Rahmen ihrer Aufsichtsfunktion für die KI-Regulatory Sandbox die Einhaltung der Bestimmungen des Artikels 54a. Diese Behörden können gegebenenfalls zulassen, dass der Anbieter oder potenzielle Anbieter abweichend von den in Artikel 54a Absatz 4 Buchstaben f und g genannten Bedingungen Tests unter realen Bedingungen durchführt.
3. Wurde eine Marktüberwachungsbehörde von dem potenziellen Anbieter, dem Anbieter oder einem Dritten über einen schwerwiegenden Sicherheitsvorfall unterrichtet oder hat sie aus anderen Gründen Grund zu der Annahme, dass die in den Artikeln 54a und 54b genannten Bedingungen nicht erfüllt sind, so kann sie in ihrem Hoheitsgebiet gegebenenfalls eine der folgenden Entscheidungen treffen:
a) die Prüfung unter realen Bedingungen auszusetzen oder zu beenden;
b. von dem Anbieter oder potenziellen Anbieter und Nutzer(n) zu verlangen, dass sie irgendeinen Aspekt der Prüfung unter realen Bedingungen ändern.
4. Hat eine Marktüberwachungsbehörde eine Entscheidung nach Absatz 3 des vorliegenden Artikels getroffen oder einen Einspruch im Sinne von Artikel 54a Absatz 4 Buchstabe b erhoben, so sind in der Entscheidung oder dem Einspruch die Gründe dafür sowie die Modalitäten und Bedingungen anzugeben, unter denen der Anbieter oder potenzielle Anbieter die Entscheidung oder den Einspruch anfechten kann.
5. Hat eine Marktüberwachungsbehörde eine Entscheidung nach Absatz 3 des vorliegenden Artikels getroffen, so teilt sie den Marktüberwachungsbehörden der anderen Mitgliedstaaten, in denen das KI-System gemäß dem Prüfplan getestet wurde, gegebenenfalls die Gründe dafür mit.
Artikel 64 Befugnisse der Behörden zum Schutz der Grundrechte
???
???
3. Nationale Behörden oder Stellen, die die Einhaltung der Verpflichtungen aus dem Unionsrecht zum Schutz der Grundrechte, einschließlich des Rechts auf Nichtdiskriminierung, im Zusammenhang mit der Nutzung der in Anhang III genannten Hochrisiko-KI-Systeme überwachen oder durchsetzen, sind befugt, alle im Rahmen dieser Verordnung erstellten oder gepflegten Unterlagen in einer zugänglichen Sprache und einem zugänglichen Format anzufordern und darauf zuzugreifen, wenn der Zugang zu diesen Unterlagen erforderlich ist, um ihr Mandat innerhalb der Grenzen wirksam zu erfüllen ihrer Gerichtsbarkeit. Die zuständige Behörde oder Stelle unterrichtet die Marktüberwachungsbehörde des betreffenden Mitgliedstaats über ein solches Ersuchen.
4. Spätestens drei Monate nach Inkrafttreten dieser Verordnung benennt jeder Mitgliedstaat die in Absatz 3 genannten Behörden oder Stellen und macht eine Liste öffentlich zugänglich. Die Mitgliedstaaten übermitteln die Liste der Kommission und allen anderen Mitgliedstaaten und halten sie auf dem neuesten Stand.
5. Reichen die in Absatz 3 genannten Unterlagen nicht aus, um festzustellen, ob ein Verstoß gegen Verpflichtungen aus dem Unionsrecht zum Schutz der Grundrechte vorliegt, so kann die in Absatz 3 genannte Behörde oder Stelle bei der Marktüberwachungsbehörde einen begründeten Antrag stellen, das Hochrisiko-KI-System mit technischen Mitteln zu testen. Die Marktüberwachungsbehörde organisiert die Tests unter enger Beteiligung der ersuchenden Behörde oder Stelle innerhalb einer angemessenen Frist nach der Aufforderung.
6. Alle Informationen und Unterlagen, die die in Absatz 3 genannten nationalen Behörden oder Stellen gemäß den Bestimmungen dieses Artikels erhalten, werden unter Beachtung der Vertraulichkeitsverpflichtungen gemäß Artikel 70 behandelt.
Artikel 65 Verfahren für den Umgang mit KI-Systemen, die ein Risiko auf nationaler Ebene bergen
1. KI-Systeme, die ein Risiko darstellen, gelten als Produkte, die ein Risiko im Sinne von Artikel 3 Nummer 19 der Verordnung (EU) 2019/1020 darstellen, soweit Risiken für die Gesundheit oder Sicherheit oder die Grundrechte von Personen betroffen sind.
2. Hat die Marktüberwachungsbehörde eines Mitgliedstaats hinreichende Gründe für die Annahme, dass ein KI-System ein Risiko im Sinne des Absatzes 1 darstellt, so führt sie eine Bewertung des betreffenden KI-Systems im Hinblick auf die Einhaltung aller in dieser Verordnung festgelegten Anforderungen und Pflichten durch. Besonderes Augenmerk wird auf KI-Systeme gelegt, die ein Risiko für schutzbedürftige Gruppen darstellen (gemäß Artikel 5). Werden Risiken für die Grundrechte festgestellt, so unterrichtet die Marktüberwachungsbehörde auch die in Artikel 64 Absatz 3 genannten einschlägigen nationalen Behörden oder Stellen und arbeitet uneingeschränkt mit ihnen zusammen. Die betreffenden Betreiber arbeiten erforderlichenfalls mit der Marktüberwachungsbehörde und den anderen in Artikel 64 Absatz 3 genannten nationalen Behörden oder Stellen zusammen; Stellt die Marktüberwachungsbehörde im Rahmen dieser Bewertung und gegebenenfalls in Zusammenarbeit mit der in Artikel 64 Absatz 3 genannten nationalen Behörde fest, dass das KI-System die in dieser Verordnung festgelegten Anforderungen und Pflichten nicht erfüllt, so fordert sie den betreffenden Betreiber unverzüglich auf, alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Konformität des KI-Systems herzustellen; das KI-System vom Markt zu nehmen oder es innerhalb einer von ihr vorgeschriebenen Frist, spätestens jedoch innerhalb von fünfzehn Arbeitstagen oder gemäß den einschlägigen Harmonisierungsrechtsvorschriften der Union, zurückzurufen; Die Marktüberwachungsbehörde unterrichtet die betreffende notifizierte Stelle entsprechend. Artikel 18 der Verordnung (EU) 2019/1020 gilt für die in Unterabsatz 2 genannten Maßnahmen.
3. Ist die Marktüberwachungsbehörde der Auffassung, dass die Nichtkonformität nicht auf ihr Hoheitsgebiet beschränkt ist, so unterrichtet sie die Kommission und die anderen Mitgliedstaaten unverzüglich über die Ergebnisse der Bewertung und die Maßnahmen, zu denen sie den Betreiber aufgefordert hat.
???
5. 5. 2. Ergreift der Betreiber eines KI-Systems innerhalb der in Absatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so ergreift die Marktüberwachungsbehörde alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung oder Inbetriebnahme des KI-Systems auf ihrem nationalen Markt zu untersagen oder einzuschränken, das Produkt oder das eigenständige KI-System vom Markt zu nehmen oder zurückzurufen. Diese Behörde unterrichtet die Kommission und die anderen Mitgliedstaaten unverzüglich über diese Maßnahmen.
6. Die in Absatz 5 genannte Mitteilung enthält alle verfügbaren Einzelheiten, insbesondere die Informationen, die für die Identifizierung des nicht konformen KI-Systems erforderlich sind, die Herkunft des KI-Systems und der Lieferkette, die Art des behaupteten Verstoßes und das damit verbundene Risiko, die Art und Dauer der ergriffenen nationalen Maßnahmen sowie die vom betreffenden Betreiber vorgebrachten Argumente. Insbesondere geben die Marktüberwachungsbehörden an, ob die Nichtkonformität auf eine oder mehrere der folgenden Ursachen zurückzuführen ist:
-a) Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz;
a) wenn ein Hochrisiko-KI-System die Anforderungen des Titels III Kapitel 2 nicht erfüllt;
ba) Nichteinhaltung der Bestimmungen des Artikels 52;
7. Die Marktüberwachungsbehörden der Mitgliedstaaten, bei denen es sich nicht um die Marktüberwachungsbehörde des Mitgliedstaats handelt, der das Verfahren einleitet, unterrichten die Kommission und die anderen Mitgliedstaaten unverzüglich über alle erlassenen Maßnahmen und über alle ihnen vorliegenden zusätzlichen Informationen im Zusammenhang mit der Nichtkonformität des betreffenden KI-Systems und im Falle von Meinungsverschiedenheiten mit der notifizierten nationalen Maßnahme ihre Einwände.
8. Hat innerhalb von drei Monaten nach Eingang der Mitteilung gemäß Absatz 5 weder eine Marktüberwachungsbehörde eines Mitgliedstaats noch die Kommission Einwände gegen eine vorläufige Maßnahme erhoben, die von einer Marktüberwachungsbehörde eines anderen Mitgliedstaats ergriffen wurde, so gilt diese Maßnahme als gerechtfertigt. Dies gilt unbeschadet der Verfahrensrechte des betroffenen Unternehmers gemäß Artikel 18 der Verordnung (EU) 2019/1020. Die in Satz 1 dieses Absatzes genannte Frist wird im Falle der Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz auf dreißig Tage verkürzt.
9. Die Marktüberwachungsbehörden aller Mitgliedstaaten stellen sicher, dass unverzüglich geeignete restriktive Maßnahmen in Bezug auf das betreffende Produkt oder KI-System ergriffen werden, wie z. B. die Rücknahme des Produkts oder des KI-Systems vom Markt.
Artikel 65a Verfahren für den Umgang mit KI-Systemen, die vom Anbieter in Anwendung des Anhangs III als nicht risikoreich eingestuft werden
1. Hat eine Marktüberwachungsbehörde hinreichende Gründe für die Annahme, dass ein KI-System, das der Anbieter gemäß Anhang III als nicht mit hohem Risiko eingestuft hat, ein Hochrisikosystem darstellt, so führt sie eine Bewertung des betreffenden KI-Systems im Hinblick auf seine Einstufung als Hochrisiko-KI-System auf der Grundlage der in Anhang III und der Leitlinien der Kommission festgelegten Bedingungen durch.
2. Stellt die Marktüberwachungsbehörde bei dieser Bewertung fest, dass das betreffende KI-System ein hohes Risiko darstellt, so fordert sie den betreffenden Anbieter unverzüglich auf, alle erforderlichen Maßnahmen zu ergreifen, um das KI-System mit den Anforderungen und Verpflichtungen dieser Verordnung in Einklang zu bringen, und innerhalb einer von ihr festgelegten Frist geeignete Korrekturmaßnahmen zu ergreifen.
3. Ist die Marktüberwachungsbehörde der Auffassung, dass die Nutzung des betreffenden KI-Systems nicht auf ihr Hoheitsgebiet beschränkt ist, so unterrichtet sie die Kommission und die anderen Mitgliedstaaten unverzüglich über die Ergebnisse der Bewertung und die Maßnahmen, zu denen sie den Anbieter aufgefordert hat.
4. Der Anbieter stellt sicher, dass alle erforderlichen Maßnahmen ergriffen werden, um das KI-System mit den Anforderungen und Verpflichtungen dieser Verordnung in Einklang zu bringen. 2. Bringt der Anbieter eines betreffenden KI-Systems das KI-System nicht innerhalb der in Absatz 2 genannten Frist in Übereinstimmung mit den Anforderungen und Pflichten dieser Verordnung, so werden gegen den Anbieter Geldbußen gemäß Artikel 71 verhängt.
5. Der Anbieter stellt sicher, dass alle geeigneten Korrekturmaßnahmen in Bezug auf alle betroffenen KI-Systeme ergriffen werden, die er in der gesamten Union auf dem Markt bereitgestellt hat.
6. Ergreift der Anbieter des betreffenden KI-Systems innerhalb der in Absatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so gelten die Bestimmungen des Artikels 65 Absätze 5 bis 9.
7. Stellt die Marktüberwachungsbehörde im Zuge dieser Bewertung gemäß Absatz 1 fest, dass das KI-System vom Anbieter fälschlicherweise als nicht mit hohem Risiko verbunden eingestuft wurde, um die Anwendung der Anforderungen des Titels III Kapitel 2 zu umgehen, so werden gegen den Anbieter Geldbußen gemäß Artikel 71 verhängt.
8. Bei der Ausübung ihrer Befugnis zur Überwachung der Anwendung dieses Artikels und gemäß Artikel 11 der Verordnung (EU) 2019/1020 können die Marktüberwachungsbehörden geeignete Kontrollen durchführen, wobei sie insbesondere die in der in Artikel 60 genannten EU-Datenbank gespeicherten Informationen berücksichtigen.
Artikel 66 ???
1. Erhebt die Marktüberwachungsbehörde eines Mitgliedstaats innerhalb von drei Monaten nach Eingang der Mitteilung gemäß Artikel 65 Absatz 5 oder innerhalb von 30 Tagen im Falle der Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz Einwände gegen eine Maßnahme einer anderen Marktüberwachungsbehörde, oder wenn die Kommission der Auffassung ist, dass die Maßnahme gegen das Unionsrecht verstößt, konsultiert sie unverzüglich die Marktüberwachungsbehörde des betreffenden Mitgliedstaats und den betreffenden Betreiber und bewertet die nationale Maßnahme. Auf der Grundlage der Ergebnisse dieser Bewertung entscheidet die Kommission innerhalb von sechs Monaten bzw. 60 Tagen im Falle der Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz, beginnend mit der Mitteilung gemäß Artikel 65 Absatz 5, ob die nationale Maßnahme gerechtfertigt ist oder nicht, und teilt diese Entscheidung der Marktüberwachungsbehörde des betreffenden Mitgliedstaats mit. Die Kommission unterrichtet auch alle anderen Marktüberwachungsbehörden über diese Entscheidung.
2. Wird die von den betreffenden Mitgliedstaaten ergriffene Maßnahme von der Kommission als gerechtfertigt erachtet, so stellen alle Mitgliedstaaten sicher, dass geeignete restriktive Maßnahmen in Bezug auf das betreffende KI-System ergriffen werden, wie z. B. die unverzügliche Rücknahme des KI-Systems vom Markt, und unterrichten die Kommission entsprechend. Wird die nationale Maßnahme von der Kommission als nicht gerechtfertigt erachtet, so hebt der betreffende Mitgliedstaat die Maßnahme auf und unterrichtet die Kommission entsprechend.
3. Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des KI-Systems auf Mängel der harmonisierten Normen oder gemeinsamen Spezifikationen gemäß den Artikeln 40 und 41 der vorliegenden Verordnung zurückgeführt, so wendet die Kommission das Verfahren des Artikels 11 der Verordnung (EU) Nr. 1025/2012 an.
Artikel 67 Konforme KI-Systeme, die ein Risiko darstellen
1. Stellt die Marktüberwachungsbehörde eines Mitgliedstaats nach einer Bewertung gemäß Artikel 65 nach Anhörung der in Artikel 64 Absatz 3 genannten zuständigen nationalen Behörde fest, dass ein Hochrisiko-KI-System zwar den Anforderungen dieser Verordnung entspricht, aber ein Risiko für die Gesundheit oder Sicherheit von Personen, Grundrechte, oder auf andere Aspekte des Schutzes des öffentlichen Interesses, so fordert sie den betreffenden Betreiber auf, innerhalb einer von ihr gesetzten Frist unverzüglich alle geeigneten Maßnahmen zu ergreifen, um sicherzustellen, dass von dem betreffenden KI-System bei der Inverkehrbringung oder Inbetriebnahme dieses Risiko nicht mehr besteht.
2. Der Anbieter oder andere einschlägige Betreiber stellen sicher, dass innerhalb der von der Marktüberwachungsbehörde des Mitgliedstaats gemäß Absatz 1 vorgegebenen Frist Korrekturmaßnahmen in Bezug auf alle betroffenen KI-Systeme ergriffen werden, die sie in der gesamten Union auf dem Markt bereitgestellt haben.
3. Die Mitgliedstaaten unterrichten unverzüglich die Kommission und die anderen Mitgliedstaaten. Diese Informationen umfassen alle verfügbaren Einzelheiten, insbesondere die für die Identifizierung des betreffenden KI-Systems erforderlichen Daten, den Ursprung und die Lieferkette des KI-Systems, die Art des Risikos sowie die Art und Dauer der ergriffenen nationalen Maßnahmen.
4. Die Kommission konsultiert unverzüglich die betroffenen Mitgliedstaaten und den betreffenden Betreiber und bewertet die getroffenen nationalen Maßnahmen. Auf der Grundlage der Ergebnisse dieser Bewertung entscheidet die Kommission, ob die Maßnahme gerechtfertigt ist oder nicht, und schlägt erforderlichenfalls geeignete Maßnahmen vor.
5. Die Kommission teilt ihre Entscheidung unverzüglich den betroffenen Mitgliedstaaten und den betroffenen Marktteilnehmern mit. Sie unterrichtet auch alle anderen Mitgliedstaaten über die Entscheidung.
Artikel 68 ???
1. Trifft die Marktüberwachungsbehörde eines Mitgliedstaats eine der folgenden Feststellungen, so fordert sie den betreffenden Anbieter auf, die betreffende Nichtkonformität innerhalb einer von ihr festgesetzten Frist abzustellen:
a) die CE-Kennzeichnung unter Verstoß gegen Artikel 49 angebracht wurde;
b) die CE-Kennzeichnung nicht angebracht wurde;
ea) die Registrierung in der EU-Datenbank wurde nicht vorgenommen;
eb) gegebenenfalls wurde der Bevollmächtigte nicht bestellt.
(ec) die technischen Unterlagen sind nicht verfügbar
2. Besteht die Nichtkonformität gemäß Absatz 1 weiterhin, ergreift die Marktüberwachungsbehörde des betreffenden Mitgliedstaats geeignete und verhältnismäßige Maßnahmen, um die Bereitstellung des Hochrisiko-KI-Systems auf dem Markt einzuschränken oder zu untersagen oder sicherzustellen, dass es unverzüglich zurückgerufen oder vom Markt genommen wird.
Artikel 68a EU-Unterstützungsstrukturen für KI-Tests im Bereich der künstlichen Intelligenz
1. Die Kommission benennt eine oder mehrere EU-Unterstützungsstrukturen für KI-Tests, die die in Artikel 21 Absatz 6 der Verordnung (EU) Nr. 1020/2019 aufgeführten Aufgaben im Bereich der künstlichen Intelligenz wahrnehmen.
2. Unbeschadet der in Absatz 1 genannten Aufgaben leistet die EU-Unterstützungsstruktur für KI-Tests auf Ersuchen des Ausschusses, der Kommission oder der Marktüberwachungsbehörden auch unabhängige technische oder wissenschaftliche Beratung.
Kapitel 3b (neu) Ersetzt Artikel 68 a Recht auf Beschwerde bei einer Marktüberwachungsbehörde
1. Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe kann jede natürliche oder juristische Person, die Grund zu der Annahme hat, dass ein Verstoß gegen die Bestimmungen dieser Verordnung vorliegt, Beschwerde bei der zuständigen Marktüberwachungsbehörde einreichen. Gemäß der Verordnung (EU) 2019/1020 werden Beschwerden für die Zwecke der Durchführung der Marktüberwachungstätigkeiten berücksichtigt und im Einklang mit den von den Marktüberwachungsbehörden festgelegten speziellen Verfahren bearbeitet
Kapitel I Beaufsichtigung, Untersuchung, Durchsetzung und Überwachung von Anbietern von KI-Modellen für allgemeine Zwecke
Artikel A Durchsetzung der Verpflichtungen von Anbietern von KI-Modellen für allgemeine Zwecke
1. Die Kommission hat die ausschließliche Befugnis zur Überwachung und Durchsetzung des Kapitels/Titels [allgemeine KI-Modelle] unter Berücksichtigung der Verfahrensgarantien gemäß Artikel H. Die Kommission betraut unbeschadet der Organisationsbefugnisse der Kommission und der Aufteilung der Zuständigkeiten zwischen den Mitgliedstaaten und der Union auf der Grundlage der Verträge das Europäische Amt für KI mit der Durchführung dieser Aufgaben
2. Unbeschadet des Artikels 63a Absatz 3 können die Marktüberwachungsbehörden die Kommission ersuchen, die in diesem Kapitel festgelegten Befugnisse auszuüben, wenn dies erforderlich und verhältnismäßig ist, um die Erfüllung ihrer Aufgaben im Rahmen dieser Verordnung zu unterstützen.
Artikel B Überwachungsmaßnahmen
Für die Zwecke der Wahrnehmung der ihm nach diesem Kapitel übertragenen Aufgaben kann das KI-Büro die erforderlichen Maßnahmen ergreifen, um die wirksame Umsetzung und Einhaltung dieser Verordnung durch Anbieter von universellen KI-Modellen zu überwachen, einschließlich der Einhaltung genehmigter Verhaltenskodizes.
2. Die nachgeschalteten Anbieter haben das Recht, eine Beschwerde einzureichen, in der ein Verstoß gegen diese Verordnung geltend gemacht wird. Eine Beschwerde muss ordnungsgemäß begründet sein und mindestens Folgendes enthalten:
a) die Kontaktstelle des Anbieters des betreffenden Allzweck-KI-Modells;
b) Beschreibung des relevanten Sachverhalts, der betreffenden Bestimmungen dieser Verordnung und der Gründe, aus denen der nachgeschaltete Anbieter der Auffassung ist, dass der Anbieter des betreffenden KI-Modells für allgemeine Zwecke gegen diese Verordnung verstoßen hat;
c) alle sonstigen Informationen, die der nachgeschaltete Anbieter, der das Ersuchen gestellt hat, für relevant hält, gegebenenfalls einschließlich der von sich aus eingeholten Informationen.
Artikel C Warnmeldungen des Wissenschaftlichen Gremiums vor Systemrisiken
1. Das wissenschaftliche Gremium kann dem KI-Büro eine qualifizierte Warnmeldung übermitteln, wenn es Grund zu der Annahme hat, dass
a. Ein allgemeines KI-Modell stellt
b) ein KI-Modell für allgemeine Zwecke erfüllt die Anforderungen gemäß Artikel [Einstufung von KI-Modellen für allgemeine Zwecke mit Systemrisiko…].
2. Bei einer solchen qualifizierten Ausschreibung kann die Kommission über das KI-Büro und nach Unterrichtung des KI-Ausschusses die in diesem Kapitel festgelegten Befugnisse zum Zwecke der Bewertung der Angelegenheit ausüben. Das KI-Büro unterrichtet den Ausschuss über jede Maßnahme gemäß den Artikeln [D-H].
3. Eine qualifizierte Ausschreibung muss hinreichend begründet sein und mindestens Folgendes enthalten:
a) die Kontaktstelle des Anbieters des Allzweck-KI-Modells mit betroffenem Systemrisiko;
b) eine Beschreibung der relevanten Tatsachen und Gründe für den Verdacht des wissenschaftlichen Gremiums;
c) alle sonstigen Informationen, die das wissenschaftliche Gremium für relevant hält, gegebenenfalls einschließlich der von sich aus eingeholten Informationen.
Artikel D Befugnis zur Anforderung von Unterlagen und Informationen
1. Die Kommission kann den Anbieter des betreffenden KI-Modells für allgemeine Zwecke auffordern, die von ihm erstellten Unterlagen gemäß Artikel [Pflichten für Anbieter von KI-Modellen für allgemeine Zwecke] und [Pflichten von Anbietern von KI-Modellen für allgemeine Zwecke mit Systemrisiko] oder alle zusätzlichen Informationen vorzulegen, die für die Bewertung der Einhaltung dieser Verordnung durch den Anbieter erforderlich sind.
2. Vor der Übermittlung des Auskunftsersuchens kann das KI-Amt einen strukturierten Dialog mit dem Anbieter des universellen KI-Modells aufnehmen.
3. Auf hinreichend begründetes Ersuchen des Wissenschaftlichen Gremiums kann die Kommission ein Auskunftsersuchen an einen Anbieter eines KI-Modells für allgemeine Zwecke richten, wenn der Zugang zu Informationen für die Erfüllung der Aufgaben des Wissenschaftlichen Gremiums gemäß Artikel [Wissenschaftliches Gremium]2. erforderlich und verhältnismäßig ist.
4. In dem Auskunftsersuchen sind die Rechtsgrundlage und der Zweck des Auskunftsersuchens anzugeben, anzugeben, welche Informationen verlangt werden, sowie die Frist, innerhalb derer die Auskünfte zu erteilen sind, sowie die in Artikel [Geldbußen] vorgesehenen Geldbußen für die Erteilung unrichtiger, unvollständiger oder irreführender Auskünfte festzulegen.
5. Der Anbieter des betreffenden KI-Modells für allgemeine Zwecke oder ihre Vertreter und, im Falle juristischer Personen, Gesellschaften oder Firmen oder wenn sie keine Rechtspersönlichkeit haben, die Personen, die nach Gesetz oder Satzung zu ihrer Vertretung befugt sind, stellen die angeforderten Informationen im Namen des Anbieters des betreffenden KI-Modells für allgemeine Zwecke zur Verfügung.
Ordnungsgemäß bevollmächtigte Rechtsanwälte können die Auskünfte im Namen ihrer Mandanten erteilen. Letzterer bleibt in vollem Umfang verantwortlich, wenn die bereitgestellten Informationen unvollständig, falsch oder irreführend sind.
Artikel E Befugnis zur Durchführung von Evaluierungen
1. Das KI-Büro kann nach Anhörung des Ausschusses Evaluierungen des betreffenden KI-Modells für allgemeine Zwecke durchführen
a) Bewertung der Einhaltung der Verpflichtungen aus dieser Verordnung durch den Anbieter, wenn die gemäß Artikel D [Befugnis zum Anfordern von Informationen] eingeholten Informationen nicht ausreichen; oder
b) Untersuchung der Systemrisiken von Allzweck-KI-Modellen mit Systemrisiko auf Unionsebene, insbesondere im Anschluss an einen qualifizierten Bericht des wissenschaftlichen Gremiums gemäß Artikel [Durchsetzung der Verpflichtungen von Anbietern von Allzweck-KI-Modellen und Allzweck-KI-Modellen mit Systemrisiko]3.
2. Die Kommission kann beschließen, unabhängige Sachverständige zu benennen, die in ihrem Namen Bewertungen durchführen, auch aus dem wissenschaftlichen Gremium gemäß Artikel [Wissenschaftliches Gremium unabhängiger Sachverständiger]. Alle unabhängigen Sachverständigen, die für diese Aufgabe benannt werden, müssen die in Artikel 58b Absatz 2 genannten Kriterien erfüllen.
3. Für die Zwecke des Absatzes 1 kann die Kommission den Zugang zu dem betreffenden KI-Modell für allgemeine Zwecke über Anwendungsprogrammierschnittstellen (API) oder andere geeignete technische Mittel und Instrumente, auch über Quellcode, beantragen.
4. In dem Antrag auf Zugang sind die Rechtsgrundlage, der Zweck und die Gründe des Antrags anzugeben und die Frist, innerhalb derer der Zugang zu gewähren ist, sowie die in Artikel [Geldbußen] vorgesehenen Geldbußen für die Nichtgewährung des Zugangs anzugeben.
5. Die Anbieter des betreffenden KI-Modells für allgemeine Zwecke und, im Falle juristischer Personen, Gesellschaften oder Firmen oder, wenn sie keine Rechtspersönlichkeit besitzen, die Personen, die nach Gesetz oder Satzung zu ihrer Vertretung befugt sind, gewähren den im Namen des Anbieters beantragten Zugang zu den Personen, die nach Gesetz oder Satzung zu ihrer Vertretung befugt sind. betreffenden KI-Modells.
6. Die Modalitäten und Bedingungen der Evaluierungen, einschließlich der Modalitäten für die Einbeziehung unabhängiger Sachverständiger und des Verfahrens für deren Auswahl, werden in Durchführungsrechtsakten festgelegt. Diese Durchführungsrechtsakte werden nach dem in Artikel xx Buchstabe x genannten Prüfverfahren erlassen.
7. Vor der Beantragung des Zugangs zu dem betreffenden KI-Modell für allgemeine Zwecke kann das KI-Amt einen strukturierten Dialog mit dem Anbieter des KI-Modells für allgemeine Zwecke einleiten, um weitere Informationen über die interne Prüfung des Modells, interne Garantien zur Vermeidung systemischer Risiken und andere interne Verfahren und Maßnahmen zu sammeln, die der Anbieter zur Minderung solcher Risiken ergriffen hat.
Artikel F Befugnis, Maßnahmen zu beantragen
1. Erforderlichenfalls und angemessen kann die Kommission die Anbieter auffordern,
a) geeignete Maßnahmen zu ergreifen, um den in Titel/Kapitel [Pflichten des Anbieters von KI-Modellen für allgemeine Zwecke] festgelegten Verpflichtungen nachzukommen;
b) von einem Anbieter die Durchführung von Minderungsmaßnahmen zu verlangen, wenn die gemäß Artikel [Befugnis zur Durchführung von Evaluierungen] durchgeführte Evaluierung Anlass zu ernsthaften und begründeten Bedenken hinsichtlich eines Systemrisikos auf Unionsebene gegeben hat;
c) die Bereitstellung auf dem Markt einzuschränken, das Modell vom Markt zu nehmen oder zurückzurufen.
2. Bevor eine Maßnahme beantragt wird, kann das KI-Amt einen strukturierten Dialog mit dem Anbieter des universellen KI-Modells aufnehmen.
3. Bietet der Anbieter des Allzweck-KI-Modells mit Systemrisiko während des strukturierten Dialogs gemäß Absatz 2 Zusagen zur Durchführung von Minderungsmaßnahmen zur Bewältigung eines Systemrisikos auf Unionsebene an, so kann die Kommission diese Verpflichtungen durch Beschluss für verbindlich erklären und erklären, dass kein weiterer Grund für Maßnahmen besteht.
Artikel g???
Artikel H Verfahrensrechte der Wirtschaftsakteure des Allzweck-KI-Modells
Artikel 18 der Verordnung (EU) 2019/1020 gilt unbeschadet der in der vorliegenden Verordnung vorgesehenen spezifischeren Verfahrensrechte entsprechend für die Anbieter des Allzweck-KI-Modells.
Artikel 68 c Recht auf Erläuterung der individuellen Entscheidungsfindung
1. Jede betroffene Person, die einer Entscheidung unterliegt, die vom Betreiber auf der Grundlage der Ergebnisse eines in Anhang III aufgeführten Hochrisiko-KI-Systems, mit Ausnahme der unter Nummer 2 aufgeführten Systeme, getroffen wird und die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich in einer Weise beeinträchtigt, die ihrer Ansicht nach ihre Gesundheit beeinträchtigt, Sicherheit und Grundrechte haben das Recht, vom Betreiber klare und aussagekräftige Erläuterungen zur Rolle des KI-Systems im Entscheidungsverfahren und zu den wichtigsten Elementen der getroffenen Entscheidung zu verlangen.
2. Absatz 1 gilt nicht für den Einsatz von KI-Systemen, für die sich Ausnahmen oder Beschränkungen von der Verpflichtung nach Absatz 1 aus dem Unionsrecht oder dem nationalen Recht im Einklang mit dem Unionsrecht ergeben.
3. Dieser Artikel gilt nur insoweit, als das in Absatz 1 genannte Recht nicht bereits in den Rechtsvorschriften der Union vorgesehen ist.
Artikel 68 d
Änderung der Richtlinie (EU) 2020/1828 In Anhang I der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates 1a wird folgender Buchstabe angefügt: „(67a) Verordnung xxxx/xxxx des Europäischen Parlaments und des Rates [mit harmonisierten Vorschriften über künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Gesetzgebungsakte der Union (ABl. _________________ 1a Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1).
Artikel 68 e
Meldung von Verstößen und Schutz von Hinweisgebern Die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates gilt für die Meldung von Verstößen gegen diese Verordnung und den Schutz von Personen, die solche Verstöße melden.
Kapitel 3c Aufsicht, Untersuchung, Durchsetzung und Überwachung in Bezug auf Anbieter von KI-Modellen für allgemeine Zwecke
Artikel 68f: Durchsetzung der Verpflichtungen von Anbietern von KI-Modellen für allgemeine Zwecke
1. Die Kommission hat die ausschließliche Zuständigkeit für die Überwachung und Durchsetzung von Kapitel/Titel [AI-Modelle für allgemeine Zwecke] unter Berücksichtigung der Verfahrensgarantien gemäß Artikel H. Die Kommission überträgt die Durchführung dieser Aufgaben dem Europäischen AI-Büro, unbeschadet der Organisationsbefugnisse der Kommission und der auf den Verträgen beruhenden Aufteilung der Zuständigkeiten zwischen den Mitgliedstaaten und der Union.
2. Unbeschadet des Artikels 63a Absatz 3 können die Marktüberwachungsbehörden die Kommission ersuchen, die in diesem Kapitel festgelegten Befugnisse auszuüben, wenn dies notwendig und verhältnismäßig ist, um sie bei der Erfüllung ihrer Aufgaben gemäß dieser Verordnung zu unterstützen.
Artikel 68g: Überwachungsmaßnahmen
1. Zur Erfüllung der ihm nach diesem Kapitel übertragenen Aufgaben kann das AI-Büro die erforderlichen Maßnahmen ergreifen, um die wirksame Durchführung und Einhaltung dieser Verordnung durch die Anbieter von AI-Modellen für allgemeine Zwecke, einschließlich der Einhaltung der genehmigten Verhaltenskodizes, zu überwachen.
2. Die nachgeschalteten Anbieter haben das Recht, eine Beschwerde wegen eines Verstoßes gegen diese Verordnung einzureichen. Eine Beschwerde ist ordnungsgemäß zu begründen und zumindest anzugeben:
(a) die Kontaktstelle des Anbieters des betreffenden AI-Modells für allgemeine Zwecke;
(b) Beschreibung des relevanten Sachverhalts, der betreffenden Bestimmungen dieser Verordnung und der Gründe, warum der nachgeschaltete Anbieter der Auffassung ist, dass der Anbieter des betreffenden KI-Modells für allgemeine Zwecke gegen diese Verordnung verstoßen hat;
(c) alle sonstigen Informationen, die der nachgeschaltete Anbieter, der die Anfrage gestellt hat, für relevant hält, gegebenenfalls auch Informationen, die er von sich aus eingeholt hat.
Artikel 68g: Überwachungsmaßnahmen
1. Zur Erfüllung der ihm nach diesem Kapitel übertragenen Aufgaben kann das AI-Büro die erforderlichen Maßnahmen ergreifen, um die wirksame Durchführung und Einhaltung dieser Verordnung durch die Anbieter von AI-Modellen für allgemeine Zwecke, einschließlich der Einhaltung der genehmigten Verhaltenskodizes, zu überwachen.
2. Die nachgeschalteten Anbieter haben das Recht, eine Beschwerde wegen eines Verstoßes gegen diese Verordnung einzureichen. Eine Beschwerde ist ordnungsgemäß zu begründen und zumindest anzugeben:
TITEL IX: VERHALTENSKODIZES
Artikel 69 Verhaltenskodizes für die freiwillige Anwendung spezifischer Anforderungen
1. Das KI-Büro und die Mitgliedstaaten fördern und erleichtern die Ausarbeitung von Verhaltenskodizes, einschließlich der damit verbundenen Governance-Mechanismen, mit denen die freiwillige Anwendung einiger oder aller der in Titel III Kapitel 2 dieser Verordnung festgelegten Anforderungen auf andere KI-Systeme als Hochrisiko-KI-Systeme gefördert werden soll, wobei die verfügbaren technischen Lösungen und bewährten Verfahren der Branche, die die Anwendung dieser Anforderungen ermöglichen, berücksichtigt werden.
2. Das KI-Büro und die Mitgliedstaaten erleichtern die Ausarbeitung von Verhaltenskodizes für die freiwillige Anwendung spezifischer Anforderungen an alle KI-Systeme, auch durch Betreiber, auf der Grundlage klarer Ziele und zentraler Leistungsindikatoren zur Messung der Erreichung dieser Ziele, einschließlich Elementen wie, aber nicht beschränkt auf:
a) anwendbare Elemente, die in den europäischen Ethikleitlinien für vertrauenswürdige KI vorgesehen sind;
b) Bewertung und Minimierung der Auswirkungen von KI-Systemen auf die ökologische Nachhaltigkeit, auch im Hinblick auf energieeffiziente Programmierung und Techniken für eine effiziente Konzeption, Ausbildung und Nutzung von KI;
c) Förderung der KI-Kompetenz, insbesondere von Personen, die mit der Entwicklung, dem Betrieb und der Nutzung von KI befasst sind;
d) Erleichterung einer inklusiven und vielfältigen Gestaltung von KI-Systemen, unter anderem durch die Einrichtung inklusiver und vielfältiger Entwicklungsteams und die Förderung der Beteiligung der Interessenträger an diesem Prozess;
e) Bewertung und Verhinderung der negativen Auswirkungen von KI-Systemen auf schutzbedürftige Personen oder Personengruppen, auch im Hinblick auf die Zugänglichkeit für Menschen mit Behinderungen, sowie auf die Gleichstellung der Geschlechter.
3. Verhaltenskodizes können von einzelnen Anbietern oder Betreibern von KI-Systemen oder von Organisationen, die sie vertreten, oder von beiden, auch unter Einbeziehung der Betreiber und aller interessierten Interessenträger und ihrer Vertretungsorganisationen, einschließlich Organisationen der Zivilgesellschaft und der Wissenschaft, ausgearbeitet werden. Verhaltenskodizes können sich auf ein oder mehrere KI-Systeme erstrecken, wobei die Ähnlichkeit der Zweckbestimmung der betreffenden Systeme zu berücksichtigen ist.
4. Das KI-Büro und die Mitgliedstaaten berücksichtigen die besonderen Interessen und Bedürfnisse von KMU, einschließlich Start-up-Unternehmen, wenn sie die Ausarbeitung von Verhaltenskodizes fördern und erleichtern.
TITEL X: VERTRAULICHKEIT UND SANKTIONEN
Artikel 70 Vertraulichkeit
1. Die Kommission, die Marktüberwachungsbehörden und notifizierten Stellen sowie alle anderen natürlichen oder juristischen Personen, die an der Anwendung dieser Verordnung beteiligt sind, wahren im Einklang mit dem Unionsrecht oder dem nationalen Recht die Vertraulichkeit von Informationen und Daten, die sie bei der Wahrnehmung ihrer Aufgaben und Tätigkeiten erhalten, in einer Weise, die insbesondere Folgendes schützt:
a) Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse einer natürlichen oder juristischen Person, einschließlich Quellcode, mit Ausnahme der in Artikel 5 der Richtlinie 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb, rechtswidriger Nutzung und rechtswidriger Offenlegung;
b) die wirksame Durchführung dieser Verordnung, insbesondere für die Zwecke von Inspektionen, Untersuchungen oder Audits;
ba) öffentliche und nationale Sicherheitsinteressen
c) Integrität von Straf- oder Verwaltungsverfahren.
da) die Integrität von Informationen, die im Einklang mit dem Unionsrecht oder dem nationalen Recht als Verschlusssache eingestuft sind.
db) 1a) 2. Die Behörden, die gemäß Absatz 1 an der Anwendung dieser Verordnung beteiligt sind, fordern nur Daten an, die für die Bewertung des vom KI-System ausgehenden Risikos und für die Ausübung ihrer Befugnisse im Einklang mit dieser Verordnung und der Verordnung (EU) 2019/1020 unbedingt erforderlich sind. Sie ergreifen angemessene und wirksame Cybersicherheitsmaßnahmen, um die Sicherheit und Vertraulichkeit der erhaltenen Informationen und Daten zu schützen, und löschen die erhobenen Daten, sobald sie für den Zweck, für den sie angefordert wurden, im Einklang mit den geltenden nationalen oder europäischen Rechtsvorschriften nicht mehr benötigt werden.
2. Unbeschadet der Absätze 1 und 1a dürfen Informationen, die auf vertraulicher Basis zwischen den zuständigen nationalen Behörden sowie zwischen den zuständigen nationalen Behörden und der Kommission ausgetauscht werden, nicht ohne vorherige Konsultation der zuständigen nationalen Behörde und des Betreibers offengelegt werden, wenn die in Anhang III Nummern 1, 6 und 7 genannten Hochrisiko-KI-Systeme von den Strafverfolgungsbehörden verwendet werden — Grenzkontroll-, Einwanderungs- oder Asylbehörden, wenn eine solche Offenlegung die öffentlichen und nationalen Sicherheitsinteressen gefährden würde. Dieser Informationsaustausch erstreckt sich nicht auf sensible operative Daten im Zusammenhang mit den Tätigkeiten der Strafverfolgungs-, Grenzkontroll-, Einwanderungs- oder Asylbehörden.
Handelt es sich bei den Strafverfolgungs-, Einwanderungs- oder Asylbehörden um Anbieter von Hochrisiko-KI-Systemen gemäß Anhang III Nummern 1, 6 und 7, so verbleiben die in Anhang IV genannten technischen Unterlagen in den Räumlichkeiten dieser Behörden. Diese Behörden stellen sicher, dass die in Artikel 63 Absätze 5 und 6 genannten Marktüberwachungsbehörden auf Antrag unverzüglich Zugang zu den Unterlagen erhalten oder eine Kopie davon erhalten können. Nur Bedienstete der Marktüberwachungsbehörde, die über eine angemessene Sicherheitsermächtigung verfügen, dürfen auf diese Unterlagen oder Kopien davon zugreifen.
3. Die Absätze 1, 1a und 2 berühren weder die Rechte und Pflichten der Kommission, der Mitgliedstaaten und ihrer zuständigen Behörden als auch der notifizierten Stellen in Bezug auf den Informationsaustausch und die Verbreitung von Warnungen, auch im Rahmen der grenzüberschreitenden Zusammenarbeit, noch die strafrechtlichen Verpflichtungen der betroffenen Parteien zur Bereitstellung von Informationen nach dem Strafrecht der Mitgliedstaaten. ätze 1 und 2 dürfen sich weder auf die Rechte und Pflichten der Kommission, der Mitgliedstaaten und notifizierten Stellen in Bezug auf den Informationsaustausch und die Weitergabe von Warnungen noch auf die Pflichten der betreffenden Parteien auswirken, Informationen auf der Grundlage des Strafrechts der Mitgliedstaaten bereitzustellen.
4. Die Kommission und die Mitgliedstaaten können erforderlichenfalls und im Einklang mit den einschlägigen Bestimmungen internationaler Abkommen und Handelsübereinkünfte vertrauliche Informationen mit Regulierungsbehörden von Drittländern austauschen, mit denen sie bilaterale oder multilaterale Vertraulichkeitsvereinbarungen geschlossen haben, die ein angemessenes Maß an Vertraulichkeit gewährleisten.
Artikel 71 Sanktionen
1. Die Mitgliedstaaten legen im Einklang mit den in dieser Verordnung festgelegten Bedingungen die Vorschriften über Sanktionen und andere Durchsetzungsmaßnahmen fest, die auch Verwarnungen und nichtmonetäre Maßnahmen umfassen können, die bei Verstößen von Marktteilnehmern gegen diese Verordnung anzuwenden sind, und treffen alle erforderlichen Maßnahmen, um sicherzustellen, dass diese ordnungsgemäß und wirksam durchgeführt werden, und berücksichtigen dabei die von der Kommission gemäß Artikel 82b herausgegebenen Leitlinien. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Sie tragen den Interessen von KMU, einschließlich Start-up-Unternehmen, und ihrer wirtschaftlichen Rentabilität Rechnung.
2. Die Mitgliedstaaten unterrichten die Kommission unverzüglich, spätestens jedoch bis zum Zeitpunkt des Inkrafttretens dieser Vorschriften und Maßnahmen, und unterrichten sie unverzüglich über jede spätere Änderung, die sie betrifft.
3. Die Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz wird mit Geldbußen von bis zu 35 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, mit bis zu 7 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet, je nachdem, welcher Betrag höher ist:
4. Die Nichteinhaltung einer der folgenden Bestimmungen in Bezug auf Betreiber oder notifizierte Stellen, die nicht in Artikel 5 festgelegt sind, wird mit Geldbußen von bis zu 15 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, mit bis zu 3 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet. je nachdem, welcher Wert höher ist:
a) ???
b) Pflichten der Anbieter gemäß Artikel 16;
c) ???
d) Pflichten der Bevollmächtigten gemäß Artikel 25;
e) Pflichten der Einführer gemäß Artikel 26;
f) Pflichten der Händler gemäß Artikel 27;
g) Pflichten der Betreiber gemäß Artikel 29 Absätze 1 bis 6a;
h) Anforderungen und Pflichten der notifizierten Stellen gemäß Artikel 33, Artikel 34 Absatz 1, Artikel 34 Absatz 3, Artikel 34 Absatz 4 und Artikel 34a;
i) Transparenzpflichten für Anbieter und Nutzer gemäß Artikel 52.
5. Die Übermittlung unrichtiger, unvollständiger oder irreführender Informationen an notifizierte Stellen und zuständige nationale Behörden als Antwort auf ein Ersuchen wird mit Geldbußen von bis zu 7 500 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, mit bis zu 1 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet, je nachdem, welcher Betrag höher ist.
5a. Im Falle von KMU, einschließlich Start-up-Unternehmen, beträgt jede in diesem Artikel genannte Geldbuße die in den Absätzen 3, 4 und 5 genannten Prozentsätze oder Betrage, je nachdem, welcher der beiden Werte niedriger ist.
6. Bei der Entscheidung über die Verhängung einer Geldbuße und der Höhe der Geldbuße in jedem Einzelfall sind alle relevanten Umstände der besonderen Situation zu berücksichtigen und gegebenenfalls Folgendes zu berücksichtigen:
a) Art, Schwere und Dauer des Verstoßes und seiner Folgen unter Berücksichtigung des Zwecks des KI-Systems sowie gegebenenfalls der Zahl der betroffenen Personen und der Höhe des von ihnen erlittenen Schadens;
b) ob andere Marktüberwachungsbehörden eines oder mehrerer Mitgliedstaaten wegen desselben Verstoßes bereits Geldbußen gegen denselben Betreiber verhängt haben;
ba) ob andere Behörden bereits Geldbußen gegen denselben Betreiber wegen Verstößen gegen andere Rechtsvorschriften der Union oder der Mitgliedstaaten verhängt haben, wenn diese Verstöße auf dieselbe Tätigkeit oder Unterlassung zurückzuführen sind, die einen relevanten Verstoß gegen dieses Gesetz darstellt;
c) die Größe, den Jahresumsatz und den Marktanteil des Wirtschaftsteilnehmers, der die Zuwiderhandlung begangen hat;
ca) alle anderen erschwerenden oder mildernden Umstände, die auf die Umstände des Falles anwendbar sind, wie z. B. unmittelbar oder mittelbar durch die Zuwiderhandlung erlangte finanzielle Vorteile oder vermiedene Verluste.
ca) den Grad der Zusammenarbeit mit den zuständigen nationalen Behörden, um den Verstoß zu beheben und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern;
cb) den Grad der Verantwortung des Betreibers unter Berücksichtigung der von ihm durchgeführten technischen und organisatorischen Maßnahmen;
ce) die Art und Weise, in der der Verstoß den zuständigen nationalen Behörden bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Betreiber den Verstoß gemeldet hat;
cf) das Vorsatz oder die Fahrlässigkeit des Verstoßes;
cg) alle Maßnahmen, die der Betreiber ergriffen hat, um den Schaden der betroffenen Personen zu mindern;
7. Jeder Mitgliedstaat legt fest, in welchem Umfang Geldbußen gegen in diesem Mitgliedstaat niedergelassene Behörden und Stellen verhängt werden können.
8. Je nach Rechtsordnung der Mitgliedstaaten können die Vorschriften über Geldbußen so angewandt werden, dass die Geldbußen von den zuständigen nationalen Gerichten oder anderen Stellen in diesen Mitgliedstaaten verhängt werden. Die Anwendung dieser Vorschriften in diesen Mitgliedstaaten hat die gleiche Wirkung.
Artikel 72 Geldbußen gegen Organe, sonstige Stellen und Einrichtungen der Union
1. Der Europäische Datenschutzbeauftragte kann gegen Organe, sonstige Stellen und Einrichtungen der Union, die in den Anwendungsbereich dieser Verordnung fallen, Geldbußen verhängen. Bei der Entscheidung über die Verhängung einer Geldbuße und der Höhe der Geldbuße in jedem Einzelfall sind alle relevanten Umstände der besonderen Situation zu berücksichtigen und Folgendes gebührend zu berücksichtigen:
a) Art, Schwere und Dauer des Verstoßes und seiner Folgen unter Berücksichtigung des Zwecks des betreffenden KI-Systems sowie der Zahl der betroffenen Personen und der Höhe des von ihnen erlittenen Schadens sowie etwaiger einschlägiger früherer Verstöße;
aa) den Grad der Verantwortung des Organs, der sonstigen Stelle oder der Einrichtung der Union unter Berücksichtigung der von ihnen durchgeführten technischen und organisatorischen Maßnahmen;
ab) alle Maßnahmen, die das Organ, die sonstige Stelle oder die Einrichtung der Union ergriffen hat, um den den betroffenen Personen entstandenen Schaden zu mindern;
b) den Grad der Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten, um den Verstoß zu beheben und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern, einschließlich der Einhaltung von Maßnahmen, die der Europäische Datenschutzbeauftragte zuvor gegen das betreffende Organ, die betreffende Agentur oder Einrichtung der Union in Bezug auf denselben Gegenstand angeordnet hat;
c) ähnliche frühere Verstöße des Organs, der sonstigen Stelle oder der Einrichtung der Union;
ca) die Art und Weise, in der der Europäische Datenschutzbeauftragte von dem Verstoß Kenntnis erlangt hat, insbesondere ob und gegebenenfalls in welchem Umfang das Organ oder die Einrichtung der Union den Verstoß gemeldet hat;
cb) den Jahreshaushalt der Einrichtung;
2. Die Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz wird mit Geldbußen von bis zu 1 500 000 EUR geahndet.
a) gestrichen
aa) entfällt
b) gestrichen
3. Erfüllt das KI-System andere als die in Artikel 5 festgelegten Anforderungen oder Verpflichtungen aus dieser Verordnung, so wird mit Geldbußen von bis zu 750 000 EUR geahndet.
4. Bevor der Europäische Datenschutzbeauftragte Beschlüsse nach diesem Artikel fasst, gibt er dem Organ, der sonstigen Stelle oder der Einrichtung der Union, das bzw. die Gegenstand des Verfahrens des Europäischen Datenschutzbeauftragten ist, Gelegenheit, zu der Angelegenheit im Zusammenhang mit dem möglichen Verstoß gehört zu werden. Der Europäische Datenschutzbeauftragte stützt seine Entscheidungen nur auf Elemente und Umstände, zu denen die betroffenen Parteien Stellung nehmen konnten. Etwaige Beschwerdeführer werden eng in das Verfahren einbezogen.
5. Die Verteidigungsrechte der betroffenen Parteien werden in dem Verfahren uneingeschränkt gewahrt. Sie haben das Recht auf Einsicht in die Akte des Europäischen Datenschutzbeauftragten, vorbehaltlich des berechtigten Interesses der Einzelpersonen oder Unternehmen am Schutz ihrer personenbezogenen Daten oder Geschäftsgeheimnisse.
6. Die durch die Verhängung von Geldbußen gemäß diesem Artikel erhobenen Mittel tragen zum Gesamthaushaltsplan der Union bei. Die Geldbußen berühren nicht die wirksame Arbeit des Organs, der Einrichtung oder der sonstigen Stelle der Union, gegen die eine Geldbuße verhängt wurde.
6a. Der Europäische Datenschutzbeauftragte unterrichtet die Kommission jährlich über die von ihm gemäß diesem Artikel verhängten Geldbußen und alle Rechtsstreitigkeiten oder Gerichtsverfahren;
Artikel 72a Geldbußen für Anbieter von KI-Modellen für allgemeine Zwecke
1. Die Kommission kann gegen Anbieter von KI-Modellen für allgemeine Zwecke Geldbußen verhängen, die 3 % ihres weltweiten Gesamtumsatzes im vorangegangenen Geschäftsjahr oder 15 Mio. EUR nicht überschreiten dürfen, je nachdem, welcher Betrag höher ist. Geldbußen sollten ein Jahr nach Inkrafttreten der einschlägigen Bestimmungen dieser Verordnung verhängt werden, um den Anbietern ausreichend Zeit für die Anpassung zu geben, wenn die Kommission feststellt, dass der Anbieter vorsätzlich oder fahrlässig
a) gegen die einschlägigen Bestimmungen dieser Verordnung verstößt;
b) einem Ersuchen um Vorlage von Dokumenten oder Informationen gemäß Artikel [Befugnis zur Anforderung von Unterlagen und Informationen] nicht nachkommt oder unrichtige, unvollständige oder irreführende Auskünfte erteilt;
b) einer nach Artikel [Befugnis zum Ersuchen um Maßnahmen] beantragten Maßnahme nicht nachkommt;
c) der Kommission keinen Zugang zu dem KI-Modell für allgemeine Zwecke oder zum KI-Modell für allgemeine Zwecke mit Systemrisiko zur Verfügung stellt, um eine Bewertung gemäß Artikel [Befugnis zur Durchführung von Evaluierungen] durchzuführen.
Bei der Festsetzung der Höhe der Geldbuße oder des Zwangsgelds sind Art, Schwere und Dauer des Verstoßes unter gebührender Berücksichtigung der Grundsätze der Verhältnismäßigkeit und der Angemessenheit zu berücksichtigen. Die Kommission berücksichtigt auch Verpflichtungen, die sie gemäß Artikel F Absatz 3 oder in einschlägigen Verhaltenskodizes gemäß Artikel [Verhaltenskodizes] eingegangen ist.
2. Bevor die Kommission den Beschluss nach Absatz 1 dieses Artikels erlässt, teilt sie dem Anbieter des Allzweck-KI-Modells oder des Allzweck-KI-Modells mit Systemrisiko ihre vorläufigen Feststellungen mit und gibt Gelegenheit zur Anhörung. 2a) Die gemäß diesem Artikel verhängten Geldbußen müssen verhältnismäßig, abschreckend und wirksam sein.
2b) Die Informationen über die Geldbußen werden gegebenenfalls auch dem Ausschuss mitgeteilt.
3. Der Gerichtshof der Europäischen Union hat die Befugnis zu unbeschränkter Nachprüfung von Entscheidungen, mit denen die Kommission eine Geldbuße festgesetzt hat. Sie kann die verhängte Geldbuße aufheben, herabsetzen oder erhöhen.
4. Die Kommission erlässt Durchführungsrechtsakte in Bezug auf die Modalitäten und praktischen Modalitäten des Verfahrens im Hinblick auf den möglichen Erlass von Beschlüssen gemäß Absatz 1. Diese Durchführungsrechtsakte werden nach dem in Artikel xx Buchstabe x genannten Prüfverfahren erlassen.
TITEL XI: BEFUGNISÜBERTRAGUNG UND AUSSCHUSSVERFAHREN
Artikel 73 Ausübung der Befugnisübertragung
1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß [Artikel 4, Artikel 7 Absatz 1, Artikel 11 Absatz 3, Artikel 43 Absätze 5 und 6 und Artikel 48 Absatz 5] wird der Kommission für einen Zeitraum von fünf Jahren ab dem … [Datum des Inkrafttretens der Verordnung]. Die Kommission erstellt spätestens neun Monate vor Ablauf des Fünfjahreszeitraums einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.
3. Die Befugnisübertragung gemäß Artikel 7 Absatz 1, Artikel 7 Absatz 3, Artikel 11 Absatz 3, Artikel 43 Absätze 5 und 6 und Artikel 48 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Mit einem Beschluss über den Widerruf wird die in diesem Beschluss festgelegte Befugnisübertragung beendet. Sie wird am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin festgelegten späteren Zeitpunkt wirksam. Sie berührt nicht die Gültigkeit bereits in Kraft getretener delegierter Rechtsakte.
4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
5. Ein delegierter Rechtsakt, der gemäß [Artikel 4], Artikel 7 Absatz 1, Artikel 11 Absatz 3, Artikel 43 Absätze 5 und 6 und Artikel 48 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist haben sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt, dass sie keine Einwände erheben werden. Diese Frist wird auf Initiative des Europäischen Parlaments oder des Rates um drei Monate verlängert.
Artikel 74 Ausschussverfahren
1. Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
TITEL XII: SCHLUSSBESTIMMUNGEN
Artikel 75 Änderung der Verordnung (EG) Nr. 300/2008
In Artikel 4 Absatz 3 der Verordnung (EG) Nr. 300/2008 wird folgender Unterabsatz angefügt:
„Bei der Annahme detaillierter Maßnahmen in Bezug auf technische Spezifikationen und Verfahren für die Genehmigung und Verwendung von Sicherheitsausrüstungen für Systeme der künstlichen Intelligenz im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* sind die Anforderungen in Kapitel 2 Titel III der genannten Verordnung zu berücksichtigen.“
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 76 Änderung der Verordnung (EU) Nr. 167/2013
In Artikel 17 Absatz 5 der Verordnung (EU) Nr. 167/2013 wird folgender Unterabsatz angefügt:
„Beim Erlass delegierter Rechtsakte gemäß Unterabsatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 77 Änderung der Verordnung (EU) Nr. 168/2013
In Artikel 22 Absatz 5 der Verordnung (EU) Nr. 168/2013 wird folgender Unterabsatz angefügt:
„Beim Erlass delegierter Rechtsakte gemäß Unterabsatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX über [Künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 78 Änderung der Richtlinie 2014/90/EU
In Artikel 8 der Richtlinie 2014/90/EU wird folgender Absatz angefügt:
„4. Bei Systemen der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, berücksichtigt die Kommission bei der Durchführung ihrer Tätigkeiten gemäß Absatz 1 und bei der Annahme technischer Spezifikationen und Prüfnormen gemäß den Absätzen 2 und 3 die Anforderungen des Titels III — Kapitel 2 der genannten Verordnung.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 79 Änderung der Richtlinie (EU) 2016/797
In Artikel 5 der Richtlinie (EU) 2016/797 wird folgender Absatz angefügt:
„12. Beim Erlass delegierter Rechtsakte gemäß Absatz 1 und Durchführungsrechtsakten gemäß Absatz 11 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 80 Änderung der Verordnung (EU) 2018/858
In Artikel 5 der Verordnung (EU) 2018/858 wird folgender Absatz angefügt:
„4. Beim Erlass delegierter Rechtsakte gemäß Absatz 3 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitskomponenten im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates * handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 81 Änderung der Verordnung (EU) 2018/1139
Die Verordnung (EU) 2018/1139 wird wie folgt geändert:
1. In Artikel 17 wird folgender Absatz angefügt:
„3. Unbeschadet des Absatzes 2 werden beim Erlass von Durchführungsrechtsakten gemäß Absatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
2. In Artikel 19 wird folgender Absatz angefügt:
„4. Beim Erlass delegierter Rechtsakte gemäß den Absätzen 1 und 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.“
3. In Artikel 43 wird folgender Absatz angefügt:
„4. Beim Erlass von Durchführungsrechtsakten gemäß Absatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.“
4. In Artikel 47 wird folgender Absatz angefügt:
„3. Beim Erlass delegierter Rechtsakte gemäß den Absätzen 1 und 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.“
5. In Artikel 57 wird folgender Absatz angefügt:
„Beim Erlass dieser Durchführungsrechtsakte in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.“
6. In Artikel 58 wird folgender Absatz angefügt:
„3. Beim Erlass delegierter Rechtsakte gemäß den Absätzen 1 und 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.“
Artikel 82 Änderung der Verordnung (EU) 2019/2144
In Artikel 11 der Verordnung (EU) 2019/2144 wird folgender Absatz angefügt:
„3. Beim Erlass der Durchführungsrechtsakte gemäß Absatz 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).
Artikel 82a Leitlinien der Kommission zur Durchführung dieser Verordnung
1. Die Kommission erarbeitet Leitlinien für die praktische Durchführung dieser Verordnung, insbesondere für
a) die Anwendung der in den Artikeln 8 bis 15 und Artikel 28 genannten Anforderungen und Verpflichtungen;
b) die in Artikel 5 genannten verbotenen Praktiken;
c) die praktische Umsetzung der Bestimmungen über wesentliche Änderungen;
d) die praktische Umsetzung der in Artikel 52 festgelegten Transparenzpflichten;
e) ausführliche Informationen über das Verhältnis dieser Verordnung zu den in Anhang II dieser Verordnung genannten Rechtsvorschriften sowie zu anderen einschlägigen Rechtsvorschriften der Union, auch im Hinblick auf die Kohärenz ihrer Durchsetzung;
a) die Anwendung der Definition des Begriffs „KI-System“ gemäß Artikel 3 Absatz 1.
Bei der Herausgabe solcher Leitlinien achtet die Kommission besonders auf die Bedürfnisse von KMU, einschließlich Start-up-Unternehmen, lokalen Behörden und Sektoren, die am stärksten von dieser Verordnung betroffen sein werden.
Die in Unterabsatz 1 genannten Leitlinien tragen dem allgemein anerkannten Stand der Technik in Bezug auf KI sowie den einschlägigen harmonisierten Normen und gemeinsamen Spezifikationen gemäß den Artikeln 40 und 41 oder den harmonisierten Normen oder technischen Spezifikationen, die gemäß dem Harmonisierungsrecht der Union festgelegt sind, gebührend Rechnung.
2. Auf Ersuchen der Mitgliedstaaten oder des KI-Büros oder von sich aus aktualisiert die Kommission bereits angenommene Leitlinien, wenn sie dies für notwendig erachtet.
Artikel 83 KI-Systeme, die bereits in Verkehr gebracht oder in Betrieb genommen wurden
1. Unbeschadet der Anwendung des Artikels 5 gemäß Artikel 85 Absatz 3 Buchstabe -aa müssen KI-Systeme, die Bestandteile der IT-Großsysteme sind, die durch die in Anhang IX aufgeführten Rechtsakte eingerichtet wurden und die vor Ablauf von 12 Monaten nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung in Verkehr gebracht oder in Betrieb genommen wurden, bis Ende 2030 mit dieser Verordnung in Einklang gebracht werden.
Die in dieser Verordnung festgelegten Anforderungen werden bei der Bewertung jedes IT-Großsystems, das durch die in Anhang IX aufgeführten Rechtsakte eingerichtet wurde, berücksichtigt, die gemäß den jeweiligen Rechtsakten und bei jeder Ersetzung oder Änderung dieser Rechtsakte durchzuführen ist.
2. Unbeschadet der Anwendung des Artikels 5 gemäß Artikel 85 Absatz 3 Buchstabe -aa gilt diese Verordnung für Betreiber von anderen als den in Absatz 1 genannten KI-Systemen mit hohem Risiko, die vor dem [Geltungsbeginn dieser Verordnung gemäß Artikel 85 Absatz 2] in Verkehr gebracht oder in Betrieb genommen wurden nur dann, wenn diese Systeme ab diesem Zeitpunkt erheblichen Änderungen ihres Konzepts unterliegen. Im Falle von Hochrisiko-KI-Systemen, die von Behörden verwendet werden sollen, ergreifen die Anbieter und Betreiber solcher Systeme die erforderlichen Maßnahmen, um die Anforderungen dieser Verordnung vier Jahre nach dem Datum des Inkrafttretens dieser Verordnung zu erfüllen.
3. Anbieter von universellen KI-Modellen, die vor dem [Geltungsbeginn dieser Verordnung gemäß Artikel 85 Absatz 3 Buchstabe a] in Verkehr gebracht wurden, ergreifen die erforderlichen Maßnahmen, um den in dieser Verordnung festgelegten Verpflichtungen bis zum [2 Jahre nach dem Datum des Inkrafttretens dieser Verordnung gemäß Artikel 85 Absatz 3 Buchstabe a] nachzukommen.
Artikel 84 Evaluierung und Überprüfung
1. Die Kommission prüft einmal jährlich nach Inkrafttreten dieser Verordnung und bis zum Ende des Zeitraums der Befugnisübertragung, ob die Liste in Anhang III und die Liste der verbotenen KI-Praktiken in Artikel 5 geändert werden müssen. Die Kommission legt die Ergebnisse dieser Bewertung dem Europäischen Parlament und dem Rat vor.
2. Spätestens zwei Jahre nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung und danach alle vier Jahre bewertet die Kommission die Notwendigkeit einer Änderung der folgenden Bestimmungen und erstattet dem Europäischen Parlament und dem Rat darüber Bericht:
die Notwendigkeit einer Erweiterung bestehender Gebietsüberschriften oder der Hinzufügung neuer Gebietsüberschriften in Anhang III;
die Liste der KI-Systeme, für die zusätzliche Transparenzmaßnahmen erforderlich sind, Artikel 52;
Wirksamkeit des Aufsichts- und Governancesystems
2a) Spätestens drei Jahre nach dem in Artikel 85 Absatz 3 genannten Geltungsbeginn dieser Verordnung und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Dieser Bericht enthält eine Bewertung der Durchsetzungsstruktur und der Frage, ob eine Agentur der Union zur Behebung festgestellter Mängel erforderlich ist. Auf der Grundlage der Feststellungen wird diesem Bericht gegebenenfalls ein Vorschlag zur Änderung dieser Verordnung beigefügt. Die Berichte werden veröffentlicht.
3. In den in Absatz 2 genannten Berichten wird Folgendem besondere Aufmerksamkeit gewidmet:
a) den Status der finanziellen, technischen und personellen Ressourcen der zuständigen nationalen Behörden, damit sie die ihnen im Rahmen dieser Verordnung übertragenen Aufgaben wirksam wahrnehmen können;
b) den Stand der Sanktionen, insbesondere der Geldbußen gemäß Artikel 71 Absatz 1, die von den Mitgliedstaaten bei Verstößen gegen die Bestimmungen dieser Verordnung verhängt werden.
ba) ba) harmonisierte Normen und gemeinsame Spezifikationen verabschiedet hat, die zur Unterstützung dieser Verordnung entwickelt wurden.
bb) die Zahl der Unternehmen, die nach Inkrafttreten der Verordnung in den Markt eintreten, und wie viele davon KMU sind.
bb) Bis… [zwei Jahre nach dem in Artikel 85 Absatz 2 genannten Tag des Inkrafttretens dieser Verordnung] bewertet die Kommission, wie das KI-Büro funktioniert, ob das Amt mit ausreichenden Befugnissen und Befugnissen ausgestattet wurde, um seine Aufgaben zu erfüllen, und ob es für die ordnungsgemäße Durchführung und Durchsetzung dieser Verordnung relevant und erforderlich wäre, das Amt und seine Durchsetzungsbefugnisse aufzuwerten und seine Ressourcen aufzustocken. Die Kommission legt diesen Evaluierungsbericht dem Europäischen Parlament und dem Rat vor.
3a) Spätestens zwei Jahre [nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung] und danach alle vier Jahre legt die Kommission einen Bericht über die Überprüfung der Fortschritte bei der Entwicklung von Normungsergebnissen für die energieeffiziente Entwicklung von Universalmodellen vor und bewertet die Notwendigkeit weiterer Maßnahmen oder Aktionen. einschließlich verbindlicher Maßnahmen oder Aktionen. Der Bericht wird dem Europäischen Parlament und dem Rat vorgelegt und veröffentlicht.
4. Innerhalb des … [zwei Jahre nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung] und danach alle drei Jahre bewertet die Kommission die Auswirkungen und die Wirksamkeit freiwilliger Verhaltenskodizes, um die Anwendung der in Titel III Kapitel 2 festgelegten Anforderungen für andere KI-Systeme als Hochrisiko-KI-Systeme und möglicherweise anderer zusätzlicher Anforderungen an andere KI-Systeme als Hochrisiko-KI-Systeme zu fördern; auch im Hinblick auf die ökologische Nachhaltigkeit;
5. Für die Zwecke der Absätze 1 bis 4 übermitteln der Ausschuss, die Mitgliedstaaten und die zuständigen nationalen Behörden der Kommission auf deren Verlangen unverzüglich Informationen
6. Bei der Durchführung der in den Absätzen 1 bis 4 genannten Evaluierungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Ausschusses, des Europäischen Parlaments, des Rates und anderer einschlägiger Gremien oder Quellen.
7. Die Kommission unterbreitet erforderlichenfalls geeignete Vorschläge zur Änderung dieser Regulierung, insbesondere unter Berücksichtigung der technologischen Entwicklungen, der Auswirkungen von KI-Systemen auf Gesundheit und Sicherheit, der Grundrechte und unter Berücksichtigung des Stands der Fortschritte in der Informationsgesellschaft.
7a. Als Richtschnur für die in den Absätzen 1 bis 4 dieses Artikels genannten Evaluierungen und Überprüfungen verpflichtet sich das Amt, eine objektive und partizipative Methodik für die Bewertung des Risikoniveaus auf der Grundlage der in den einschlägigen Artikeln dargelegten Kriterien
und die Aufnahme neuer Systeme in die Liste in Anhang III zu entwickeln, einschließlich der Erweiterung bestehender Gebietsüberschriften oder der Hinzufügung neuer Gebietsüberschriften in diesem Anhang;
die Liste der verbotenen Praktiken gemäß Artikel 5;
und die Liste der KI-Systeme, für die zusätzliche Transparenzmaßnahmen gemäß Artikel 52 erforderlich sind.
7b. Bei jeder Änderung dieser Verordnung gemäß Absatz 7 des vorliegenden Artikels oder einschlägiger künftiger delegierter Rechtsakte oder Durchführungsrechtsakte, die die in Anhang II Abschnitt B aufgeführten sektoralen Rechtsvorschriften betreffen, werden die regulatorischen Besonderheiten der einzelnen Sektoren sowie die bestehenden Governance-, Konformitätsbewertungs- und Durchsetzungsmechanismen und die darin eingerichteten Behörden berücksichtigt.
7c. Bis… [fünf Jahre nach dem Geltungsbeginn dieser Verordnung] nimmt die Kommission eine Bewertung der Durchsetzung dieser Verordnung vor und erstattet dem Europäischen Parlament, dem Rat und dem Europäischen Wirtschafts- und Sozialausschuss unter Berücksichtigung der ersten Jahre der Anwendung der Verordnung Bericht. Auf der Grundlage der Feststellungen dieses Berichts wird gegebenenfalls ein Vorschlag zur Änderung dieser Verordnung im Hinblick auf die Struktur der Durchsetzung und die Notwendigkeit einer Agentur der Union beigefügt, festgestellte Mängel zu beheben.
Artikel 85 Inkrafttreten und Anwendung
1. Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
2. Diese Verordnung gilt ab dem [24 Monate nach Inkrafttreten der Verordnung]. In Bezug auf die in Artikel 53 Absatz 1 genannte Verpflichtung umfasst diese Verpflichtung entweder, dass an diesem Tag mindestens ein regulatorisches KI-Reallabor pro Mitgliedstaat betriebsbereit ist oder dass der Mitgliedstaat an einem KI-Reallabor eines anderen Mitgliedstaats teilnimmt *
3. Abweichend von Absatz 2 gilt Folgendes:
(-a) Die Titel I und II [Verbote] gelten ab dem [sechs Monate nach Inkrafttreten dieser Verordnung];
a) Titel III Kapitel 4, Titel VI, Titel VIIIa [GPAI], Titel X [Sanktionen] gelten ab dem [zwölf Monate nach Inkrafttreten dieser Verordnung];
b) Artikel 6 Absatz 1 und die entsprechenden Verpflichtungen in dieser Verordnung gelten ab dem [36 Monate nach Inkrafttreten dieser Verordnung].
Deutsche Version 2024 (frei übersetzter Text DE)
Titel I: ALLGEMEINE BESTIMMUNGEN
Artikel 1 Gegenstand
Ziel dieser Verordnung ist es, das Funktionieren des Binnenmarkts zu verbessern und die Einführung menschenzentrierter und vertrauenswürdiger künstlicher Intelligenz zu fördern und gleichzeitig ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte, die in der Charta verankert sind, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz vor schädlichen Auswirkungen von Systemen der künstlichen Intelligenz in der Union zu gewährleisten und Innovation zu unterstützen.
In dieser Verordnung wird Folgendes festgelegt:
a) harmonisierte Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Nutzung von Systemen der künstlichen Intelligenz (im Folgenden „KI-Systeme“) in der Union;
b) Verbote bestimmter Praktiken der künstlichen Intelligenz;
c) spezifische Anforderungen an KI-Systeme mit hohem Risiko und Verpflichtungen für die Betreiber solcher Systeme;
d) harmonisierte Transparenzvorschriften für bestimmte KI-Systeme;
da) harmonisierte Vorschriften für das Inverkehrbringen von KI-Modellen für allgemeine Zwecke;
e) Vorschriften über die Marktüberwachung, die Steuerung und Durchsetzung der Marktüberwachung;
ea) Maßnahmen zur Förderung von Innovationen, mit besonderem Schwerpunkt auf KMU, einschließlich Start-up-Unternehmen;
Artikel 2 Anwendungsbereich
1. Diese Verordnung gilt für:
a) Anbieter, die KI-Systeme für allgemeine Zwecke in der Union in Verkehr bringen oder in Betrieb nehmen oder in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen oder ansässig sind;
b) Betreiber von KI-Systemen, die ihren Sitz in der Union haben oder sich in der Union befinden;
c) Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder dort ansässig sind, wenn die von dem System erzeugte Leistung in der Union verwendet wird;
ca) Importeure und Händler von KI-Systemen;
cb) Produkthersteller, die ein KI-System zusammen mit ihrem Produkt und unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringen oder in Betrieb nehmen;
cc) Bevollmächtigte von Anbietern, die nicht in der Union niedergelassen sind.
cc) betroffene Personen, die sich in der Union befinden.
Für KI-Systeme, die gemäß Artikel 6 Absätze 1 und 2 als KI-Systeme mit hohem Risiko eingestuft sind und sich auf Produkte beziehen, die unter die in Anhang II, Abschnitt B aufgeführten Harmonisierungsrechtsvorschriften der Union fallen, gilt nur nur Artikel 84 dieser Verordnung. Artikel 53 gilt nur insoweit, als die Anforderungen an KI-Systeme mit hohem Risiko gemäß dieser Verordnung in die Harmonisierungsrechtsvorschriften der Union aufgenommen wurden.
3. Diese Verordnung gilt nicht für Bereiche, die nicht in den Anwendungsbereich des EU-Rechts fallen, und berührt in keinem Fall die Zuständigkeiten der Mitgliedstaaten im Bereich der nationalen Sicherheit, unabhängig von der Art der Stelle, die von den Mitgliedstaaten mit der Wahrnehmung der Aufgaben im Zusammenhang mit diesen Zuständigkeiten betraut wurde.
Diese Verordnung gilt nicht für KI-Systeme, wenn und soweit sie mit oder ohne Änderung dieser Systeme ausschließlich für militärische, verteidigungstechnische oder nationale Sicherheitszwecke in Verkehr gebracht, in Betrieb genommen oder verwendet werden, unabhängig von der Art der Stelle, die diese Tätigkeiten ausübt.
Diese Verordnung gilt nicht für KI-Systeme, die in der Union nicht in Verkehr gebracht oder in Betrieb genommen werden, wenn die Ergebnisse in der Union ausschließlich für militärische, verteidigungs- oder nationale Sicherheitszwecke verwendet werden, unabhängig von der Art der Einrichtung, die diese Tätigkeiten ausübt.
4. Diese Verordnung gilt nicht für Behörden in einem Drittland oder für internationale Organisationen, die gemäß Absatz 1 in den Anwendungsbereich dieser Verordnung fallen, wenn diese Behörden oder Organisationen KI-Systeme im Rahmen der internationalen Zusammenarbeit oder von Abkommen über die Strafverfolgung und die justizielle Zusammenarbeit mit der Union oder mit einem oder mehreren Mitgliedstaaten verwenden, sofern dieses Drittland oder diese internationalen Organisationen angemessene Garantien in Bezug auf den Schutz der Grundrechte und -freiheiten des Einzelnen bieten;
5. Diese Verordnung berührt nicht die Anwendung der Bestimmungen über die Haftung von Vermittlern in Kapitel II Abschnitt 4 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates [zu ersetzen durch die entsprechenden Bestimmungen des Gesetzes über digitale Dienste].
5a) Diese Verordnung gilt nicht für KI-Systeme und -Modelle, einschließlich ihrer Ergebnisse, die speziell für den alleinigen Zweck der wissenschaftlichen Forschung und Entwicklung entwickelt und in Betrieb genommen wurden.
5b) Diese Verordnung gilt nicht für Forschungs-, Test- und Entwicklungstätigkeiten in Bezug auf KI-Systeme oder -Modelle vor dem Inverkehrbringen oder der Inbetriebnahme; diese Tätigkeiten müssen unter Einhaltung des geltenden Unionsrechts durchgeführt werden. Die Erprobung unter realen Bedingungen fällt nicht unter diese Ausnahme.
5b) Diese Verordnung lässt die in anderen Rechtsakten der Union zum Verbraucherschutz und zur Produktsicherheit festgelegten Vorschriften unberührt.
5c) Diese Verordnung gilt nicht für Verpflichtungen von Betreibern, bei denen es sich um natürliche Personen handelt, die KI-Systeme im Rahmen einer rein persönlichen, nicht-beruflichen Tätigkeit nutzen.
5e) Diese Verordnung hindert die Mitgliedstaaten oder die Union nicht daran, Rechts- oder Verwaltungsvorschriften beizubehalten oder einzuführen, die für die Arbeitnehmer im Hinblick auf den Schutz ihrer Rechte bei der Nutzung von KI-Systemen durch Arbeitgeber günstiger sind, oder die Anwendung von Tarifverträgen, die für die Arbeitnehmer günstiger sind, zu fördern oder zuzulassen.
5g) Die in dieser Verordnung festgelegten Verpflichtungen gelten nicht für KI-Systeme, die unter freien und quelloffenen Lizenzen veröffentlicht werden, es sei denn, sie werden als KI-Systeme mit hohem Risiko oder als KI-Systeme, die unter Titel II und IV fallen, in Verkehr gebracht oder in Betrieb genommen.
Artikel 3 Begriffsbestimmungen
Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:
1. Ein KI-System ist ein maschinenbasiertes System, das so konzipiert ist, dass es mit unterschiedlichen Autonomiegraden arbeitet und das nach der Bereitstellung angepaßt werden kann und das für explizite oder implizite Zwecke aus den erhaltenen Eingaben ableitet, wie Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert werden können, die physische oder virtuelle Umgebungen beeinflussen können.
1a) „Risiko“ die Kombination aus der Wahrscheinlichkeit des Eintretens eines Schadens und der Schwere dieses Schadens;
2. „Anbieter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickeln lässt und diese unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt; ob entgeltlich oder unentgeltlich;
???
4. „Betreiber“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System unter ihrer Aufsicht nutzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit genutzt;
5. „Bevollmächtigter“ jede natürliche oder juristische Person, die sich in der Union befindet oder niedergelassen ist und von einem Anbieter eines KI-Systems oder eines KI-Modells für allgemeine Zwecke ein schriftliches Mandat erhalten und angenommen hat, in ihrem Namen die in dieser Verordnung festgelegten Verpflichtungen und Verfahren wahrzunehmen;
6. „Einführer“ jede in der Union ansässige natürliche oder juristische Person, die ein KI-System in Verkehr bringt, das den Namen oder die Marke einer außerhalb der Union ansässigen natürlichen oder juristischen Person trägt;
7. „Händler“ jede natürliche oder juristische Person in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellt, mit Ausnahme des Anbieters oder des Importeurs;
8. „Akteur“ den Anbieter, den Produkthersteller, den Betreiber, den Bevollmächtigten, den Importeur oder den Händler;
9. „Inverkehrbringen“ die erstmalige Bereitstellung eines KI-Systems oder eines universellen KI-Modells auf dem Unionsmarkt;
10. „Bereitstellung auf dem Markt“ jede entgeltliche oder unentgeltliche Bereitstellung eines KI-Systems oder eines KI-Modells für allgemeine Zwecke zum Vertrieb oder zur Nutzung auf dem Unionsmarkt im Rahmen einer gewerblichen Tätigkeit;
11. „Inbetriebnahme“ die Lieferung eines KI-Systems zur Erstverwendung direkt an den Betreiber oder zur Eigennutzung in der Union für seine Zweckbestimmung;
12. „Zweckbestimmung“ bezeichnet die Nutzung, für die ein KI-System vom Anbieter bestimmt ist, einschließlich des spezifischen Kontexts und der Nutzungsbedingungen, wie sie in den vom Anbieter bereitgestellten Informationen in der Gebrauchsanweisung, in den Werbe- oder Verkaufsmaterialien und -erklärungen sowie in der technischen Dokumentation angegeben sind;
13. „vernünftigerweise vorhersehbarer Missbrauch“ die Nutzung eines KI-Systems in einer Weise, die nicht seiner Zweckbestimmung entspricht, die sich aber aus vernünftigerweise vorhersehbarem menschlichem Verhalten oder der Interaktion mit anderen Systemen, einschließlich anderer KI-Systeme, ergeben kann;
14. „Sicherheitsbauteil eines Produkts oder Systems“ bezeichnet ein Bauteil eines Produkts oder eines Systems, das eine Sicherheitsfunktion für dieses Produkt oder System erfüllt oder dessen Ausfall oder Fehlfunktion die Gesundheit und Sicherheit von Personen oder Gütern gefährdet;
15. „Gebrauchsanweisung“ die vom Anbieter bereitgestellten Informationen, um den Nutzer insbesondere über die Zweckbestimmung und die ordnungsgemäße Verwendung eines KI-Systems zu informieren;
16. „Rückruf eines KI-Systems“ jede Maßnahme, die darauf abzielt, die Rückgabe an den Anbieter zu erreichen oder es außer Betrieb zu nehmen oder die Nutzung eines KI-Systems, das den Betreibern zur Verfügung gestellt wird, zu deaktivieren;
17. „Rücknahme eines KI-Systems“ jede Maßnahme, mit der verhindert werden soll, dass ein KI-System in der Lieferkette auf dem Markt bereitgestellt wird;
18. „Leistung eines KI-Systems“ bezeichnet die Fähigkeit eines KI-Systems, seine Zweckbestimmung zu erreichen;
19. „notifizierende Behörde“ die nationale Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig ist;
20. „Konformitätsbewertung“ bezeichnet das Verfahren, mit dem nachgewiesen wird, ob die Anforderungen des Titels III Kapitel 2 dieser Verordnung in Bezug auf ein Hochrisiko-KI-System erfüllt wurden;
21. „Konformitätsbewertungsstelle“ eine Stelle, die Konformitätsbewertungstätigkeiten Dritter durchführt, einschließlich Prüfungen, Zertifizierungen und Inspektionen;
22. „notifizierte Stelle“ eine Konformitätsbewertungsstelle, die gemäß dieser Verordnung und anderen einschlägigen Harmonisierungsrechtsvorschriften der Union notifiziert wurde;
23. „wesentliche Änderung“ bezeichnet eine Änderung des KI-Systems nach dessen Inverkehrbringen oder Inbetriebnahme, die in der ursprünglichen Konformitätsbewertung durch den Anbieter nicht vorgesehen oder geplant ist und durch die die Konformität des KI-Systems mit den Anforderungen des Titels III Kapitel 2 dieser Verordnung beeinträchtigt wird oder zu einer Änderung der Zweckbestimmung führt, für die das KI-System bewertet wurde;
24. „CE-Konformitätskennzeichnung“ (CE-Kennzeichnung) bezeichnet eine Kennzeichnung, mit der ein Anbieter angibt, dass ein KI-System den Anforderungen des Titels III Kapitel 2 dieser Verordnung und anderer anwendbarer Rechtsvorschriften der Union zur Harmonisierung der Bedingungen für die Vermarktung von Produkten (im Folgenden „Harmonisierungsrechtsvorschriften der Union“) entspricht, die ihre Anbringung vorsehen;
25. „Überwachungssystem nach dem Inverkehrbringen“ alle Tätigkeiten, die von Anbietern von KI-Systemen durchgeführt werden, um Erfahrungen mit der Nutzung von KI-Systemen, die sie in Verkehr bringen oder in Betrieb nehmen, zu sammeln und zu überprüfen, um festzustellen, ob erforderliche Korrektur- oder Vorbeugungsmaßnahmen unverzüglich ergriffen werden müssen;
26. „Marktüberwachungsbehörde“ die nationale Behörde, die die Tätigkeiten durchführt und die Maßnahmen gemäß der Verordnung (EU) 2019/1020 ergreift;
27. „harmonisierte Norm“ eine europäische Norm im Sinne des Artikels 2 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012;
28. „gemeinsame Spezifikation“ bezeichnet eine Reihe technischer Spezifikationen im Sinne des Artikels 2 Nummer 4 der Verordnung (EU) Nr. 1025/2012, die Mittel zur Erfüllung bestimmter in der vorliegenden Verordnung festgelegter Anforderungen bereitstellen;
29. „Trainingsdaten“ Daten, die zum Trainieren eines KI-Systems durch Anpassung seiner erlernbaren Parameter verwendet werden;
30. „Validierungsdaten“ Daten, die unter anderem zur Evaluierung des trainierten KI-Systems und zur Abstimmung seiner nicht erlernbaren Parameter und seines Lernprozesses verwendet werden, um eine Unter- oder Überanpassung zu verhindern; in der Erwägung, dass es sich bei dem Validierungsdatensatz um einen separaten Datensatz oder einen Teil des Trainingsdatensatzes handelt, entweder als feste oder variable Aufteilung;
31. „Prüfdaten“ Daten, die für eine unabhängige Bewertung des KI-Systems verwendet werden, um die erwartete Leistung dieses Systems vor seinem Inverkehrbringen oder seiner Inbetriebnahme zu bestätigen;
32. „Eingabedaten“ Daten, die einem KI-System zur Verfügung gestellt oder direkt von diesem erfasst werden und auf deren Grundlage das System einen Output erzeugt;
33. „biometrische Daten“ personenbezogene Daten, die sich aus einer spezifischen technischen Verarbeitung ergeben, die sich auf die physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person bezieht, wie z. B. Gesichtsbilder oder daktyloskopische Daten;
a) „biometrische Identifizierung“ die automatisierte Erkennung physischer, physiologischer, verhaltensbezogener und psychologischer menschlicher Merkmale zum Zwecke der Feststellung der Identität einer Person durch Abgleich biometrischer Daten dieser Person mit gespeicherten biometrischen Daten von Personen in einer Datenbank;
b) ?
c) „biometrische Überprüfung“ die automatisierte Überprüfung der Identität natürlicher Personen durch Abgleich biometrischer Daten einer Person mit zuvor übermittelten biometrischen Daten (Eins-zu-eins-Überprüfung, einschließlich Authentifizierung);
d) „besondere Kategorien personenbezogener Daten“ die Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679, Artikel 10 der Richtlinie (EU) 2016/680 und Artikel 10 Absatz 1 der Verordnung (EU) 2018/1725;
e) „sensible operative Daten“ operative Daten im Zusammenhang mit Tätigkeiten zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, deren Offenlegung die Integrität des Strafverfahrens gefährden kann.
34. „Emotionserkennungssystem“ bezeichnet ein KI-System zum Zwecke der Identifizierung oder Ableitung von Emotionen oder Absichten natürlicher Personen auf der Grundlage ihrer biometrischen Daten;
35. „biometrisches Kategorisierungssystem“ bezeichnet ein KI-System zur Zuordnung natürlicher Personen zu bestimmten Kategorien auf der Grundlage ihrer biometrischen Daten, es sei denn, es handelt sich um eine Nebenleistung zu einer anderen kommerziellen Dienstleistung und ist aus objektiven technischen Gründen unbedingt erforderlich;
36. „biometrisches Fernidentifizierungssystem“ bezeichnet ein KI-System zur Identifizierung natürlicher Personen ohne deren aktive Beteiligung, in der Regel aus der Ferne durch Abgleich der biometrischen Daten einer Person mit den in einer Referenzdatenbank enthaltenen biometrischen Daten;
37. „biometrisches Echtzeit-Fernidentifizierungssystem“ bezeichnet ein biometrisches Fernidentifizierungssystem, bei dem die Erfassung biometrischer Daten, der Abgleich und die Identifizierung ohne erhebliche Verzögerung erfolgen. Dies umfasst nicht nur eine sofortige Identifizierung, sondern auch begrenzte kurze Verzögerungen, um eine Umgehung zu vermeiden.
38. „postalistisches biometrisches Fernidentifizierungssystem“ bezeichnet ein biometrisches Fernidentifizierungssystem, bei dem es sich nicht um ein „Echtzeit“-System zur biometrischen Fernidentifizierung handelt;
39. „öffentlich zugänglicher Raum“ jeden öffentlichen oder privaten physischen Ort, der einer unbestimmten Zahl natürlicher Personen zugänglich ist, unabhängig davon, ob bestimmte Zugangsbedingungen gelten können, und unabhängig von möglichen Kapazitätsbeschränkungen;
40. „Strafverfolgungsbehörde“
a) jede Behörde, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist; oder
b) jede andere Stelle oder Stelle, die nach dem Recht der Mitgliedstaaten mit der Ausübung hoheitlicher Gewalt und hoheitlicher Befugnisse zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, betraut ist;
41. „Strafverfolgung“ Tätigkeiten, die von Strafverfolgungsbehörden oder in ihrem Auftrag zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen durchgeführt werden, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
42. Büro für künstliche Intelligenz: die Aufgabe der Kommission, zur Umsetzung, Überwachung und Beaufsichtigung von KI-Systemen und zur KI-Governance beizutragen. Bezugnahmen in dieser Verordnung auf das Amt für künstliche Intelligenz sind als Bezugnahmen auf die Kommission zu verstehen.
43. „zuständige nationale Behörde“ eine der folgenden Behörden: die notifizierende Behörde und die Marktüberwachungsbehörde. In Bezug auf KI-Systeme, die von den Organen, Agenturen, sonstigen Stellen und Einrichtungen der EU in Betrieb genommen oder genutzt werden, ist jede Bezugnahme auf die zuständigen nationalen Behörden oder Marktüberwachungsbehörden in dieser Verordnung als Bezugnahme auf den Europäischen Datenschutzbeauftragten zu verstehen;
44. „schwerwiegender Vorfall“ bezeichnet einen Vorfall oder eine Fehlfunktion eines KI-Systems, der direkt oder indirekt zu Folgendem führt:
a) den Tod einer Person oder eine schwere Schädigung der Gesundheit einer Person;
b) eine schwerwiegende und irreversible Störung der Verwaltung und des Betriebs kritischer Infrastrukturen.
ba) Verletzung von Verpflichtungen aus dem Unionsrecht zum Schutz der Grundrechte;
bb) schwere Sach- oder Umweltschäden.
44a. „personenbezogene Daten“ personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679;
44c) „nicht personenbezogene Daten“ Daten, bei denen es sich nicht um personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679 handelt;
be) „Profiling“ jede Form der automatisierten Verarbeitung personenbezogener Daten im Sinne des Artikels 4 Nummer 4 der Verordnung (EU) 2016/679; oder im Falle von Strafverfolgungsbehörden – gemäß Artikel 3 Nummer 4 der Richtlinie (EU) 2016/680 oder im Falle von Organen, Einrichtungen oder sonstigen Stellen der Union gemäß Artikel 3 Nummer 5 der Verordnung (EU) 2018/1725;
bf) „Prüfplan im realen Fahrbetrieb“ ein Dokument, in dem die Ziele, die Methodik, der geografische, bevölkerungsbezogene und zeitliche Geltungsbereich, die Überwachung, Organisation und Durchführung von Prüfungen unter realen Bedingungen beschrieben werden;
44 eb) „Sandboxplan“ bezeichnet ein zwischen dem teilnehmenden Anbieter und der zuständigen Behörde vereinbartes Dokument, in dem die Ziele, Bedingungen, der Zeitrahmen, die Methodik und die Anforderungen für die im Rahmen des Sandboxs durchgeführten Tätigkeiten beschrieben werden.
bg) “ KI-Realabor“ bezeichnet einen konkreten und kontrollierten Rahmen, der von einer zuständigen Behörde eingerichtet wurde und Anbietern oder potenziellen Anbietern von KI-Systemen die Möglichkeit bietet, ein innovatives KI-System gemäß einem Sandbox-Plan für einen begrenzten Zeitraum unter regulatorischer Aufsicht zu entwickeln, zu trainieren, zu validieren und gegebenenfalls unter realen Bedingungen zu testen.
bh) „KI-Kompetenz“ bezieht sich auf Fähigkeiten, Kenntnisse und Verständnis, die es Anbietern, Nutzern und betroffenen Personen ermöglichen, unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Zusammenhang mit dieser Verordnung KI-Systeme in Kenntnis der Sachlage einzusetzen und sich der Chancen und Risiken der KI und der möglichen Schäden, die sie verursachen kann, bewusst zu werden.
bi) „Prüfung unter realen Bedingungen“ die vorübergehende Prüfung eines KI-Systems für seinen bestimmungsgemäßen Zweck unter realen Bedingungen außerhalb eines Labors oder einer anderweitig simulierten Umgebung mit dem Ziel, zuverlässige und belastbare Daten zu sammeln und die Konformität des KI-Systems mit den Anforderungen dieser Verordnung zu bewerten und zu überprüfen; Die Erprobung unter realen Bedingungen gilt nicht als Inverkehrbringen oder Inbetriebnahme des KI-Systems im Sinne dieser Verordnung, sofern alle Bedingungen gemäß Artikel 53 oder Artikel 54a erfüllt sind;
bj) „Prüfungsteilnehmer“ für die Zwecke von Versuchen unter realen Bedingungen: eine natürliche Person, die an Versuchen unter realen Bedingungen teilnimmt;
bk) „Einwilligung nach Aufklärung“ die freiwillige, spezifische, unmissverständliche und freiwillige Willensbekundung eines Prüfungsteilnehmers, an einem bestimmten Test unter realen Bedingungen teilzunehmen, nachdem er über alle Aspekte des Versuchs informiert wurde, die für die Entscheidung des Prüfungsteilnehmers zur Teilnahme relevant sind;
bl) „Deep Fake“ bezeichnet KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte, die existierenden Personen, Objekten, Orten oder anderen Entitäten oder Ereignissen ähneln und einer Person fälschlicherweise als authentisch oder wahrheitsgemäß erscheinen würden
44e. „weitverbreiteter Verstoß“ jede Handlung oder Unterlassung, die gegen das Unionsrecht verstößt und die Interessen Einzelpersonen schützt,
a) die die Kollektivinteressen von Personen mit Wohnsitz in mindestens zwei anderen Mitgliedstaaten als dem Mitgliedstaat geschädigt hat oder zu schädigen droht, in denen
i) die Handlung oder Unterlassung ihren Ursprung hat oder stattgefunden hat;
ii) der betreffende Anbieter oder gegebenenfalls sein bevollmächtigter Vertreter niedergelassen ist; oder
iii) der Deployer niedergelassen ist, wenn die Zuwiderhandlung vom Deployer begangen wird;
b) die die Interessen von Einzelpersonen schützt, die die Kollektivinteressen Einzelner geschädigt haben, verursachen oder zu schädigen geeignet sind und die gemeinsame Merkmale aufweisen, einschließlich derselben rechtswidrigen Praxis, die verletzt wird, und die gleichzeitig von demselben Wirtschaftsteilnehmer in mindestens drei Mitgliedstaaten begangen werden;
(44h) „kritische Infrastruktur“ bezeichnet einen Vermögenswert, eine Einrichtung, eine Ausrüstung, ein Netz oder ein System oder einen Teil davon, der für die Bereitstellung eines wesentlichen Dienstes im Sinne des Artikels 2 Absatz 4 der Richtlinie (EU) 2022/2557 erforderlich ist;
44b) „universelles KI-Modell“ bezeichnet ein KI-Modell, das unabhängig von der Art und Weise, wie das Modell auf dem Markt gebracht wird, eine Vielzahl unterschiedlicher Aufgaben kompetent ausführen kann, auch wenn es mit einer großen Datenmenge unter Verwendung der Selbstüberwachung in großem Maßstab trainiert wird, und das unabhängig von der Art und Weise, wie das Modell auf den Markt gebracht wird, kompetent ausführen kann und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann. Dies gilt nicht für KI-Modelle, die vor der Marktfreigabe für Forschungs-, Entwicklungs- und Prototyping-Aktivitäten verwendet werden.
44c „hochwirksame Fähigkeiten“ in allgemeinen KI-Modellen sind Fähigkeiten, die den Fähigkeiten entsprechen oder diese übertreffen, die in den fortschrittlichsten Allzweck-KI-Modellen erfasst werden.
44d „Systemrisiko auf Unionsebene“ ein Risiko, das spezifisch für die hochwirksamen Fähigkeiten von Allzweck-KI-Modellen ist, aufgrund ihrer Reichweite erhebliche Auswirkungen auf den Binnenmarkt hat und tatsächliche oder vernünftigerweise vorhersehbare negative Auswirkungen auf die öffentliche Gesundheit, Sicherheit, öffentliche Sicherheit, Grundrechte oder die Gesellschaft als Ganzes hat, die sich in großem Umfang über die gesamte Wertschöpfungskette ausbreiten können.
44e „Allzweck-KI-System“ bezeichnet ein KI-System, das auf einem Allzweck-KI-Modell beruht und eine Vielzahl von Zwecken erfüllen kann, und zwar sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme;
44f „Gleitkommaoperation“ bezeichnet jede mathematische Operation oder Zuweisung mit Gleitkommazahlen, die eine Teilmenge der reellen Zahlen sind, die typischerweise auf Computern durch eine ganze Zahl mit fester Genauigkeit dargestellt werden, die durch einen ganzzahligen Exponenten einer festen Basis skaliert wird.
44g „nachgeschalteter Anbieter“ bezeichnet einen Anbieter eines KI-Systems, einschließlich eines KI-Modells für allgemeine Zwecke, der ein KI-Modell integriert, unabhängig davon, ob das Modell von ihm selbst bereitgestellt wird und vertikal integriert ist oder ob es von einem anderen Unternehmen auf der Grundlage vertraglicher Beziehungen bereitgestellt wird.
Artikel 4a
???
Artikel 4b KI-Kompetenz
1) Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Namen mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, ein ausreichendes Maß an KI-Kompetenz aufweist, wobei deren technische Kenntnisse, Erfahrung, Aus- und Weiterbildung sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind und unter Berücksichtigung der Personen oder Personengruppen, an denen die KI-Systeme eingesetzt werden sollen.
TITEL II: VERBOTENE PRAKTIKEN IM BEREICH DER KÜNSTLICHEN INTELLIGENZ
Artikel 5 Verbotene Praktiken im Bereich der Künstlichen Intelligenz
1. Folgende Praktiken der künstlichen Intelligenz sind verboten:
a) das Inverkehrbringen, die Inbetriebnahme oder die Nutzung eines KI-Systems, das unterschwellige Techniken jenseits des Bewusstseins einer Person oder absichtlich manipulative oder irreführende Techniken einsetzt, mit dem Ziel oder der Wirkung, das Verhalten einer Person oder einer Personengruppe wesentlich zu verzerren, indem die Fähigkeit der Person, eine informierte Entscheidung zu treffen, erheblich beeinträchtigt wird, dadurch veranlasst wird, dass die Person eine Entscheidung trifft, die sie sonst nicht getroffen hätte, und zwar in einer Weise, die dieser Person, einer anderen Person oder einer Gruppe von Personen erheblichen Schaden zufügt oder zufügen kann;
b) das Inverkehrbringen, die Inbetriebnahme oder die Nutzung eines KI-Systems, das die Schwachstellen einer Person oder einer bestimmten Personengruppe aufgrund ihres Alters, ihrer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Lage ausnutzt, mit dem Ziel oder der Wirkung, das Verhalten dieser Person oder einer dieser Gruppe angehörenden Person in einer Weise wesentlich zu verzerren, die eine solche Verzerrung verursacht oder nach vernünftigem Ermessen wahrscheinlich verursacht dieser Person oder einer anderen Person einen erheblichen Schaden zuzufügen.
ba) das Inverkehrbringen oder die Inbetriebnahme zu diesem speziellen Zweck oder die Verwendung biometrischer Kategorisierungssysteme, die natürliche Personen auf der Grundlage ihrer biometrischen Daten individuell kategorisieren, um auf ihre Rasse, ihre politischen Meinungen, ihre Gewerkschaftszugehörigkeit, ihre religiösen oder philosophischen Überzeugungen, ihr Sexualleben oder ihre sexuelle Ausrichtung zu schließen oder zu schließen. Dieses Verbot erstreckt sich nicht auf die Kennzeichnung oder Filterung von rechtmäßig erworbenen biometrischen Datensätzen, wie z. B. Bildern, auf der Grundlage biometrischer Daten oder die Kategorisierung biometrischer Daten im Bereich der Strafverfolgung.
c) das Inverkehrbringen, die Inbetriebnahme oder die Nutzung von KI-Systemen zur Bewertung oder Klassifizierung natürlicher Personen oder Gruppen von natürlichen Personen oder Gruppen von natürlichen Personen über einen bestimmten Zeitraum auf der Grundlage ihres Sozialverhaltens oder bekannter, abgeleiteter oder vorhergesagter persönlicher oder Persönlichkeitsmerkmale, wobei der Social Score zu einem oder beiden der folgenden Punkte führt:
i) Benachteiligung oder Benachteiligung bestimmter natürlicher Personen oder ganzer Gruppen von Personen in sozialen Kontexten, die in keinem Zusammenhang mit den Kontexten stehen, in denen die Daten ursprünglich generiert oder erhoben wurden;
II) eine benachteiligende oder benachteiligende Behandlung bestimmter natürlicher Personen oder Gruppen von Personen, die nicht gerechtfertigt ist oder in keinem Verhältnis zu ihrem sozialen Verhalten oder ihrer Schwere steht;
d) die Verwendung biometrischer „Echtzeit“-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken, es sei denn, eine solche Verwendung ist für eines der folgenden Ziele unbedingt erforderlich:
i) die gezielte Suche nach konkreten Opfern von Entführung, Menschenhandel und sexueller Ausbeutung von Menschen sowie die Suche nach vermissten Personen
II) die Abwehr einer konkreten, erheblichen und unmittelbaren Gefahr für das Leben oder die körperliche Sicherheit natürlicher Personen oder einer tatsächlichen und gegenwärtigen oder tatsächlichen und vorhersehbaren Gefahr eines Terroranschlags
III) die Lokalisierung oder Identifizierung einer Person, die verdächtigt wird, eine Straftat begangen zu haben, zum Zwecke der strafrechtlichen Ermittlung, der Strafverfolgung oder der Strafvollstreckung wegen Straftaten gemäß Anhang IIa, die in dem betreffenden Mitgliedstaat mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens vier Jahren bedroht sind. Dieser Absatz gilt unbeschadet der Bestimmungen in Artikel 9 der DSGVO für die Verarbeitung biometrischer Daten zu anderen Zwecken als der Strafverfolgung.
da) das Inverkehrbringen, die Inbetriebnahme zu diesem speziellen Zweck oder die Verwendung eines KI-Systems zur Risikobewertung natürlicher Personen, um das Risiko einer natürlichen Person, eine Straftat zu begehen, zu bewerten oder vorherzusagen, und zwar ausschließlich auf der Grundlage der Erstellung von Profilen einer natürlichen Person oder der Bewertung ihrer Persönlichkeitsmerkmale und -merkmale;
db) das Inverkehrbringen, die Inbetriebnahme zu diesem bestimmten Zweck oder die Verwendung von KI-Systemen, die Gesichtserkennungsdatenbanken durch das ungezielte Scraping von Gesichtsbildern aus dem Internet oder CCTV-Aufnahmen erstellen oder erweitern;
dc) das Inverkehrbringen, die Inbetriebnahme für diesen spezifischen Zweck oder die Verwendung von KI-Systemen, um auf Emotionen einer natürlichen Person in den Bereichen Arbeitsplatz und Bildungseinrichtungen zu schließen, außer in Fällen, in denen die Verwendung des KI-Systems aus medizinischen oder Sicherheitsgründen eingerichtet oder in Verkehr gebracht werden soll;
1a) Dieser Artikel berührt nicht die Verbote, die gelten, wenn eine Praxis der künstlichen Intelligenz gegen anderes Unionsrecht verstößt.
2. Der Einsatz biometrischer „Echtzeit“-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zum Zwecke der Strafverfolgung für eines der in Absatz 1 Buchstabe d genannten Ziele darf nur für die in Absatz 1 Buchstabe d genannten Zwecke eingesetzt werden, um die Identität der konkret anvisierten Person zu bestätigen, und berücksichtigt dabei die folgenden Elemente:
a) die Art der Situation, die zu der möglichen Nutzung geführt hat, insbesondere die Schwere, die Wahrscheinlichkeit und das Ausmaß des Schadens, der durch die Nichtnutzung des Systems verursacht wurde;
b) die Folgen der Nutzung des Systems für die Rechte und Freiheiten aller betroffenen Personen, insbesondere die Schwere, die Wahrscheinlichkeit und das Ausmaß dieser Folgen.
Darüber hinaus muss der Einsatz biometrischer „Echtzeit“-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zum Zwecke der Strafverfolgung für eines der in Absatz 1 Buchstabe d genannten Ziele den erforderlichen und verhältnismäßigen Garantien und Bedingungen in Bezug auf die Verwendung gemäß den nationalen Rechtsvorschriften, die ihre Verwendung gestatten, entsprechen, insbesondere in Bezug auf die zeitliche, geografische und persönliche Beschränkungen. Die Verwendung des biometrischen Echtzeit-Fernidentifizierungssystems in öffentlich zugänglichen Räumen ist nur zulässig, wenn die Strafverfolgungsbehörde eine Folgenabschätzung im Bereich der Grundrechte gemäß Artikel 29a durchgeführt und das System gemäß Artikel 51 in der Datenbank registriert hat. In hinreichend begründeten dringenden Fällen kann die Nutzung des Systems jedoch auch ohne die Registrierung aufgenommen werden, sofern die Registrierung unverzüglich abgeschlossen wird.
3. In Bezug auf die Absätze 1 Buchstabe d und 2 bedarf jede Nutzung eines biometrischen Echtzeit-Fernidentifizierungssystems in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken einer vorherigen Genehmigung durch eine Justizbehörde oder eine unabhängige Verwaltungsbehörde, deren Entscheidung für den Mitgliedstaat, in dem die Nutzung erfolgen soll, bindend ist. auf begründeten Antrag und im Einklang mit den in Absatz 4 genannten nationalen Rechtsvorschriften ausgestellt werden. In hinreichend begründeten Dringlichkeitsfällen kann die Nutzung des Systems jedoch ohne Genehmigung aufgenommen werden, sofern eine solche Genehmigung unverzüglich, spätestens jedoch innerhalb von 24 Stunden, beantragt wird. Wird eine solche Genehmigung abgelehnt, so wird ihre Verwendung mit sofortiger Wirkung eingestellt, und alle Daten sowie die Ergebnisse und Ergebnisse dieser Verwendung werden unverzüglich verworfen und gelöscht.
Die zuständige Justizbehörde oder eine unabhängige Verwaltungsbehörde, deren Entscheidung bindend ist, erteilt die Genehmigung nur, wenn sie auf der Grundlage objektiver Beweise oder eindeutiger Anhaltspunkte davon überzeugt ist, dass die Verwendung des betreffenden biometrischen Echtzeit-Fernidentifizierungssystems für die Erreichung eines der in Absatz 1 genannten Ziele erforderlich und verhältnismäßig ist; Buchstabe d, wie im Ersuchen angegeben, und bleibt insbesondere auf das absolut Notwendige in Bezug auf den Zeitraum sowie den geografischen und persönlichen Geltungsbereich beschränkt. 2. Bei der Entscheidung über das Ersuchen berücksichtigt das zuständige Gericht oder eine unabhängige Verwaltungsbehörde, deren Entscheidung bindend ist, die in Absatz 2 genannten Elemente. Es wird sichergestellt, dass weder die Justizbehörde noch eine unabhängige Verwaltungsbehörde, deren Entscheidung allein auf der Grundlage der Ergebnisse des biometrischen Fernidentifizierungssystems verbindlich ist, Entscheidungen treffen können, die nachteilige Rechtswirkungen für eine Person haben.
3a) Unbeschadet des Absatzes 3 wird jede Verwendung eines biometrischen Echtzeit-Fernidentifizierungssystems in öffentlich zugänglichen Räumen zu Gefahrenabwehr- und Strafverfolgungszwecken der zuständigen Marktüberwachungsbehörde und der nationalen Datenschutzbehörde gemäß den in Absatz 4 genannten nationalen Vorschriften gemeldet. Die Notifizierung enthält mindestens die in Absatz 5 genannten Informationen und darf keine sensiblen Betriebsdaten enthalten.
4. Ein Mitgliedstaat kann beschließen, die Möglichkeit vorzusehen, die Verwendung biometrischer Fernidentifizierungssysteme in Echtzeit in öffentlich zugänglichen Räumen zum Zwecke der Strafverfolgung innerhalb der in Absatz 1 Buchstaben d, 2 und 3 genannten Grenzen und Bedingungen ganz oder teilweise zu genehmigen. 3. Die betreffenden Mitgliedstaaten legen in ihrem nationalen Recht die erforderlichen Durchführungsbestimmungen für die Beantragung, Erteilung und Ausübung der in Absatz 3 genannten Genehmigungen sowie für die Beaufsichtigung und Berichterstattung darüber fest. In diesen Vorschriften wird auch festgelegt, für welche der in Absatz 1 Buchstabe d genannten Ziele, einschließlich der in Absatz iii genannten Straftaten, die zuständigen Behörden ermächtigt werden können, diese Systeme zum Zwecke der Strafverfolgung zu nutzen. Die Mitgliedstaaten teilen der Kommission diese Vorschriften spätestens 30 Tage nach ihrem Erlass mit. Die Mitgliedstaaten können im Einklang mit dem Unionsrecht restriktivere Rechtsvorschriften für die Verwendung biometrischer Fernidentifizierungssysteme erlassen.
5. Die nationalen Marktüberwachungsbehörden und die nationalen Datenschutzbehörden der Mitgliedstaaten, denen die Verwendung biometrischer Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Gefahrenabwehr- und Strafverfolgungszwecken gemäß Absatz 3a gemeldet wurde, legen der Kommission Jahresberichte über diese Nutzung vor. Zu diesem Zweck stellt die Kommission den Mitgliedstaaten und den nationalen Marktüberwachungs- und Datenschutzbehörden eine Vorlage zur Verfügung, die Informationen über die Anzahl der von den zuständigen Justizbehörden oder einer unabhängigen Verwaltungsbehörde getroffenen Entscheidungen, deren Entscheidung für Genehmigungsanträge gemäß Absatz 3 bindend ist, und deren Ergebnis enthält.
6. Die Kommission veröffentlicht Jahresberichte über den Einsatz biometrischer Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen für Gefahrenabwehr- und Strafverfolgungszwecke auf der Grundlage aggregierter Daten in den Mitgliedstaaten auf der Grundlage der in Absatz 5 genannten Jahresberichte, die keine sensiblen operativen Daten der damit verbundenen Strafverfolgungsmaßnahmen enthalten.
Titel III: HOCHRISIKO-KI-SYSTEME
Kapitel 1 Klassifizierung von KI-Systemen als Hochrisiko-KI-Systeme
Artikel 6 Klassifizierungeforschriften für Hochrisiko-KI-Systeme
1. Unabhängig davon, ob ein KI-System unabhängig von den unter den Buchstaben a und b genannten Produkten in Verkehr gebracht oder in Betrieb genommen wird, gilt dieses KI-System als risikoreich, wenn die beiden folgenden Bedingungen erfüllt sind:
a) Das KI-System ist dazu bestimmt, als Sicherheitskomponente eines Produkts verwendet zu werden, oder das KI-System ist selbst ein Produkt, das unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union fällt;
b) das Produkt, dessen Sicherheitskomponente gemäß Buchstabe a) das KI-System ist, oder das KI-System selbst als Produkt einer Konformitätsbewertung durch Dritte unterzogen werden muss, um dieses Produkt gemäß den in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union in Verkehr zu bringen oder in Betrieb zu nehmen;
2. Zusätzlich zu den in Absatz 1 genannten KI-Systemen mit hohem Risiko gelten auch die in Anhang III genannten KI-Systeme als KI-Systeme mit hohem Risiko.
2a) Abweichend von Absatz 2 gelten KI-Systeme nicht als hohes Risiko, wenn sie kein erhebliches Risiko einer Schädigung der Gesundheit, der Sicherheit oder der Grundrechte natürlicher Personen darstellen, auch wenn sie das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflussen. Dies ist der Fall, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:
a) das KI-System soll eine eng gefasste verfahrenstechnische Aufgabe erfüllen;
b) das KI-System soll das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessern;
c) das KI-System dazu bestimmt ist, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und nicht dazu bestimmt ist, die zuvor abgeschlossene menschliche Bewertung ohne ordnungsgemäße menschliche Überprüfung zu ersetzen oder zu beeinflussen; oder
d) das KI-System soll eine vorbereitende Aufgabe für eine Bewertung erfüllen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist.
Ungeachtet des Unterabsatzes 1 dieses Absatzes gilt ein KI-System stets dann als System mit hohem Risiko, wenn das KI-System ein Profil natürlicher Personen erstellt.
2b) Ein Anbieter, der der Auffassung ist, dass ein in Anhang III genanntes KI-System kein hohes Risiko birgt, dokumentiert seine Bewertung, bevor dieses System in Verkehr gebracht oder in Betrieb genommen wird. Dieser Anbieter unterliegt der Registrierungspflicht gemäß Artikel 51 Absatz 1a) Auf Verlangen der zuständigen nationalen Behörden stellt der Anbieter die Dokumentation der Bewertung zur Verfügung.
2c) Die Kommission legt nach Anhörung des KI-Ausschusses und spätestens [18 Monate] nach Inkrafttreten dieser Verordnung Leitlinien vor, in denen die praktische Umsetzung dieses Artikels präzisiert wird, ergänzt durch eine umfassende Liste praktischer Beispiele für Anwendungsfälle mit hohem und nicht hohem Risiko für KI-Systeme gemäß Artikel 82b)
2d) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die in Absatz 2a Unterabsatz 1 Buchstaben a bis d festgelegten Kriterien zu ändern.
2a) Die Kommission kann delegierte Rechtsakte erlassen, mit denen die in Absatz 2a Unterabsatz 1 Buchstaben a bis d festgelegten Kriterien um neue Kriterien ergänzt oder geändert werden, wenn konkrete und zuverlässige Beweise für das Vorhandensein von KI-Systemen vorliegen, die in den Anwendungsbereich des Anhangs III fallen, aber kein erhebliches Risiko für Gesundheitsschäden darstellen — Sicherheit und Grundrechte.
Die Kommission erlässt delegierte Rechtsakte zur Streichung der in Absatz 2a Unterabsatz 1 festgelegten Kriterien, wenn konkrete und zuverlässige Beweise dafür vorliegen, dass dies zur Aufrechterhaltung des Schutzniveaus für Gesundheit, Sicherheit und Grundrechte in der Union erforderlich ist.
Eine Änderung der in Absatz 2a Unterabsatz 1 genannten Kriterien gemäß Absatz 2a Unterabsatz 1 darf das allgemeine Schutzniveau für Gesundheit, Sicherheit und Grundrechte in der Union nicht verringern.
Beim Erlass der delegierten Rechtsakte achtet die Kommission auf Kohärenz mit den gemäß Artikel 7 Absatz 1 erlassenen delegierten Rechtsakten und berücksichtigt Markt- und Technologieentwicklungen.
Artikel 7 Änderungen des Anhangs III
1) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um Anhang III durch Hinzufügung oder Änderung von Anwendungsfällen von Hochrisiko-KI-Systemen zu ändern, wenn die beiden folgenden Bedingungen erfüllt sind:
a) Die KI-Systeme sind für den Einsatz in einem der in Anhang III Nummern 1 bis 8 aufgeführten Bereiche bestimmt;
b) die KI-Systeme stellen ein Risiko einer Schädigung von Gesundheit und Sicherheit oder einer nachteiligen Auswirkung auf die Grundrechte dar und dieses Risiko ist gleich oder größer als das Risiko einer Schädigung oder nachteiliger Auswirkungen, die von den bereits in Anhang III genannten Hochrisiko-KI-Systemen ausgehen.
2. Bei der Bewertung für die Zwecke des Absatzes 1, ob ein KI-System ein Risiko einer Schädigung der Gesundheit und Sicherheit oder eines Risikos nachteiliger Auswirkungen auf die Grundrechte darstellt, das dem Risiko eines Schadens durch die bereits in Anhang III genannten Hochrisiko-KI-Systeme entspricht oder größer ist, berücksichtigt die Kommission die folgenden Kriterien:
a) die Zweckbestimmung des KI-Systems;
b) das Ausmaß, in dem ein KI-System eingesetzt wurde oder wahrscheinlich eingesetzt wird;
ba) Art und Umfang der vom KI-System verarbeiteten und genutzten Daten, insbesondere ob besondere Kategorien personenbezogener Daten verarbeitet werden;
bb) das Ausmaß, in dem das KI-System autonom handelt, und die Möglichkeit für einen Menschen, sich über eine Entscheidung oder Empfehlung hinwegzusetzen, die zu potenziellem Schaden führen kann;
c) das Ausmaß, in dem der Einsatz eines KI-Systems bereits zu einer Schädigung der Gesundheit und Sicherheit geführt hat, sich nachteilig auf die Grundrechte ausgewirkt hat oder Anlass zu erheblichen Bedenken hinsichtlich der Wahrscheinlichkeit eines solchen Schadens oder einer solchen nachteiligen Auswirkung gegeben hat, wie z. B. durch Berichte oder dokumentierte Behauptungen, die den zuständigen nationalen Behörden vorgelegt wurden, oder durch andere Berichte, gegebenenfalls.
d) das potenzielle Ausmaß eines solchen Schadens oder einer solchen nachteiligen Auswirkung, insbesondere im Hinblick auf seine Intensität und seine Fähigkeit, eine Vielzahl von Personen oder eine bestimmte Personengruppe unverhältnismäßig zu beeinträchtigen;
e) das Ausmaß, in dem potenziell geschädigte oder nachteilig betroffene Personen von dem mit einem KI-System erzielten Ergebnis abhängig sind, insbesondere weil es aus praktischen oder rechtlichen Gründen vernünftigerweise nicht möglich ist, sich von diesem Ergebnis abzumelden;
e) das Ausmaß, in dem sich potenziell geschädigte oder nachteilig betroffene Personen in Bezug auf den Nutzer eines KI-Systems in einer schutzbedürftigen Position befinden, insbesondere aufgrund eines Ungleichgewichts von Macht, Wissen, wirtschaftlichen oder sozialen Umständen oder Alter;
f) das Ausmaß, in dem ein Machtungleichgewicht besteht oder sich die potenziell geschädigten oder nachteilig betroffenen Personen in Bezug auf den Nutzer eines KI-Systems in einer schutzbedürftigen Position befinden, insbesondere aufgrund von Status, Autorität, Wissen, wirtschaftlichen oder sozialen Umständen oder Alter;
g) das Ausmaß, in dem das Ergebnis, das mit einem KI-System erzielt wird, leicht korrigierbar oder reversibel ist, wobei die technischen Lösungen, die zur Korrektur oder Umkehrung zur Verfügung stehen, nicht als leicht korrigierbar oder reversibel angesehen werden, wobei Ergebnisse mit nachteiligen Auswirkungen auf Gesundheit, Sicherheit und Grundrechte nicht als leicht korrigierbar oder reversibel angesehen werden.
gb) Umfang und Wahrscheinlichkeit des Nutzens des Einsatzes des KI-Systems für Einzelpersonen, Gruppen oder die Gesellschaft insgesamt, einschließlich möglicher Verbesserungen der Produktsicherheit;
h) das Ausmaß, in dem die bestehenden Rechtsvorschriften der Union Folgendes vorsehen:
i) wirksame Abhilfemaßnahmen in Bezug auf die Risiken, die von einem KI-System ausgehen, unter Ausschluss von Schadenersatzansprüchen;
ii) wirksame Maßnahmen zur Vermeidung oder wesentlichen Minimierung dieser Risiken.
2a) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die Liste in Anhang III zu ändern, indem KI-Systeme mit hohem Risiko gestrichen werden, wenn die beiden folgenden Bedingungen erfüllt sind:
a) die betreffenden KI-Systeme mit hohem Risiko stellen unter Berücksichtigung der in Absatz 2 genannten Kriterien keine erheblichen Risiken mehr für die Grundrechte, die Gesundheit oder die Sicherheit dar;
b) die Streichung das allgemeine Schutzniveau für Gesundheit, Sicherheit und Grundrechte nach dem Unionsrecht nicht verringert.
Kapitel 2 Anforderungen an Hochrisiko-KI-Systeme
Artikel 8 Einhaltung der Anforderungen
1. Hochrisiko-KI-Systeme müssen die in diesem Kapitel festgelegten Anforderungen erfüllen, wobei ihre Zweckbestimmung sowie der allgemein anerkannte Stand der Technik in Bezug auf KI und KI-verwandte Technologien zu berücksichtigen sind. Das in Artikel 9 genannte Risikomanagementsystem wird bei der Gewährleistung der Einhaltung dieser Anforderungen berücksichtigt.
2a) Enthält ein Produkt ein KI-System, für das die Anforderungen dieser Verordnung sowie die Anforderungen der in Anhang II Abschnitt A aufgeführten Harmonisierungsrechtsvorschriften der Union gelten, so sind die Anbieter dafür verantwortlich, dass ihr Produkt alle geltenden Anforderungen erfüllt, die nach den Harmonisierungsrechtsvorschriften der Union erforderlich sind.
Um sicherzustellen, dass die in Absatz 1 genannten Hochrisiko-KI-Systeme die Anforderungen des Kapitels 2 dieses Titels erfüllen, und um Kohärenz zu gewährleisten, Doppelarbeit zu vermeiden und zusätzlichen Aufwand zu minimieren, haben die Anbieter die Möglichkeit, die erforderlichen Prüf- und Berichterstattungsverfahren, Informationen und Unterlagen, die sie in Bezug auf ihr Produkt bereitstellen, gegebenenfalls in bereits bestehende Dokumentationen und Verfahren zu integrieren, die im Rahmen der Harmonisierung der Union erforderlich sind Rechtsvorschriften, die in Anhang II Abschnitt A aufgeführt sind.
Artikel 9 Risikomanagementsystem
1. In Bezug auf Hochrisiko-KI-Systeme ist ein Risikomanagementsystem einzurichten, umzusetzen, zu dokumentieren und aufrechtzuerhalten.
2. Unter dem Risikomanagementsystem ist ein kontinuierlicher iterativer Prozess zu verstehen, der während des gesamten Lebenszyklus eines Hochrisiko-KI-Systems geplant und durchgeführt wird und einer regelmäßigen systematischen Überprüfung und Aktualisierung bedarf. Sie umfasst folgende Schritte:
a) Ermittlung und Analyse der bekannten und vernünftigerweise vorhersehbaren Risiken, die das Hochrisiko-KI-System für die Gesundheit, die Sicherheit oder die Grundrechte darstellen kann, wenn das Hochrisiko-KI-System bestimmungsgemäß eingesetzt wird;
b) Abschätzung und Bewertung der Risiken, die entstehen können, wenn das Hochrisiko-KI-System bestimmungsgemäß und unter Bedingungen eines vernünftigerweise vorhersehbaren Missbrauchs eingesetzt wird;
c) Bewertung anderer möglicherweise auftretender Risiken auf der Grundlage der Analyse von Daten, die aus dem in Artikel 61 genannten System zur Überwachung nach dem Inverkehrbringen erhoben wurden;
d) Ergreifung geeigneter und gezielter Risikomanagementmaßnahmen zur Bewältigung der gemäß Buchstabe a dieses Absatzes ermittelten Risiken gemäß den Bestimmungen der folgenden Absätze.
2a) Die in diesem Absatz genannten Risiken betreffen nur Risiken, die durch die Entwicklung oder Gestaltung des Hochrisiko-KI-Systems oder die Bereitstellung angemessener technischer Informationen in angemessener Weise gemindert oder beseitigt werden können.
3. Bei den in Absatz 2 Buchstabe d genannten Risikomanagementmaßnahmen werden die Auswirkungen und möglichen Wechselwirkungen, die sich aus der kombinierten Anwendung der Anforderungen dieses Kapitels 2 ergeben, gebührend berücksichtigt, um die Risiken wirksamer zu minimieren und gleichzeitig ein angemessenes Gleichgewicht bei der Umsetzung der Maßnahmen zur Erfüllung dieser Anforderungen zu erreichen.
4. Die in Absatz 2 Buchstabe d genannten Risikomanagementmaßnahmen müssen so beschaffen sein, dass das mit jeder Gefahr verbundene relevante Restrisiko sowie das Gesamtrestrisiko der Hochrisiko-KI-Systeme als akzeptabel erachtet werden.
Bei der Ermittlung der am besten geeigneten Risikomanagementmaßnahmen ist Folgendes sicherzustellen:
a) Beseitigung oder Verringerung der ermittelten und gemäß Absatz 2 bewerteten Risiken, soweit dies technisch möglich ist, durch eine angemessene Konzeption und Entwicklung des Hochrisiko-KI-Systems,
b) gegebenenfalls die Durchführung angemessener Minderungs- und Kontrollmaßnahmen zur Bewältigung von Risiken, die nicht beseitigt werden können;
c) Bereitstellung der erforderlichen Informationen gemäß Artikel 13 gemäß Absatz 2 Buchstabe b des vorliegenden Artikels und gegebenenfalls Schulung der Einsatzkräfte.
Im Hinblick auf die Beseitigung oder Verringerung von Risiken im Zusammenhang mit der Nutzung des KI-Systems mit hohem Risiko sind die vom Betreiber zu erwartenden technischen Kenntnisse, Erfahrungen, Ausbildungen und Schulungen sowie der mutmaßliche Kontext, in dem das System verwendet werden soll, gebührend zu berücksichtigen.
5. Hochrisiko-KI-Systeme werden getestet, um die am besten geeigneten und zielgerichtetsten Risikomanagementmaßnahmen zu ermitteln. Durch die Tests muss sichergestellt werden, dass KI-Systeme mit hohem Risiko für ihren vorgesehenen Zweck durchgängig funktionieren und die Anforderungen dieses Kapitels erfüllen.
6. Die Prüfverfahren können Prüfungen unter realen Bedingungen gemäß Artikel 54a umfassen.
7) Die Erprobung der Hochrisiko-KI-Systeme wird gegebenenfalls zu jedem Zeitpunkt des Entwicklungsprozesses und in jedem Fall vor dem Inverkehrbringen oder der Inbetriebnahme durchgeführt. Die Tests sind anhand zuvor festgelegter Metriken und probabilistischer Schwellenwerte durchzuführen, die für die Zweckbestimmung des Hochrisiko-KI-Systems geeignet sind.
8. Bei der Umsetzung des in den Absätzen 1 bis 6 beschriebenen Risikomanagementsystems berücksichtigen die Anbieter, ob sich das Hochrisiko-KI-System angesichts seiner Zweckbestimmung voraussichtlich nachteilig auf Personen unter 18 Jahren und gegebenenfalls auf andere schutzbedürftige Personengruppen auswirken wird.
9. Bei Anbietern von Hochrisiko-KI-Systemen, die nach den einschlägigen sektorspezifischen Rechtsvorschriften der Union Anforderungen an interne Risikomanagementprozesse unterliegen, können die in den Absätzen 1 bis 8 beschriebenen Aspekte Teil der gemäß diesem Recht festgelegten Risikomanagementverfahren sein oder mit diesen kombiniert werden.
Artikel 10 Daten and Daten Governance
1. Hochrisiko-KI-Systeme, die Techniken verwenden, bei denen Modelle mit Daten trainiert werden, werden auf der Grundlage von Trainings-, Validierungs- und Testdatensätzen entwickelt, die die in den Absätzen 2 bis 5 genannten Qualitätskriterien erfüllen, wenn solche Datensätze verwendet werden.
2. Trainings-, Validierungs- und Testdatensätze unterliegen angemessenen Datenverwaltungs- und -verwaltungspraktiken, die für den beabsichtigten Zweck des KI-Systems geeignet sind. Diese Praktiken betreffen insbesondere
a) die relevanten Designentscheidungen;
aa) Vorgänge der Datenerhebung und Herkunft der Daten sowie im Falle personenbezogener Daten den ursprünglichen Zweck der Datenerhebung;
b) gestrichen
c) einschlägige Verarbeitungsvorgänge der Datenaufbereitung, wie z. B. Annotation, Kennzeichnung, Bereinigung, Aktualisierung, Anreicherung und Aggregation;
d) die Formulierung von Annahmen, insbesondere in Bezug auf die Informationen, die die Daten messen und darstellen sollen;
e) eine Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze;
f) Prüfung im Hinblick auf mögliche Verzerrungen, die sich auf die Gesundheit und Sicherheit von Personen auswirken, sich negativ auf die Grundrechte auswirken oder zu einer nach dem Unionsrecht verbotenen Diskriminierung führen können, insbesondere wenn die Datenergebnisse die Eingaben für künftige Vorgänge beeinflussen;
fa) geeignete Maßnahmen zur Aufdeckung, Verhinderung und Minderung möglicher Verzerrungen, die gemäß Buchstabe f festgestellt wurden;
g) die Ermittlung relevanter Datenlücken oder -mängel, die der Einhaltung dieser Verordnung entgegenstehen, und der Frage, wie diese Lücken und Mängel behoben werden können.
3. Schulungs-, Validierungs- und Testdatensätze müssen relevant, hinreichend repräsentativ und im bestmöglichen Umfang fehlerfrei und im Hinblick auf den beabsichtigten Zweck vollständig sein. Sie müssen über die geeigneten statistischen Eigenschaften verfügen, gegebenenfalls auch in Bezug auf die Personen oder Personengruppen, für die das Hochrisiko-KI-System eingesetzt werden soll. Diese Merkmale der Datensätze können auf der Ebene einzelner Datensätze oder einer Kombination davon erfüllt sein.
4. Die Datensätze berücksichtigen, soweit dies für die Zweckbestimmung erforderlich ist, die Merkmale oder Elemente, die für das spezifische geografische, kontextbezogene, verhaltensbezogene oder funktionale Umfeld, in dem das Hochrisiko-KI-System eingesetzt werden soll, spezifisch sind.
5. Soweit dies für die Zwecke der Gewährleistung der Erkennung und Korrektur von Verzerrungen in Bezug auf die Hochrisiko-KI-Systeme gemäß Absatz 2, Buchstabe f und fa unbedingt erforderlich ist, dürfen die Anbieter solcher Systeme ausnahmsweise besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeiten — Artikel 10 der Richtlinie (EU) 2016/680 und Artikel 10 Absatz 1 der Verordnung (EU) 2018/1725, vorbehaltlich geeigneter Garantien für die Grundrechte und Grundfreiheiten natürlicher Personen. Zusätzlich zu den Bestimmungen der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2018/1725 gelten alle folgenden Bedingungen für eine solche Verarbeitung:
a) die Erkennung und Korrektur von Verzerrungen durch die Verarbeitung anderer Daten, einschließlich synthetischer oder anonymisierter Daten, nicht wirksam erfüllt werden kann;
b) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, unterliegen technischen Beschränkungen für die Weiterverwendung der personenbezogenen Daten und dem Stand der Technik entsprechenden Sicherheits- und Datenschutzmaßnahmen, einschließlich der Pseudonymisierung;
c) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, Maßnahmen unterliegen, die sicherstellen, dass die verarbeiteten personenbezogenen Daten gesichert und geschützt sind, angemessenen Garantien unterliegen, einschließlich strenger Kontrollen und Dokumentation des Zugriffs, um Missbrauch zu vermeiden und sicherzustellen, dass nur befugte Personen Zugang zu diesen personenbezogenen Daten haben, die angemessen zur Vertraulichkeit verpflichtet sind;
d) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, dürfen nicht von anderen Parteien übermittelt, übertragen oder anderweitig abgerufen werden;
e) die besonderen Kategorien personenbezogener Daten, die für die Zwecke dieses Absatzes verarbeitet werden, gelöscht werden, sobald die Verzerrung korrigiert wurde oder die personenbezogenen Daten das Ende ihrer Aufbewahrungsfrist erreicht haben, je nachdem, was zuerst eintritt;
f) das Verzeichnis der Verarbeitungstätigkeiten gemäß der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2018/1725 eine Begründung enthält, warum die Verarbeitung besonderer Kategorien personenbezogener Daten unbedingt erforderlich war, um Verzerrungen aufzudecken und zu korrigieren, und dieses Ziel durch die Verarbeitung anderer Daten nicht erreicht werden konnte.
6. Für die Entwicklung von Hochrisiko-KI-Systemen, bei denen keine Techniken zum Trainieren von Modellen verwendet werden, gelten die Absätze 2 bis 5 nur für die Testdatensätze.
Artikel 11 Technische Dokumentation
1. Die technischen Unterlagen eines Hochrisiko-KI-Systems sind vor dem Inverkehrbringen oder der Inbetriebnahme dieses Systems zu erstellen und auf dem neuesten Stand zu halten.
Die technischen Unterlagen sind so zu erstellen, dass nachgewiesen werden kann, dass das Hochrisiko-KI-System die Anforderungen dieses Kapitels erfüllt, und den zuständigen nationalen Behörden und notifizierten Stellen die erforderlichen Informationen in klarer und umfassender Form zur Verfügung gestellt werden, um die Konformität des KI-Systems mit diesen Anforderungen zu bewerten. Er enthält mindestens die in Anhang IV aufgeführten Elemente. KMU, einschließlich Start-up-Unternehmen, können die in Anhang IV genannten Bestandteile der technischen Dokumentation in vereinfachter Form bereitstellen. Zu diesem Zweck erstellt die Kommission ein vereinfachtes Formular für technische Unterlagen, das auf die Bedürfnisse von Klein- und Kleinstunternehmen zugeschnitten ist. Entscheidet sich ein KMU, einschließlich Start-up-Unternehmen, dafür, die in Anhang IV geforderten Informationen in vereinfachter Form bereitzustellen, so verwendet es das in diesem Absatz genannte Formular. Die notifizierten Stellen akzeptieren das Formular für die Zwecke der Konformitätsbewertung.
2. Wird ein Hochrisiko-KI-System im Zusammenhang mit einem Produkt, für das die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, in Verkehr gebracht oder in Betrieb genommen, so wird eine einzige technische Dokumentation erstellt, die alle in Absatz 1 genannten Informationen sowie die nach diesen Rechtsakten erforderlichen Informationen enthält.
3. Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um Anhang IV erforderlichenfalls zu ändern, um sicherzustellen, dass die technischen Unterlagen unter Berücksichtigung des technischen Fortschritts alle erforderlichen Informationen enthalten, um die Konformität des Systems mit den Anforderungen dieses Kapitels zu bewerten.
Artikel 12 Aufzeichnungspflichten
1. Hochrisiko-KI-Systeme müssen technisch die automatische Aufzeichnung von Ereignissen („Protokollen“) während der gesamten Lebensdauer des Systems ermöglichen.
2. Um ein Maß an Rückverfolgbarkeit der Funktionsweise des KI-Systems zu gewährleisten, das der Zweckbestimmung des Systems angemessen ist, müssen die Protokollierungsfunktionen die Aufzeichnung von Ereignissen ermöglichen, die für Folgendes relevant sind:
2a) i) Ermittlung von Situationen, die dazu führen können, dass das KI-System ein Risiko im Sinne von Artikel 65 Absatz 1 darstellt oder eine wesentliche Änderung vornimmt;
ii) Erleichterung der Überwachung nach dem Inverkehrbringen gemäß Artikel 61; und
iii) Überwachung des Betriebs von Hochrisiko-KI-Systemen gemäß Artikel 29 Absatz 4.
3. entfällt
4. Bei KI-Systemen mit hohem Risiko gemäß Anhang III Absatz 1 Buchstabe a müssen die Protokollierungskapazitäten mindestens Folgendes bieten:
a) Aufzeichnung des Zeitraums jeder Nutzung des Systems (Startdatum und -uhrzeit sowie Enddatum und -uhrzeit jeder Nutzung);
b) die Referenzdatenbank, mit der die Eingabedaten vom System abgeglichen wurden;
c) die Eingabedaten, bei denen die Suche zu einer Übereinstimmung geführt hat;
d) die Identifizierung der natürlichen Personen, die an der Überprüfung der Ergebnisse gemäß Artikel 14 Absatz 5 beteiligt sind.
Artikel 13 Transparenz und Bereitstellung von Informationen für die Betreiber
1. Hochrisiko-KI-Systeme sind so zu konzipieren und zu entwickeln, dass ihr Betrieb hinreichend transparent ist, damit die Betreiber die Ergebnisse des Systems interpretieren und angemessen nutzen können. Es ist für eine angemessene Art und ein angemessenes Maß an Transparenz zu sorgen, um die Einhaltung der einschlägigen Verpflichtungen des Anbieters und des Betreibers gemäß Kapitel 3 dieses Titels zu erreichen.
2. Hochrisiko-KI-Systemen ist eine Gebrauchsanweisung in geeigneter digitaler Form oder auf andere Weise beizufügen, die prägnante, vollständige, korrekte und klare Informationen enthält, die für die Nutzer relevant, zugänglich und verständlich sind.
3. Die Gebrauchsanweisung muss mindestens folgende Angaben enthalten:
a) die Identität und die Kontaktdaten des Anbieters und gegebenenfalls seines Bevollmächtigten;
b) die Merkmale, Fähigkeiten und Leistungsgrenzen des Hochrisiko-KI-Systems, einschließlich:
i) die Zweckbestimmung;
ii) das in Artikel 15 genannte Maß an Genauigkeit, einschließlich seiner Metriken, Robustheit und Cybersicherheit, anhand derer das Hochrisiko-KI-System getestet und validiert wurde und das zu erwarten ist, sowie alle bekannten und vorhersehbaren Umstände, die sich auf dieses erwartete Maß an Genauigkeit, Robustheit und Cybersicherheit auswirken können;
iii) alle bekannten oder vorhersehbaren Umstände im Zusammenhang mit der bestimmungsgemäßen Nutzung des Hochrisiko-KI-Systems oder unter Bedingungen eines vernünftigerweise vorhersehbaren Missbrauchs, der zu Risiken für die Gesundheit und Sicherheit oder die Grundrechte gemäß Artikel 9 Absatz 2 führen kann;
IIIa) gegebenenfalls die technischen Fähigkeiten und Merkmale des KI-Systems, um Informationen bereitzustellen, die für die Erläuterung seiner Ergebnisse relevant sind.
iv) gegebenenfalls seine Leistung in Bezug auf bestimmte Personen oder Personengruppen, für die das System verwendet werden soll;
v) gegebenenfalls Spezifikationen für die Eingabedaten oder andere relevante Informationen in Bezug auf die verwendeten Trainings-, Validierungs- und Testdatensätze unter Berücksichtigung der Zweckbestimmung des KI-Systems.
va) gegebenenfalls Informationen, die es den Betreibern ermöglichen, die Ergebnisse des Systems zu interpretieren und angemessen zu verwenden.
c) etwaige Änderungen des Hochrisiko-KI-Systems und seiner Leistung, die vom Anbieter zum Zeitpunkt der ersten Konformitätsbewertung im Voraus festgelegt wurden;
d) die in Artikel 14 genannten menschlichen Aufsichtsmaßnahmen, einschließlich der technischen Maßnahmen, die ergriffen wurden, um die Interpretation der Ergebnisse von KI-Systemen durch die Betreiber zu erleichtern;
e) die erforderlichen Rechen- und Hardwareressourcen, die voraussichtliche Lebensdauer des Hochrisiko-KI-Systems und alle erforderlichen Wartungs- und Pflegemaßnahmen, einschließlich ihrer Häufigkeit, um das ordnungsgemäße Funktionieren dieses KI-Systems zu gewährleisten, auch in Bezug auf Softwareaktualisierungen;
ea) gegebenenfalls eine Beschreibung der im KI-System enthaltenen Mechanismen, die es den Nutzern ermöglichen, die Protokolle gemäß Artikel 12 ordnungsgemäß zu erfassen, zu speichern und zu interpretieren.
Artikel 14 Menschliche Aufsicht
1. Hochrisiko-KI-Systeme sind so zu konzipieren und zu entwickeln, dass sie während des Zeitraums, in dem das KI-System in Betrieb ist, von natürlichen Personen wirksam beaufsichtigt werden können, auch mit geeigneten Werkzeugen für die Mensch-Maschine-Schnittstelle.
2. Die menschliche Aufsicht zielt darauf ab, die Risiken für Gesundheit, Sicherheit oder Grundrechte zu verhindern oder zu minimieren, die entstehen können, wenn ein KI-System mit hohem Risiko bestimmungsgemäß oder unter Bedingungen eines vernünftigerweise vorhersehbaren Missbrauchs eingesetzt wird, insbesondere wenn diese Risiken ungeachtet der Anwendung anderer in diesem Kapitel festgelegter Anforderungen fortbestehen.
3. Die Aufsichtsmaßnahmen müssen in einem angemessenen Verhältnis zu den Risiken, dem Grad der Autonomie und dem Nutzungskontext des KI-Systems stehen und durch eine oder alle der folgenden Arten von Maßnahmen sichergestellt werden:
a) Maßnahmen, die vom Anbieter ermittelt und, soweit technisch machbar, in das Hochrisiko-KI-System eingebaut werden, bevor es in Verkehr gebracht oder in Betrieb genommen wird;
b) Maßnahmen, die der Anbieter vor dem Inverkehrbringen oder der Inbetriebnahme des Hochrisiko-KI-Systems ermittelt hat und die geeignet sind, vom Nutzer umgesetzt zu werden.
4. Für die Zwecke der Durchführung der Absätze 1 bis 3 wird das Hochrisiko-KI-System dem Nutzer so zur Verfügung gestellt, dass natürliche Personen, denen die menschliche Aufsicht übertragen ist, in die Lage versetzt werden, je nach Angemessenheit und Verhältnismäßigkeit zu den Umständen:
a) die relevanten Kapazitäten und Grenzen des Hochrisiko-KI-Systems richtig zu verstehen und in der Lage zu sein, seinen Betrieb ordnungsgemäß zu überwachen, auch im Hinblick auf die Erkennung und Behebung von Anomalien, Funktionsstörungen und unerwarteten Leistungen;
???
c) sich der möglichen Tendenz bewusst zu sein, sich automatisch oder übermäßig auf die Ergebnisse eines Hochrisiko-KI-Systems zu verlassen („Automatisierungsverzerrung“), insbesondere bei Hochrisiko-KI-Systemen, die zur Bereitstellung von Informationen oder Empfehlungen für Entscheidungen natürlicher Personen verwendet werden;
d) die Ergebnisse des Hochrisiko-KI-Systems korrekt zu interpretieren, z. B. unter Berücksichtigung der verfügbaren Interpretationsinstrumente und -methoden;
e) in einer bestimmten Situation zu entscheiden, das Hochrisiko-KI-System nicht zu verwenden oder die Ergebnisse des Hochrisiko-KI-Systems anderweitig zu ignorieren, außer Kraft zu setzen oder umzukehren;
5. Bei KI-Systemen mit hohem Risiko gemäß Anhang III Nummer 1 Buchstabe a müssen die in Absatz 3 genannten Maßnahmen sicherstellen, dass der Betreiber auf der Grundlage der sich aus dem System ergebenden Identifizierung keine Maßnahmen oder Entscheidungen trifft, es sei denn, diese wurde von mindestens zwei natürlichen Personen mit der erforderlichen Kompetenz gesondert überprüft und bestätigt — Ausbildung und Autorität. Das Erfordernis einer getrennten Überprüfung durch mindestens zwei natürliche Personen gilt nicht für KI-Systeme mit hohem Risiko, die für Zwecke der Strafverfolgung, der Migration, der Grenzkontrolle oder des Asyls eingesetzt werden, wenn das Unionsrecht oder das nationale Recht die Anwendung dieser Anforderung für unverhältnismäßig hält.
Artikel 15 Genauigkeit, Robustheit und Cybersicherheit
1. Hochrisiko-KI-Systeme sind so zu konzipieren und zu entwickeln, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus gleichbleibend funktionieren.
1a) Um die technischen Aspekte der Messung der in Absatz 1 dieses Artikels genannten angemessenen Genauigkeits- und Robustheitsniveaus und anderer einschlägiger Leistungskennzahlen zu berücksichtigen, fördert die Kommission in Zusammenarbeit mit einschlägigen Interessenträgern und Organisationen wie Metrologie- und Benchmarking-Behörden gegebenenfalls die Entwicklung von Benchmarks und Messmethoden.
2) Die Genauigkeitsstufen und die relevanten Genauigkeitsmetriken von Hochrisiko-KI-Systemen sind in der beigefügten Gebrauchsanweisung zu deklarieren.
3.) Hochrisiko-KI-Systeme müssen so widerstandsfähig wie möglich gegenüber Fehlern, Störungen oder Inkonsistenzen sein, die innerhalb des Systems oder der Umgebung, in der das System betrieben wird, auftreten können, insbesondere aufgrund ihrer Wechselwirkung mit natürlichen Personen oder anderen Systemen. Zu diesem Zweck werden technische und organisatorische Maßnahmen getroffen.
Die Robustheit von KI-Systemen mit hohem Risiko kann durch technische Redundanzlösungen erreicht werden, die Backup- oder Ausfallsicherungspläne umfassen können.
Hochrisiko-KI-Systeme, die nach dem Inverkehrbringen oder der Inbetriebnahme weiter dazulernen, sind so zu entwickeln, dass das Risiko, dass möglicherweise verzerrte Ergebnisse den Input für künftige Vorgänge beeinflussen („Rückkopplungsschleifen“), so weit wie möglich beseitigt oder verringert werden, und es wird gebührend mit geeigneten Minderungsmaßnahmen begegnet.
4. Hochrisiko-KI-Systeme müssen widerstandsfähig gegenüber Versuchen unbefugter Dritter sein, ihre Nutzung, ihre Ergebnisse oder ihre Leistung durch Ausnutzung der Systemschwachstellen zu verändern.
Die technischen Lösungen, mit denen die Cybersicherheit von Hochrisiko-KI-Systemen gewährleistet werden soll, müssen den jeweiligen Umständen und Risiken angemessen sein.
Die technischen Lösungen zur Behebung KI-spezifischer Schwachstellen umfassen gegebenenfalls Maßnahmen zur Verhinderung, Erkennung, Reaktion darauf, Behebung und Kontrolle von Angriffen, mit denen versucht wird, den Trainingsdatensatz („Datenvergiftung“) oder vortrainierte Komponenten, die beim Training verwendet werden („Modellvergiftung“), Eingaben, die dazu führen sollen, dass das Modell einen Fehler macht („kontradiktorische Beispiele“ oder „Modellumgehung“), Vertraulichkeitsangriffe oder Modellfehler zu manipulieren.
Kapitel 3 Pflichten der Anbieter und Betreiber von Hochrisiko-KI-Systemen und anderer Beteiligter
Artikel 16 Pflichten der Anbieter von Hochrisiko-KI-Systemen
Anbieter von Hochrisiko-KI-Systemen müssen
a) sicherstellen, dass ihre Hochrisiko-KI-Systeme die Anforderungen des Kapitels 2 dieses Titels erfüllen;
aa) ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke, die Anschrift, unter der sie kontaktiert werden können, über das Hochrisiko-KI-System oder, falls dies nicht möglich ist, über die Verpackung bzw. die Begleitdokumentation angeben;
b) über ein Qualitätsmanagementsystem verfügen, das Artikel 17 entspricht;
c) die in Artikel 18 genannten Unterlagen aufzubewahren;
d) wenn sie sich unter ihrer Kontrolle befinden, die von ihren Hochrisiko-KI-Systemen gemäß Artikel 20 automatisch erstellten Protokolle aufbewahren;
e) sicherzustellen, dass das Hochrisiko-KI-System vor dem Inverkehrbringen oder der Inbetriebnahme dem einschlägigen Konformitätsbewertungsverfahren gemäß Artikel 43 unterzogen wird;
ea) eine EU-Konformitätserklärung gemäß Artikel 48 auszustellen;
eb) die CE-Kennzeichnung gemäß Artikel 49 an dem Hochrisiko-KI-System anzubringen, um die Konformität mit dieser Verordnung anzuzeigen;
f) die in Artikel 51 Absatz 1 genannten Registrierungspflichten zu erfüllen;
g) die erforderlichen Korrekturmaßnahmen zu ergreifen und Informationen gemäß Artikel 21 bereitzustellen;
i) In Zeile 313b nach oben verschoben
j) auf begründetes Verlangen einer zuständigen nationalen Behörde die Konformität des Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen.
ja) sicherstellen, dass das Hochrisiko-KI-System die Barrierefreiheitsanforderungen gemäß der Richtlinie 2019/882 über Barrierefreiheitsanforderungen für Produkte und Dienstleistungen und der Richtlinie 2016/2102 über den barrierefreien Zugang zu Websites und mobilen Anwendungen öffentlicher Stellen erfüllt.
Artikel 17 Qualitätsmanagementsystem
1. Anbieter von Hochrisiko-KI-Systemen richten ein Qualitätsmanagementsystem ein, das die Einhaltung dieser Verordnung sicherstellt. Dieses System wird systematisch und geordnet in Form schriftlicher Grundsätze, Verfahren und Anweisungen dokumentiert und umfasst mindestens folgende Aspekte:
a) eine Strategie für die Einhaltung der Rechtsvorschriften, einschließlich der Einhaltung der Konformitätsbewertungsverfahren und der Verfahren für das Management von Änderungen des Hochrisiko-KI-Systems;
b) Techniken, Verfahren und systematische Maßnahmen, die für den Entwurf, die Entwurfskontrolle und die Entwurfsprüfung des Hochrisiko-KI-Systems anzuwenden sind;
c) Techniken, Verfahren und systematische Maßnahmen, die für die Entwicklung, Qualitätskontrolle und Qualitätssicherung des Hochrisiko-KI-Systems anzuwenden sind;
d) Prüfungs-, Test- und Validierungsverfahren, die vor, während und nach der Entwicklung des Hochrisiko-KI-Systems durchzuführen sind, und die Häufigkeit, mit der sie durchgeführt werden müssen;
e) die anzuwendenden technischen Spezifikationen, einschließlich der Normen, und, falls die einschlägigen harmonisierten Normen nicht vollständig angewandt werden oder nicht alle einschlägigen Anforderungen des Kapitels II dieses Titels abdecken, die Mittel, mit denen sichergestellt werden soll, dass das Hochrisiko-KI-System diese Anforderungen erfüllt;
f) Systeme und Verfahren für die Datenverwaltung, einschließlich Datenerfassung, Datenerhebung, Datenanalyse, Datenkennzeichnung, Datenspeicherung, Datenfilterung, Data Mining, Datenaggregation, Datenspeicherung und alle anderen Vorgänge in Bezug auf die Daten, die vor und zum Zwecke des Inverkehrbringens oder der Inbetriebnahme von Hochrisiko-KI-Systemen durchgeführt werden;
g) das in Artikel 9 genannte Risikomanagementsystem;
h) die Einrichtung, Umsetzung und Aufrechterhaltung eines Systems zur Überwachung nach dem Inverkehrbringen gemäß Artikel 61;
i) Verfahren im Zusammenhang mit der Meldung eines schwerwiegenden Vorkommnisses gemäß Artikel 62;
j) die Abwicklung der Kommunikation mit den zuständigen nationalen Behörden, anderen einschlägigen Behörden, einschließlich derjenigen, die den Zugang zu Daten gewähren oder unterstützen, notifizierten Stellen, anderen Betreibern, Kunden oder anderen interessierten Parteien;
k) Systeme und Verfahren für die Aufzeichnung aller relevanten Unterlagen und Informationen;
l) Ressourcenmanagement, einschließlich Maßnahmen im Zusammenhang mit der Versorgungssicherheit;
m) einen Rahmen für die Rechenschaftspflicht, in dem die Verantwortlichkeiten der Geschäftsleitung und des sonstigen Personals in Bezug auf alle in diesem Absatz aufgeführten Aspekte festgelegt sind.
2. Die Umsetzung der in Absatz 1 genannten Aspekte muss in einem angemessenen Verhältnis zur Größe der Organisation des Anbieters stehen. Die Anbieter achten in jedem Fall das Maß an Strenge und das Schutzniveau, die erforderlich sind, um die Konformität ihrer KI-Systeme mit dieser Verordnung zu gewährleisten.
2a) Bei Anbietern von Hochrisiko-KI-Systemen, die nach dem einschlägigen sektoriellen Unionsrecht Verpflichtungen in Bezug auf Qualitätsmanagementsysteme oder deren gleichwertige Funktion unterliegen, können die in Absatz 1 beschriebenen Aspekte Teil der Qualitätsmanagementsysteme gemäß diesem Recht sein.
3. Bei Anbietern, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Unternehmensführung, ihre internen Regelungen oder Prozesse unterliegen, gilt die Verpflichtung zur Einrichtung eines Qualitätsmanagementsystems mit Ausnahme des Absatzes 1 Buchstaben g, h und i als erfüllt, wenn die Vorschriften über interne Governance-Regelungen oder -Prozesse gemäß den einschlägigen Rechtsvorschriften der Union über Finanzdienstleistungen eingehalten werden. In diesem Zusammenhang werden alle in Artikel 40 dieser Verordnung genannten harmonisierten Normen berücksichtigt.
Artikel 18 Führung der Dokumentation
1. Der Anbieter hält für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen oder der Inbetriebnahme des KI-Systems Folgendes für die zuständigen nationalen Behörden bereit:
a) die in Artikel 11 genannten technischen Unterlagen;
b) die Unterlagen über das in Artikel 17 genannte Qualitätsmanagementsystem;
c) gegebenenfalls die Unterlagen über die von den benannten Stellen genehmigten Änderungen;
d) gegebenenfalls die von den benannten Stellen ausgestellten Entscheidungen und sonstigen Unterlagen;
e) die EU-Konformitätserklärung gemäß Artikel 48.
1a) Jeder Mitgliedstaat legt die Bedingungen fest, unter denen die in Absatz 1 genannten Unterlagen den zuständigen nationalen Behörden während des in Absatz 1 genannten Zeitraums zur Verfügung stehen, wenn ein Anbieter oder sein in seinem Hoheitsgebiet ansässiger Bevollmächtigter vor Ablauf dieses Zeitraums in Konkurs geht oder seine Tätigkeit einstellt.
2. Anbieter, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Governance, ihre internen Regelungen oder Prozesse unterliegen, bewahren die technische Dokumentation als Teil der Dokumentation auf, die gemäß den einschlägigen Rechtsvorschriften der Union über Finanzdienstleistungen aufbewahrt wird.
Artikel 19 gelöscht
Artikel 20 Automatisch erzeugte Protokolle
1. Die Anbieter von Hochrisiko-KI-Systemen bewahren die in Artikel 12 Absatz 1 genannten Protokolle, die von ihren Hochrisiko-KI-Systemen automatisch erstellt werden, auf, soweit diese Protokolle unter ihrer Kontrolle stehen. Unbeschadet des geltenden Unionsrechts oder des nationalen Rechts werden die Protokolle für einen Zeitraum von mindestens 6 Monaten aufbewahrt, der der Zweckbestimmung des Hochrisiko-KI-Systems angemessen ist, sofern im geltenden Unionsrecht oder im nationalen Recht, insbesondere im Unionsrecht über den Schutz personenbezogener Daten, nichts anderes vorgesehen ist.
2. Bei Anbietern, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Unternehmensführung, ihre internen Regelungen oder Prozesse unterliegen, bewahren sie die von ihren Hochrisiko-KI-Systemen automatisch generierten Protokolle als Teil der Dokumentation auf, die gemäß den einschlägigen Rechtsvorschriften über Finanzdienstleistungen geführt wird.
Artikel 21 Berichtigungsmaßnahmen und Informationspflicht
Anbieter von KI-Systemen mit hohem Risiko, die der Auffassung sind oder Grund zu der Annahme haben, dass ein von ihnen in Verkehr gebrachtes oder in Betrieb genommenes AI-System nicht dieser Verordnung entspricht, ergreifen unverzüglich die erforderlichen Korrekturmaßnahmen, um die Konformität dieses Systems herzustellen, es gegebenenfalls zurückzunehmen, zu deaktivieren oder zurückzurufen. Sie unterrichten die Händler des betreffenden AI-Systems mit hohem Risiko und gegebenenfalls die Verteiler, den Bevollmächtigten und die Importeure entsprechend. Ist mit dem AI-System mit hohem Risiko ein Risiko im Sinne des Artikels 65 I verbunden und wird dem Anbieter dieses Risiko bekannt, untersucht er – gegebenenfalls in Zusammenarbeit mit dem meldenden Betreiber – unverzüglich die Ursachen hierfür und unterrichtet die Marktüberwachungsbehörden der Mitgliedstaaten, in denen er das AI-System mit hohem Risiko bereitgestellt hat, sowie gegebenenfalls die notifizierte Stelle, die für das AI-System mit hohem Risiko eine Bescheinigung gemäß Artikel 44 ausgestellt hat, insbesondere über die Art der Nichtkonformität und die ergriffenen Korrekturmaßnahmen.
Artikel 22 gelöscht
Artikel 23 Zusammenarbeit mit den zuständigen Behörden
1. Die Anbieter von Hochrisiko-KI-Systemen stellen dieser Behörde auf begründetes Verlangen alle Informationen und Unterlagen, die für den Nachweis der Konformität des Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels erforderlich sind, in einer von der Behörde leicht verständlichen Sprache in einer von dem betreffenden Mitgliedstaat festgelegten Amtssprache der Union zur Verfügung.
1a) Auf begründeten Antrag einer zuständigen nationalen Behörde gewähren die Anbieter der ersuchenden zuständigen nationalen Behörde gegebenenfalls auch Zugang zu den in Artikel 12 Absatz 1 genannten Protokollen, die automatisch vom Hochrisiko-KI-System generiert werden, soweit sich diese Protokolle unter ihrer Kontrolle befinden.
1b) Alle Informationen, die eine zuständige nationale Behörde gemäß den Bestimmungen dieses Artikels erhält, werden unter Beachtung der in Artikel 70 festgelegten Vertraulichkeitsverpflichtungen behandelt.
Artikel 24 ???
Artikel 25 Bevollmächtigte
Bevor sie ihre Systeme auf dem Unionsmarkt bereitstellen, benennen außerhalb der Union niedergelassene Anbieter mit schriftlichem Mandat einen in der Union niedergelassenen Bevollmächtigten.
1b) Der Anbieter ermöglicht es seinem Bevollmächtigten, seine Aufgaben gemäß dieser Verordnung wahrzunehmen.
2. Der Bevollmächtigte nimmt die Aufgaben wahr, die in dem vom Anbieter erteilten Mandat festgelegt sind. Sie stellt den Marktüberwachungsbehörden auf Verlangen eine Kopie des Mandats in einer der Amtssprachen des Organs der Union zur Verfügung, die von der zuständigen nationalen Behörde festgelegt wird. Für die Zwecke dieser Verordnung ermächtigt das Mandat den Bevollmächtigten, folgende Aufgaben wahrzunehmen:
-a) zu überprüfen, ob die EU-Konformitätserklärung und die technischen Unterlagen ausgestellt wurden und ob der Anbieter ein geeignetes Konformitätsbewertungsverfahren durchgeführt hat;
a) hält den zuständigen nationalen Behörden und den in Artikel 63 Absatz 7 genannten nationalen Behörden für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen oder der Inbetriebnahme des Hochrisiko-KI-Systems die Kontaktdaten des Anbieters, von dem der Bevollmächtigte benannt wurde, eine Kopie der EU-Konformitätserklärung bereit, die technischen Unterlagen und gegebenenfalls die von der benannten Stelle ausgestellte Bescheinigung;
b) einer zuständigen nationalen Behörde auf begründetes Verlangen alle Informationen und Unterlagen, einschließlich der gemäß Buchstabe a aufbewahrten, zur Verfügung zu stellen, die erforderlich sind, um die Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen, einschließlich des Zugangs zu den Protokollen gemäß Artikel 12 Absatz 1, automatisch vom Hochrisiko-KI-System generiert werden, soweit diese Protokolle unter der Kontrolle des Anbieters stehen;
c) auf begründetes Ersuchen mit den zuständigen Behörden bei allen Maßnahmen zusammenzuarbeiten, die diese in Bezug auf das Hochrisiko-KI-System ergreifen, insbesondere um die von dem Hochrisiko-KI-System ausgehenden Risiken zu verringern und zu mindern;
Artikel 26 Pflichten der Einführer
Vor dem Inverkehrbringen eines KI-Systems mit hohem Risiko stellen die Einführer eines solchen Systems sicher, dass ein solches System mit dieser Verordnung konform ist, indem sie überprüfen, ob
a) das einschlägige Konformitätsbewertungsverfahren gemäß Artikel 43 vom Anbieter dieses KI-Systems durchgeführt wurde;
b) der Anbieter die technischen Unterlagen gemäß Artikel 11 und Anhang IV erstellt hat;
c) das System mit der erforderlichen CE-Konformitätskennzeichnung versehen ist und von der EU-Konformitätserklärung und der Gebrauchsanweisung begleitet wird;
ca) der Anbieter einen Bevollmächtigten gemäß Artikel 25 Absatz 1 bestellt hat.
2. Hat ein Einführer hinreichenden Grund zu der Annahme, dass ein KI-System mit hohem Risiko nicht dieser Verordnung entspricht, gefälscht ist oder von gefälschten Unterlagen begleitet ist, so darf er dieses System erst in Verkehr bringen, wenn die Konformität dieses KI-Systems hergestellt wurde. Stellt das Hochrisiko-KI-System ein Risiko im Sinne von Artikel 65 Absatz 1 dar, so unterrichtet der Einführer den Anbieter des KI-Systems, die Bevollmächtigten und die Marktüberwachungsbehörden entsprechend.
3. Die Einführer geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke und die Anschrift, unter der sie kontaktiert werden können, auf dem Hochrisiko-KI-System und gegebenenfalls auf der Verpackung oder den Begleitunterlagen an.
4. Solange sich ein KI-System mit hohem Risiko in ihrer Verantwortung befindet, stellen die Einführer sicher, dass die Lagerungs- oder Transportbedingungen die Einhaltung der Anforderungen des Kapitels 2 dieses Titels nicht beeinträchtigen.
4a. Die Einführer bewahren für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen oder der Inbetriebnahme des KI-Systems gegebenenfalls eine Kopie der von der notifizierten Stelle ausgestellten Bescheinigung über die Gebrauchsanweisung und der EU-Konformitätserklärung auf.
5. Die Einführer stellen den zuständigen nationalen Behörden auf begründetes Verlangen alle erforderlichen Informationen und Unterlagen, einschließlich der gemäß Absatz 4a aufbewahrten Unterlagen, zur Verfügung, um die Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen, und zwar in einer Sprache, die für sie leicht verständlich ist. Zu diesem Zweck stellen sie auch sicher, dass die technischen Unterlagen diesen Behörden zur Verfügung gestellt werden können.
5a) Die Einführer arbeiten mit den zuständigen nationalen Behörden bei allen Maßnahmen zusammen, die diese Behörden ergreifen, insbesondere um die von dem Hochrisiko-KI-System ausgehenden Risiken zu verringern und zu mindern.
Artikel 27 Pflichten der Händler
1. Bevor die Händler ein KI-System mit hohem Risiko auf dem Markt bereitstellen, überprüfen sie, ob das KI-System mit hohem Risiko mit der erforderlichen CE-Konformitätskennzeichnung versehen ist, ob ihm eine Kopie der EU-Konformitätserklärung und der Gebrauchsanweisung beigefügt ist und ob der Anbieter bzw. der Importeur des Systems ihren Verpflichtungen gemäß Artikel 16 nachgekommen sind. Buchstabe aa und b bzw. Artikel 26 Absatz 3.
2. Ist ein Händler der Auffassung oder hat er aufgrund der ihm vorliegenden Informationen Grund zu der Annahme, dass ein KI-System mit hohem Risiko die Anforderungen des Kapitels 2 dieses Titels nicht erfüllt, so stellt er das KI-System mit hohem Risiko erst dann auf dem Markt bereit, wenn die Konformität dieses Systems mit diesen Anforderungen hergestellt wurde. Stellt das System ein Risiko im Sinne von Artikel 65 Absatz 1 dar, so unterrichtet der Händler darüber hinaus den Anbieter bzw. den Einführer des Systems.
3. Die Händler stellen sicher, dass die Lagerungs- oder Transportbedingungen die Konformität des Systems mit den Anforderungen des Kapitels 2 dieses Titels nicht gefährden, solange sie für ein KI-System mit hohem Risiko verantwortlich sind.
4. Ein Händler, der auf der Grundlage der ihm vorliegenden Informationen der Auffassung ist oder Grund zu der Annahme hat, dass ein von ihm auf dem Markt bereitgestelltes KI-System mit hohem Risiko nicht den Anforderungen des Kapitels 2 dieses Titels entspricht, ergreift die erforderlichen Korrekturmaßnahmen, um dieses System mit diesen Anforderungen in Einklang zu bringen. sie zurückzuziehen oder zurückzurufen, oder stellen sicher, dass der Anbieter, der Einführer oder gegebenenfalls ein relevanter Marktteilnehmer diese Korrekturmaßnahmen ergreift. 1. Stellt das KI-System mit hohem Risiko ein Risiko im Sinne von Artikel 65 Absatz 1 dar, so unterrichtet der Händler unverzüglich den Anbieter oder Importeur des Systems und die zuständigen nationalen Behörden der Mitgliedstaaten, in denen er das Produkt bereitgestellt hat, zu diesem Zweck und macht dabei ausführliche Angaben, insbesondere über die Nichtkonformität und etwaige ergriffene Korrekturmaßnahmen.
5. Auf begründetes Verlangen einer zuständigen nationalen Behörde stellen die Händler des Hochrisiko-KI-Systems dieser Behörde alle Informationen und Unterlagen über ihre Tätigkeiten gemäß den Absätzen 1 bis 4 zur Verfügung, die erforderlich sind, um die Konformität eines Hochrisikosystems mit den Anforderungen des Kapitels 2 dieses Titels nachzuweisen.
5a. Die Händler arbeiten mit den zuständigen nationalen Behörden bei allen Maßnahmen zusammen, die diese Behörden in Bezug auf ein KI-System ergreifen, dessen Vertreiber sie sind, insbesondere um das von dem Hochrisiko-KI-System ausgehende Risiko zu verringern oder zu mindern.
Artikel 28 Verantwortlichkeiten entlang der KI-Wertschöpfungskette
1. Jeder Händler, Importeur, Betreiber oder sonstige Dritte gilt für die Zwecke dieser Verordnung als Anbieter eines Hochrisiko-KI-Systems und unterliegt den Verpflichtungen des Anbieters gemäß Artikel 16, wenn einer der folgenden Umstände vorliegt:
a) Sie setzen ihren Namen oder ihre Marke auf ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System, unbeschadet vertraglicher Vereinbarungen, die eine anderweitige Aufteilung der Verpflichtungen vorsehen.
b) sie nehmen eine wesentliche Änderung an einem Hochrisiko-KI-System vor, das bereits in Verkehr gebracht oder bereits in Betrieb genommen wurde, und zwar in einer Weise, dass es ein Hochrisiko-KI-System im Sinne von Artikel 6 bleibt;
ba) sie ändern die Zweckbestimmung eines KI-Systems, einschließlich eines KI-Systems für allgemeine Zwecke, das nicht als Hochrisikosystem eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so dass das KI-System gemäß Artikel 6 zu einem KI-System mit hohem Risiko wird
c) gestrichen
2. Treten die in Absatz 1 Buchstaben a bis ba genannten Umstände ein, so gilt der Anbieter, der das KI-System ursprünglich in Verkehr gebracht oder in Betrieb genommen hat, für die Zwecke dieser Verordnung nicht mehr als Anbieter dieses spezifischen KI-Systems. Dieser ehemalige Anbieter arbeitet eng zusammen, stellt die erforderlichen Informationen zur Verfügung und stellt den nach vernünftigem Ermessen erwarteten technischen Zugang und die sonstige Unterstützung bereit, die für die Erfüllung der in dieser Verordnung festgelegten Verpflichtungen, insbesondere in Bezug auf die Einhaltung der Konformitätsbewertung von KI-Systemen mit hohem Risiko, erforderlich sind. Dieser Absatz gilt nicht in den Fällen, in denen der ehemalige Anbieter den Wechsel seines Systems in ein Hochrisikosystem und damit die Verpflichtung zur Herausgabe der Dokumentation ausdrücklich ausgeschlossen hat.
2a) Bei Hochrisiko-KI-Systemen, bei denen es sich um Sicherheitskomponenten von Produkten handelt, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, gilt der Hersteller dieser Produkte als Anbieter des Hochrisiko-KI-Systems und unterliegt den Verpflichtungen nach Artikel 16 in einem der folgenden Szenarien:
i) Das Hochrisiko-KI-System wird zusammen mit dem Produkt unter dem Namen oder der Marke des Produkts in Verkehr gebracht Hersteller;
ii) das Hochrisiko-KI-System wird nach dem Inverkehrbringen des Produkts unter dem Namen oder der Marke des Produktherstellers in Betrieb genommen.
2b) Der Anbieter eines Hochrisiko-KI-Systems und der Dritte, der ein KI-System, Werkzeuge, Dienste, Komponenten oder Prozesse bereitstellt, die in einem Hochrisiko-KI-System verwendet oder integriert werden, geben im Wege einer schriftlichen Vereinbarung die erforderlichen Informationen, Fähigkeiten, technischen Zugang und sonstige Unterstützung auf der Grundlage des allgemein anerkannten Stands der Technik an, damit der Anbieter des Hochrisiko-KI-Systems die Verpflichtungen gemäß dieser Verordnung. Diese Verpflichtung gilt nicht für Dritte, die der Öffentlichkeit andere Werkzeuge, Dienste, Prozesse oder KI-Komponenten unter einer freien und offenen Lizenz zugänglich machen. Das KI-Büro kann freiwillige Mustervertragsbedingungen zwischen Anbietern von Hochrisiko-KI-Systemen und Dritten, die Tools, Dienste, Komponenten oder Prozesse bereitstellen, die in Hochrisiko-KI-Systemen verwendet oder integriert werden, entwickeln und empfehlen. Bei der Ausarbeitung freiwilliger Mustervertragsbedingungen berücksichtigt das KI-Büro mögliche vertragliche Anforderungen, die in bestimmten Sektoren oder Geschäftsfällen gelten. Die Mustervertragsbedingungen werden veröffentlicht und stehen in einem leicht verwendbaren elektronischen Format kostenlos zur Verfügung.
2b) Die Absätze 2 und 2a berühren nicht die Notwendigkeit, die Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse im Einklang mit dem Unionsrecht und dem nationalen Recht zu achten und zu schützen.
Artikel 29 Pflichten der Betreiber von Hochrisiko-KI-Systemen
1. Die Betreiber von Hochrisiko-KI-Systemen ergreifen geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass sie diese Systeme gemäß den Absätzen 2 und 5 dieses Artikels gemäß der den Systemen beigefügten Gebrauchsanweisung verwenden.
1a) Die Betreiber übertragen die menschliche Aufsicht natürlichen Personen, die über die erforderliche Kompetenz, Ausbildung und Befugnis sowie über die erforderliche Unterstützung verfügen.
1a) In dem Umfang, in dem die Betreiber die Kontrolle über das Hochrisiko-KI-System ausüben, stellen sie sicher, dass die natürlichen Personen, die mit der Beaufsichtigung der Hochrisiko-KI-Systeme durch Menschen betraut sind, über die erforderlichen Kompetenzen, Schulungen und Befugnisse sowie über die erforderliche Unterstützung verfügen
2. Die Verpflichtungen nach den Absätzen 1 und 1a gelten unbeschadet anderer Verpflichtungen des Betreibers nach Unionsrecht oder nationalem Recht und des Ermessens des Betreibers bei der Organisation seiner eigenen Ressourcen und Tätigkeiten für die Zwecke der Durchführung der vom Anbieter angegebenen menschlichen Aufsichtsmaßnahmen.
3. Unbeschadet der Absätze 1 und 1a stellt der Betreiber, soweit er die Kontrolle über die Eingabedaten ausübt, sicher, dass die Eingabedaten im Hinblick auf die Zweckbestimmung des Hochrisiko-KI-Systems relevant und hinreichend repräsentativ sind.
4. Die Betreiber überwachen den Betrieb des Hochrisiko-KI-Systems auf der Grundlage der Gebrauchsanweisung und unterrichten gegebenenfalls die Anbieter gemäß Artikel 61. Haben sie Grund zu der Annahme, dass die Verwendung gemäß der Gebrauchsanweisung dazu führen könnte, dass das KI-System ein Risiko im Sinne des Artikels 65 Absatz 1 darstellt, so unterrichten sie unverzüglich den Anbieter oder Händler und die zuständige Marktüberwachungsbehörde und setzen die Nutzung des Systems aus. Sie unterrichten auch unverzüglich zuerst den Anbieter und dann den Einführer oder Händler und die zuständigen Marktüberwachungsbehörden, wenn sie ein schwerwiegendes Vorkommnis festgestellt haben. Ist der Betreiber nicht in der Lage, den Anbieter zu erreichen, so gilt Artikel 62 entsprechend. Diese Verpflichtung gilt nicht für sensible Betriebsdaten von Nutzern von KI-Systemen, bei denen es sich um Strafverfolgungsbehörden handelt.
Bei Betreibern, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Governance, ihre Vorkehrungen oder Prozesse unterliegen, gilt die in Unterabsatz 1 genannte Überwachungspflicht als erfüllt, wenn sie die Vorschriften über interne Governance-Regelungen, -Prozesse und -Mechanismen gemäß den einschlägigen Rechtsvorschriften für Finanzdienstleistungen einhalten.
1. Betreiber von Hochrisiko-KI-Systemen bewahren die von diesem Hochrisiko-KI-System automatisch generierten Protokolle in dem Umfang, in dem sie unter ihrer Kontrolle stehen, für einen Zeitraum von mindestens sechs Monaten auf, der für die Zweckbestimmung des Hochrisiko-KI-Systems angemessen ist, sofern im geltenden Unionsrecht oder im nationalen Recht, insbesondere in den Rechtsvorschriften der Union über den Schutz personenbezogener Daten, nichts anderes bestimmt ist.
Betreiber, bei denen es sich um Finanzinstitute handelt, die gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen Anforderungen an ihre interne Governance, ihre internen Regelungen oder Prozesse unterliegen, führen die Protokolle als Teil der Dokumentation, die gemäß den einschlägigen Rechtsvorschriften der Union über Finanzdienstleistungen geführt wird.
a) Vor der Inbetriebnahme oder dem Einsatz eines Hochrisiko-KI-Systems am Arbeitsplatz müssen die Betreiber, die Arbeitgeber sind, die Arbeitnehmervertreter und die betroffenen Arbeitnehmer darüber informieren, dass sie dem System unterliegen. Diese Informationen werden gegebenenfalls im Einklang mit den Vorschriften und Verfahren bereitgestellt, die in den Rechtsvorschriften und Gepflogenheiten der Union und der Mitgliedstaaten über die Unterrichtung der Arbeitnehmer und ihrer Vertreter festgelegt sind.
b) Betreiber von Hochrisiko-KI-Systemen, bei denen es sich um Behörden oder Organe, Einrichtungen und sonstige Stellen der Union handelt, erfüllen die in Artikel 51 genannten Registrierungspflichten. Stellen sie fest, dass das System, das sie zu verwenden beabsichtigen, nicht in der EU-Datenbank gemäß Artikel 60 registriert ist, so nutzen sie dieses System nicht und unterrichten den Anbieter oder den Händler.
c) Betreiber von Hochrisiko-KI-Systemen, bei denen es sich um Behörden handelt, einschließlich der in Artikel 51 Absatz 1a Buchstabe b genannten Organe, Einrichtungen und sonstigen Stellen der Union, müssen die in Artikel 51 genannten Registrierungspflichten erfüllen.
6. Gegebenenfalls verwenden die Betreiber von Hochrisiko-KI-Systemen die gemäß Artikel 13 bereitgestellten Informationen, um ihrer Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 oder Artikel 27 der Richtlinie (EU) 2016/680 nachzukommen —
6a. Unbeschadet der Richtlinie (EU) 2016/680 beantragt der Einsatz eines KI-Systems zur postferngesteuerten biometrischen Identifizierung im Rahmen einer Untersuchung zur gezielten Durchsuchung einer Person, die wegen einer Straftat verurteilt wurde oder einer Straftat verdächtigt wird, zuvor oder unverzüglich, spätestens jedoch innerhalb von 48 Stunden, eine Genehmigung durch eine Justizbehörde oder eine Verwaltungsbehörde, deren Entscheidung bindend ist und einer gerichtlichen Überprüfung unterliegt, für die Nutzung des Systems, es sei denn, das System dient der erstmaligen Identifizierung eines potenziellen Verdächtigen auf der Grundlage objektiver und nachprüfbarer Tatsachen, die in unmittelbarem Zusammenhang mit der Straftat stehen. Jede Verwendung ist auf das für die Aufklärung einer bestimmten Straftat unbedingt erforderliche Maß zu beschränken. Wird die beantragte Genehmigung gemäß Unterabsatz 1 dieses Absatzes abgelehnt, so wird die Verwendung des mit dieser Genehmigung verknüpften biometrischen Identifizierungssystems nach der Fernbestimmung mit sofortiger Wirkung eingestellt, und die personenbezogenen Daten im Zusammenhang mit der Nutzung des Systems, für das die Genehmigung beantragt wurde, werden gelöscht. In jedem Fall darf ein solches KI-System zur postferngesteuerten biometrischen Identifizierung nicht ungezielt für Strafverfolgungszwecke eingesetzt werden, ohne dass ein Zusammenhang mit einer Straftat, einem Strafverfahren, einer tatsächlichen und gegenwärtigen oder tatsächlichen und vorhersehbaren Bedrohung durch eine Straftat oder der Suche nach einer bestimmten vermissten Person besteht. Es muss sichergestellt werden, dass die Strafverfolgungsbehörden keine Entscheidung, die nachteilige rechtliche Auswirkungen auf eine Person hat, ausschließlich auf der Grundlage der Ergebnisse dieser biometrischen Fernidentifizierungssysteme treffen können. Dieser Absatz gilt unbeschadet der Bestimmungen von Artikel 10 der Richtlinie (EU) 2016/680 und Artikel 9 der DSGVO für die Verarbeitung biometrischer Daten. Unabhängig von der Zweckbestimmung oder dem Betreiber wird jede Nutzung dieser Systeme in der einschlägigen Polizeiakte dokumentiert und der zuständigen Marktüberwachungsbehörde und der nationalen Datenschutzbehörde auf Anfrage zur Verfügung gestellt, wobei die Offenlegung sensibler operativer Daten im Zusammenhang mit der Strafverfolgung ausgeschlossen ist. Dieser Unterabsatz berührt nicht die Befugnisse, die den Aufsichtsbehörden durch die Richtlinie 2016/680 übertragen werden. Darüber hinaus legen die Entsetzer den zuständigen Marktüberwachungs- und nationalen Datenschutzbehörden jährliche Berichte über die Verwendung biometrischer Identifizierungssysteme vor, wobei die Offenlegung sensibler operativer Daten im Zusammenhang mit der Strafverfolgung ausgeschlossen ist. Die Berichte können aggregiert werden, um mehrere Bereitstellungen in einem Vorgang abzudecken. Die Mitgliedstaaten können im Einklang mit dem Unionsrecht restriktivere Rechtsvorschriften für die Verwendung biometrischer Fernidentifizierungssysteme erlassen.
6b. Unbeschadet des Artikels 52 unterrichten Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III, die Entscheidungen in Bezug auf natürliche Personen treffen oder bei der Entscheidungsfindung helfen, die natürlichen Personen darüber, dass sie der Nutzung des Hochrisiko-KI-Systems unterliegen. Für KI-Systeme mit hohem Risiko, die zu Strafverfolgungszwecken eingesetzt werden, gilt Artikel 13 der Richtlinie 2016/680.
6c. Die Einsatzkräfte arbeiten mit den jeweils zuständigen nationalen Behörden bei allen Maßnahmen zusammen, die diese Behörden im Zusammenhang mit dem Hochrisikosystem zur Durchführung dieser Verordnung ergreifen.
Artikel 29a Grundrechtliche Folgenabschätzung für KI-Systeme mit hohem Risiko
1. Vor der Inbetriebnahme eines KI-Systems mit hohem Risiko im Sinne von Artikel 6 Absatz 2, mit Ausnahme von KI-Systemen, die für den Einsatz in dem in Anhang III Nummer 2 genannten Bereich bestimmt sind, führen die Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts oder um private Betreiber, die öffentliche Dienstleistungen erbringen, handelt, sowie die Betreiber, die Systeme mit hohem Risiko im Sinne von Anhang III Nummer 5 Buchstaben b und d einsetzen, eine Abschätzung der Folgen durch, die sich aus dem Einsatz des Systems für die Grundrechte ergeben können. Zu diesem Zweck führen die Errichter eine Bewertung durch, die Folgendes umfasst.
a) eine Beschreibung der Prozesse des Betreibers, in denen das KI-System mit hohem Risiko entsprechend seinem Zweck eingesetzt wird;
b) eine Beschreibung des Zeitraums und der Häufigkeit, in der jedes KI-System mit hohem Risiko genutzt werden soll
c) die Kategorien natürlicher Personen und Gruppen, die von der Verwendung in dem spezifischen Kontext betroffen sein könnten;
d) die spezifischen Schadensrisiken, die sich auf die gemäß Buchstabe c) ermittelten Personengruppen auswirken können, wobei die vom Anbieter gemäß Artikel 13 gemachten Angaben zu berücksichtigen sind;
e) eine Beschreibung der Durchführung von Maßnahmen der menschlichen Aufsicht gemäß der Gebrauchsanweisung;
f) die Maßnahmen, die im Falle der Verwirklichung dieser Risiken zu ergreifen sind, einschließlich der Vorkehrungen für interne Kontroll- und Beschwerdemechanismen.
2. Die in Absatz 1 festgelegte Verpflichtung gilt für den ersten Einsatz des KI-Systems mit hohem Risiko. Der Betreiber kann sich in vergleichbaren Fällen auf zuvor durchgeführte Grundrechtsfolgenabschätzungen oder bestehende Folgenabschätzungen des Anbieters stützen. Stellt der Betreiber während des Einsatzes des AI-Systems mit hohem Risiko fest, dass sich einer der in Absatz 1 aufgeführten Faktoren ändert oder nicht mehr aktuell ist, ergreift er die erforderlichen Maßnahmen zur Aktualisierung derInformationen
3. Nach Durchführung der Folgenabschätzung teilt der Betreiber der Marktüberwachungsbehörde die Ergebnisse der Abschätzung mit und legt dabei das ausgefüllte Formblatt gemäß Absatz 5 als Teil der Mitteilung vor. In dem in Artikel 47 Absatz 1 genannten Fall kann der Betreiber von diesen Verpflichtungen befreit werden.
4. Wird eine der in diesem Artikel festgelegten Verpflichtungen bereits durch die gemäß Artikel 35 der Verordnung (EU) 2016/679 oder Artikel 27 der Richtlinie (EU) 2016/680 durchgeführte Datenschutz-Folgenabschätzung erfüllt, wird die in Absatz 1 genannte Grundrechtsfolgenabschätzung in Verbindung mit dieser Datenschutz-Folgenabschätzung durchgeführt.
5. Das KI-Büro entwickelt eine Vorlage für einen Fragebogen, auch in Form eines automatisierten Tools, um den Nutzern die vereinfachte Umsetzung der Verpflichtungen dieses Artikels zu erleichtern.
Kapitel 4 Notifizierte Behörden und notifizierte Stellen
Artikel 30 Notifizierende Behörden
1. Jeder Mitgliedstaat benennt oder errichtet mindestens eine notifizierende Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen sowie für deren Überwachung zuständig ist. Diese Verfahren werden in Zusammenarbeit zwischen den notifizierenden Behörden aller Mitgliedstaaten entwickelt.
2. Die Mitgliedstaaten können beschließen, dass die Bewertung und Überwachung gemäß Absatz 1 von einer nationalen Akkreditierungsstelle im Sinne und im Einklang mit der Verordnung (EG) Nr. 765/2008 durchgeführt wird.
3. Die notifizierenden Behörden werden so eingerichtet, organisiert und betrieben, dass kein Interessenkonflikt mit den Konformitätsbewertungsstellen entsteht und die Objektivität und Unparteilichkeit ihrer Tätigkeiten gewahrt bleibt.
4. Die notifizierenden Behörden sind so zu organisieren, dass Entscheidungen über die Notifizierung von Konformitätsbewertungsstellen von anderen kompetenten Personen getroffen werden als denen, die die Bewertung dieser Stellen durchgeführt haben.
5. Die notifizierenden Behörden dürfen keine Tätigkeiten, die von Konformitätsbewertungsstellen durchgeführt werden, oder Beratungsdienstleistungen auf kommerzieller oder wettbewerblicher Basis anbieten oder erbringen.
6. Die notifizierenden Behörden wahren die Vertraulichkeit der Informationen, die sie gemäß Artikel 70 erhalten.
7. Den notifizierenden Behörden steht für die ordnungsgemäße Erfüllung ihrer Aufgaben eine ausreichende Anzahl kompetenter Mitarbeiter zur Verfügung. Das zuständige Personal muss gegebenenfalls über das für seine Tätigkeit erforderliche Fachwissen in Bereichen wie Informationstechnologien, künstliche Intelligenz und Recht, einschließlich der Überwachung der Grundrechte, verfügen.
Artikel 31 Antrag einer Konformitätsbewertungsstelle auf Notifizierung
1. Die Konformitätsbewertungsstellen stellen bei der notifizierenden Behörde des Mitgliedstaats, in dem sie niedergelassen sind, einen Antrag auf Notifizierung.
2. Dem Notifizierungsantrag ist eine Beschreibung der Konformitätsbewertungstätigkeiten, des Konformitätsbewertungsmoduls bzw. der Konformitätsbewertungsmodule und der Technologien der künstlichen Intelligenz beizufügen, für die die Konformitätsbewertungsstelle nach eigenen Angaben kompetent ist, sowie gegebenenfalls eine von einer nationalen Akkreditierungsstelle ausgestellte Akkreditierungsurkunde, aus der hervorgeht, dass die Konformitätsbewertungsstelle die Anforderungen des Artikels 33 erfüllt. Alle gültigen Dokumente, die sich auf bestehende Benennungen der antragstellenden notifizierten Stelle im Rahmen anderer Harmonisierungsrechtsvorschriften der Union beziehen, sind hinzuzufügen.
3. Kann die betreffende Konformitätsbewertungsstelle keine Akkreditierungsurkunde vorlegen, so legt sie der notifizierenden Behörde die Nachweise vor, die für die Überprüfung, Anerkennung und regelmäßige Überwachung der Einhaltung der Anforderungen des Artikels 33 erforderlich sind. Für notifizierte Stellen, die nach anderen Harmonisierungsrechtsvorschriften der Union benannt wurden, können alle Dokumente und Bescheinigungen im Zusammenhang mit diesen Benennungen gegebenenfalls zur Unterstützung ihres Benennungsverfahrens gemäß dieser Verordnung verwendet werden.
Artikel 32 Notifizierungsverfahren
1. Die notifizierenden Behörden dürfen nur Konformitätsbewertungsstellen notifizieren, die die Anforderungen des Artikels 33 erfüllt haben.
2. Die notifizierenden Behörden notifizieren der Kommission und den anderen Mitgliedstaaten über das von der Kommission entwickelte und verwaltete elektronische Notifizierungsinstrument jede in Absatz 1 genannte Konformitätsbewertungsstelle.
3. Die in Absatz 2 genannte Notifizierung enthält vollständige Angaben zu den Konformitätsbewertungstätigkeiten, dem Konformitätsbewertungsmodul bzw. den Konformitätsbewertungsmodulen und den betroffenen Arten von KI-Systemen sowie den entsprechenden Befähigungsnachweis. Stützt sich eine Notifizierung nicht auf eine Akkreditierungsurkunde gemäß Artikel 31 Absatz 2, so legt die notifizierende Behörde der Kommission und den anderen Mitgliedstaaten Unterlagen vor, aus denen hervorgeht, dass die Konformitätsbewertungsstelle kompetent ist und welche Vorkehrungen getroffen wurden, um sicherzustellen, dass diese Stelle regelmäßig überwacht wird und weiterhin die Anforderungen des Artikels 33 erfüllt.
4. Die betreffende Konformitätsbewertungsstelle darf die Tätigkeiten einer notifizierten Stelle nur ausüben, wenn die Kommission oder die anderen Mitgliedstaaten innerhalb von zwei Wochen nach einer Notifizierung durch eine notifizierende Behörde, wenn sie eine Akkreditierungsurkunde gemäß Artikel 31 Absatz 2 beifügt, oder innerhalb von zwei Monaten nach einer Notifizierung durch die notifizierende Behörde, wenn sie Unterlagen gemäß Artikel 31 Absatz 3 enthält, keine Einwände erheben.
4a. Werden Einwände erhoben, so konsultiert die Kommission unverzüglich die betreffenden Mitgliedstaaten und die Konformitätsbewertungsstelle. In Anbetracht dessen entscheidet die Kommission, ob die Zulassung gerechtfertigt ist oder nicht. Die Kommission richtet ihre Entscheidung an den betreffenden Mitgliedstaat und die zuständige Konformitätsbewertungsstelle.
4b. Gestrichen [unter Abs. 2]
Artikel 33 Anforderungen an notifizierte Stellen
1. Eine notifizierte Stelle wird nach dem nationalen Recht eines Mitgliedstaats errichtet und besitzt Rechtspersönlichkeit.
2. Die notifizierten Stellen erfüllen die für die Erfüllung ihrer Aufgaben erforderlichen Anforderungen an Organisation, Qualitätsmanagement, Ressourcen und Verfahren sowie angemessene Anforderungen an die Cybersicherheit.
3. Die Organisationsstruktur, die Zuweisung der Zuständigkeiten, die Meldewege und die Arbeitsweise der notifizierten Stellen müssen gewährleisten, dass Vertrauen in die Leistung und die Ergebnisse der von den notifizierten Stellen durchgeführten Konformitätsbewertungstätigkeiten besteht.
4. Die notifizierten Stellen müssen unabhängig von dem Anbieter eines Hochrisiko-KI-Systems sein, für das sie Konformitätsbewertungstätigkeiten durchführen. Die notifizierten Stellen müssen auch unabhängig von anderen Betreibern sein, die ein wirtschaftliches Interesse an dem bewerteten Hochrisiko-KI-System haben, sowie von etwaigen Wettbewerbern des Anbieters. Dies schließt nicht aus, dass bewertete KI-Systeme, die für den Betrieb der Konformitätsbewertungsstelle erforderlich sind, oder für persönliche Zwecke verwendet werden.
4a. Eine Konformitätsbewertungsstelle, ihre oberste Leitungsebene und das für die Wahrnehmung der Konformitätsbewertungsaufgaben zuständige Personal dürfen nicht direkt an der Konzeption, Entwicklung, Vermarktung oder Nutzung von Hochrisiko-KI-Systemen beteiligt sein oder die an diesen Tätigkeiten beteiligten Parteien vertreten. Sie dürfen keine Tätigkeiten ausüben, die ihre Unabhängigkeit bei der Beurteilung oder Integrität in Bezug auf Konformitätsbewertungstätigkeiten, für die sie notifiziert wurden, beeinträchtigen könnten. Dies gilt insbesondere für Beratungsleistungen.
5. Die notifizierten Stellen sind so zu organisieren und zu betreiben, dass die Unabhängigkeit, Objektivität und Unparteilichkeit ihrer Tätigkeiten gewährleistet ist. Die notifizierten Stellen dokumentieren und implementieren eine Struktur und Verfahren, um die Unparteilichkeit zu gewährleisten und die Grundsätze der Unparteilichkeit in ihrer gesamten Organisation, ihrem Personal und ihren Bewertungstätigkeiten zu fördern und anzuwenden.
6. Die notifizierten Stellen verfügen über dokumentierte Verfahren, mit denen sichergestellt wird, dass ihr Personal, ihre Ausschüsse, ihre Zweigstellen, ihre Unterauftragnehmer und alle assoziierten Stellen oder Mitarbeiter externer Stellen die Vertraulichkeit der Informationen gemäß Artikel 70 wahren, in deren Besitz sie während der Durchführung von Konformitätsbewertungstätigkeiten gelangen, es sei denn, die Offenlegung ist gesetzlich vorgeschrieben. 1. Die Bediensteten der notifizierten Stellen sind verpflichtet, das Berufsgeheimnis in Bezug auf alle Informationen zu wahren, die sie bei der Wahrnehmung ihrer Aufgaben gemäß dieser Verordnung erhalten, mit Ausnahme der notifizierenden Behörden des Mitgliedstaats, in dem sie tätig sind.
7. Die notifizierten Stellen verfügen über Verfahren für die Durchführung von Tätigkeiten, die der Größe eines Unternehmens, der Branche, in der es tätig ist, seiner Struktur und dem Komplexitätsgrad des betreffenden KI-Systems gebührend Rechnung tragen.
8. Die notifizierten Stellen schließen für ihre Konformitätsbewertungstätigkeiten eine angemessene Haftpflichtversicherung ab, es sei denn, der Mitgliedstaat, in dem sie niedergelassen sind, übernimmt die Haftung nach nationalem Recht oder dieser Mitgliedstaat ist selbst unmittelbar für die Konformitätsbewertung verantwortlich.
9. Die notifizierten Stellen müssen in der Lage sein, alle ihnen nach dieser Verordnung obliegenden Aufgaben mit einem Höchstmaß an beruflicher Integrität und der erforderlichen Kompetenz auf dem jeweiligen Gebiet wahrzunehmen, unabhängig davon, ob diese Aufgaben von notifizierten Stellen selbst oder in ihrem Auftrag und unter ihrer Verantwortung ausgeführt werden.
10. Die notifizierten Stellen müssen über ausreichende interne Kompetenzen verfügen, um die von externen Parteien in ihrem Namen ausgeführten Aufgaben wirksam bewerten zu können. Die notifizierte Stelle muss ständig über ausreichend Verwaltungs-, technisches, juristisches und wissenschaftliches Personal verfügen, das über Erfahrung und Kenntnisse in Bezug auf die einschlägigen Arten von Systemen der künstlichen Intelligenz, Daten und Datenverarbeitung sowie auf die Anforderungen des Kapitels 2 dieses Titels verfügt.
11. Die notifizierten Stellen beteiligen sich an den Koordinierungstätigkeiten gemäß Artikel 38. Sie beteiligen sich auch direkt an europäischen Normungsorganisationen oder sind in diesen vertreten oder stellen sicher, dass sie über die einschlägigen Normen informiert und auf dem neuesten Stand sind.
Artikel 33a Vermutung der Konformität mit den Anforderungen an notifizierte Stellen
Weist eine Konformitätsbewertungsstelle ihre Konformität mit den Kriterien nach, die in den einschlägigen harmonisierten Normen oder Teilen davon festgelegt sind, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, so wird davon ausgegangen, dass sie die Anforderungen des Artikels 33 erfüllt, sofern die anwendbaren harmonisierten Normen diese Anforderungen abdecken.
Artikel 34 Zweigstellen von notifizierten Stellen und Vergabe von Unteraufträgen durch notifizierte Stellen
1. Vergibt eine notifizierte Stelle bestimmte Aufgaben im Zusammenhang mit der Konformitätsbewertung an Unterauftragnehmer oder greift sie auf eine Zweigstelle zurück, so stellt sie sicher, dass der Unterauftragnehmer oder die Zweigstelle die Anforderungen des Artikels 33 erfüllt, und unterrichtet die notifizierende Behörde entsprechend.
2. Die notifizierten Stellen übernehmen die volle Verantwortung für die Aufgaben, die von Unterauftragnehmern oder Zweigstellen ausgeführt werden, unabhängig davon, wo diese niedergelassen sind.
3. Tätigkeiten dürfen nur mit Zustimmung des Anbieters an Unterauftragnehmer vergeben oder von einer Tochtergesellschaft ausgeführt werden. Die notifizierten Stellen machen eine Liste ihrer Zweigstellen öffentlich zugänglich.
4. Die einschlägigen Unterlagen über die Bewertung der Qualifikationen des Unterauftragnehmers oder der Zweigstelle und die von ihnen im Rahmen dieser Verordnung durchgeführten Arbeiten werden der notifizierenden Behörde für einen Zeitraum von fünf Jahren ab dem Datum der Beendigung der Unterauftragsvergabe zur Verfügung gehalten.
Artikel 34a Operative Pflichten notifizierter Stellen
1. Die notifizierten Stellen überprüfen die Konformität des Hochrisiko-KI-Systems gemäß den in Artikel 43 genannten Konformitätsbewertungsverfahren.
2. Die notifizierten Stellen üben ihre Tätigkeiten unter Vermeidung unnötiger Belastungen für die Anbieter aus und berücksichtigen gebührend die Größe eines Unternehmens, die Branche, in der es tätig ist, seine Struktur und den Grad der Komplexität des betreffenden Hochrisiko-KI-Systems. Dabei achtet die notifizierte Stelle jedoch auf die Strenge und das Schutzniveau, die erforderlich sind, um die Anforderungen dieser Verordnung durch das Hochrisiko-KI-System zu erfüllen. Besonderes Augenmerk wird auf die Minimierung des Verwaltungsaufwands und der Befolgungskosten für Kleinst- und Kleinunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelegt.
3. Die notifizierten Stellen stellen alle einschlägigen Unterlagen zur Verfügung und legen diese auf Verlangen vor, einschließlich der Unterlagen der Anbieter an die notifizierende Behörde gemäß Artikel 30 um dieser Behörde die Durchführung ihrer Bewertungs-, Benennungs-, Notifizierungs- und Überwachungstätigkeiten zu ermöglichen und die in diesem Kapitel beschriebene Bewertung zu erleichtern.
Artikel 35 Kennnummern und Verzeichnisse der gemäß dieser Verordnung benannten Stellen
1. Die Kommission weist den notifizierten Stellen eine Kennnummer zu. Sie vergibt eine einzige Nummer, auch wenn eine Stelle nach mehreren Rechtsakten der Union notifiziert ist.
2. Die Kommission veröffentlicht die Liste der gemäß dieser Verordnung notifizierten Stellen, einschließlich der ihnen zugeteilten Kennnummern und der Tätigkeiten, für die sie notifiziert wurden. Die Kommission sorgt dafür, dass die Liste auf dem neuesten Stand gehalten wird.
Artikel 36 Änderungen der Meldungen
-1. Die notifizierende Behörde unterrichtet die Kommission und die anderen Mitgliedstaaten über alle relevanten Änderungen der Notifizierung einer notifizierten Stelle über das in Artikel 32 Absatz 2 genannte elektronische Notifizierungsinstrument.
-1a) Die in den Artikeln 31 und 32 beschriebenen Verfahren gelten für die Ausweitung des Geltungsbereichs der Notifizierung. Für Änderungen der Notifizierung, bei denen es sich nicht um eine Erweiterung ihres Anwendungsbereichs handelt, gelten die in den folgenden Absätzen festgelegten Verfahren.
1. Falls eine notifizierende Behörde vermutet oder darüber unterrichtet wird, dass eine notifizierte Stelle die in Artikel 33 festgelegten Anforderungen nicht mehr erfüllt oder dass sie ihren Verpflichtungen nicht nachkommt, so untersucht die den Sachverhalt unverzüglich und mit äußerster Sorgfalt. In diesem Zusammenhang teilt sie der betreffenden notifizierten Stelle die erhobenen Einwände mit und gibt ihr die Möglichkeit, dazu Stellung zu nehmen. Kommt die notifizierende Behörde zu dem Schluss, dass die überprüfte notifizierte Stelle die in Artikel 33 festgelegten Anforderungen nicht mehr erfüllt oder dass sie ihren Verpflichtungen nicht nachkommt, schränkt sie die Notifizierung gegebenenfalls ein, setzt sie aus oder widerruft sie, wobei sie das Ausmaß der Nichterfüllung oder Pflichtverletzung berücksichtigt. Sie setzt zudem die Kommission und die übrigen Mitgliedstaaten unverzüglich davon in Kenntnis.
Beschließt eine notifizierte Stelle, ihre Konformitätsbewertungstätigkeiten einzustellen, so unterrichtet sie die notifizierende Behörde und die betroffenen Anbieter so bald wie möglich, im Falle einer geplanten Einstellung jedoch ein Jahr vor der Einstellung ihrer Tätigkeit. Die Zertifikate können für einen vorübergehenden Zeitraum von neun Monaten nach Einstellung der Tätigkeit der notifizierten Stelle gültig bleiben, sofern eine andere notifizierte Stelle schriftlich bestätigt hat, dass sie die Verantwortung für die KI-Systeme übernimmt, die unter diese Zertifikate fallen. Die neue notifizierte Stelle führt bis zum Ende dieses Zeitraums eine vollständige Bewertung der betroffenen KI-Systeme durch, bevor sie neue Zertifikate für diese Systeme ausstellt. Hat die notifizierte Stelle ihre Tätigkeit eingestellt, so widerruft die notifizierende Behörde die Benennung.
1. Hat eine notifizierende Behörde hinreichende Gründe für die Annahme, dass eine notifizierte Stelle die Anforderungen des Artikels 33 nicht mehr erfüllt oder ihren Verpflichtungen nicht nachkommt, so untersucht sie die Angelegenheit unverzüglich mit größter Sorgfalt. In diesem Zusammenhang unterrichtet sie die betreffende benannte Stelle über die erhobenen Einwände und gibt ihr Gelegenheit zur Stellungnahme. Kommt die notifizierende Behörde zu dem Schluss, dass die notifizierte Stelle die Anforderungen des Artikels 33 nicht mehr erfüllt oder ihren Verpflichtungen nicht nachkommt, so schränkt sie die Notifizierung ein, setzt sie aus oder widerruft sie, je nachdem, wie schwerwiegend die Nichterfüllung dieser Anforderungen oder Verpflichtungen ist. Er setzt die Kommission und die anderen Mitgliedstaaten unverzüglich davon in Kenntnis.
2a) Wurde ihre Benennung ausgesetzt, eingeschränkt oder ganz oder teilweise zurückgezogen, so unterrichtet die notifizierte Stelle die betreffenden Hersteller spätestens innerhalb von 10 Tagen.
2b) Im Falle einer Einschränkung, Aussetzung oder Rücknahme einer Notifizierung ergreift die notifizierende Behörde geeignete Maßnahmen, um sicherzustellen, dass die Akten der betreffenden notifizierten Stelle aufbewahrt werden, und stellt sie den notifizierenden Behörden in anderen Mitgliedstaaten und den Marktüberwachungsbehörden auf deren Verlangen zur Verfügung.
2c) Im Falle einer Einschränkung, Aussetzung oder des Entzugs einer Benennung hat die notifizierende Behörde
a) Bewertung der Auswirkungen auf die von der notifizierten Stelle ausgestellten Bescheinigungen;
b) der Kommission und den anderen Mitgliedstaaten innerhalb von drei Monaten nach Mitteilung der Änderungen der Notifizierung einen Bericht über ihre Feststellungen vorzulegen;
c) von der notifizierten Stelle verlangen, dass sie innerhalb einer von der Behörde festgelegten angemessenen Frist alle Bescheinigungen aussetzt oder zurückzieht, die zu Unrecht ausgestellt wurden, um die Konformität der auf dem Markt befindlichen KI-Systeme sicherzustellen;
d) unterrichtet die Kommission und die Mitgliedstaaten über die Bescheinigungen, deren Aussetzung oder Widerruf sie verlangt hat;
e) den zuständigen nationalen Behörden des Mitgliedstaats, in dem der Anbieter seinen eingetragenen Geschäftssitz hat, alle relevanten Informationen über die Bescheinigungen zur Verfügung zu stellen, für die er die Aussetzung oder den Entzug beantragt hat. Diese zuständige Behörde ergreift erforderlichenfalls geeignete Maßnahmen, um ein potenzielles Risiko für die Gesundheit, die Sicherheit oder die Grundrechte zu vermeiden.
2d) Mit Ausnahme von Bescheinigungen, die zu Unrecht ausgestellt wurden, und in Fällen, in denen eine Notifizierung ausgesetzt oder eingeschränkt wurde, bleiben die Bescheinigungen unter folgenden Umständen gültig:
a) Die notifizierende Behörde hat innerhalb eines Monats nach der Aussetzung oder Beschränkung bestätigt, dass in Bezug auf die von der Aussetzung oder Beschränkung betroffenen Bescheinigungen kein Risiko für die Gesundheit, die Sicherheit oder die Grundrechte besteht, und die notifizierende Behörde hat einen Zeitplan und Maßnahmen festgelegt, mit denen die Aussetzung oder Beschränkung voraussichtlich behoben werden soll; oder
b) die notifizierende Behörde hat bestätigt, dass während der Dauer der Aussetzung oder Beschränkung keine für die Aussetzung relevanten Bescheinigungen ausgestellt, geändert oder neu ausgestellt werden, und gibt an, ob die notifizierte Stelle in der Lage ist, bestehende Bescheinigungen, die für den Zeitraum der Aussetzung oder Beschränkung ausgestellt wurden, weiterhin zu überwachen und dafür verantwortlich zu bleiben. Stellt die für notifizierte Stellen zuständige Behörde fest, dass die notifizierte Stelle nicht in der Lage ist, bestehende ausgestellte Bescheinigungen zu unterstützen, so teilt der Anbieter den zuständigen nationalen Behörden des Mitgliedstaats, in dem der Anbieter des von der Bescheinigung erfassten Systems seinen eingetragenen Geschäftssitz hat, innerhalb von drei Monaten nach der Aussetzung oder Beschränkung Folgendes mit: eine schriftliche Bestätigung, dass eine andere qualifizierte benannte Stelle vorübergehend die Aufgaben der notifizierten Stelle übernimmt, um die Bescheinigungen während des Zeitraums der Aussetzung oder Einschränkung zu überwachen und für sie verantwortlich zu bleiben.
2e) Mit Ausnahme von Bescheinigungen, die zu Unrecht ausgestellt wurden, und im Falle des Entzugs einer Benennung bleiben die Bescheinigungen unter folgenden Umständen neun Monate lang gültig:
a) wenn die zuständige nationale Behörde des Mitgliedstaats, in dem der Anbieter des unter das Zertifikat fallenden KI-Systems seinen eingetragenen Geschäftssitz hat, bestätigt hat, dass mit den betreffenden Systemen kein Risiko für Gesundheit, Sicherheit und Grundrechte besteht; und
b) eine andere benannte Stelle schriftlich bestätigt hat, dass sie die unmittelbare Verantwortung für diese Systeme übernehmen und ihre Bewertung innerhalb von zwölf Monaten nach dem Widerruf der Benennung abgeschlossen haben wird.
Unter den in Unterabsatz 1 genannten Umständen kann die zuständige nationale Behörde des Mitgliedstaats, in dem der Anbieter des durch das Zertifikat erfassten Systems seinen Sitz hat, die vorläufige Gültigkeit der Bescheinigungen um weitere Zeiträume von drei Monaten verlängern, die insgesamt zwölf Monate nicht überschreiten dürfen.
Artikel 37 Anfechtung der Kompetenz notifizierter Stellen
1. Die Kommission untersucht erforderlichenfalls alle Fälle, in denen begründete Zweifel an der Kompetenz einer notifizierten Stelle oder an der kontinuierlichen Erfüllung der Anforderungen des Artikels 33 durch eine notifizierte Stelle und der für sie geltenden Zuständigkeiten bestehen.
2. Die notifizierende Behörde stellt der Kommission auf Anfrage alle relevanten Informationen im Zusammenhang mit der Notifizierung oder der Aufrechterhaltung der Kompetenz der betreffenden notifizierten Stelle zur Verfügung.
3. Die Kommission stellt sicher, dass alle sensiblen Informationen, die sie im Rahmen ihrer Untersuchungen gemäß diesem Artikel erlangt hat, gemäß Artikel 70 vertraulich behandelt werden
4. Stellt die Kommission fest, dass eine notifizierte Stelle die Anforderungen für ihre Notifizierung nicht oder nicht mehr erfüllt, so unterrichtet sie den notifizierenden Mitgliedstaat entsprechend und fordert ihn auf, die erforderlichen Korrekturmaßnahmen zu ergreifen, einschließlich der Aussetzung oder des Widerrufs der Notifizierung, falls erforderlich. Ergreift der Mitgliedstaat nicht die erforderlichen Korrekturmaßnahmen, so kann die Kommission die Benennung im Wege von Durchführungsrechtsakten aussetzen, einschränken oder widerrufen. Dieser Durchführungsrechtsakt wird nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 38 Koordinierung der notifizierten Stellen
1. Die Kommission sorgt dafür, dass in den von dieser Verordnung erfassten Bereichen eine zweckmäßige Koordinierung und Zusammenarbeit zwischen den an den Konformitätsbewertungsverfahren für KI-Systeme im Rahmen dieser Verordnung beteiligten notifizierten Stellen in Form einer sektoralen Gruppe notifizierter Stellen eingerichtet und ordnungsgemäß weitergeführt wird.
2. Die Mitgliedstaaten sorgen dafür, dass sich die von ihnen notifizierten Stellen direkt oder über benannte Vertreter an der Arbeit dieser Gruppe beteiligen.
Artikel 39 Konformitätsbewertungsstellen in Drittländern
Konformitätsbewertungsstellen, die nach dem Recht eines Drittlandes errichtet wurden, mit dem die Union ein Abkommen geschlossen hat, können ermächtigt werden, die Tätigkeiten notifizierter Stellen gemäß dieser Verordnung durchzuführen.
Kapitel 5 NORMEN, KONFORMITÄTSBEWERTUNG, ZERTIFIKATE, REGISTRIERUNG
Artikel 40 Harmonisierte Normen und Normungsleistungen
1. Bei KI-Systemen mit hohem Risiko, die harmonisierten Normen oder Teilen davon entsprechen, deren Fundstellen gemäß der Verordnung (EU) Nr. 1025/2012 im Amtsblatt der Europäischen Union veröffentlicht wurden, wird davon ausgegangen, dass sie den Anforderungen des Kapitels 2 dieses Titels oder gegebenenfalls der den Anforderungen des [Kapitels über die GPAI] entsprechen, soweit diese Normen diese Anforderungen abdecken.
2. Die Kommission erteilt gemäß Artikel 10 der Verordnung (EU) Nr. 1025/2012 unverzüglich Normungsaufträge für alle Anforderungen des Titels II Kapitel III und gegebenenfalls des [GPAI-Kapitels] dieser Verordnung. In dem Normungsauftrag werden auch Ergebnisse zu Berichterstattungs- und Dokumentationsprozessen zur Verbesserung der Ressourcenleistung von KI-Systemen, wie z. B. Verringerung des Energie- und anderen Ressourcenverbrauchs des Hochrisiko-KI-Systems während seines Lebenszyklus, und zur energieeffizienten Entwicklung von KI-Modellen für allgemeine Zwecke gefordert. Bei der Ausarbeitung eines Normungsauftrags konsultiert die Kommission den Ausschuss und die einschlägigen Interessenträger, einschließlich des Beirats.
Bei der Erteilung eines Normungsauftrags an europäische Normungsorganisationen legt die Kommission fest, dass die Normen kohärent sein müssen, auch mit den bestehenden und künftigen Normen, die in den verschiedenen Sektoren für Produkte entwickelt wurden, die unter die in Anhang II aufgeführten bestehenden Sicherheitsvorschriften der Union fallen, klar sein müssen und darauf abzielen, sicherzustellen, dass KI-Systeme oder -Modelle, die in der Union in Verkehr gebracht oder in Betrieb genommen werden, die einschlägigen Anforderungen dieser Verordnung erfüllen.
Die Kommission fordert die europäischen Normungsorganisationen gemäß Artikel 24 der Verordnung (EU) Nr. 1025/2012 auf, nachzuweisen, dass sie sich nach besten Kräften um die Erreichung der oben genannten Ziele bemüht haben.
1c) Die am Normungsprozess beteiligten Akteure bemühen sich, Investitionen und Innovationen im Bereich KI zu fördern, unter anderem durch die Erhöhung der Rechtssicherheit, sowie die Wettbewerbsfähigkeit und das Wachstum des Unionsmarktes und tragen zur Stärkung der weltweiten Zusammenarbeit bei der Normung und zur Berücksichtigung bestehender internationaler Normen im Bereich der KI bei, die mit den Werten der Union im Einklang stehen; Grundrechte und -interessen zu verbessern und die Multi-Stakeholder-Governance zu verbessern, um eine ausgewogene Interessenvertretung und eine wirksame Beteiligung aller relevanten Interessenträger gemäß den Artikeln 5, 6 und 7 der Verordnung (EU) Nr. 1025/2012 zu gewährleisten
Artikel 41 Gemeinsame Spezifikationen
1. Der Kommission wird die Befugnis übertragen, nach Anhörung des in Artikel 58 genannten Beirats nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren Durchführungsrechtsakte zur Festlegung gemeinsamer Spezifikationen für die Anforderungen des Kapitels 2 dieses Titels oder gegebenenfalls mit den Anforderungen des Artikels [GPAI-Kapitel] für KI-Systeme, die in den Anwendungsbereich dieser Verordnung fallen, wenn die folgenden Bedingungen erfüllt sind:
a) die Kommission gemäß Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 eine oder mehrere europäische Normungsorganisationen mit der Ausarbeitung einer harmonisierten Norm für die Anforderungen des Kapitels 2 dieses Titels beauftragt hat; und
i) der Auftrag von keiner der europäischen Normungsorganisationen angenommen wurde; oder ii) die harmonisierten Normen, die diesem Ersuchen entsprechen, nicht innerhalb der gemäß Artikel 10 Absatz 1 der Verordnung (EU) Nr. 1025/2012 gesetzten Frist vorgelegt werden; oder (iii) die einschlägigen harmonisierten Normen den Grundrechtsbelangen nicht ausreichend Rechnung tragen; oder (iv) die harmonisierten Normen dem Ersuchen nicht entsprechen; und
b) keine Bezugnahme auf harmonisierte Normen, die die Anforderungen gemäß
Kapitel II dieses Titels wurde gemäß der Verordnung (EU) Nr. 1025/2012 im Amtsblatt der Europäischen Union veröffentlicht, und es ist nicht zu erwarten, dass eine solche Fundstelle innerhalb einer angemessenen Frist veröffentlicht wird.
1a) Vor der Ausarbeitung des Entwurfs eines Durchführungsrechtsakts unterrichtet die Kommission den in Artikel 22 der Verordnung (EU) Nr. 1025/2012 genannten Ausschuss, dass sie der Auffassung ist, dass die Bedingungen des Absatzes 1 erfüllt sind.
3. Bei KI-Systemen mit hohem Risiko, die den in Absatz 1 genannten gemeinsamen Spezifikationen oder Teilen davon entsprechen, wird davon ausgegangen, dass sie den Anforderungen des Kapitels 2 dieses Titels entsprechen, soweit diese gemeinsamen Spezifikationen diese Anforderungen abdecken.
3a) Wird eine harmonisierte Norm von einer europäischen Normungsorganisation angenommen und der Kommission zur Veröffentlichung ihrer Fundstelle im Amtsblatt der Europäischen Union vorgeschlagen, so bewertet die Kommission die harmonisierte Norm gemäß der Verordnung (EU) Nr. 1025/2012. 2. Wird die Fundstelle einer harmonisierten Norm im Amtsblatt der Europäischen Union veröffentlicht, so hebt die Kommission die in den Absätzen 1 und 1b genannten Rechtsakte oder Teile davon auf, die dieselben Anforderungen wie in Kapitel 2 dieses Titels erfüllen.
4. Erfüllen Anbieter von KI-Systemen mit hohem Risiko die in Absatz 1 genannten gemeinsamen Spezifikationen nicht, so begründen sie ordnungsgemäß, dass sie technische Lösungen eingeführt haben, die die Anforderungen des Kapitels II in einem mindestens gleichwertigen Umfang erfüllen.
4b. Ist ein Mitgliedstaat der Auffassung, dass eine gemeinsame Spezifikation die Anforderungen des Kapitels 2 dieses Titels nicht vollständig erfüllt, so teilt er dies der Kommission mit einer ausführlichen Begründung mit, und die Kommission bewertet diese Informationen und ändert gegebenenfalls den Durchführungsrechtsakt zur Festlegung der betreffenden gemeinsamen Spezifikation.
Artikel 42 Vermutung der Konformität mit bestimmten Anforderungen
1. Bei KI-Systemen mit hohem Risiko, die auf der Grundlage von Daten trainiert und getestet wurden, die das spezifische geografische, verhaltensbezogene, kontextbezogene oder funktionale Umfeld widerspiegeln, in dem sie eingesetzt werden sollen, wird davon ausgegangen, dass sie die jeweiligen Anforderungen gemäß Artikel 10 Absatz 4 erfüllen.
2. Bei KI-Systemen mit hohem Risiko, die im Rahmen eines Cybersicherheitssystems gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates1 zertifiziert wurden oder für die eine Konformitätserklärung ausgestellt wurde und deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden, wird davon ausgegangen, dass sie die Cybersicherheitsanforderungen gemäß Artikel 15 der vorliegenden Verordnung erfüllen, sofern die Cybersicherheitszertifikate oder Konformitätserklärungen oder Teile davon decken diese Anforderungen ab.
Artikel 43 Konformitätsbewertung
1. Bei den in Anhang III Nummer 1 aufgeführten KI-Systemen mit hohem Risiko entscheidet sich der Anbieter, wenn er zum Nachweis der Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels harmonisierte Normen gemäß Artikel 40 oder gegebenenfalls gemeinsame Spezifikationen gemäß Artikel 41 angewandt hat, für eines der folgenden Verfahren:
a) das Konformitätsbewertungsverfahren auf der Grundlage der in Anhang VI genannten internen Kontrolle; oder
b) das Konformitätsbewertungsverfahren auf der Grundlage der Bewertung des Qualitätsmanagementsystems und der Bewertung der technischen Unterlagen unter Einbeziehung einer notifizierten Stelle gemäß Anhang VII.
Beim Nachweis der Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Kapitels 2 dieses Titels wendet der Anbieter in folgenden Fällen das in Anhang VII beschriebene Konformitätsbewertungsverfahren an:
a) wenn es keine harmonisierten Normen gemäß Artikel 40 gibt und keine gemeinsamen Spezifikationen gemäß Artikel 41 verfügbar sind;
aa) der Anbieter hat die harmonisierte Norm nicht oder nur teilweise angewandt;
b) wenn die unter Buchstabe a genannten gemeinsamen Spezifikationen bestehen, der Anbieter sie jedoch nicht angewandt hat;
c) wenn eine oder mehrere der unter Buchstabe a genannten harmonisierten Normen mit einer Einschränkung und nur für den Teil der Norm veröffentlicht wurden, der eingeschränkt wurde;
Für die Zwecke des in Anhang VII genannten Konformitätsbewertungsverfahrens kann der Anbieter jede der notifizierten Stellen auswählen. Soll das System jedoch von Strafverfolgungs-, Einwanderungs- oder Asylbehörden sowie von Organen, Einrichtungen oder sonstigen Stellen der EU in Betrieb genommen werden, so fungiert die in Artikel 63 Absätze 5 bzw. 6 genannte Marktüberwachungsbehörde als notifizierte Stelle.
2. Bei KI-Systemen mit hohem Risiko gemäß Anhang III Nummern 2 bis 8 wenden die Anbieter das Konformitätsbewertungsverfahren auf der Grundlage der internen Kontrolle gemäß Anhang VI an, das die Beteiligung einer notifizierten Stelle nicht vorsieht.
3. Bei Hochrisiko-KI-Systemen, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, befolgt der Anbieter die einschlägige Konformitätsbewertung gemäß diesen Rechtsakten. Die Anforderungen des Kapitels 2 dieses Titels gelten für diese Hochrisiko-KI-Systeme und sind Teil dieser Bewertung. Ziffern 4.3, 4.4 und 4.5. und Anhang VII Nummer 4.6 Absatz 5 gelten ebenfalls.
Für die Zwecke dieser Bewertung sind notifizierte Stellen, die gemäß diesen Rechtsakten notifiziert wurden, berechtigt, die Konformität der Hochrisiko-KI-Systeme mit den Anforderungen des Kapitels 2 dieses Titels zu überprüfen, sofern die Einhaltung der Anforderungen gemäß Artikel 33 Absätze 4, 9 und 10 durch diese notifizierten Stellen im Rahmen des Notifizierungsverfahrens nach diesen Rechtsakten bewertet wurde.
Ermöglichen die in Anhang II Abschnitt A aufgeführten Rechtsakte dem Hersteller des Produkts, sich von einer Konformitätsbewertung durch Dritte abzumelden, sofern er alle harmonisierten Normen angewandt hat, die alle einschlägigen Anforderungen abdecken, so kann der Hersteller von dieser Möglichkeit nur Gebrauch machen, wenn er auch harmonisierte Normen oder gegebenenfalls harmonisierte Normen angewandt hat gemeinsame Spezifikationen gemäß Artikel 41, die die Anforderungen des Kapitels 2 dieses Titels abdecken.
4. Hochrisiko-KI-Systeme, die bereits einem Konformitätsbewertungsverfahren unterzogen wurden, werden bei jeder wesentlichen Änderung einem neuen Konformitätsbewertungsverfahren unterzogen, unabhängig davon, ob das geänderte System für den weiteren Vertrieb bestimmt ist oder vom derzeitigen Betreiber weiterhin verwendet wird.
Bei Hochrisiko-KI-Systemen, die nach dem Inverkehrbringen oder der Inbetriebnahme weiter dazulernen, Änderungen des Hochrisiko-KI-Systems und seiner Leistung, die vom Anbieter zum Zeitpunkt der ersten Konformitätsbewertung festgelegt wurden und Teil der Informationen sind, die in den technischen Unterlagen gemäß Anhang IV Nummer 2 Buchstabe f enthalten sind, stellt keine wesentliche Änderung dar.
5. Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die Anhänge VI und VII unter Berücksichtigung des technischen Fortschritts zu aktualisieren.
Der Kommission wird die Befugnis übertragen, delegierte Rechtsakte zur Änderung der Absätze 1 und 2 zu erlassen, um KI-Hochrisikosysteme gemäß Anhang III Nummern 2 bis 8 dem Konformitätsbewertungsverfahren gemäß Anhang VII oder Teilen davon zu unterwerfen. Die Kommission erlässt solche delegierten Rechtsakte unter Berücksichtigung der Wirksamkeit des Konformitätsbewertungsverfahrens auf der Grundlage der in Anhang VI genannten internen Kontrolle bei der Vermeidung oder Minimierung der von solchen Systemen ausgehenden Risiken für Gesundheit und Sicherheit und den Schutz der Grundrechte sowie der Verfügbarkeit angemessener Kapazitäten und Ressourcen bei den notifizierten Stellen.
Artikel 44 Bescheinigungen
1. Die von den benannten Stellen gemäß Anhang VII ausgestellten Bescheinigungen werden in einer Sprache abgefasst, die von den zuständigen Behörden des Mitgliedstaats, in dem die benannte Stelle niedergelassen ist, leicht verstanden werden kann.
2. Die Bescheinigungen sind für den angegebenen Zeitraum gültig, der bei KI-Systemen, die unter Anhang II fallen, fünf Jahre und bei KI-Systemen gemäß Anhang III vier Jahre nicht überschreiten darf. Auf Antrag des Anbieters kann die Gültigkeit eines Zertifikats auf der Grundlage einer Neubewertung gemäß den geltenden Konformitätsbewertungsverfahren um weitere Zeiträume verlängert werden, die bei KI-Systemen des Anhangs II jeweils fünf Jahre und bei KI-Systemen des Anhangs III vier Jahre nicht überschreiten dürfen. Ein Nachtrag zu einem Zeugnis bleibt so lange gültig, wie das durch ihn ergänzte Zeugnis gültig ist.
3. Stellt eine notifizierte Stelle fest, dass ein KI-System die Anforderungen des Kapitels 2 dieses Titels nicht mehr erfüllt, so setzt sie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit die ausgestellte Bescheinigung aus oder widerruft sie oder erlegt ihr Beschränkungen auf, es sei denn, die Einhaltung dieser Anforderungen wird durch geeignete Korrekturmaßnahmen sichergestellt, die der Anbieter des Systems innerhalb einer von der notifizierten Stelle gesetzten angemessenen Frist ergreift. Die notifizierte Stelle begründet ihre Entscheidung.
Artikel 45 Rechtsbehelf gegen Entscheidungen notifizierter Stellen
Gegen Entscheidungen der notifizierten Stellen, auch über ausgestellte Konformitätsbescheinigungen, steht ein Beschwerdeverfahren zur Verfügung.
Artikel 46 Informationspflichten der notifizierten Stellen
1. Die notifizierten Stellen unterrichten die notifizierende Behörde über Folgendes:
a) alle Bescheinigungen über die Bewertung der technischen Unterlagen der Union, alle Ergänzungen zu diesen Bescheinigungen und Zulassungen für Qualitätsmanagementsysteme, die gemäß den Anforderungen des Anhangs VII ausgestellt wurden;
b) jede Verweigerung, Einschränkung, Aussetzung oder Rücknahme einer Bescheinigung über die Bewertung der Unionsdokumentation oder einer Zulassung für ein Qualitätsmanagementsystem, die gemäß den Anforderungen des Anhangs VII ausgestellt wurde;
c) alle Umstände, die sich auf den Umfang oder die Bedingungen der Notifizierung auswirken;
d) alle Auskunftsersuchen, die sie von den Marktüberwachungsbehörden über Konformitätsbewertungstätigkeiten erhalten haben;
e) auf Verlangen Konformitätsbewertungstätigkeiten, die im Rahmen ihrer Notifizierung durchgeführt werden, und alle anderen Tätigkeiten, einschließlich grenzüberschreitender Tätigkeiten und der Vergabe von Unteraufträgen.
2. Jede notifizierte Stelle unterrichtet die anderen notifizierten Stellen über
a) Zulassungen von Qualitätssicherungssystemen, die sie verweigert, ausgesetzt oder widerrufen hat, und auf Antrag Zulassungen von Qualitätssicherungssystemen, die sie erteilt hat;
b) EU-Bescheinigungen über die Bewertung der technischen Dokumentation oder deren Ergänzungen, die sie abgelehnt, zurückgezogen, ausgesetzt oder anderweitig eingeschränkt hat, sowie auf Antrag die von ihr ausgestellten Bescheinigungen und/oder Ergänzungen dazu.
3. Jede notifizierte Stelle stellt den anderen notifizierten Stellen, die ähnliche Konformitätsbewertungstätigkeiten für dieselben Arten von KI-Systemen durchführen, einschlägige Informationen über Fragen im Zusammenhang mit negativen und auf Anfrage positiven Konformitätsbewertungsergebnissen zur Verfügung.
3a) 2. Die in den Absätzen 1 bis 3 genannten Verpflichtungen sind gemäß Artikel 70 zu erfüllen.
Artikel 47 Abweichung vom Konformitätsbewertungsverfahren
1. Abweichend von Artikel 43 und auf hinreichend begründeten Antrag kann jede Marktüberwachungsbehörde aus außergewöhnlichen Gründen der öffentlichen Sicherheit oder des Schutzes von Leben und Gesundheit von Personen das Inverkehrbringen oder die Inbetriebnahme bestimmter KI-Systeme mit hohem Risiko im Hoheitsgebiet des betreffenden Mitgliedstaats genehmigen — Umweltschutz und den Schutz wichtiger industrieller und infrastruktureller Vermögenswerte. Diese Zulassung gilt für einen begrenzten Zeitraum, während die erforderlichen Konformitätsbewertungsverfahren durchgeführt werden, wobei die außergewöhnlichen Gründe, die die Ausnahme rechtfertigen, zu berücksichtigen sind. Der Abschluss dieser Verfahren erfolgt unverzüglich.
1a) 2. In hinreichend begründeten Dringlichkeitsfällen aus außergewöhnlichen Gründen der öffentlichen Sicherheit oder im Falle einer spezifischen, erheblichen und unmittelbaren Bedrohung des Lebens oder der körperlichen Sicherheit natürlicher Personen können die Strafverfolgungsbehörden oder Katastrophenschutzbehörden ein bestimmtes Hochrisiko-KI-System ohne die in Absatz 1 genannte Genehmigung in Betrieb nehmen, sofern eine solche Genehmigung während oder nach der Verwendung unverzüglich beantragt wird; Wird eine solche Genehmigung abgelehnt, so wird ihre Verwendung mit sofortiger Wirkung eingestellt, und alle Ergebnisse und Outputs dieser Verwendung werden unverzüglich verworfen.
2. Die in Absatz 1 genannte Zulassung wird nur erteilt, wenn die Marktüberwachungsbehörde zu dem Schluss gelangt, dass das Hochrisiko-KI-System die Anforderungen des Kapitels 2 dieses Titels erfüllt. 2. Die Marktüberwachungsbehörde unterrichtet die Kommission und die anderen Mitgliedstaaten über jede gemäß Absatz 1 erteilte Zulassung. Diese Verpflichtung gilt nicht für sensible operative Daten im Zusammenhang mit den Tätigkeiten der Strafverfolgungsbehörden.
3. Hat innerhalb von 15 Kalendertagen nach Eingang der in Absatz 2 genannten Informationen weder ein Mitgliedstaat noch die Kommission Einwände gegen eine von einer Marktüberwachungsbehörde eines Mitgliedstaats gemäß Absatz 1 erteilte Zulassung erhoben, so gilt diese Zulassung als gerechtfertigt.
4. Erhebt ein Mitgliedstaat innerhalb von 15 Kalendertagen nach Eingang der Mitteilung gemäß Absatz 2 Einwände gegen eine von einer Marktüberwachungsbehörde eines anderen Mitgliedstaats erteilte Zulassung oder ist die Kommission der Auffassung, dass die Zulassung gegen das Unionsrecht verstößt oder die Schlussfolgerung der Mitgliedstaaten hinsichtlich der Konformität des Systems gemäß Absatz 2 unbegründet ist, die Kommission konsultiert unverzüglich den betreffenden Mitgliedstaat; Der/die betroffene(n) Unternehmer(s) wird konsultiert und erhält die Möglichkeit, seinen Standpunkt darzulegen. In Anbetracht dessen entscheidet die Kommission, ob die Zulassung gerechtfertigt ist oder nicht. Die Kommission richtet ihre Entscheidung an den betreffenden Mitgliedstaat und den betreffenden Betreiber bzw. die betreffenden Betreiber.
5. Wird die Zulassung als nicht gerechtfertigt erachtet, so entzieht sie ihr die Marktüberwachungsbehörde des betreffenden Mitgliedstaats.
6. Für Hochrisiko-KI-Systeme im Zusammenhang mit Produkten, die unter die in Anhang II Abschnitt A genannten Harmonisierungsrechtsvorschriften der Union fallen, gelten nur die in diesen Rechtsvorschriften festgelegten Konformitätsbewertungsausnahmeverfahren.
Artikel 48 EU-Konformitätserklärung
1. Der Anbieter stellt für jedes Hochrisiko-KI-System eine schriftliche, maschinenlesbare, physische oder elektronisch signierte EU-Konformitätserklärung aus und hält sie 10 Jahre lang nach dem Inverkehrbringen oder der Inbetriebnahme des KI-Hochrisikosystems für die zuständigen nationalen Behörden bereit. In der EU-Konformitätserklärung ist das KI-System mit hohem Risiko anzugeben, für das sie ausgestellt wurde. Eine Kopie der EU-Konformitätserklärung ist den jeweils zuständigen nationalen Behörden auf Verlangen vorzulegen.
2. Aus der EU-Konformitätserklärung geht hervor, dass das betreffende Hochrisiko-KI-System die Anforderungen des Kapitels 2 dieses Titels erfüllt. Die EU-Konformitätserklärung enthält die in Anhang V aufgeführten Informationen und wird in eine Sprache übersetzt, die von den zuständigen nationalen Behörden des Mitgliedstaats/der Mitgliedstaaten, in denen das Hochrisiko-KI-System in Verkehr gebracht oder bereitgestellt wird, leicht verstanden werden kann.
3. Unterliegen Hochrisiko-KI-Systeme anderen Harmonisierungsrechtsvorschriften der Union, die ebenfalls eine EU-Konformitätserklärung erfordern, so wird eine einzige EU-Konformitätserklärung für alle für das Hochrisiko-KI-System geltenden Rechtsvorschriften der Union ausgestellt. Die Erklärung enthält alle Angaben, die für die Identifizierung der Harmonisierungsrechtsvorschriften der Union, auf die sich die Erklärung bezieht, erforderlich sind.
4. Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Anbieter die Verantwortung für die Einhaltung der Anforderungen des Kapitels 2 dieses Titels. Der Anbieter hält die EU-Konformitätserklärung gegebenenfalls auf dem neuesten Stand.
5. Der Kommission wird die Befugnis übertragen, delegierte Rechtsakte gemäß Artikel 73 zu erlassen, um den Inhalt der EU-Konformitätserklärung in Anhang V zu aktualisieren und Elemente aufzunehmen, die angesichts des technischen Fortschritts erforderlich werden.
Artikel 49 CE-Kennzeichnung der Konformität
1. Die CE-Konformitätskennzeichnung unterliegt den allgemeinen Grundsätzen des Artikels 30 der Verordnung (EG) Nr. 765/2008.
1a) Bei digital bereitgestellten KI-Systemen mit hohem Risiko darf eine digitale CE-Kennzeichnung nur dann verwendet werden, wenn sie über die Schnittstelle, von der aus auf das KI-System zugegriffen wird, oder über einen leicht zugänglichen maschinenlesbaren Code oder andere elektronische Mittel leicht zugänglich ist.
2. Die CE-Kennzeichnung wird bei KI-Systemen mit hohem Risiko sichtbar, leserlich und dauerhaft angebracht. Ist dies aufgrund der Art des Hochrisiko-KI-Systems nicht möglich oder nicht gerechtfertigt, so ist es auf der Verpackung bzw. in den Begleitunterlagen anzubringen.
3. Gegebenenfalls wird der CE-Kennzeichnung die Kennnummer der notifizierten Stelle hinzugefügt, die für die Konformitätsbewertungsverfahren gemäß Artikel 43 verantwortlich ist. Die Kennnummer der notifizierten Stelle wird von der Stelle selbst oder nach ihren Anweisungen vom Anbieter oder seinem Bevollmächtigten angebracht. Die Kennnummer ist auch in allen Werbematerialien anzugeben, in denen darauf hingewiesen wird, dass das Hochrisiko-KI-System die Anforderungen für die CE-Kennzeichnung erfüllt.
3a) Unterliegen Hochrisiko-KI-Systeme anderen Rechtsvorschriften der Union, die ebenfalls die Anbringung der CE-Kennzeichnung vorsehen, so gibt die CE-Kennzeichnung an, dass das Hochrisiko-KI-System auch die Anforderungen dieses anderen Rechts erfüllt.
Artikel 50 In Artikel 18 verschoben
Artikel 51 Registrierung
Vor dem Inverkehrbringen oder der Inbetriebnahme eines in Anhang III aufgeführten Hochrisiko-KI-Systems, mit Ausnahme der in Anhang III Nummer 2 genannten Hochrisiko-KI-Systeme, registriert der Anbieter oder gegebenenfalls der Bevollmächtigte sich und sein System in der in Artikel 60 genannten EU-Datenbank.
1a) Vor dem Inverkehrbringen oder der Inbetriebnahme eines KI-Systems, bei dem der Anbieter nach Anwendung des Verfahrens nach Artikel 6 Absatz 2a zu dem Schluss gekommen ist, dass es kein hohes Risiko darstellt, registriert der Anbieter oder gegebenenfalls der Bevollmächtigte sich und dieses System in der in Artikel 60 genannten EU-Datenbank.
1b) Vor der Inbetriebnahme oder Nutzung eines in Anhang III aufgeführten Hochrisiko-KI-Systems, mit Ausnahme der in Anhang III Nummer 2 aufgeführten Hochrisiko-KI-Systeme, registrieren sich die Betreiber, bei denen es sich um Behörden, Einrichtungen oder Einrichtungen oder in ihrem Namen handelnde Personen handelt, wählen das System aus und registrieren seine Nutzung in der in Artikel 60 genannten EU-Datenbank.
1c) Bei Hochrisiko-KI-Systemen gemäß Anhang III Nummern 1, 6 und 7 in den Bereichen Strafverfolgung, Migration, Asyl und Grenzkontrollmanagement erfolgt die Registrierung gemäß den Absätzen 1 bis 1b in einem sicheren, nicht öffentlichen Bereich der EU-Datenbank gemäß Artikel 60 und umfasst nur die folgenden Informationen: gegebenenfalls – Anhang VIII Abschnitt A Nummern 1 bis 9 mit Ausnahme der Nummern 5a, 7 und 8
– Anhang VIII Nummern 1 bis 3 Abschnitt B – Anhang VIII Nummern 1 bis 9 Abschnitt X mit Ausnahme der Nummern 6 und 7 sowie Anhang VIIIa Nummern 1 bis 5 mit Ausnahme von Nummer 4.
Nur die Kommission und die in Artikel 63 Absatz 5 genannten nationalen Behörden haben Zugang zu diesen geschützten Bereichen der EU-Datenbank.
1d) Die in Anhang III Nummer 2 genannten KI-Systeme mit hohem Risiko werden auf nationaler Ebene registriert.
TITEL IV:TRANSPARENZPFLICHTEN FÜR ANBIETER UND BETREIBER BESTIMMTER KI-SYSTEME UND GPAI-MODELLE
Artikel 52 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme und GPAI-Modelle
1. Die Anbieter stellen sicher, dass KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, so konzipiert und entwickelt werden, dass die betroffenen natürlichen Personen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus der Sicht einer normal informierten, aufmerksamen und verständigen natürlichen Person unter Berücksichtigung der Umstände und des Kontexts der Nutzung offensichtlich. Diese Verpflichtung gilt nicht für KI-Systeme, die gesetzlich zur Aufdeckung, Verhütung, Untersuchung und Verfolgung von Straftaten zugelassen sind, vorbehaltlich angemessener Garantien für die Rechte und Freiheiten Dritter, es sei denn, diese Systeme stehen der Öffentlichkeit zur Verfügung, um eine Straftat zu melden.
1a) Anbieter von KI-Systemen, einschließlich GPAI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, stellen sicher, dass die Ergebnisse des KI-Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Die Anbieter stellen sicher, dass ihre technischen Lösungen wirksam, interoperabel, robust und zuverlässig sind, soweit dies technisch machbar ist, und berücksichtigen dabei die Besonderheiten und Einschränkungen der verschiedenen Arten von Inhalten, die Implementierungskosten und den allgemein anerkannten Stand der Technik, wie er in den einschlägigen technischen Normen zum Ausdruck kommen kann.
Diese Verpflichtung gilt nicht, soweit die KI-Systeme eine unterstützende Funktion für die Standardbearbeitung erfüllen oder die vom Betreiber bereitgestellten Eingabedaten oder deren Semantik nicht wesentlich verändern oder wenn dies gesetzlich zulässig ist, um Straftaten aufzudecken, zu verhüten, zu untersuchen und zu verfolgen.
2. Die Betreiber eines Emotionserkennungssystems oder eines biometrischen Kategorisierungssystems informieren die natürlichen Personen, die diesem System ausgesetzt sind, über den Betrieb des Systems und verarbeiten die personenbezogenen Daten gemäß der Verordnung (EU) 2016/679, der Verordnung (EU) 2016/1725 und der Richtlinie (EU) 2016/280. Diese Verpflichtung gilt nicht für KI-Systeme, die für die biometrische Kategorisierung und Emotionserkennung verwendet werden und die gesetzlich zulässig sind, um Straftaten aufzudecken, zu verhindern und zu untersuchen, vorbehaltlich angemessener Garantien für die Rechte und Freiheiten Dritter und im Einklang mit dem Unionsrecht.
3. Betreiber eines KI-Systems, das Bild-, Audio- oder Videoinhalte, die ein Deep Fake darstellen, erzeugt oder manipuliert, legen offen, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Diese Verpflichtung gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Untersuchung und Verfolgung von Straftaten gesetzlich zulässig ist. Ist der Inhalt Teil eines offensichtlich künstlerischen, kreativen, satirischen oder fiktionalen analogen Werks oder Programms, so beschränken sich die in diesem Absatz festgelegten Transparenzpflichten auf die Offenlegung des Vorhandenseins solcher erzeugten oder manipulierten Inhalte in einer angemessenen Weise, die die Darstellung oder den Genuss des Werks nicht behindert.
Betreiber eines KI-Systems, das Texte generiert oder manipuliert, die mit dem Ziel veröffentlicht werden, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, müssen offenlegen, dass der Text künstlich erzeugt oder manipuliert wurde. Diese Verpflichtung gilt nicht, wenn die Nutzung gesetzlich zur Aufdeckung, Verhütung, Untersuchung und Verfolgung von Straftaten zulässig ist oder wenn die KI-generierten Inhalte einem Prozess der menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt.
3a) Die in den Absätzen 1 bis 3 genannten Informationen werden den betroffenen natürlichen Personen spätestens zum Zeitpunkt der ersten Interaktion oder Exposition in klarer und unterscheidbarer Weise zur Verfügung gestellt. Die Informationen müssen den geltenden Barrierefreiheitsanforderungen entsprechen.
4. Die Absätze 1, 2 und 3 berühren nicht die Anforderungen und Pflichten gemäß Titel III dieser Verordnung und lassen andere Transparenzpflichten für Nutzer von KI-Systemen, die im Unionsrecht oder im nationalen Recht festgelegt sind, unberührt.
4a. Das KI-Büro fördert und erleichtert die Ausarbeitung von Verhaltenskodizes auf Unionsebene, um die wirksame Umsetzung der Verpflichtungen in Bezug auf die Erkennung und Kennzeichnung künstlich erzeugter oder manipulierter Inhalte zu erleichtern. Der Kommission wird die Befugnis übertragen, Durchführungsrechtsakte zu erlassen, um diese Verhaltenskodizes nach dem Verfahren des Artikels 52e Absätze 6-8 zu genehmigen. Ist die Kommission der Auffassung, dass der Kodex nicht angemessen ist, so wird ihr die Befugnis übertragen, nach dem Prüfverfahren des Artikels 73 Absatz 2 einen Durchführungsrechtsakt zu erlassen, in dem die gemeinsamen Regeln für die Umsetzung dieser Verpflichtungen festgelegt werden.
TITEL VIII A: ALLGEMEINE KI-MODELLE KAPITEL 1 KLASSIFIZIERUNGSREGELN
KAPITEL I
Artikel 52a Einstufung von Allzweck-KI-Modellen als Allzweck-KI-Modelle mit Systemrisiko
1. Ein universelles KI-Modell wird als universelles KI-Modell mit systemischem Risiko eingestuft, wenn es eines der folgenden Kriterien erfüllt:
a) es verfügt über Fähigkeiten mit hoher Wirkung, die auf der Grundlage geeigneter technischer Instrumente und Methoden, einschließlich Indikatoren und Benchmarks, bewertet werden;
b) auf der Grundlage eines Beschlusses der Kommission, von Amts wegen oder nach einer qualifizierten Warnung des wissenschaftlichen Gremiums, dass ein KI-Modell für allgemeine Zwecke Fähigkeiten oder Auswirkungen hat, die denen von Buchstabe a gleichwertig sind.
2. Es wird davon ausgegangen, dass ein universelles KI-Modell über hohe Wirkungsfähigkeiten gemäß Absatz 1 Buchstabe a verfügt, wenn die kumulierte Menge an Rechenleistung, die für sein Training verwendet wird, gemessen in Gleitkommaoperationen (FLOPs) größer als 10^25 ist.
3. Die Kommission erlässt delegierte Rechtsakte gemäß Artikel 73 Absatz 2, um die in den vorstehenden Absätzen aufgeführten Schwellenwerte zu ändern und Benchmarks und Indikatoren erforderlichenfalls unter Berücksichtigung sich entwickelnder technologischer Entwicklungen, wie z. B. algorithmischer Verbesserungen oder erhöhter Hardwareeffizienz, zu ergänzen, damit diese Schwellenwerte dem Stand der Technik entsprechen.
Artikel 52b Verfahren
1. Erfüllt ein universelles KI-Modell die in Artikel A Absatz 1 Buchstabe a genannten Anforderungen, so teilt der betreffende Anbieter dies der Kommission unverzüglich und in jedem Fall innerhalb von zwei Wochen mit, nachdem diese Anforderungen erfüllt sind oder bekannt wird, dass diese Anforderungen erfüllt werden. Diese Mitteilung enthält die Angaben, die erforderlich sind, um nachzuweisen, dass die einschlägigen Anforderungen erfüllt sind. Erlangt die Kommission Kenntnis von einem KI-Modell für allgemeine Zwecke, das Systemrisiken birgt, die ihr nicht gemeldet wurden, kann sie beschließen, es als Modell mit Systemrisiko zu bezeichnen.
2. Der Anbieter eines universellen KI-Modells, das die Anforderungen gemäß Artikel A Absatz 1 Buchstabe a kann mit seiner Anmeldung hinreichend substantiierte Argumente vorbringen, um nachzuweisen, dass das universelle KI-Modell, obwohl es die genannten Anforderungen erfüllt, aufgrund seiner spezifischen Merkmale keine Systemrisiken birgt und daher nicht als universelles KI-Modell mit Systemrisiko eingestuft werden sollte.
3. Gelangt die Kommission zu dem Schluss, dass die gemäß Absatz 2 vorgebrachten Argumente nicht hinreichend begründet sind und der betreffende Anbieter nicht nachweisen konnte, dass das Allzweck-KI-Modell aufgrund seiner spezifischen Merkmale keine Systemrisiken birgt, so weist sie diese Argumente zurück, und das Allzweck-KI-Modell gilt als Allzweck-KI-Modell mit Systemrisiko.
4. Die Kommission kann von Amts wegen oder nach einer qualifizierten Warnung des wissenschaftlichen Gremiums gemäß Artikel [Warnungen des wissenschaftlichen Gremiums vor Systemrisiken durch das wissenschaftliche Gremium] 1. auf der Grundlage von Kriterien gemäß Anhang YY. Der Kommission wird die Befugnis übertragen, die Kriterien in Anhang YY im Wege delegierter Rechtsakte gemäß Artikel 74 Absatz 2 festzulegen und zu aktualisieren.
4a) Auf begründeten Antrag eines Anbieters, dessen Modell gemäß Absatz 4 als universelles KI-Modell mit Systemrisiko eingestuft wurde, berücksichtigt die Kommission den Antrag und kann beschließen, auf der Grundlage der in Anhang YY festgelegten Kriterien erneut zu bewerten, ob davon ausgegangen werden kann, dass das KI-Modell für allgemeine Zwecke weiterhin Systemrisiken birgt. Ein solcher Antrag muss objektive, konkrete und neue Gründe enthalten, die seit der Benennungsentscheidung aufgetreten sind. Die Anbieter können frühestens sechs Monate nach der Benennungsentscheidung eine Neubewertung beantragen. Beschließt die Kommission nach ihrer Neubewertung, die Einstufung als universelles KI-Modell mit Systemrisiko beizubehalten, können die Anbieter frühestens sechs Monate nach dieser Entscheidung eine Neubewertung beantragen.
5. Die Kommission stellt sicher, dass eine Liste von universellen KI-Modellen mit Systemrisiken veröffentlicht wird, und hält diese Liste auf dem neuesten Stand, unbeschadet der Notwendigkeit, die Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse im Einklang mit dem Unionsrecht und dem nationalen Recht zu achten und zu schützen.
Kapitel II Pflichten für Anbieter von universellen KI-Modellen
Artikel 52c Pflichten für Anbieter von universellen KI-Modellen
1. Anbieter von KI-Modellen für allgemeine Zwecke
a) Erstellung und Aktualisierung der technischen Unterlagen des Modells, einschließlich seines Trainings- und Testverfahrens und der Ergebnisse seiner Bewertung, die mindestens die in Anhang XX aufgeführten Elemente enthalten müssen, um sie dem KI-Büro und den zuständigen nationalen Behörden auf Anfrage zur Verfügung zu stellen;
b) Informationen und Unterlagen für Anbieter von KI-Systemen, die beabsichtigen, das universelle KI-Modell in ihr KI-System zu integrieren, zu erstellen, auf dem neuesten Stand zu halten und zur Verfügung zu stellen. Unbeschadet der Notwendigkeit, die Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse im Einklang mit dem Unionsrecht und dem nationalen Recht zu achten und zu schützen, müssen die Informationen und Unterlagen
i) den Anbietern von KI-Systemen ein gutes Verständnis der Fähigkeiten und Grenzen des universellen KI-Modells zu vermitteln und ihren Verpflichtungen gemäß dieser Verordnung nachzukommen; und
ii) mindestens die in Anhang XY aufgeführten Elemente enthalten;
c) Einführung einer Strategie zur Achtung des Urheberrechts der Union, insbesondere zur Ermittlung und Achtung der gemäß Artikel 4 Absatz 3 der Richtlinie (EU) 2019/790 geäußerten Rechtsvorbehalte, auch durch modernste Technologien;
d) eine hinreichend detaillierte Zusammenfassung über die Inhalte, die für das Training des universellen KI-Modells verwendet werden, gemäß einer vom KI-Büro bereitgestellten Vorlage zu erstellen und öffentlich zugänglich zu machen;
– 2. Die in Absatz 1 genannten Verpflichtungen, mit Ausnahme der Buchstaben c und d, gelten nicht für Anbieter von KI-Modellen, die der Öffentlichkeit im Rahmen einer freien und offenen Lizenz zugänglich gemacht werden, die den Zugang, die Nutzung, die Änderung und die Verbreitung des Modells ermöglicht.
und deren Parameter, einschließlich der Gewichte, der Informationen über die Modellarchitektur und der Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden. Diese Ausnahme gilt nicht für universelle KI-Modelle mit systemischen Risiken.
2. Anbieter von KI-Modellen für allgemeine Zwecke arbeiten bei der Ausübung ihrer Zuständigkeiten und Befugnisse gemäß dieser Verordnung erforderlichenfalls mit der Kommission und den zuständigen nationalen Behörden zusammen.
3. Anbieter von KI-Modellen für allgemeine Zwecke können sich bis zur Veröffentlichung einer harmonisierten Norm auf Verhaltenskodizes im Sinne des Artikels E stützen, wenn sie die Einhaltung der Verpflichtungen nach Absatz 1 nachweisen. Die Einhaltung einer europäisch harmonisierten Norm gewährt den Anbietern die Vermutung der Konformität. Anbieter von universellen KI-Modellen mit systemischen Risiken, die sich nicht an einen genehmigten Verhaltenskodex halten, müssen alternative angemessene Mittel zur Einhaltung der Vorschriften für die Genehmigung durch die Kommission nachweisen.
4. Um die Einhaltung des Anhangs XX, insbesondere Nummer 2, Buchstaben d und e, zu erleichtern, wird der Kommission die Befugnis übertragen, gemäß Artikel 73 delegierte Rechtsakte zu erlassen, um die Mess- und Berechnungsmethoden im Einzelnen festzulegen, um eine vergleichbare und überprüfbare Dokumentation zu ermöglichen.
4a) Der Kommission wird die Befugnis übertragen, gemäß Artikel 73 Absatz 2 delegierte Rechtsakte zur Änderung der Anhänge XX und XY unter Berücksichtigung der sich entwickelnden technologischen Entwicklungen zu erlassen.
4b) Alle gemäß den Bestimmungen dieses Artikels erlangten Informationen und Unterlagen, einschließlich Geschäftsgeheimnisse, werden unter Beachtung der in Artikel 70 festgelegten Vertraulichkeitsverpflichtungen behandelt.
Artikel 52ca Bevollmächtigter
1. Vor dem Inverkehrbringen eines KI-Modells für allgemeine Zwecke auf dem Unionsmarkt benennen die außerhalb der Union niedergelassenen Anbieter per schriftlichem Mandat einen in der Union niedergelassenen Bevollmächtigten und ermöglichen es ihm, seine Aufgaben gemäß dieser Verordnung wahrzunehmen.
2. Der Bevollmächtigte nimmt die Aufgaben wahr, die in dem vom Anbieter erteilten Mandat festgelegt sind. Er stellt dem KI-Büro auf Anfrage eine Kopie des Mandats in einer der Amtssprachen der Organe der Union zur Verfügung. Für die Zwecke dieser Verordnung ermächtigt der Bevollmächtigte den Bevollmächtigten, folgende Aufgaben wahrzunehmen:
a) zu überprüfen, ob die in Anhang IXa genannten technischen Unterlagen erstellt wurden und alle in Artikel 52c und gegebenenfalls Artikel 52d genannten Verpflichtungen vom Anbieter erfüllt wurden;
b) eine Kopie der technischen Unterlagen für einen Zeitraum von 10 Jahren nach dem Inverkehrbringen des Modells für das KI-Büro und die zuständigen nationalen Behörden sowie die Kontaktdaten des Anbieters, von dem der Bevollmächtigte benannt wurde, bereitzuhalten;
c) dem KI-Büro auf begründetes Verlangen alle Informationen und Unterlagen, einschließlich der gemäß Buchstabe a aufbewahrten, zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen aus diesem Titel nachzuweisen;
d) Zusammenarbeit mit dem KI-Büro und den zuständigen nationalen Behörden auf begründetes Ersuchen bei allen Maßnahmen, die diese in Bezug auf das Allzweck-KI-Modell mit systemischen Risiken ergreifen, auch wenn das Modell in KI-Systeme integriert wird, die in der Union in Verkehr gebracht oder in Betrieb genommen werden
3. Mit dem Mandat wird dem Bevollmächtigten die Befugnis übertragen, sich zusätzlich oder anstelle des Anbieters an das KI-Amt oder die zuständigen nationalen Behörden in allen Fragen im Zusammenhang mit der Gewährleistung der Einhaltung dieser Verordnung zu wenden.
4. Der Bevollmächtigte beendet das Mandat, wenn er der Auffassung ist oder Grund zu der Annahme hat, dass der Anbieter gegen seine Verpflichtungen aus dieser Verordnung verstößt. In einem solchen Fall unterrichtet er das KI-Büro auch unverzüglich über die Beendigung des Mandats und die Gründe dafür.
5. Die in diesem Artikel festgelegte Verpflichtung gilt nicht für Anbieter von KI-Modellen für allgemeine Zwecke, die der Öffentlichkeit im Rahmen einer freien Open-Source-Lizenz zugänglich gemacht werden, die den Zugang, die Nutzung, die Änderung und die Verbreitung des Modells ermöglicht, und deren Parameter, einschließlich der Gewichte, der Informationen über die Modellarchitektur und der Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden, es sei denn, die universellen KI-Modelle bergen systemische Risiken.
Kapitel III Pflichten für Anbieter von Allzweck-KI-Modellen mit Systemrisiko
Artikel 52d Pflichten für Anbieter von universellen KI-Modellen mit Systemrisiko
1. Zusätzlich zu den in Artikel C aufgeführten Pflichten müssen Anbieter von universellen KI-Modellen mit Systemrisiko
a) Durchführung einer Modellbewertung im Einklang mit standardisierten Protokollen und Instrumenten, die den Stand der Technik widerspiegeln, einschließlich der Durchführung und Dokumentation kontradiktorischer Tests des Modells mit dem Ziel, systemische Risiken zu ermitteln und zu mindern;
b) Bewertung und Minderung möglicher Systemrisiken auf Unionsebene, einschließlich ihrer Quellen, die sich aus der Entwicklung, dem Inverkehrbringen oder der Verwendung von universellen KI-Modellen mit Systemrisiken ergeben können;
c) einschlägige Informationen über schwerwiegende Sicherheitsvorfälle und mögliche Korrekturmaßnahmen zu deren Behebung zu verfolgen, zu dokumentieren und unverzüglich dem KI-Büro und gegebenenfalls den zuständigen nationalen Behörden zu melden;
d) Gewährleistung eines angemessenen Niveaus des Cybersicherheitsschutzes für das universelle KI-Modell mit systemischen Risiken und die physische Infrastruktur des Modells.
2. Anbieter von Allzweck-KI-Modellen mit Systemrisiko können sich bis zur Veröffentlichung einer harmonisierten Norm auf Verhaltenskodizes im Sinne des Artikels E berufen, um die Einhaltung der Verpflichtungen nach Absatz 1 nachzuweisen. Die Einhaltung einer europäisch harmonisierten Norm gewährt den Anbietern die Vermutung der Konformität. Anbieter von universellen KI-Modellen mit systemischen Risiken, die sich nicht an einen genehmigten Verhaltenskodex halten, müssen alternative angemessene Mittel zur Einhaltung der Vorschriften nachweisen, die von der Kommission genehmigt werden können.
3. Alle gemäß den Bestimmungen dieses Artikels erlangten Informationen und Unterlagen, einschließlich Geschäftsgeheimnisse, werden unter Beachtung der Geheimhaltungspflichten gemäß Artikel 70 behandelt.
Artikel 52e Verhaltenskodizes
1. Das KI-Büro fördert und erleichtert die Ausarbeitung von Verhaltenskodizes auf Unionsebene, um unter Berücksichtigung internationaler Ansätze zur ordnungsgemäßen Anwendung dieser Verordnung beizutragen.
2. Das KI-Büro und der KI-Beirat bemühen sich sicherzustellen, dass die Verhaltenskodizes die in den Artikeln C und D vorgesehenen Verpflichtungen abdecken, aber nicht unbedingt darauf beschränkt sind, einschließlich der folgenden Aspekte:
a) mit Mitteln sichergestellt wird, dass die in Artikel C Buchstaben a) und b) genannten Informationen unter Berücksichtigung der Markt- und Technologieentwicklungen auf dem neuesten Stand gehalten werden und dass die Zusammenfassung der für die Ausbildung verwendeten Inhalte angemessen detailliert ist;
b) die Ermittlung der Art und des Charakters der Systemrisiken auf Unionsebene, gegebenenfalls einschließlich ihrer Quellen;
c) die Maßnahmen, Verfahren und Modalitäten für die Bewertung und das Management der Systemrisiken auf Unionsebene, einschließlich ihrer Dokumentation. Die Bewertung und das Management der Systemrisiken auf Unionsebene stehen in einem angemessenen Verhältnis zu den Risiken, berücksichtigen ihre Schwere und Wahrscheinlichkeit und berücksichtigen die besonderen Herausforderungen bei der Bewältigung dieser Risiken im Hinblick auf die möglichen Möglichkeiten, wie solche Risiken entlang der KI-Wertschöpfungskette entstehen und sich materialisieren können.
3. Das KI-Amt kann die Anbieter von allgemeinen KI-Modellen sowie zuständigen nationalen Behörden, sich an der Ausarbeitung von Verhaltenskodizes zu beteiligen. Organisationen der Zivilgesellschaft, Industrie, Wissenschaft und andere einschlägige Interessenträger wie nachgelagerte Anbieter und unabhängige Sachverständige können den Prozess unterstützen.
4. Das KI-Büro und das Gremium bemühen sich sicherzustellen, dass in den Verhaltenskodizes ihre spezifischen Ziele klar festgelegt sind und Verpflichtungen oder Maßnahmen, gegebenenfalls einschließlich zentraler Leistungsindikatoren, enthalten sind, um die Erreichung dieser Ziele sicherzustellen und den Bedürfnissen und Interessen aller interessierten Parteien, einschließlich der betroffenen Personen, gebührend Rechnung zu tragen — auf Unionsebene.
5. Das KI-Büro kann alle Anbieter von universellen KI-Modellen zur Teilnahme an den Verhaltenskodizes einladen. Für Anbieter von universellen KI-Modellen, die keine Systemrisiken bergen, sollte diese Beteiligung auf die in Absatz 2 Buchstabe a dieses Artikels vorgesehenen Verpflichtungen beschränkt werden, es sei denn, sie erklären ausdrücklich ihr Interesse, dem vollständigen Kodex beizutreten.
6. Das KI-Büro soll sicherstellen, dass die Teilnehmer an den Verhaltenskodizes dem KI-Büro regelmäßig über die Umsetzung der Verpflichtungen und der ergriffenen Maßnahmen sowie über deren Ergebnisse Bericht erstatten, gegebenenfalls auch in Bezug auf die zentralen Leistungsindikatoren. Bei den zentralen Leistungsindikatoren und Berichtsverpflichtungen werden Unterschiede in Größe und Kapazität zwischen den verschiedenen Teilnehmern berücksichtigt.
7. Das KI-Büro und der KI-Beirat überwachen und bewerten regelmäßig die Verwirklichung der Ziele der Verhaltenskodizes durch die Teilnehmer und ihren Beitrag zur ordnungsgemäßen Anwendung dieser Verordnung. 2. Das KI-Büro und das Gremium bewerten, ob die Verhaltenskodizes die in den Artikeln C und D vorgesehenen Verpflichtungen, einschließlich der in Absatz 2 dieses Artikels aufgeführten Fragen, abdecken, und überwachen und bewerten regelmäßig die Erreichung ihrer Ziele. Sie veröffentlichen ihre Bewertung der Angemessenheit der Verhaltenskodizes. Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, den Verhaltenskodex zu genehmigen und ihm eine allgemeine Gültigkeit in der Union zu verleihen. Diese Durchführungsrechtsakte werden nach dem Prüfverfahren des Artikels 74 Absatz 2 erlassen.
8. Gegebenenfalls fördert und erleichtert das Büro für KI auch die Überprüfung und Anpassung der Verhaltenskodizes, insbesondere im Lichte neu entstehender Standards. Das KI-Büro soll bei der Bewertung der verfügbaren Standards behilflich sein.
9. Kann bis zum Zeitpunkt des Inkrafttretens der Verordnung ein Verhaltenskodex nicht fertiggestellt werden oder ist das KI-Büro der Auffassung, dass er gemäß Absatz 6 nicht angemessen ist, so kann die Kommission im Wege von Durchführungsrechtsakten gemeinsame Regeln für die Umsetzung der in den Artikeln C [Artikel 52c] und D [Artikel 52d] vorgesehenen Verpflichtungen festlegen — einschließlich der in Absatz 2 genannten Fragen.
TITEL V: MASSNAHMEN ZUR INNOVATIONSFÖRDERUNG
Artikel 53 KI-Reallabore
1. Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden mindestens ein KI-Reallabor auf nationaler Ebene einrichten, das 24 Monate nach Inkrafttreten einsatzbereit ist. Das KI-Reallabor kann auch gemeinsam mit einem oder mehreren anderen Mitgliedstaaten eingerichtet werden zuständigen Behörden der Mitgliedstaaten. Die Kommission kann technische Unterstützung, Beratung und Instrumente für die Einrichtung und den Betrieb von KI-Reallaboren bereitstellen.
Die im vorstehenden Absatz festgelegte Verpflichtung kann auch durch die Teilnahme an einem bestehenden KI-Reallabor erfüllt werden, sofern diese Beteiligung ein gleichwertiges Maß an nationaler Abdeckung für die teilnehmenden Mitgliedstaaten bietet.
1a) Darüber hinaus können zusätzliche KI-Reallabore auf regionaler oder lokaler Ebene oder gemeinsam mit den zuständigen Behörden anderer Mitgliedstaaten eingerichtet werden.
1b) Der Europäische Datenschutzbeauftragte kann auch ein KI-Reallabor für die Organe, Einrichtungen und sonstigen Stellen der EU einrichten und die Rollen und Aufgaben der zuständigen nationalen Behörden gemäß diesem Kapitel wahrnehmen.
1c) Die Mitgliedstaaten stellen sicher, dass die in den Absätzen 1 und 1a genannten zuständigen Behörden ausreichende Ressourcen bereitstellen, um diesem Artikel wirksam und rechtzeitig nachzukommen. Gegebenenfalls arbeiten die zuständigen nationalen Behörden mit anderen einschlägigen Behörden zusammen und können die Einbeziehung anderer Akteure innerhalb des KI-Ökosystems zulassen. Dieser Artikel berührt nicht andere Reallabore, die nach nationalem Recht oder Unionsrecht eingerichtet wurden. Die Mitgliedstaaten sorgen für ein angemessenes Maß an Zusammenarbeit zwischen den Behörden, die diese anderen KI-Reallabore beaufsichtigen, und den zuständigen nationalen Behörden.
1d) KI-Reallabore, die gemäß Artikel 53 Absatz 1 dieser Verordnung eingerichtet wurden, bieten im Einklang mit den Artikeln 53 und 53a ein kontrolliertes Umfeld, das Innovationen fördert und die Entwicklung, Ausbildung, Erprobung und Validierung innovativer KI-Systeme für einen begrenzten Zeitraum erleichtert, bevor sie gemäß einem zwischen den potenziellen Anbietern und der zuständigen Behörde vereinbarten speziellen Sandboxplan in Verkehr gebracht oder in Betrieb genommen werden. Solche regulatorischen KI-Reallabore können Tests unter realen Bedingungen umfassen, die in dem KI-Reallabor überwacht werden.
1e) Die zuständigen Behörden stellen im Rahmen des KI-Reallabors gegebenenfalls Leitlinien, Aufsicht und Unterstützung bereit, um Risiken zu ermitteln, insbesondere in Bezug auf die Grundrechte, den Gesundheitsschutz und die Sicherheit, Tests, Minderungsmaßnahmen und deren Wirksamkeit in Bezug auf die Verpflichtungen und Anforderungen dieser Verordnung und gegebenenfalls anderer Rechtsvorschriften der Union und der Mitgliedstaaten, die im Rahmen des KI-Reallabors beaufsichtigt werden.
1f) Die zuständigen Behörden geben Anbietern und potenziellen Anbietern Leitlinien zu den regulatorischen Erwartungen und zur Erfüllung der in dieser Verordnung festgelegten Anforderungen und Pflichten an die Hand.
Auf Verlangen des Anbieters oder potenziellen Anbieters des KI-Systems legt die zuständige Behörde einen schriftlichen Nachweis über die erfolgreich im KI-Reallabor durchgeführten Tätigkeiten vor. Die zuständige Behörde legt auch einen Abschlussbericht vor, in dem die im KI-Reallabor durchgeführten Tätigkeiten und die damit verbundenen Ergebnisse und Lernergebnisse im Einzelnen aufgeführt sind. Die Anbieter können diese Unterlagen verwenden, um die Einhaltung dieser Verordnung im Rahmen des Konformitätsbewertungsverfahrens oder einschlägiger Marktüberwachungstätigkeiten nachzuweisen. In diesem Zusammenhang werden die Ausgangsberichte und die schriftlichen Nachweise der zuständigen nationalen Behörde von den Marktüberwachungsbehörden und den notifizierten Stellen positiv berücksichtigt, um die Konformitätsbewertungsverfahren in angemessenem Umfang zu beschleunigen.
1fa) Vorbehaltlich der Vertraulichkeitsbestimmungen des Artikels 70 und mit Zustimmung des KI-Reallabor-Anbieters/potenziellen Anbieters sind die Europäische Kommission und der Ausschuss ermächtigt, auf die Abschlussberichte zuzugreifen, und berücksichtigen diese gegebenenfalls bei der Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung. Stimmen sowohl der Anbieter als auch der potenzielle Anbieter und die zuständige nationale Behörde dem ausdrücklich zu, kann der Ausstiegsbericht über die in diesem Artikel genannte zentrale Informationsplattform öffentlich zugänglich gemacht werden.
1g) Die Einrichtung von KI-Reallaboren soll zu folgenden Zielen beitragen:
a) Verbesserung der Rechtssicherheit, um die Einhaltung dieser Verordnung oder gegebenenfalls anderer anwendbarer Rechtsvorschriften der Union und der Mitgliedstaaten zu erreichen;
b) Unterstützung des Austauschs bewährter Verfahren durch die Zusammenarbeit mit den Behörden, die an der KI-Realabor beteiligt sind;
c) Förderung von Innovation und Wettbewerbsfähigkeit und Erleichterung der Entwicklung eines KI-Ökosystems;
d) Beitrag zum evidenzbasierten regulatorischen Lernen;
e) Erleichterung und Beschleunigung des Zugangs zum Unionsmarkt für KI-Systeme, insbesondere wenn sie von kleinen und mittleren Unternehmen (KMU), einschließlich Start-up-Unternehmen, bereitgestellt werden.
2. Die zuständigen nationalen Behörden stellen sicher, dass die innovativen KI-Systeme die Verarbeitung personenbezogener Daten beinhalten oder anderweitig in den Aufsichtsbereich anderer nationaler Behörden oder zuständiger Behörden fallen, die den Zugang zu Daten gewähren oder unterstützen, der nationalen Datenschutzbehörden und dieser anderen nationalen Behörden, die in den Betrieb des KI-Reallabors einbezogen sind und im Rahmen ihrer jeweiligen Aufgaben und Befugnisse an der Überwachung dieser Aspekte beteiligt sind, soweit zutreffend.
3. Die KI-Reallabore berühren nicht die Aufsichts- und Korrekturbefugnisse der zuständigen Behörden, die die KI-Reallabore beaufsichtigen, auch auf regionaler oder lokaler Ebene. Erhebliche Risiken für Gesundheit, Sicherheit und Grundrechte, die bei der Entwicklung und Erprobung solcher KI-Systeme festgestellt werden, müssen zu einer angemessenen Risikominderung führen. Die zuständigen nationalen Behörden sind befugt, das Testverfahren oder die Teilnahme am KI-Reallabor vorübergehend oder dauerhaft auszusetzen, wenn keine wirksame Abhilfemaßnahme möglich ist, und das KI-Büro über eine solche Entscheidung zu unterrichten. Die zuständigen nationalen Behörden üben ihre Aufsichtsbefugnisse im Rahmen der einschlägigen Rechtsvorschriften aus und nutzen ihren Ermessensspielraum bei der Umsetzung von Rechtsvorschriften für ein bestimmtes KI-Sandbox-Projekt mit dem Ziel, Innovationen im Bereich KI in der Union zu unterstützen.
4. Anbieter und potenzielle Anbieter in der KI-Reallabore haften weiterhin anwendbaren Rechtsvorschriften der Union und der Mitgliedstaaten für Schäden, die Dritten durch die Experimente im Reallabor entstehen. Unter der Voraussetzung, dass der/die potenzielle Anbieter den spezifischen Plan und die Bedingungen für seine Teilnahme einhalten und die Leitlinien der zuständigen nationalen Behörde nach Treu und Glauben befolgen, werden von den Behörden jedoch keine Verwaltungsbußen wegen Verstößen gegen diese Verordnung verhängt. Soweit andere zuständige Behörden, die für andere Unionsbehörden zuständig sind,
4b. Die KI-Reallabore werden so konzipiert und umgesetzt, dass sie gegebenenfalls die grenzüberschreitende Zusammenarbeit zwischen den zuständigen nationalen Behörden erleichtern.
5. Die zuständigen nationalen Behörden koordinieren ihre Tätigkeiten und arbeiten im Rahmen des Ausschusses zusammen.
5a. Die zuständigen nationalen Behörden unterrichten das KI-Büro und den Ausschuss über die Einrichtung eines KI-Reallabors und können um Unterstützung und Beratung bitten. Eine Liste geplanter und bestehender KI-Reallabore wird vom KI-Büro öffentlich zugänglich gemacht und auf dem neuesten Stand gehalten, um mehr Interaktion in den Reallaboren und die grenzüberschreitende Zusammenarbeit zu fördern.
5b. Die zuständigen nationalen Behörden legen dem KI-Büro und dem Ausschuss Jahresberichte vor, beginnend ein Jahr nach der Einrichtung des KI-Reallabors und dann jedes Jahr bis zu dessen Beendigung sowie einen Abschlussbericht. Diese Berichte enthalten Informationen über die Fortschritte und Ergebnisse der Umsetzung dieser Sandkästen, einschließlich bewährter Verfahren, Sicherheitsvorfälle, gewonnener Erkenntnisse und Empfehlungen zu ihrer Einrichtung und gegebenenfalls zur Anwendung und möglichen Überarbeitung dieser Verordnung, einschließlich ihrer delegierten Rechtsakte und Durchführungsrechtsakte, und anderer Rechtsvorschriften der Union, die innerhalb des Sandboxs beaufsichtigt werden. Diese Jahresberichte oder Zusammenfassungen davon werden der Öffentlichkeit online zur Verfügung gestellt. Die Kommission berücksichtigen gegebenenfalls die Jahresberichte bei der Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung.
6. Die Kommission entwickelt eine einzige und dedizierte Schnittstelle, die alle relevanten Informationen im Zusammenhang mit KI-Reallaboren enthält, damit Interessenträger mit Reallaboren interagieren und Anfragen bei den zuständigen Behörden stellen sowie unverbindliche Leitlinien zur Konformität innovativer Produkte, Dienstleistungen und Geschäftsmodelle, in die KI-Technologien eingebettet sind, gemäß Artikel 55 Absatz 1 Buchstabe c einholen können. Die Kommission stimmt sich gegebenenfalls proaktiv mit den zuständigen nationalen Behörden ab.
Artikel 53a Modalitäten und Funktionsweise von Reallaboren für KI
Um eine Fragmentierung in der Union zu vermeiden, erlässt die Kommission einen Durchführungsrechtsakt, in dem die Modalitäten für die Einrichtung, Entwicklung, Durchführung, den Betrieb und die Beaufsichtigung der KI-Reallabore festgelegt sind. Der Durchführungsrechtsakt enthält gemeinsame Grundsätze zu folgenden Fragen:
a) Förderfähigkeit und Auswahl für die Teilnahme an der KI-Realabor;
b) Verfahren für die Beantragung, Teilnahme, Überwachung, Ausstieg aus und Beendigung der KI-Realabor, einschließlich des Sandbox-Plans und des Exit-Berichts;
c) die für die Teilnehmer geltenden Teilnahmebedingungen.
Mit den Durchführungsrechtsakten wird sichergestellt, dass
a) Reallabore stehen jedem potenziellen Anbieter eines KI-Systems offen, der die Förder- und Auswahlkriterien erfüllt. Die Kriterien für den Zugang zum Regulatory Sandbox sind transparent und fair, und die zuständigen Behörden informieren die Antragsteller innerhalb von 3 Monaten nach Antragstellung über ihre Entscheidung.
b) Reallabore ermöglichen einen breiten und gleichberechtigten Zugang und halten mit der Nachfrage nach Beteiligung Schritt; Potenzielle Anbieter können auch Anträge in Partnerschaften mit Nutzern und anderen relevanten Dritten einreichen;
c) Die Modalitäten und Bedingungen für Reallabore sollen so weit wie möglich die Flexibilität der zuständigen nationalen Behörden bei der Einrichtung und dem Betrieb ihrer KI-Reallabore;
d) der Zugang zu den KI-Reallaboren ist für KMU und Start-up-Unternehmen kostenlos, unbeschadet außergewöhnlicher Kosten, die die zuständigen nationalen Behörden auf faire und verhältnismäßige Weise zurückfordern können;
e) sie erleichtern potenziellen Anbietern anhand der Lernergebnisse der KI-Reallabore die Erfüllung der Konformitätsbewertungspflichten dieser Verordnung oder die freiwillige Anwendung der in Artikel 69 genannten Verhaltenskodizes;
f) KI-Reallabore erleichtern die Einbeziehung anderer einschlägiger Akteure innerhalb des KI-Ökosystems, wie z. B. notifizierte Stellen und Normungsorganisationen (KMU, Start-up-Unternehmen, Unternehmen, Innovatoren, Test- und Versuchseinrichtungen, Forschungs- und Versuchslabore und digitale Innovationszentren, Exzellenzzentren, einzelne Forscher), um die Zusammenarbeit mit dem öffentlichen und dem privaten Sektor zu ermöglichen und zu erleichtern;
g) die Verfahren, Verfahren und administrativen Anforderungen für die Bewerbung, Auswahl, Teilnahme und das Verlassen des Sandboxs sind einfach, leicht verständlich und klar kommuniziert, um die Beteiligung von KMU und Start-up-Unternehmen mit begrenzten rechtlichen und administrativen Kapazitäten zu erleichtern, und sind in der gesamten Union gestrafft, um eine Fragmentierung zu vermeiden, und die Teilnahme an einem von einem Mitgliedstaat eingerichteten regulatorischen Sandbox oder vom EDSB anerkannt werden und in der gesamten Union die gleichen Rechtswirkungen haben;
h) Die Teilnahme am KI-Reallabor ist auf einen Zeitraum beschränkt, der der Komplexität und dem Umfang des Projekts angemessen ist. Diese Frist kann von der zuständigen nationalen Behörde verlängert werden;
i) Die KI-Reallabore erleichtern die Entwicklung von Instrumenten und Infrastrukturen für die Erprobung, das Benchmarking, die Bewertung und die Erläuterung von Dimensionen von KI-Systemen, die für das regulatorische Lernen relevant sind, wie Genauigkeit, Robustheit und Cybersicherheit sowie Maßnahmen zur Minderung von Risiken für die Grundrechte, die Umwelt und die Gesellschaft insgesamt.
3. Potenzielle Anbieter in den KI-Reallabore, insbesondere KMU und Start-up-Unternehmen, werden gegebenenfalls auf Dienste vor der Einführung wie Leitlinien zur Umsetzung dieser Verordnung, auf andere wertschöpfende Dienste wie Hilfe bei Normungsdokumenten und Zertifizierungen, Prüf- und Versuchseinrichtungen, digitale Hubs, Exzellenzzentren und [EU-Benchmarking-Kapazitäten] verwiesen.
4. Wenn die zuständigen nationalen Behörden erwägen, Tests unter realen Bedingungen zuzulassen, die im Rahmen einer gemäß diesem Artikel eingerichteten KI-Reallabore überwacht werden, vereinbaren sie mit den Teilnehmern ausdrücklich die Bedingungen für diese Tests und insbesondere die geeigneten Garantien zum Schutz der Grundrechte, der Gesundheit und der Sicherheit. Gegebenenfalls arbeiten sie mit anderen zuständigen nationalen Behörden zusammen, um einheitliche Verfahren in der gesamten Union zu gewährleisten.
Artikel 54 Weiterverarbeitung personenbezogener Daten zur Entwicklung bestimmter KI-Systeme im öffentlichen Interesse im KI-Reallabor
1. Im regulatorischen KI-Reallabor dürfen personenbezogene Daten, die rechtmäßig für andere Zwecke erhoben wurden, ausschließlich für die Zwecke der Entwicklung, des Trainings und der Erprobung bestimmter KI-Systeme in dem KI-Reallabor verarbeitet werden, wenn alle folgenden Bedingungen erfüllt sind:
a) KI-Systeme werden von einer Behörde oder einer anderen natürlichen oder juristischen Person des öffentlichen Rechts oder des Privatrechts zur Wahrung eines wesentlichen öffentlichen Interesses und in einem oder mehreren der folgenden Bereiche entwickelt:
???
ii) öffentliche Sicherheit und öffentliche Gesundheit, einschließlich der Erkennung, Diagnose, Verhütung, Kontrolle und Behandlung von Krankheiten sowie Verbesserung der Gesundheitssysteme;
iii) ein hohes Maß an Schutz und Verbesserung der Umweltqualität, Schutz der biologischen Vielfalt, Umweltverschmutzung sowie ökologischer Wandel, Eindämmung des Klimawandels und Anpassung an den Klimawandel;
iiia) Nachhaltigkeit im Energiebereich
iiib) Sicherheit und Resilienz von Verkehrssystemen und Mobilität, kritischen Infrastrukturen und Netzen;
iiic) Effizienz und Qualität der öffentlichen Verwaltung und der öffentlichen Dienstleistungen;
b) die verarbeiteten Daten sind erforderlich, um eine oder mehrere der in Titel III Kapitel 2 genannten Anforderungen zu erfüllen, wenn diese Anforderungen durch die Verarbeitung anonymisierter, synthetischer oder anderer nicht personenbezogener Daten nicht wirksam erfüllt werden können;
c) es gibt wirksame Überwachungsmechanismen, um festzustellen, ob während der Sandbox-Experimente hohe Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Artikel 35 der Verordnung (EU) 2016/679 und Artikel 39 der Verordnung (EU) 2018/1725 auftreten können, sowie einen Reaktionsmechanismus, um diese Risiken unverzüglich zu mindern, und erforderlichenfalls die Verarbeitung einzustellen;
d) alle personenbezogenen Daten, die im Rahmen der Sandbox verarbeitet werden sollen, befinden sich in einer funktional getrennten, isolierten und geschützten Datenverarbeitungsumgebung unter der Kontrolle des potenziellen Anbieters, und nur befugte Personen haben Zugang zu diesen Daten;
(e) Anbieter dürfen die ursprünglich erhobenen Daten nur in Übereinstimmung mit dem EU-Datenschutzrecht weitergeben. Personenbezogene Daten, die in der Sandbox erstellt wurden, können nicht außerhalb der Sandbox geteilt werden
f) die Verarbeitung personenbezogener Daten im Rahmen des KI-Reallabors führt nicht zu Maßnahmen oder Entscheidungen, die die betroffenen Personen betreffen, und beeinträchtigt auch nicht die Anwendung ihrer im Unionsrecht über den Schutz personenbezogener Daten verankerten Rechte;
(g) die im Rahmen des KI-Reallabors verarbeiteten personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen geschützt und gelöscht werden, sobald die Teilnahme an der Sandbox beendet ist oder die personenbezogenen Daten das Ende ihrer Aufbewahrungsfrist erreicht haben;
h) die Protokolle über die Verarbeitung personenbezogener Daten im Rahmen des KI-Reallabors werden für die Dauer der Teilnahme an der Sandbox aufbewahrt, sofern das Unionsrecht oder das nationale Recht nichts anderes vorsehen;
i) eine vollständige und detaillierte Beschreibung des Verfahrens und der Gründe für das Training, die Erprobung und die Validierung des KI-Systems wird zusammen mit den Prüfergebnissen als Teil der technischen Dokumentation in Anhang IV aufbewahrt;
j) eine kurze Zusammenfassung des im KI-Reallabor entwickelten KI-Projekts, seiner Ziele und erwarteten Ergebnisse, die auf der Website der zuständigen Behörden veröffentlicht werden. Diese Verpflichtung gilt nicht für sensible operative Daten im Zusammenhang mit den Tätigkeiten der Strafverfolgungs-, Grenzkontroll-, Einwanderungs- oder Asylbehörden.
1a) 2. Zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, erfolgt die Verarbeitung personenbezogener Daten in KI-Reallaboren unter der Kontrolle und Verantwortung der Strafverfolgungsbehörden auf der Grundlage eines bestimmten Mitgliedstaats- oder Unionsrechts und unterliegt denselben kumulativen Bedingungen gemäß Absatz 1.
1. Absatz 1 gilt unbeschadet der Rechtsvorschriften der Union oder der Mitgliedstaaten, die die Verarbeitung zu anderen als den in diesen Rechtsvorschriften ausdrücklich genannten Zwecken ausschließen, sowie der Rechtsvorschriften der Union oder der Mitgliedstaaten, die die Grundlage für die Verarbeitung personenbezogener Daten festlegen, die für die Entwicklung, Erprobung und Schulung innovativer KI-Systeme erforderlich sind, oder anderer Rechtsgrundlagen. im Einklang mit den Rechtsvorschriften der Union über den Schutz personenbezogener Daten.
Artikel 54a Erprobung von Hochrisiko-KI-Systemen unter realen Bedingungen außerhalb von KI-Reallaboren
1. Die Erprobung von KI-Systemen unter realen Bedingungen außerhalb von KI-Reallaboren kann von Anbietern oder potenziellen Anbietern von KI-Hochrisikosystemen, die in Anhang III aufgeführt sind, im Einklang mit den Bestimmungen dieses Artikels und dem in diesem Artikel genannten Plan für die Erprobung im praktischen Fahrbetrieb unbeschadet der Verbote nach Artikel 5 durchgeführt werden.
Die Einzelheiten des Plans für die Erprobung im praktischen Fahrbetrieb werden in Durchführungsrechtsakten festgelegt, die von der Kommission nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen werden.
Diese Bestimmung gilt unbeschadet der Rechtsvorschriften der Union oder der Mitgliedstaaten über die Erprobung von Hochrisiko-KI-Systemen im Zusammenhang mit Produkten, die unter die in Anhang II aufgeführten Rechtsvorschriften fallen, unter reale Bedingungen.
2. Anbieter oder potenzielle Anbieter können KI-Systeme mit hohem Risiko gemäß Anhang III jederzeit unter realen Bedingungen testen, bevor das KI-System allein oder in Partnerschaft mit einem oder mehreren potenziellen Betreibern in Verkehr gebracht oder in Betrieb genommen wird.
3. Die Erprobung von Hochrisiko-KI-Systemen unter realen Bedingungen gemäß diesem Artikel erfolgt unbeschadet einer ethischen Überprüfung, die nach nationalem Recht oder Unionsrecht erforderlich sein kann.
4. Anbieter oder potenzielle Anbieter dürfen die Prüfungen nur dann unter realen Bedingungen durchführen, wenn alle folgenden Bedingungen erfüllt sind:
a) Der Anbieter oder potenzielle Anbieter hat einen Plan für die Prüfung unter realen Bedingungen erstellt und ihn der Marktüberwachungsbehörde des Mitgliedstaats/der Mitgliedstaaten vorgelegt, in dem/denen die Tests unter realen Bedingungen durchgeführt werden sollen;
b) die Marktüberwachungsbehörde des Mitgliedstaats/der Mitgliedstaaten, in dem/denen die Prüfung unter realen Bedingungen durchgeführt werden soll, hat die Prüfung unter realen Bedingungen und den Prüfplan unter realen Bedingungen genehmigt. Hat die Marktüberwachungsbehörde in diesem Mitgliedstaat innerhalb von 30 Tagen keine Antwort gegeben, so gelten die Tests unter realen Bedingungen und der Prüfplan für den realen Fahrbetrieb als genehmigt. In Fällen, in denen das nationale Recht keine stillschweigende Genehmigung vorsieht, ist die Prüfung unter realen Bedingungen genehmigungspflichtig;
c) der Anbieter oder potenzielle Anbieter mit Ausnahme der in Anhang III Nummern 1, 6 und 7 genannten Hochrisiko-KI-Systeme in den Bereichen Strafverfolgung, Migration, Asyl und Grenzkontrollmanagement sowie der in Anhang III Nummer 2 genannten Hochrisiko-KI-Systeme hat die Erprobung unter realen Bedingungen im nicht-öffentlichen Teil der EU-Datenbank gemäß Artikel 60 Absatz 3 mit einer unionsweit eindeutigen Kennnummer und die in Anhang VIIIa genannten Angaben.
d) der Anbieter oder potenzielle Anbieter, der die Tests unter realen Bedingungen durchführt, ist in der Union niedergelassen oder hat einen gesetzlichen Vertreter benannt, der in der Union niedergelassen ist;
e) Daten, die für die Zwecke der Erprobung unter realen Bedingungen erhoben und verarbeitet werden, dürfen nur dann an Drittländer außerhalb der Union übermittelt werden, sofern angemessene und anwendbare Garantien nach dem Unionsrecht getroffen werden.
f) die Erprobung unter realen Bedingungen dauert nicht länger als zur Erreichung ihrer Ziele erforderlich und in jedem Fall nicht länger als 6 Monate, die um einen zusätzlichen Betrag von 6 Monaten verlängert werden können, sofern der Anbieter dies der Marktüberwachungsbehörde zuvor mitgeteilt und eine Erläuterung der Notwendigkeit einer solchen Fristverlängerung beigefügt ist;
g) Personen, die aufgrund ihres Alters oder ihrer körperlichen oder geistigen Behinderung schutzbedürftigen Gruppen angehören, angemessen geschützt werden;
h) wenn ein Anbieter oder potenzieller Anbieter die Erprobung unter realen Bedingungen in Zusammenarbeit mit einem oder mehreren potenziellen Betreibern organisiert, wurden diese über alle Aspekte der Erprobung unterrichtet, die für ihre Entscheidung zur Teilnahme relevant sind, und erhielten die einschlägigen Anweisungen zur Verwendung des in Artikel 13 genannten KI-Systems; Der Anbieter oder potenzielle Anbieter und der/die Betreiber(s) schließen eine Vereinbarung, in der ihre Aufgaben und Zuständigkeiten im Hinblick auf die Gewährleistung der Einhaltung der Bestimmungen für die Prüfung unter realen Bedingungen gemäß dieser Verordnung und anderen geltenden Rechtsvorschriften der Union und der Mitgliedstaaten;
i) die Prüfungsteilnehmer unter realen Bedingungen eine Einwilligung nach Aufklärung gemäß Artikel 54b erteilt haben, oder im Falle von Strafverfolgungsbehörden, wenn die Einholung einer Einwilligung nach Aufklärung die Prüfung des KI-Systems verhindern würde, dürfen die Prüfung selbst und das Ergebnis der Prüfung unter realen Bedingungen keine negativen Auswirkungen auf den Prüfungsteilnehmer haben, und seine personenbezogenen Daten werden nach der Prüfung gelöscht durchgeführt wird.
j) die Erprobung unter realen Bedingungen wird von dem Anbieter oder potenziellen Anbieter und dem/den Einsatzbetreiber(n) wirksam beaufsichtigt, und zwar mit Personen, die auf dem betreffenden Gebiet angemessen qualifiziert sind und über die erforderlichen Kapazitäten, Schulungen und Befugnisse verfügen, um ihre Aufgaben zu erfüllen;
k) die Vorhersagen, Empfehlungen oder Entscheidungen des KI-Systems können effektiv rückgängig gemacht und außer Acht gelassen werden.
5. Jeder Prüfungsteilnehmer unter realen Bedingungen oder gegebenenfalls sein gesetzlicher Vertreter kann sich jederzeit ohne daraus resultierende Nachteile und ohne Angabe von Gründen von der Prüfung zurückziehen, indem er seine Einwilligung nach Aufklärung widerruft und die sofortige und dauerhafte Löschung seiner personenbezogenen Daten verlangt.
Der Widerruf der Einwilligung nach Aufklärung hat keine Auswirkungen auf die bereits durchgeführten Tätigkeiten. 5a. Gemäß Artikel 63a übertragen die Mitgliedstaaten ihren Marktüberwachungsbehörden die Befugnis, von Anbietern und potenziellen Anbietern Informationen zu verlangen, unangekündigte Fern- oder Vor-Ort-Prüfungen durchzuführen und die Durchführung der Durchführung der Tests unter realen Bedingungen und der damit verbundenen Produkte zu überprüfen. Die Marktüberwachungsbehörden nutzen diese Befugnisse, um eine sichere Durchführung dieser Tests zu gewährleisten.
6. Jedes schwerwiegende Vorkommnis, das bei der Prüfung unter realen Bedingungen festgestellt wird, der nationalen Marktüberwachungsbehörde gemäß Artikel 62 dieser Verordnung gemeldet werden. Der Anbieter oder potenzielle Anbieter ergreift unverzügliche Abhilfemaßnahmen oder, falls dies nicht möglich ist, setzt die Prüfung unter realen Bedingungen aus, bis eine solche Risikominderung stattfindet, oder beendet sie auf andere Weise. Der Anbieter oder potenzielle Anbieter legt ein Verfahren für den unverzüglichen Rückruf des KI-Systems nach Beendigung der Prüfung unter realen Bedingungen fest.
7. Die Anbieter oder potenziellen Anbieter unterrichten die nationale Marktüberwachungsbehörde des Mitgliedstaats/der Mitgliedstaaten, in dem/denen die Prüfung unter realen Bedingungen durchgeführt werden soll, über die Aussetzung oder Beendigung der Prüfung unter realen Bedingungen und die endgültigen Ergebnisse.
8. Der Anbieter und der potenzielle Anbieter haften nach den geltenden Haftungsvorschriften der Union und der Mitgliedstaaten für alle Schäden, die während ihrer Teilnahme an der Prüfung unter realen Bedingungen verursacht werden.
Artikel 54b Einwilligung nach Aufklärung zur Teilnahme an Tests unter realen Bedingungen außerhalb von KI-Reallaboren
1. Für die Zwecke von Versuchen unter realen Bedingungen gemäß Artikel 54a wird die Einwilligung nach Aufklärung vom Prüfungsteilnehmer freiwillig erteilt, bevor er an solchen Versuchen teilnimmt und nachdem er ordnungsgemäß mit prägnanten, klaren, relevanten und verständlichen Informationen über Folgendes unterrichtet wurde:
i) die Art und die Ziele der Prüfung unter realen Bedingungen und die möglichen Unannehmlichkeiten, die mit ihrer Teilnahme verbunden sein können;
ii) die Bedingungen, unter denen die Versuche unter realen Bedingungen durchzuführen sind, einschließlich der voraussichtlichen Dauer der Teilnahme des Prüfungsteilnehmers;
iii) die Rechte und Garantien des Prüfungsteilnehmers in Bezug auf die Teilnahme, insbesondere sein Recht, die Teilnahme an der Prüfung unter realen Bedingungen zu verweigern, und das Recht, sich jederzeit von der Prüfung unter realen Bedingungen zurückzuziehen, ohne dass daraus Nachteile entstehen und ohne Angabe von Gründen angegeben werden zu müssen;
iv) die Modalitäten für die Beantragung der Aufhebung oder Nichtbeachtung der Vorhersagen, Empfehlungen oder Entscheidungen des KI-Systems;
v) die unionsweit eindeutige einheitliche Kennnummer der Prüfung unter realen Bedingungen gemäß Artikel 54a Absatz 4c und die Kontaktdaten des Anbieters oder seines gesetzlichen Vertreters, bei dem weitere Informationen eingeholt werden können.
2 Die Einwilligung nach Aufklärung ist zu datieren und zu dokumentieren und der betroffenen Person oder ihrem gesetzlichen Vertreter in Kopie auszuhändigen.
Artikel 55 Maßnahmen für Kleinanbieter und Kleinnutzer
1. Die Mitgliedstaaten ergreifen folgende Maßnahmen:
a) KMU, einschließlich Start-up-Unternehmen, mit Sitz oder Zweigniederlassung in der Union, vorrangigen Zugang zu den KI-Reallaboren zu gewähren, sofern sie die Förderbedingungen und Auswahlkriterien erfüllen. Der vorrangige Zugang schließt andere KMU, einschließlich anderer als der in Unterabsatz 1 genannten Start-up-Unternehmen, nicht vom Zugang zur KI-Reallabore aus, sofern sie die Förderbedingungen und Auswahlkriterien erfüllen;
b) Organisation spezifischer Sensibilisierungs- und Schulungsmaßnahmen für die Anwendung dieser Verordnung, die auf die Bedürfnisse von KMU, einschließlich Start-up-Unternehmen, Nutzern und gegebenenfalls lokalen Behörden, zugeschnitten sind;
c) Nutzung bestehender spezieller Kanäle und gegebenenfalls Einrichtung neuer Kanäle für die Kommunikation mit KMU, einschließlich Start-up-Unternehmen, Nutzern, anderen Innovatoren und gegebenenfalls lokalen Behörden, um Beratung zu leisten und Fragen zur Durchführung dieser Verordnung zu beantworten, auch in Bezug auf die Teilnahme an KI-Reallaboren;
ca) Erleichterung der Beteiligung von KMU und anderen einschlägigen Interessenträgern am Entwicklungsprozess der Normung.
2. Bei der Festsetzung der Gebühren für die Konformitätsbewertung gemäß Artikel 43 werden die besonderen Interessen und Bedürfnisse der KMU-Anbieter, einschließlich Start-up-Unternehmen, berücksichtigt, wobei diese Gebühren proportional zu ihrer Größe, Marktgröße und anderen relevanten Indikatoren gesenkt werden.
2a) Das KI-Büro ergreift folgende Maßnahmen:
a) auf Verlangen des KI-Ausschusses standardisierte Muster für die unter diese Verordnung fallenden Bereiche zur Verfügung zu stellen;
b) Entwicklung und Pflege einer zentralen Informationsplattform, die allen Marktteilnehmern in der gesamten Union einfach zugängliche Informationen im Zusammenhang mit dieser Verordnung zur Verfügung stellt;
c) Durchführung geeigneter Kommunikationskampagnen zur Sensibilisierung für die sich aus dieser Verordnung ergebenden Verpflichtungen;
d) Bewertung und Förderung der Konvergenz bewährter Verfahren bei der Vergabe öffentlicher Aufträge in Bezug auf KI-Systeme.
Artikel 55a Ausnahmeregelungen für bestimmte Marktteilnehmer
2b) Kleinstunternehmen im Sinne von Artikel 2 Absatz 3 des Anhangs der Kommission
Empfehlung 2003/361/EG betreffend die Definition von Kleinstunternehmen sowie kleinen und mittleren Unternehmen, sofern diese Unternehmen keine Partnerunternehmen oder verbundenen Unternehmen im Sinne von Artikel 3 des genannten Anhangs haben, bestimmte Elemente des Qualitätsmanagementsystems gemäß Artikel 17 dieser Verordnung in vereinfachter Weise erfüllen können. Zu diesem Zweck erarbeitet die Kommission Leitlinien zu den Elementen des Qualitätsmanagementsystems, die unter Berücksichtigung der Bedürfnisse von Kleinstunternehmen vereinfacht erfüllt werden können, ohne das Schutzniveau und die Notwendigkeit der Einhaltung der Anforderungen an KI-Systeme mit hohem Risiko zu beeinträchtigen.
2c) 2. Geltungsbereich Absatz 1 ist nicht dahin auszulegen, dass er diese Unternehmer von der Erfüllung anderer Anforderungen und Verpflichtungen gemäß dieser Verordnung, einschließlich der in den Artikeln 9, 10, 11, 12, 13, 14, 15, 61 und 62 festgelegten Anforderungen und Verpflichtungen, befreit.
TITEL VI: GOVERNANCE
Artikel 55b Governance auf Unionsebene 1.
Die Kommission entwickelt das Fachwissen und die Fähigkeiten der Union im Bereich der künstlichen Intelligenz.
Zu diesem Zweck hat die Kommission mit Beschluss […]“ 2.
Die Mitgliedstaaten erleichtern die dem KI-Büro übertragenen Aufgaben gemäß dieser Verordnung
Kapitel 1 Europäischer Ausschuss für künstliche Intelligenz
Artikel 56 Einrichtung und Struktur des Europäischen Ausschusses für künstliche Intelligenz
1) Es wird ein „Europäischer Ausschuss für künstliche Intelligenz“ (im Folgenden „Ausschuss“) eingerichtet.
2. Der Ausschuss setzt sich aus einem Vertreter je Mitgliedstaat zusammen. Der Europäische Datenschutzbeauftragte nimmt als Beobachter teil. Das AI Office nimmt auch an den Sitzungen des Verwaltungsrats teil, ohne an den Abstimmungen teilzunehmen. Andere nationale und Unionsbehörden, -gremien oder -sachverständige können vom Ausschuss von Fall zu Fall zu den Sitzungen eingeladen werden, wenn die erörterten Fragen für sie von Bedeutung sind.
2a) Jeder Vertreter wird von seinem Mitgliedstaat für einen Zeitraum von drei Jahren benannt, der einmal verlängert werden kann.
2b) Die Mitgliedstaaten stellen sicher, dass ihre Vertreter im Ausschuss
a) in ihrem Mitgliedstaat über die einschlägigen Zuständigkeiten und Befugnisse verfügen, um aktiv zur Erfüllung der in Artikel 58 genannten Aufgaben des Ausschusses beizutragen; b) als zentrale Kontaktstelle gegenüber dem Ausschuss benannt werden und gegebenenfalls unter Berücksichtigung der Bedürfnisse der Mitgliedstaaten als zentrale Anlaufstelle für Interessenträger; c) befugt sind, die Kohärenz und Koordinierung zwischen den zuständigen nationalen Behörden in ihrem Mitgliedstaat bei der Durchführung dieser Verordnung zu erleichtern, unter anderem durch die Erhebung einschlägiger Daten und Informationen zur Erfüllung ihrer Aufgaben im Ausschuss.
Die benannten Vertreter der Mitgliedstaaten geben sich mit Zweidrittelmehrheit die Geschäftsordnung des Ausschusses. In der Geschäftsordnung werden insbesondere die Verfahren für das Auswahlverfahren, die Dauer des Mandats und die Festlegung der Aufgaben des Vorsitzenden, die Abstimmungsmodalitäten sowie die Organisation der Tätigkeiten des Ausschusses und seiner Untergruppen festgelegt.
3a) Der Ausschuss richtet zwei ständige Untergruppen ein, die eine Plattform für die Zusammenarbeit und den Austausch zwischen den Marktüberwachungsbehörden und den notifizierenden Behörden in Fragen der Marktüberwachung bzw. der notifizierten Stellen bieten.
Die ständige Untergruppe für Marktüberwachung sollte als Verwaltungsbehörde fungieren
Kooperationsgruppe (ADCO) für diese Verordnung im Sinne des Artikels 30 der Verordnung (EU) 2019/1020.
Der Ausschuss kann gegebenenfalls weitere ständige oder nichtständige Untergruppen einsetzen, um bestimmte Fragen zu prüfen. Gegebenenfalls können Vertreter des in Artikel [XX] genannten Beratungsgremiums als Beobachter zu solchen Untergruppen oder zu spezifischen Sitzungen dieser Untergruppen eingeladen werden.
3b) Der Ausschuss ist so organisiert und arbeitsfähig, dass die Objektivität und Unparteilichkeit seiner Tätigkeit gewährleistet ist.
4. Den Vorsitz im Ausschuss führt einer der Vertreter der Mitgliedstaaten. Das Europäische Büro für KI nimmt die Sekretariatsgeschäfte des Ausschusses wahr. beruft die Sitzungen auf Antrag des Vorsitzenden ein und bereitet die Tagesordnung im Einklang mit den Aufgaben des Ausschusses gemäß dieser Verordnung und seiner Geschäftsordnung vor.
Artikel 57 ???
Artikel 58 Aufgaben des Verwaltungsrats
Der Ausschuss berät und unterstützt die Kommission und die Mitgliedstaaten, um die kohärente und wirksame Anwendung dieser Verordnung zu erleichtern. Zu diesem Zweck kann der Ausschuss insbesondere:
a) zur Koordinierung zwischen den für die Anwendung dieser Verordnung zuständigen nationalen Behörden beizutragen und in Zusammenarbeit und mit Zustimmung der betroffenen Marktüberwachungsbehörden gemeinsame Tätigkeiten der in Artikel 63 Absatz 7a genannten Marktüberwachungsbehörden zu unterstützen;
b) Sammlung und Austausch von technischem und regulatorischem Fachwissen und bewährten Verfahren zwischen den Mitgliedstaaten;
c) Beratung bei der Durchführung dieser Verordnung, insbesondere in Bezug auf die Durchsetzung der Vorschriften für allgemeine KI-Modelle;
i) über technische Spezifikationen oder bestehende Normen in Bezug auf die in Titel III Kapitel 2 festgelegten Anforderungen,
ii) über die Anwendung der in Artikel 40 genannten harmonisierten Normen oder der in Artikel 41 genannten gemeinsamen Spezifikationen,
iii) über die Ausarbeitung von Leitfäden, einschließlich der Leitlinien für die Festsetzung von Geldbußen gemäß Artikel 71.
d) Beitrag zur Harmonisierung der Verwaltungspraktiken in den Mitgliedstaaten, unter anderem in Bezug auf die Abweichung von den Konformitätsbewertungsverfahren gemäß Artikel 47, das Funktionieren von Reallaboren und Tests unter realen Bedingungen gemäß den Artikeln 53, 54 und 54a;
e) auf Ersuchen der Kommission oder auf eigene Initiative Empfehlungen und schriftliche Stellungnahmen zu allen relevanten Fragen im Zusammenhang mit der Durchführung dieser Verordnung und ihrer kohärenten und wirksamen Anwendung, einschließlich
i) über die Entwicklung und Anwendung von Verhaltenskodizes und Verhaltenskodizes gemäß dieser Verordnung sowie den Leitlinien der Kommission; ii) die Evaluierung und Überprüfung dieser Verordnung gemäß Artikel 84, einschließlich der in Artikel 62 genannten Berichte über schwerwiegende Vorkommnisse und der Funktionsweise der in Artikel 60 genannten Datenbank, die Vorbereitung der delegierten Rechtsakte oder Durchführungsrechtsakte und mögliche Angleichungen dieser Verordnung an die in Anhang II aufgeführten Rechtsakte;
iii) über technische Spezifikationen oder bestehende Normen in Bezug auf die Anforderungen des Titels III Kapitel 2,
iv) über die Anwendung harmonisierter Normen oder gemeinsamer Spezifikationen gemäß den Artikeln 40 und 41,
v) Trends wie die globale Wettbewerbsfähigkeit Europas im Bereich der künstlichen Intelligenz, die Einführung künstlicher Intelligenz in der Union und die Entwicklung digitaler Kompetenzen; (via) Trends in Bezug auf die sich entwickelnde Typologie von KI-Wertschöpfungsketten, insbesondere in Bezug auf die sich daraus ergebenden Auswirkungen auf die Rechenschaftspflicht;
vi) über die mögliche Notwendigkeit einer Änderung des Anhangs III gemäß Artikel 7 und über die mögliche Notwendigkeit einer etwaigen Überarbeitung von Artikel 5 gemäß Artikel 84 unter Berücksichtigung der einschlägigen verfügbaren Erkenntnisse und der neuesten technologischen Entwicklungen;
f) Unterstützung der Kommission bei der Förderung der KI-Kompetenz, des öffentlichen Bewusstseins und des Verständnisses für die Vorteile, Risiken, Garantien sowie Rechte und Pflichten im Zusammenhang mit der Nutzung von KI-Systemen;
g) Erleichterung der Entwicklung gemeinsamer Kriterien und eines gemeinsamen Verständnisses der in dieser Verordnung vorgesehenen einschlägigen Konzepte zwischen den Marktteilnehmern und den zuständigen Behörden, unter anderem durch einen Beitrag zur Entwicklung von Referenzwerten; h) gegebenenfalls Zusammenarbeit mit anderen Organen, Einrichtungen und sonstigen Stellen der Union sowie mit einschlägigen Sachverständigengruppen und Netzen der Union, insbesondere in den Bereichen Produktsicherheit, Cybersicherheit, Wettbewerb, digitale und Mediendienste, Finanzdienstleistungen, Verbraucherschutz, Daten- und Grundrechtsschutz; i) Beitrag zur wirksamen Zusammenarbeit mit den zuständigen Behörden von Drittländern und mit internationalen Organisationen;
h) Unterstützung der zuständigen nationalen Behörden und der Kommission bei der Entwicklung des für die Durchführung dieser Verordnung erforderlichen organisatorischen und technischen Fachwissens, unter anderem durch einen Beitrag zur Bewertung des Schulungsbedarfs für das Personal der Mitgliedstaaten, die an der Durchführung dieser Verordnung beteiligt sind;
i1) Unterstützung des KI-Büros bei der Unterstützung der zuständigen nationalen Behörden bei der Einrichtung und Entwicklung von Reallaboren und Erleichterung der Zusammenarbeit und des Informationsaustauschs zwischen den Reallaboren;
i) Mitwirkung und sachdienliche Beratung bei der Ausarbeitung von Leitfäden;
l) Beratung der Kommission in internationalen Angelegenheiten im Bereich der künstlichen Intelligenz. m) Abgabe von Stellungnahmen an die Kommission zu den qualifizierten Ausschreibungen in Bezug auf allgemeine KI-Modelle;
n) Stellungnahmen der Mitgliedstaaten zu den qualifizierten Ausschreibungen in Bezug auf allgemeine KI-Modelle und zu den nationalen Erfahrungen und Verfahren bei der Überwachung und Durchsetzung der KI-Systeme, insbesondere der Systeme, in die die allgemeinen KI-Modelle integriert sind, einzuholen.
Artikel 58a Beirat
1. Es wird ein beratender Beirat eingerichtet, der den Ausschuss und die Kommission berät und ihnen technisches Fachwissen zur Verfügung stellt, damit sie zu ihren Aufgaben im Rahmen dieser Verordnung beitragen können.
2. Die Mitglieder des Beirats repräsentieren eine ausgewogene Auswahl von Interessenträgern, darunter Industrie, Start-up-Unternehmen, KMU, die Zivilgesellschaft und die Wissenschaft. Die Zusammensetzung des Beirats ist ausgewogen in Bezug auf kommerzielle und nichtkommerzielle Interessen und innerhalb der Kategorie der kommerziellen Interessen in Bezug auf KMU und andere Unternehmen.
3. Die Kommission ernennt die Mitglieder des Beirats gemäß den im vorstehenden Absatz genannten Kriterien aus dem Kreis der Interessenträger mit anerkanntem Fachwissen auf dem Gebiet der KI.
4. Die Amtszeit der Mitglieder des Beirats beträgt zwei Jahre und kann um höchstens vier Jahre verlängert werden.
5. Die Agentur der Europäischen Union für Grundrechte, die Agentur der Europäischen Union für Cybersicherheit, das Europäische Komitee für Normung (CEN), das Europäische Komitee für elektrotechnische Normung (CENELEC) und das Europäische Institut für Telekommunikationsnormen (ETSI) sind ständige Mitglieder des Beirats.
6. Der Beirat gibt sich eine Geschäftsordnung. Er wählt aus seiner Mitte zwei Ko-Vorsitzende nach den in Absatz 2 genannten Kriterien. Die Amtszeit der Ko-Vorsitzenden beträgt zwei Jahre und kann einmal verlängert werden.
7. Der Beirat tritt mindestens zweimal jährlich zusammen. Der Beirat kann Sachverständige und andere Interessenträger zu seinen Sitzungen einladen.
8. Bei der Wahrnehmung seiner in Absatz 1 genannten Aufgaben kann der Beirat auf Ersuchen des Ausschusses oder der Kommission Stellungnahmen, Empfehlungen und schriftliche Beiträge ausarbeiten
9. Der Beirat kann gegebenenfalls ständige oder nichtständige Untergruppen einsetzen, um spezifische Fragen im Zusammenhang mit den Zielen dieser Verordnung zu prüfen.
10. Der Beirat erstellt einen Jahresbericht über seine Tätigkeiten. Dieser Bericht wird der Öffentlichkeit zugänglich gemacht.
Kapitel 1a Wissenschaftliches Gremium unabhängiger Sachverständiger
Artikel 58b Wissenschaftliches Gremium unabhängiger Sachverständiger
1. Die Kommission erlässt im Wege eines Durchführungsrechtsakts Bestimmungen über die Einsetzung eines wissenschaftlichen Gremiums unabhängiger Sachverständiger (im Folgenden „wissenschaftliches Gremium“), das die Durchsetzungsmaßnahmen im Rahmen dieser Verordnung unterstützen soll. Diese Durchführungsrechtsakte werden nach dem in Artikel 74 Absatz 2 genannten Prüfverfahren erlassen.
2. Das wissenschaftliche Gremium besteht aus Sachverständigen, die von der Kommission auf der Grundlage aktueller wissenschaftlicher oder technischer Fachkenntnisse auf dem Gebiet der künstlichen Intelligenz ausgewählt werden, die für die in Absatz 3 genannten Aufgaben erforderlich sind, und die nachweisen können, dass sie alle folgenden Bedingungen erfüllen:
a) besondere Fachkenntnisse und Kompetenzen sowie wissenschaftliche oder technische Fachkenntnisse auf dem Gebiet der künstlichen Intelligenz;
b) Unabhängigkeit von Anbietern von KI-Systemen oder allgemeinen KI-Modellen oder -Systemen;
c) Fähigkeit, Tätigkeiten sorgfältig, genau und objektiv auszuführen. Die Kommission legt in Absprache mit dem KI-Ausschuss die Zahl der Sachverständigen im Gremium entsprechend den erforderlichen Bedürfnissen fest und sorgt für eine ausgewogene Vertretung der Geschlechter und der geografischen Vertretung.
3. Das wissenschaftliche Gremium berät und unterstützt das Europäische KI-Büro insbesondere in Bezug auf folgende Aufgaben:
a) Unterstützung der Umsetzung und Durchsetzung dieser Verordnung in Bezug auf allgemeine KI-Modelle und -Systeme, insbesondere durch
i) Warnung des KI-Büros vor möglichen Systemrisiken von Allzweck-KI-Modellen auf Unionsebene gemäß Artikel [Warnungen des wissenschaftlichen Gremiums vor Systemrisiken];
ii) Beitrag zur Entwicklung von Instrumenten und Methoden zur Bewertung der Fähigkeiten von universellen KI-Modellen und -Systemen, auch durch Benchmarks; iii) Beratung bei der Einstufung von Allzweck-KI-Modellen mit systemischen Risiken;
iii) Beratung bei der Einstufung von Allzweck-KI-Modellen mit systemischen Risiken;
(IIII) Beratung bei der Klassifizierung verschiedener universeller KI-Modelle und -Systeme;
iv) Mitwirkung an der Entwicklung von Instrumenten und Vorlagen
b) Unterstützung der Arbeit der Marktüberwachungsbehörden auf deren Ersuchen;
c) Unterstützung grenzüberschreitender Marktüberwachungstätigkeiten gemäß Artikel 63 Absatz 7a, unbeschadet der Befugnisse der Marktüberwachungsbehörden;
d) Unterstützung des KI-Büros bei der Wahrnehmung seiner Aufgaben im Rahmen der Schutzklausel gemäß Artikel 66;
4. Die Sachverständigen nehmen ihre Aufgaben unparteiisch und objektiv wahr und gewährleisten die Vertraulichkeit der Informationen und Daten, die sie bei der Wahrnehmung ihrer Aufgaben und Tätigkeiten erhalten. Sie dürfen bei der Wahrnehmung ihrer Aufgaben nach Absatz 3 von niemandem Weisungen einholen oder entgegennehmen. Jeder Sachverständige erstellt eine Interessenerklärung, die der Öffentlichkeit zugänglich gemacht wird. Das KI-Büro richtet Systeme und Verfahren ein, um potenzielle Interessenkonflikte aktiv zu bewältigen und zu verhindern.
5. Der in Absatz 1 genannte Durchführungsrechtsakt enthält Bestimmungen über die Bedingungen, das Verfahren und die Modalitäten, unter denen das wissenschaftliche Gremium und seine Mitglieder Ausschreibungen abgeben und das KI-Büro um Unterstützung bei der Wahrnehmung seiner Aufgaben ersuchen können.
Artikel 58c Zugang der Mitgliedstaaten zum Sachverständigenpool
1. Die Mitgliedstaaten können Sachverständige des wissenschaftlichen Gremiums zur Unterstützung ihrer Durchsetzungsmaßnahmen im Rahmen dieser Verordnung hinzuziehen.
2. Die Mitgliedstaaten können verpflichtet werden, Gebühren für die Beratung und Unterstützung durch die Sachverständigen zu entrichten. Die Struktur und die Höhe der Gebühren sowie der Umfang und die Struktur der erstattungsfähigen Kosten werden in dem in Artikel 58b Absatz 1 genannten Durchführungsrechtsakt festgelegt, wobei die Ziele der angemessenen Durchführung dieser Verordnung, die Kostenwirksamkeit und die Notwendigkeit, einen effektiven Zugang zu Sachverständigen für alle Mitgliedstaaten zu gewährleisten, zu berücksichtigen sind
3. Die Kommission erleichtert den Mitgliedstaaten bei Bedarf den rechtzeitigen Zugang zu den Sachverständigen und stellt sicher, dass die Kombination von Unterstützungstätigkeiten, die von EU-KI-Testunterstützung gemäß Artikel 68a und Sachverständigen gemäß diesem Artikel durchgeführt werden, effizient organisiert ist und den bestmöglichen Mehrwert bietet.
KAPITEL 2 Zuständige nationale Behörden
Artikel 59 Benennung der zuständigen nationalen Behörden und der zentralen Anlaufstelle
1. Gestrichen
2. 2. 1. Jeder Mitgliedstaat errichtet oder benennt mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde für die Zwecke dieser Verordnung als nationale zuständige Behörden. Diese zuständigen nationalen Behörden üben ihre Befugnisse unabhängig, unparteiisch und unvoreingenommen aus, um die Grundsätze der Objektivität ihrer Tätigkeiten und Aufgaben zu wahren und die Anwendung und Durchführung dieser Verordnung zu gewährleisten. Die Mitglieder dieser Behörden unterlassen jede Handlung, die mit ihrem Amt unvereinbar ist. Unter der Voraussetzung, dass diese Grundsätze eingehalten werden, können diese Tätigkeiten und Aufgaben von einer oder mehreren benannten Behörden entsprechend den organisatorischen Erfordernissen des Mitgliedstaats wahrgenommen werden.
3. Die Mitgliedstaaten teilen der Kommission die Identität der notifizierenden Behörden und der Marktüberwachungsbehörden sowie die Aufgaben dieser Behörden sowie spätere Änderungen mit. Die Mitgliedstaaten machen Informationen darüber, wie die zuständigen Behörden und die zentrale Anlaufstelle auf elektronischem Wege kontaktiert werden können, öffentlich zugänglich, indem sie … [12 Monate nach dem Datum des Inkrafttretens dieser Verordnung]. Die Mitgliedstaaten benennen eine Marktüberwachungsbehörde, die als zentrale Anlaufstelle für diese Verordnung fungiert, und teilen der Kommission die Identität der zentralen Anlaufstelle mit. Die Kommission macht eine Liste der zentralen Anlaufstellen öffentlich zugänglich.
4. Die Mitgliedstaaten stellen sicher, dass die zuständige nationale Behörde mit angemessenen technischen, finanziellen und personellen Ressourcen und Infrastrukturen ausgestattet wird, damit sie ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen kann. Insbesondere muss die zuständige nationale Behörde ständig über eine ausreichende Zahl von Mitarbeitern verfügen, deren Kompetenzen und Fachkenntnisse ein tiefgreifendes Verständnis von Technologien der künstlichen Intelligenz, Daten und Datenverarbeitung, Schutz personenbezogener Daten, Cybersicherheit, Grundrechte, Gesundheits- und Sicherheitsrisiken sowie Kenntnisse bestehender Normen und rechtlicher Anforderungen umfassen. Die Mitgliedstaaten bewerten und aktualisieren die in diesem Absatz genannten Kompetenz- und Ressourcenanforderungen erforderlichenfalls jährlich.
4a. Die zuständigen nationalen Behörden müssen ein angemessenes Maß an Cybersicherheitsmaßnahmen erfüllen.
4b?
4c. Bei der Wahrnehmung ihrer Aufgaben handeln die zuständigen nationalen Behörden im Einklang mit den in Artikel 70 festgelegten Vertraulichkeitspflichten.
5. Spätestens ein Jahr nach Inkrafttreten dieser Verordnung und danach alle zwei Jahre erstatten die Mitgliedstaaten der Kommission Bericht über den Stand der finanziellen und personellen Ressourcen der zuständigen nationalen Behörden und bewerten deren Angemessenheit. Die Kommission leitet diese Informationen an den Ausschuss zur Erörterung und etwaigen Empfehlungen weiter.
6. Die Kommission erleichtert den Erfahrungsaustausch zwischen den zuständigen nationalen Behörden.
7. Die zuständigen nationalen Behörden können insbesondere KMU, einschließlich Start-up-Unternehmen, Leitlinien und Ratschläge zur Durchführung dieser Verordnung geben, wobei sie gegebenenfalls die Leitlinien und Ratschläge des Ausschusses und der Kommission berücksichtigen. Beabsichtigen die zuständigen nationalen Behörden, Leitlinien und Ratschläge in Bezug auf ein KI-System in Bereichen zu geben, die unter andere Rechtsvorschriften der Union fallen, so werden die nach diesen Rechtsvorschriften der Union zuständigen nationalen Behörden gegebenenfalls konsultiert.
8. Fallen Organe, sonstige Stellen und Einrichtungen der Union in den Anwendungsbereich dieser Verordnung, so fungiert der Europäische Datenschutzbeauftragte als zuständige Behörde für ihre Beaufsichtigung.
TITEL VII: EU-DATENBANK FÜR KI-SYSTEME MIT HOHEM RISIKO, DIE IN ANHANG III AUFGEFÜHRT SIND
Artikel 60 EU-Datenbank für KI-Hochrisikosysteme gemäß Anhang III
1. Die Kommission richtet in Zusammenarbeit mit den Mitgliedstaaten eine EU-Datenbank mit den in den Absätzen 2 und 2a genannten Informationen über KI-Hochrisikosysteme gemäß Artikel 6 Absatz 2 ein, die gemäß den Artikeln 51 und 54a registriert sind, und pflegt sie. Bei der Festlegung der funktionalen Spezifikationen einer solchen Datenbank konsultiert die Kommission die einschlägigen Sachverständigen, und bei der Aktualisierung der funktionalen Spezifikationen einer solchen Datenbank konsultiert die Kommission den KI-Ausschuss.
2. Die in Anhang VIII Abschnitt A aufgeführten Daten werden vom Anbieter oder gegebenenfalls vom Bevollmächtigten in die EU-Datenbank eingegeben.
2a) Die in Anhang VIII Abschnitt B aufgeführten Daten werden von dem Entsendenden, der gemäß Artikel 51 Absätze 1a und 1b Behörden, Agenturen oder Einrichtungen ist oder in deren Namen handelt, in die EU-Datenbank eingegeben.
3. Mit Ausnahme des in Artikel 51 Absatz 1c und Artikel 54a Absatz 5 genannten Abschnitts müssen die in der gemäß Artikel 51 registrierten EU-Datenbank enthaltenen Informationen in benutzerfreundlicher Weise zugänglich und öffentlich zugänglich sein. Die Informationen sollten leicht navigierbar und maschinenlesbar sein. Die gemäß Artikel 54a registrierten Informationen sind nur den Marktüberwachungsbehörden und der Kommission zugänglich, es sei denn, der potenzielle Anbieter oder der potenzielle Anbieter hat zugestimmt, diese Informationen auch der Öffentlichkeit zugänglich zu machen.
4. Die EU-Datenbank enthält personenbezogene Daten nur insoweit, als dies für die Erhebung und Verarbeitung von Informationen gemäß dieser Verordnung erforderlich ist. Zu diesen Informationen gehören die Namen und Kontaktdaten der natürlichen Personen, die für die Registrierung des Systems verantwortlich sind und über die rechtliche Befugnis verfügen, den Anbieter bzw. den Betreiber zu vertreten. Datenbank enthält personenbezogene Daten nur, soweit dies für die Erfassung und Verarbeitung von Informationen gemäß dieser Verordnung erforderlich ist. Zu diesen Informationen gehören die Namen und Kontaktdaten der natürlichen Personen, die für die Registrierung des Systems verantwortlich sind und die rechtlich befugt sind, den Anbieter zu vertreten
5. Die Kommission ist für die EU-Datenbank verantwortlich. Sie stellt den Anbietern, potenziellen Anbietern und Betreibern angemessene technische und administrative Unterstützung zur Verfügung. Die Datenbank muss den geltenden Barrierefreiheitsanforderungen entsprechen.
TITEL VIII: ÜBERWACHUNG NACH DEM INVERKEHRBRINGEN, INFORMATIONSAUSTAUSCH, MARKTÜBERWACHUNG
Kapitel 1 Überwachung nach dem Inverkehrbringen
Artikel 61 Überwachung nach dem Inverkehrbringen durch Anbieter und Überwachungsplan für KI-Systeme mit hohem Risiko nach dem Inverkehrbringen
1. Die Anbieter richten ein Überwachungssystem für die Zeit nach dem Inverkehrbringen ein und dokumentieren es, das in einem angemessenen Verhältnis zur Art der Technologien der künstlichen Intelligenz und den Risiken des Hochrisiko-KI-Systems steht.
2. Das System zur Überwachung nach dem Inverkehrbringen erhebt, dokumentiert und analysiert aktiv und systematisch einschlägige Daten über die Leistung von Hochrisiko-KI-Systemen während ihrer gesamten Lebensdauer und ermöglicht es dem Anbieter, die kontinuierliche Konformität von KI-Systemen mit den Anforderungen des Titels III zu bewerten. Kapitel 2. Gegebenenfalls umfasst die Überwachung nach dem Inverkehrbringen eine Analyse der Interaktion mit anderen KI-Systemen. Diese Verpflichtung gilt nicht für sensible Betriebsdaten von Einsatzkräften, bei denen es sich um Strafverfolgungsbehörden handelt.
3. Das System zur Überwachung nach dem Inverkehrbringen stützt sich auf einen Plan zur Überwachung nach dem Inverkehrbringen. Das Überwachungskonzept für die Zeit nach dem Inverkehrbringen ist Teil der in Anhang IV genannten technischen Unterlagen. Die Kommission erlässt bis sechs Monate vor Inkrafttreten dieser Verordnung einen Durchführungsrechtsakt mit detaillierten Bestimmungen zur Festlegung eines Musters für das Überwachungskonzept für die Zeit nach dem Inverkehrbringen und der Liste der Elemente, die in den Plan aufzunehmen sind.
4. Bei KI-Systemen mit hohem Risiko, die unter die in Anhang II Abschnitt A genannten Rechtsakte fallen, haben die Anbieter, bei denen bereits ein System und ein Plan für die Überwachung nach dem Inverkehrbringen gemäß diesen Rechtsvorschriften eingerichtet wurden, die Möglichkeit, gegebenenfalls die in Absatz 1 beschriebenen erforderlichen Elemente zu integrieren, um Kohärenz zu gewährleisten, Doppelarbeit zu vermeiden und zusätzlichen Aufwand zu minimieren. 2 und 3 unter Verwendung des in Absatz 3 genannten Musters in bereits bestehende Systeme und Pläne im Rahmen der in Anhang II Abschnitt A aufgeführten Harmonisierungsrechtsvorschriften der Union, sofern damit ein gleichwertiges Schutzniveau erreicht wird.
Unterabsatz 1 gilt auch für die in Anhang III Nummer 5 genannten KI-Systeme mit hohem Risiko, die von Finanzinstituten in Verkehr gebracht oder in Betrieb genommen werden und Anforderungen an ihre interne Unternehmensführung, ihre internen Regelungen oder Prozesse gemäß den Rechtsvorschriften der Union über Finanzdienstleistungen unterliegen.
Kapitel 2 AUSTAUSCH VON INFORMATIONEN ÜBER SCHWERWIEGENDE VORKOMMNISSE
Artikel 62 Meldung schwerwiegender Vorkommnisse
1. Anbieter von Hochrisiko-KI-Systemen, die in der Union in Verkehr gebracht werden, melden den Marktüberwachungsbehörden der Mitgliedstaaten, in denen der Vorfall aufgetreten ist, jeden schwerwiegenden Vorkommnis.
1a) 2. Die Frist für die Meldung gemäß Absatz 1 wird in der Regel der Schwere des schwerwiegenden Vorkommnisses Rechnung getragen.
1b) 2. Die in Absatz 1 genannte Meldung erfolgt unverzüglich, nachdem der Anbieter einen ursächlichen Zusammenhang zwischen dem KI-System und dem schwerwiegenden Vorfall oder die hinreichende Wahrscheinlichkeit eines solchen Zusammenhangs festgestellt hat, in jedem Fall jedoch spätestens 15 Tage, nachdem der Anbieter oder gegebenenfalls der Betreiber von dem schwerwiegenden Vorfall Kenntnis erlangt hat. 1c) 2. Unbeschadet des Absatzes 1b wird im Falle eines weitverbreiteten Verstoßes oder eines schwerwiegenden Vorfalls im Sinne von Artikel 3 Nummer 44 Buchstabe b die in Absatz 1 genannte Meldung unverzüglich, spätestens jedoch zwei Tage, nachdem der Anbieter oder gegebenenfalls der Betreiber von diesem Vorfall Kenntnis erlangt hat, vorgelegt.
1d) 2. Ungeachtet des Absatzes 1b erfolgt die Meldung im Falle des Todes einer Person unverzüglich, nachdem der Anbieter oder der Betreiber einen ursächlichen Zusammenhang zwischen dem Hochrisiko-KI-System und dem schwerwiegenden Vorfall festgestellt hat oder sobald er einen ursächlichen Zusammenhang vermutet, spätestens jedoch 10 Tage nach dem Tag, an dem der Anbieter oder Gegebenenfalls erlangt der Einsatzleiter Kenntnis von dem schwerwiegenden Vorfall.
1e) Wenn dies zur Gewährleistung einer rechtzeitigen Berichterstattung erforderlich ist, kann der Anbieter oder gegebenenfalls der Betreiber einen unvollständigen Erstbericht vorlegen, auf den ein vollständiger Bericht folgt.
1a) Nach der Meldung eines schwerwiegenden Vorfalls gemäß Unterabsatz 1 führt der Anbieter unverzüglich die erforderlichen Untersuchungen in Bezug auf den schwerwiegenden Vorfall und das betreffende KI-System durch. Dazu gehören eine Risikobewertung des Sicherheitsvorfalls und Korrekturmaßnahmen. Der Anbieter arbeitet bei den in Unterabsatz 1 genannten Untersuchungen mit den zuständigen Behörden und gegebenenfalls mit der betroffenen notifizierten Stelle zusammen und führt keine Untersuchungen durch, bei denen das betreffende KI-System in einer Weise geändert wird, die sich auf eine spätere Bewertung der Ursachen des Sicherheitsvorfalls auswirken könnte, bevor er die zuständigen Behörden über eine solche Maßnahme unterrichtet.
2. Nach Eingang einer Meldung im Zusammenhang mit einem schwerwiegenden Sicherheitsvorfall gemäß Artikel 3 Nummer 44 Buchstabe c unterrichtet die zuständige Marktüberwachungsbehörde die in Artikel 64 Absatz 3 genannten nationalen Behörden oder Stellen. 2. Die Kommission erarbeitet spezielle Leitlinien, um die Einhaltung der in Absatz 1 genannten Verpflichtungen zu erleichtern. Diese Leitlinien werden spätestens 12 Monate nach Inkrafttreten dieser Verordnung herausgegeben und regelmäßig bewertet.
2a) 2. Die Marktüberwachungsbehörde ergreift innerhalb von sieben Tagen nach Eingang der in Absatz 1 genannten Mitteilung geeignete Maßnahmen gemäß Artikel 19 der Verordnung (EU) 2019/1020 und wendet die in der Verordnung (EU) 2019/1020 vorgesehenen Notifizierungsverfahren an.
3. Bei KI-Systemen mit hohem Risiko gemäß Anhang III, die von Anbietern in Verkehr gebracht oder in Betrieb genommen werden, die Rechtsvorschriften der Union unterliegen, in denen Meldepflichten festgelegt sind, die den in dieser Verordnung festgelegten gleichwertig sind, ist die Meldung schwerwiegender Sicherheitsvorfälle auf die in Artikel 3 Nummer 44 Buchstabe c genannten Vorfälle beschränkt.
3a) Bei Hochrisiko-KI-Systemen, bei denen es sich um Sicherheitsbauteile von Produkten oder selbst um Produkte handelt, die unter die Verordnung (EU) 2017/745 und die Verordnung (EU) 2017/746 fallen, ist die Meldung schwerwiegender Sicherheitsvorfälle auf die in Artikel 3 Nummer 44 Buchstabe c genannten Sicherheitsvorfälle beschränkt und erfolgt an die zuständige nationale Behörde, die von den Mitgliedstaaten, in denen der Vorfall aufgetreten ist, zu diesem Zweck ausgewählt wurde.
3a) Die zuständigen nationalen Behörden unterrichten die Kommission gemäß Artikel 20 der Verordnung (EU) 2019/1020 unverzüglich über jeden schwerwiegenden Vorfall, unabhängig davon, ob sie Maßnahmen ergriffen hat oder nicht.
3. Kapitel: Vollstreckung
Artikel 63 Marktüberwachung und Kontrolle von KI-Systemen auf dem Unionsmarkt
1. 1. Die Verordnung (EU) 2019/1020 gilt für KI-Systeme, die unter die vorliegende Verordnung fallen. Für die Zwecke der wirksamen Durchsetzung dieser Verordnung gilt jedoch Folgendes:
a) Jede Bezugnahme auf einen Wirtschaftsakteur im Sinne der Verordnung (EU) 2019/1020 ist so zu verstehen, dass sie alle in Artikel 2 Absatz 1 der vorliegenden Verordnung genannten Unternehmer einschließt;
b) Jede Bezugnahme auf ein Produkt im Sinne der Verordnung (EU) 2019/1020 ist so zu verstehen, dass sie alle KI-Systeme umfasst, die in den Anwendungsbereich der vorliegenden Verordnung fallen.
2. Im Rahmen ihrer Berichterstattungspflichten gemäß Artikel 34 Absatz 4 der Verordnung (EU) 2019/1020 melden die Marktüberwachungsbehörden der Kommission und den zuständigen nationalen Wettbewerbsbehörden jährlich alle Informationen, die im Rahmen von Marktüberwachungstätigkeiten ermittelt wurden und die für die Anwendung des Wettbewerbsrechts der Union von potenziellem Interesse sein könnten. Außerdem erstatten sie der Kommission jährlich Bericht über die Anwendung verbotener Praktiken, die in dem betreffenden Jahr stattgefunden haben, und über die ergriffenen Maßnahmen.
3. Bei Hochrisiko-KI-Systemen, die sich auf Produkte beziehen, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, ist die Marktüberwachungsbehörde für die Zwecke dieser Verordnung die für die Marktüberwachungstätigkeiten zuständige Behörde, die gemäß diesen Rechtsakten benannt wurde. Abweichend vom vorstehenden Absatz können die Mitgliedstaaten in begründeten Fällen eine andere einschlägige Behörde benennen, die als Marktüberwachungsbehörde fungiert, sofern die Koordinierung mit den einschlägigen sektoralen Marktüberwachungsbehörden sichergestellt ist, die für die Durchsetzung der in Anhang II aufgeführten Rechtsakte zuständig sind.
3a) Die in den Artikeln 65, 66, 67 und 68 dieser Verordnung genannten Verfahren gelten nicht für KI-Systeme im Zusammenhang mit Produkten, für die die in Anhang II Abschnitt A aufgeführten Rechtsakte gelten, wenn diese Rechtsakte bereits Verfahren vorsehen, die ein gleichwertiges Schutzniveau gewährleisten und dasselbe Ziel verfolgen. In diesem Fall gelten stattdessen diese sektoralen Verfahren
3b) Unbeschadet der Befugnisse der Marktüberwachungsbehörden gemäß Artikel 14 der Verordnung (EU) 2019/1020 können die Marktüberwachungsbehörden die in Artikel 14 Absatz 4 Buchstaben d und j der Verordnung (EU) 2019/1020 genannten Befugnisse gegebenenfalls aus der Ferne ausüben, um die wirksame Durchsetzung dieser Verordnung zu gewährleisten.
4. Bei Hochrisiko-KI-Systemen, die von Finanzinstituten, die den Rechtsvorschriften der Union über Finanzdienstleistungen unterliegen, in Verkehr gebracht, in Betrieb genommen oder genutzt werden, ist die Marktüberwachungsbehörde für die Zwecke dieser Verordnung die jeweils nationale Behörde, die für die Finanzbeaufsichtigung dieser Institute gemäß diesen Rechtsvorschriften zuständig ist, sofern das Inverkehrbringen Inbetriebnahme oder Nutzung des KI-Systems steht in unmittelbarem Zusammenhang mit der Erbringung dieser Finanzdienstleistungen. , die von auf der Grundlage des Finanzdienstleistungsrechts der Union regulierten Finanzinstituten in Verkehr gebracht, in Betrieb genommen oder eingesetzt werden, gilt als Marktüberwachungsbehörde für die Zwecke dieser Verordnung die in jenen Rechtsvorschriften für die Finanzaufsicht über diese Institute benannte Behörde.
4a. Abweichend vom vorstehenden Unterabsatz kann der Mitgliedstaat unter begründeten Umständen und unter der Voraussetzung, dass die Koordinierung sichergestellt ist, eine andere einschlägige Behörde als Marktüberwachungsbehörde für die Zwecke dieser Verordnung benennen. Die nationalen Marktüberwachungsbehörden, die beaufsichtigte Kreditinstitute beaufsichtigen, die gemäß der Richtlinie 2013/36/EU reguliert werden und an dem durch die Verordnung (EU) Nr. 1204/2013 des Rates eingerichteten einheitlichen Aufsichtsmechanismus (SSM) teilnehmen, sollten der Europäischen Zentralbank unverzüglich alle Informationen melden, die im Rahmen ihrer Marktüberwachungstätigkeiten ermittelt wurden und die für die Aufsichtsaufgaben der Europäischen Zentralbank gemäß der genannten Verordnung von Interesse sein könnten Regulierung.
5. Für die in Nummer 1 aufgeführten Hochrisiko-KI-Systeme, soweit die Systeme zu Gefahrenabwehr- und Strafverfolgungszwecken und zu den in Anhang III Nummern 6, 7 und 8 genannten Zwecken eingesetzt werden, benennen die Mitgliedstaaten als Marktüberwachungsbehörden für die Zwecke dieser Verordnung entweder die gemäß der Verordnung (EU) 2016/679 zuständigen Datenschutzaufsichtsbehörden, oder der Richtlinie (EU) 2016/680 oder einer anderen Behörde, die gemäß den Bestimmungen der Artikel 1 bis 44 der Richtlinie oder der Richtlinie (EU) 2016/680 benannt wurde. Die Marktüberwachungstätigkeiten dürfen in keiner Weise die Unabhängigkeit der Justizbehörden beeinträchtigen oder ihre Tätigkeit in ihrer justiziellen Eigenschaft beeinträchtigen
6. Fallen Organe, sonstige Stellen und Einrichtungen der Union in den Anwendungsbereich dieser Verordnung, so fungiert der Europäische Datenschutzbeauftragte als ihre Marktüberwachungsbehörde, es sei denn, es handelt sich um den Gerichtshof in seiner justiziellen Eigenschaft.
7. Die Mitgliedstaaten erleichtern die Koordinierung zwischen den gemäß dieser Verordnung benannten Marktüberwachungsbehörden und anderen einschlägigen nationalen Behörden oder Stellen, die die Anwendung der in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union oder anderer Rechtsvorschriften der Union, die für die in Anhang III genannten Hochrisiko-KI-Systeme relevant sein könnten, überwachen
7a. Die Marktüberwachungsbehörden und die Kommission können gemeinsame Tätigkeiten, einschließlich gemeinsamer Untersuchungen, vorschlagen, die entweder von den Marktüberwachungsbehörden oder von den Marktüberwachungsbehörden gemeinsam mit der Kommission durchgeführt werden und die darauf abzielen, die Einhaltung der Vorschriften zu fördern, Verstöße zu ermitteln, das Bewusstsein zu schärfen und Leitlinien in Bezug auf bestimmte Kategorien von Hochrisiko-KI-Systemen bereitzustellen, die ein ernstes Risiko in Bezug auf mehreren Mitgliedstaaten gemäß Artikel 9 der Verordnung (EU) 2019/1020. Das KI-Büro leistet Koordinierungsunterstützung für gemeinsame Ermittlungen.
7a. Unbeschadet der in der Verordnung (EU) 2019/1020 vorgesehenen Befugnisse und soweit relevant und auf das zur Erfüllung ihrer Aufgaben erforderliche Maß beschränkt, gewährt der Anbieter uneingeschränkten Zugang zu den Unterlagen sowie zu den Schulungs-, Validierungs- und Testdatensätzen, die für die Entwicklung des Hochrisiko-KI-Systems verwendet werden, einschließlich gegebenenfalls und vorbehaltlich Sicherheitsvorkehrungen über Anwendungsprogrammierschnittstellen (API) oder andere einschlägige technische Mittel und Werkzeuge, die den Fernzugriff ermöglichen.
7b. Den Marktüberwachungsbehörden wird auf begründeten Antrag und nur dann Zugang zum Quellcode des Hochrisiko-KI-Systems gewährt, wenn die folgenden kumulativen Bedingungen erfüllt sind:
a) der Zugang zum Quellcode ist erforderlich, um die Konformität eines Hochrisiko-KI-Systems mit den Anforderungen des Titels III Kapitel 2 zu bewerten, und
b) die Test-/Auditverfahren und Überprüfungen auf der Grundlage der vom Anbieter bereitgestellten Daten und Unterlagen ausgeschöpft wurden oder sich als unzureichend erwiesen haben.
7c. Alle Informationen und Unterlagen, die von den Marktüberwachungsbehörden eingeholt werden, werden im Einklang mit den Vertraulichkeitsverpflichtungen gemäß Artikel 70 behandelt.
Artikel 63a Amtshilfe, Marktüberwachung und Kontrolle von KI-Systemen für allgemeine Zwecke
1. Beruht ein KI-System auf einem KI-Modell für allgemeine Zwecke und werden das Modell und das System von demselben Anbieter entwickelt, so ist das KI-Büro befugt, die Einhaltung der Verpflichtungen dieser Verordnung durch dieses KI-System zu überwachen und zu überwachen. Zur Wahrnehmung von Überwachungs- und Aufsichtsaufgaben verfügt das KI-Amt über alle Befugnisse einer Marktüberwachungsbehörde im Sinne der Verordnung (EU) 2019/1020.
2. Haben die zuständigen Marktüberwachungsbehörden hinreichende Gründe für die Annahme, dass KI-Systeme für allgemeine Zwecke, die von den Betreibern direkt für mindestens einen Zweck verwendet werden können, der gemäß dieser Verordnung als Hochrisikosystem eingestuft wird, die Anforderungen dieser Verordnung nicht erfüllen, so arbeiten sie mit dem KI-Amt zusammen, um die Einhaltung der Vorschriften zu bewerten, und unterrichten den Ausschuss und andere Marktüberwachungsbehörden entsprechend.
3. Ist eine nationale Marktüberwachungsbehörde nicht in der Lage, ihre Untersuchung des Hochrisiko-KI-Systems abzuschließen, weil sie nicht in der Lage ist, auf bestimmte Informationen im Zusammenhang mit dem KI-Modell zuzugreifen, obwohl sie alle geeigneten Anstrengungen unternommen hat, um diese Informationen zu erhalten, kann sie ein begründetes Ersuchen an das KI-Amt richten, bei dem der Zugang zu diesen Informationen durchgesetzt werden kann. In diesem Fall übermittelt das KI-Büro der ersuchenden Behörde unverzüglich, in jedem Fall aber innerhalb von 30 Tagen, alle Informationen, die das KI-Amt für relevant hält, um festzustellen, ob ein Hochrisiko-KI-System nicht konform ist. Die nationalen Marktbehörden wahren die Vertraulichkeit der Informationen, die sie gemäß Artikel 70 erhalten. Das Verfahren des Kapitels VI der Verordnung (EU) Nr. 1020/2019 gilt entsprechend.
Artikel 63b Beaufsichtigung der Prüfungen unter realen Bedingungen durch die Marktüberwachungsbehörden
1. Die Marktüberwachungsbehörden verfügen über die Kompetenz und die Befugnisse, um sicherzustellen, dass die Prüfungen unter realen Bedingungen im Einklang mit dieser Verordnung stehen.
2. Werden KI-Systeme, die im Rahmen einer KI-Realabor gemäß Artikel 54 beaufsichtigt werden, unter realen Bedingungen getestet, so überprüfen die Marktüberwachungsbehörden im Rahmen ihrer Aufsichtsfunktion für die KI-Regulatory Sandbox die Einhaltung der Bestimmungen des Artikels 54a. Diese Behörden können gegebenenfalls zulassen, dass der Anbieter oder potenzielle Anbieter abweichend von den in Artikel 54a Absatz 4 Buchstaben f und g genannten Bedingungen Tests unter realen Bedingungen durchführt.
3. Wurde eine Marktüberwachungsbehörde von dem potenziellen Anbieter, dem Anbieter oder einem Dritten über einen schwerwiegenden Sicherheitsvorfall unterrichtet oder hat sie aus anderen Gründen Grund zu der Annahme, dass die in den Artikeln 54a und 54b genannten Bedingungen nicht erfüllt sind, so kann sie in ihrem Hoheitsgebiet gegebenenfalls eine der folgenden Entscheidungen treffen:
a) die Prüfung unter realen Bedingungen auszusetzen oder zu beenden;
b. von dem Anbieter oder potenziellen Anbieter und Nutzer(n) zu verlangen, dass sie irgendeinen Aspekt der Prüfung unter realen Bedingungen ändern.
4. Hat eine Marktüberwachungsbehörde eine Entscheidung nach Absatz 3 des vorliegenden Artikels getroffen oder einen Einspruch im Sinne von Artikel 54a Absatz 4 Buchstabe b erhoben, so sind in der Entscheidung oder dem Einspruch die Gründe dafür sowie die Modalitäten und Bedingungen anzugeben, unter denen der Anbieter oder potenzielle Anbieter die Entscheidung oder den Einspruch anfechten kann.
5. Hat eine Marktüberwachungsbehörde eine Entscheidung nach Absatz 3 des vorliegenden Artikels getroffen, so teilt sie den Marktüberwachungsbehörden der anderen Mitgliedstaaten, in denen das KI-System gemäß dem Prüfplan getestet wurde, gegebenenfalls die Gründe dafür mit.
Artikel 64 Befugnisse der Behörden zum Schutz der Grundrechte
???
???
3. Nationale Behörden oder Stellen, die die Einhaltung der Verpflichtungen aus dem Unionsrecht zum Schutz der Grundrechte, einschließlich des Rechts auf Nichtdiskriminierung, im Zusammenhang mit der Nutzung der in Anhang III genannten Hochrisiko-KI-Systeme überwachen oder durchsetzen, sind befugt, alle im Rahmen dieser Verordnung erstellten oder gepflegten Unterlagen in einer zugänglichen Sprache und einem zugänglichen Format anzufordern und darauf zuzugreifen, wenn der Zugang zu diesen Unterlagen erforderlich ist, um ihr Mandat innerhalb der Grenzen wirksam zu erfüllen ihrer Gerichtsbarkeit. Die zuständige Behörde oder Stelle unterrichtet die Marktüberwachungsbehörde des betreffenden Mitgliedstaats über ein solches Ersuchen.
4. Spätestens drei Monate nach Inkrafttreten dieser Verordnung benennt jeder Mitgliedstaat die in Absatz 3 genannten Behörden oder Stellen und macht eine Liste öffentlich zugänglich. Die Mitgliedstaaten übermitteln die Liste der Kommission und allen anderen Mitgliedstaaten und halten sie auf dem neuesten Stand.
5. Reichen die in Absatz 3 genannten Unterlagen nicht aus, um festzustellen, ob ein Verstoß gegen Verpflichtungen aus dem Unionsrecht zum Schutz der Grundrechte vorliegt, so kann die in Absatz 3 genannte Behörde oder Stelle bei der Marktüberwachungsbehörde einen begründeten Antrag stellen, das Hochrisiko-KI-System mit technischen Mitteln zu testen. Die Marktüberwachungsbehörde organisiert die Tests unter enger Beteiligung der ersuchenden Behörde oder Stelle innerhalb einer angemessenen Frist nach der Aufforderung.
6. Alle Informationen und Unterlagen, die die in Absatz 3 genannten nationalen Behörden oder Stellen gemäß den Bestimmungen dieses Artikels erhalten, werden unter Beachtung der Vertraulichkeitsverpflichtungen gemäß Artikel 70 behandelt.
Artikel 65 Verfahren für den Umgang mit KI-Systemen, die ein Risiko auf nationaler Ebene bergen
1. KI-Systeme, die ein Risiko darstellen, gelten als Produkte, die ein Risiko im Sinne von Artikel 3 Nummer 19 der Verordnung (EU) 2019/1020 darstellen, soweit Risiken für die Gesundheit oder Sicherheit oder die Grundrechte von Personen betroffen sind.
2. Hat die Marktüberwachungsbehörde eines Mitgliedstaats hinreichende Gründe für die Annahme, dass ein KI-System ein Risiko im Sinne des Absatzes 1 darstellt, so führt sie eine Bewertung des betreffenden KI-Systems im Hinblick auf die Einhaltung aller in dieser Verordnung festgelegten Anforderungen und Pflichten durch. Besonderes Augenmerk wird auf KI-Systeme gelegt, die ein Risiko für schutzbedürftige Gruppen darstellen (gemäß Artikel 5). Werden Risiken für die Grundrechte festgestellt, so unterrichtet die Marktüberwachungsbehörde auch die in Artikel 64 Absatz 3 genannten einschlägigen nationalen Behörden oder Stellen und arbeitet uneingeschränkt mit ihnen zusammen. Die betreffenden Betreiber arbeiten erforderlichenfalls mit der Marktüberwachungsbehörde und den anderen in Artikel 64 Absatz 3 genannten nationalen Behörden oder Stellen zusammen; Stellt die Marktüberwachungsbehörde im Rahmen dieser Bewertung und gegebenenfalls in Zusammenarbeit mit der in Artikel 64 Absatz 3 genannten nationalen Behörde fest, dass das KI-System die in dieser Verordnung festgelegten Anforderungen und Pflichten nicht erfüllt, so fordert sie den betreffenden Betreiber unverzüglich auf, alle geeigneten Korrekturmaßnahmen zu ergreifen, um die Konformität des KI-Systems herzustellen; das KI-System vom Markt zu nehmen oder es innerhalb einer von ihr vorgeschriebenen Frist, spätestens jedoch innerhalb von fünfzehn Arbeitstagen oder gemäß den einschlägigen Harmonisierungsrechtsvorschriften der Union, zurückzurufen; Die Marktüberwachungsbehörde unterrichtet die betreffende notifizierte Stelle entsprechend. Artikel 18 der Verordnung (EU) 2019/1020 gilt für die in Unterabsatz 2 genannten Maßnahmen.
3. Ist die Marktüberwachungsbehörde der Auffassung, dass die Nichtkonformität nicht auf ihr Hoheitsgebiet beschränkt ist, so unterrichtet sie die Kommission und die anderen Mitgliedstaaten unverzüglich über die Ergebnisse der Bewertung und die Maßnahmen, zu denen sie den Betreiber aufgefordert hat.
???
5. 5. 2. Ergreift der Betreiber eines KI-Systems innerhalb der in Absatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so ergreift die Marktüberwachungsbehörde alle geeigneten vorläufigen Maßnahmen, um die Bereitstellung oder Inbetriebnahme des KI-Systems auf ihrem nationalen Markt zu untersagen oder einzuschränken, das Produkt oder das eigenständige KI-System vom Markt zu nehmen oder zurückzurufen. Diese Behörde unterrichtet die Kommission und die anderen Mitgliedstaaten unverzüglich über diese Maßnahmen.
6. Die in Absatz 5 genannte Mitteilung enthält alle verfügbaren Einzelheiten, insbesondere die Informationen, die für die Identifizierung des nicht konformen KI-Systems erforderlich sind, die Herkunft des KI-Systems und der Lieferkette, die Art des behaupteten Verstoßes und das damit verbundene Risiko, die Art und Dauer der ergriffenen nationalen Maßnahmen sowie die vom betreffenden Betreiber vorgebrachten Argumente. Insbesondere geben die Marktüberwachungsbehörden an, ob die Nichtkonformität auf eine oder mehrere der folgenden Ursachen zurückzuführen ist:
-a) Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz;
a) wenn ein Hochrisiko-KI-System die Anforderungen des Titels III Kapitel 2 nicht erfüllt;
ba) Nichteinhaltung der Bestimmungen des Artikels 52;
7. Die Marktüberwachungsbehörden der Mitgliedstaaten, bei denen es sich nicht um die Marktüberwachungsbehörde des Mitgliedstaats handelt, der das Verfahren einleitet, unterrichten die Kommission und die anderen Mitgliedstaaten unverzüglich über alle erlassenen Maßnahmen und über alle ihnen vorliegenden zusätzlichen Informationen im Zusammenhang mit der Nichtkonformität des betreffenden KI-Systems und im Falle von Meinungsverschiedenheiten mit der notifizierten nationalen Maßnahme ihre Einwände.
8. Hat innerhalb von drei Monaten nach Eingang der Mitteilung gemäß Absatz 5 weder eine Marktüberwachungsbehörde eines Mitgliedstaats noch die Kommission Einwände gegen eine vorläufige Maßnahme erhoben, die von einer Marktüberwachungsbehörde eines anderen Mitgliedstaats ergriffen wurde, so gilt diese Maßnahme als gerechtfertigt. Dies gilt unbeschadet der Verfahrensrechte des betroffenen Unternehmers gemäß Artikel 18 der Verordnung (EU) 2019/1020. Die in Satz 1 dieses Absatzes genannte Frist wird im Falle der Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz auf dreißig Tage verkürzt.
9. Die Marktüberwachungsbehörden aller Mitgliedstaaten stellen sicher, dass unverzüglich geeignete restriktive Maßnahmen in Bezug auf das betreffende Produkt oder KI-System ergriffen werden, wie z. B. die Rücknahme des Produkts oder des KI-Systems vom Markt.
Artikel 65a Verfahren für den Umgang mit KI-Systemen, die vom Anbieter in Anwendung des Anhangs III als nicht risikoreich eingestuft werden
1. Hat eine Marktüberwachungsbehörde hinreichende Gründe für die Annahme, dass ein KI-System, das der Anbieter gemäß Anhang III als nicht mit hohem Risiko eingestuft hat, ein Hochrisikosystem darstellt, so führt sie eine Bewertung des betreffenden KI-Systems im Hinblick auf seine Einstufung als Hochrisiko-KI-System auf der Grundlage der in Anhang III und der Leitlinien der Kommission festgelegten Bedingungen durch.
2. Stellt die Marktüberwachungsbehörde bei dieser Bewertung fest, dass das betreffende KI-System ein hohes Risiko darstellt, so fordert sie den betreffenden Anbieter unverzüglich auf, alle erforderlichen Maßnahmen zu ergreifen, um das KI-System mit den Anforderungen und Verpflichtungen dieser Verordnung in Einklang zu bringen, und innerhalb einer von ihr festgelegten Frist geeignete Korrekturmaßnahmen zu ergreifen.
3. Ist die Marktüberwachungsbehörde der Auffassung, dass die Nutzung des betreffenden KI-Systems nicht auf ihr Hoheitsgebiet beschränkt ist, so unterrichtet sie die Kommission und die anderen Mitgliedstaaten unverzüglich über die Ergebnisse der Bewertung und die Maßnahmen, zu denen sie den Anbieter aufgefordert hat.
4. Der Anbieter stellt sicher, dass alle erforderlichen Maßnahmen ergriffen werden, um das KI-System mit den Anforderungen und Verpflichtungen dieser Verordnung in Einklang zu bringen. 2. Bringt der Anbieter eines betreffenden KI-Systems das KI-System nicht innerhalb der in Absatz 2 genannten Frist in Übereinstimmung mit den Anforderungen und Pflichten dieser Verordnung, so werden gegen den Anbieter Geldbußen gemäß Artikel 71 verhängt.
5. Der Anbieter stellt sicher, dass alle geeigneten Korrekturmaßnahmen in Bezug auf alle betroffenen KI-Systeme ergriffen werden, die er in der gesamten Union auf dem Markt bereitgestellt hat.
6. Ergreift der Anbieter des betreffenden KI-Systems innerhalb der in Absatz 2 genannten Frist keine angemessenen Korrekturmaßnahmen, so gelten die Bestimmungen des Artikels 65 Absätze 5 bis 9.
7. Stellt die Marktüberwachungsbehörde im Zuge dieser Bewertung gemäß Absatz 1 fest, dass das KI-System vom Anbieter fälschlicherweise als nicht mit hohem Risiko verbunden eingestuft wurde, um die Anwendung der Anforderungen des Titels III Kapitel 2 zu umgehen, so werden gegen den Anbieter Geldbußen gemäß Artikel 71 verhängt.
8. Bei der Ausübung ihrer Befugnis zur Überwachung der Anwendung dieses Artikels und gemäß Artikel 11 der Verordnung (EU) 2019/1020 können die Marktüberwachungsbehörden geeignete Kontrollen durchführen, wobei sie insbesondere die in der in Artikel 60 genannten EU-Datenbank gespeicherten Informationen berücksichtigen.
Artikel 66 ???
1. Erhebt die Marktüberwachungsbehörde eines Mitgliedstaats innerhalb von drei Monaten nach Eingang der Mitteilung gemäß Artikel 65 Absatz 5 oder innerhalb von 30 Tagen im Falle der Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz Einwände gegen eine Maßnahme einer anderen Marktüberwachungsbehörde, oder wenn die Kommission der Auffassung ist, dass die Maßnahme gegen das Unionsrecht verstößt, konsultiert sie unverzüglich die Marktüberwachungsbehörde des betreffenden Mitgliedstaats und den betreffenden Betreiber und bewertet die nationale Maßnahme. Auf der Grundlage der Ergebnisse dieser Bewertung entscheidet die Kommission innerhalb von sechs Monaten bzw. 60 Tagen im Falle der Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz, beginnend mit der Mitteilung gemäß Artikel 65 Absatz 5, ob die nationale Maßnahme gerechtfertigt ist oder nicht, und teilt diese Entscheidung der Marktüberwachungsbehörde des betreffenden Mitgliedstaats mit. Die Kommission unterrichtet auch alle anderen Marktüberwachungsbehörden über diese Entscheidung.
2. Wird die von den betreffenden Mitgliedstaaten ergriffene Maßnahme von der Kommission als gerechtfertigt erachtet, so stellen alle Mitgliedstaaten sicher, dass geeignete restriktive Maßnahmen in Bezug auf das betreffende KI-System ergriffen werden, wie z. B. die unverzügliche Rücknahme des KI-Systems vom Markt, und unterrichten die Kommission entsprechend. Wird die nationale Maßnahme von der Kommission als nicht gerechtfertigt erachtet, so hebt der betreffende Mitgliedstaat die Maßnahme auf und unterrichtet die Kommission entsprechend.
3. Wird die nationale Maßnahme als gerechtfertigt erachtet und wird die Nichtkonformität des KI-Systems auf Mängel der harmonisierten Normen oder gemeinsamen Spezifikationen gemäß den Artikeln 40 und 41 der vorliegenden Verordnung zurückgeführt, so wendet die Kommission das Verfahren des Artikels 11 der Verordnung (EU) Nr. 1025/2012 an.
Artikel 67 Konforme KI-Systeme, die ein Risiko darstellen
1. Stellt die Marktüberwachungsbehörde eines Mitgliedstaats nach einer Bewertung gemäß Artikel 65 nach Anhörung der in Artikel 64 Absatz 3 genannten zuständigen nationalen Behörde fest, dass ein Hochrisiko-KI-System zwar den Anforderungen dieser Verordnung entspricht, aber ein Risiko für die Gesundheit oder Sicherheit von Personen, Grundrechte, oder auf andere Aspekte des Schutzes des öffentlichen Interesses, so fordert sie den betreffenden Betreiber auf, innerhalb einer von ihr gesetzten Frist unverzüglich alle geeigneten Maßnahmen zu ergreifen, um sicherzustellen, dass von dem betreffenden KI-System bei der Inverkehrbringung oder Inbetriebnahme dieses Risiko nicht mehr besteht.
2. Der Anbieter oder andere einschlägige Betreiber stellen sicher, dass innerhalb der von der Marktüberwachungsbehörde des Mitgliedstaats gemäß Absatz 1 vorgegebenen Frist Korrekturmaßnahmen in Bezug auf alle betroffenen KI-Systeme ergriffen werden, die sie in der gesamten Union auf dem Markt bereitgestellt haben.
3. Die Mitgliedstaaten unterrichten unverzüglich die Kommission und die anderen Mitgliedstaaten. Diese Informationen umfassen alle verfügbaren Einzelheiten, insbesondere die für die Identifizierung des betreffenden KI-Systems erforderlichen Daten, den Ursprung und die Lieferkette des KI-Systems, die Art des Risikos sowie die Art und Dauer der ergriffenen nationalen Maßnahmen.
4. Die Kommission konsultiert unverzüglich die betroffenen Mitgliedstaaten und den betreffenden Betreiber und bewertet die getroffenen nationalen Maßnahmen. Auf der Grundlage der Ergebnisse dieser Bewertung entscheidet die Kommission, ob die Maßnahme gerechtfertigt ist oder nicht, und schlägt erforderlichenfalls geeignete Maßnahmen vor.
5. Die Kommission teilt ihre Entscheidung unverzüglich den betroffenen Mitgliedstaaten und den betroffenen Marktteilnehmern mit. Sie unterrichtet auch alle anderen Mitgliedstaaten über die Entscheidung.
Artikel 68 ???
1. Trifft die Marktüberwachungsbehörde eines Mitgliedstaats eine der folgenden Feststellungen, so fordert sie den betreffenden Anbieter auf, die betreffende Nichtkonformität innerhalb einer von ihr festgesetzten Frist abzustellen:
a) die CE-Kennzeichnung unter Verstoß gegen Artikel 49 angebracht wurde;
b) die CE-Kennzeichnung nicht angebracht wurde;
ea) die Registrierung in der EU-Datenbank wurde nicht vorgenommen;
eb) gegebenenfalls wurde der Bevollmächtigte nicht bestellt.
(ec) die technischen Unterlagen sind nicht verfügbar
2. Besteht die Nichtkonformität gemäß Absatz 1 weiterhin, ergreift die Marktüberwachungsbehörde des betreffenden Mitgliedstaats geeignete und verhältnismäßige Maßnahmen, um die Bereitstellung des Hochrisiko-KI-Systems auf dem Markt einzuschränken oder zu untersagen oder sicherzustellen, dass es unverzüglich zurückgerufen oder vom Markt genommen wird.
Artikel 68a EU-Unterstützungsstrukturen für KI-Tests im Bereich der künstlichen Intelligenz
1. Die Kommission benennt eine oder mehrere EU-Unterstützungsstrukturen für KI-Tests, die die in Artikel 21 Absatz 6 der Verordnung (EU) Nr. 1020/2019 aufgeführten Aufgaben im Bereich der künstlichen Intelligenz wahrnehmen.
2. Unbeschadet der in Absatz 1 genannten Aufgaben leistet die EU-Unterstützungsstruktur für KI-Tests auf Ersuchen des Ausschusses, der Kommission oder der Marktüberwachungsbehörden auch unabhängige technische oder wissenschaftliche Beratung.
Kapitel 3b (neu) Ersetzt Artikel 68 a Recht auf Beschwerde bei einer Marktüberwachungsbehörde
1. Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe kann jede natürliche oder juristische Person, die Grund zu der Annahme hat, dass ein Verstoß gegen die Bestimmungen dieser Verordnung vorliegt, Beschwerde bei der zuständigen Marktüberwachungsbehörde einreichen. Gemäß der Verordnung (EU) 2019/1020 werden Beschwerden für die Zwecke der Durchführung der Marktüberwachungstätigkeiten berücksichtigt und im Einklang mit den von den Marktüberwachungsbehörden festgelegten speziellen Verfahren bearbeitet
Kapitel I Beaufsichtigung, Untersuchung, Durchsetzung und Überwachung von Anbietern von KI-Modellen für allgemeine Zwecke
Artikel A Durchsetzung der Verpflichtungen von Anbietern von KI-Modellen für allgemeine Zwecke
1. Die Kommission hat die ausschließliche Befugnis zur Überwachung und Durchsetzung des Kapitels/Titels [allgemeine KI-Modelle] unter Berücksichtigung der Verfahrensgarantien gemäß Artikel H. Die Kommission betraut unbeschadet der Organisationsbefugnisse der Kommission und der Aufteilung der Zuständigkeiten zwischen den Mitgliedstaaten und der Union auf der Grundlage der Verträge das Europäische Amt für KI mit der Durchführung dieser Aufgaben
2. Unbeschadet des Artikels 63a Absatz 3 können die Marktüberwachungsbehörden die Kommission ersuchen, die in diesem Kapitel festgelegten Befugnisse auszuüben, wenn dies erforderlich und verhältnismäßig ist, um die Erfüllung ihrer Aufgaben im Rahmen dieser Verordnung zu unterstützen.
Artikel B Überwachungsmaßnahmen
Für die Zwecke der Wahrnehmung der ihm nach diesem Kapitel übertragenen Aufgaben kann das KI-Büro die erforderlichen Maßnahmen ergreifen, um die wirksame Umsetzung und Einhaltung dieser Verordnung durch Anbieter von universellen KI-Modellen zu überwachen, einschließlich der Einhaltung genehmigter Verhaltenskodizes.
2. Die nachgeschalteten Anbieter haben das Recht, eine Beschwerde einzureichen, in der ein Verstoß gegen diese Verordnung geltend gemacht wird. Eine Beschwerde muss ordnungsgemäß begründet sein und mindestens Folgendes enthalten:
a) die Kontaktstelle des Anbieters des betreffenden Allzweck-KI-Modells;
b) Beschreibung des relevanten Sachverhalts, der betreffenden Bestimmungen dieser Verordnung und der Gründe, aus denen der nachgeschaltete Anbieter der Auffassung ist, dass der Anbieter des betreffenden KI-Modells für allgemeine Zwecke gegen diese Verordnung verstoßen hat;
c) alle sonstigen Informationen, die der nachgeschaltete Anbieter, der das Ersuchen gestellt hat, für relevant hält, gegebenenfalls einschließlich der von sich aus eingeholten Informationen.
Artikel C Warnmeldungen des Wissenschaftlichen Gremiums vor Systemrisiken
1. Das wissenschaftliche Gremium kann dem KI-Büro eine qualifizierte Warnmeldung übermitteln, wenn es Grund zu der Annahme hat, dass
a. Ein allgemeines KI-Modell stellt
b) ein KI-Modell für allgemeine Zwecke erfüllt die Anforderungen gemäß Artikel [Einstufung von KI-Modellen für allgemeine Zwecke mit Systemrisiko…].
2. Bei einer solchen qualifizierten Ausschreibung kann die Kommission über das KI-Büro und nach Unterrichtung des KI-Ausschusses die in diesem Kapitel festgelegten Befugnisse zum Zwecke der Bewertung der Angelegenheit ausüben. Das KI-Büro unterrichtet den Ausschuss über jede Maßnahme gemäß den Artikeln [D-H].
3. Eine qualifizierte Ausschreibung muss hinreichend begründet sein und mindestens Folgendes enthalten:
a) die Kontaktstelle des Anbieters des Allzweck-KI-Modells mit betroffenem Systemrisiko;
b) eine Beschreibung der relevanten Tatsachen und Gründe für den Verdacht des wissenschaftlichen Gremiums;
c) alle sonstigen Informationen, die das wissenschaftliche Gremium für relevant hält, gegebenenfalls einschließlich der von sich aus eingeholten Informationen.
Artikel D Befugnis zur Anforderung von Unterlagen und Informationen
1. Die Kommission kann den Anbieter des betreffenden KI-Modells für allgemeine Zwecke auffordern, die von ihm erstellten Unterlagen gemäß Artikel [Pflichten für Anbieter von KI-Modellen für allgemeine Zwecke] und [Pflichten von Anbietern von KI-Modellen für allgemeine Zwecke mit Systemrisiko] oder alle zusätzlichen Informationen vorzulegen, die für die Bewertung der Einhaltung dieser Verordnung durch den Anbieter erforderlich sind.
2. Vor der Übermittlung des Auskunftsersuchens kann das KI-Amt einen strukturierten Dialog mit dem Anbieter des universellen KI-Modells aufnehmen.
3. Auf hinreichend begründetes Ersuchen des Wissenschaftlichen Gremiums kann die Kommission ein Auskunftsersuchen an einen Anbieter eines KI-Modells für allgemeine Zwecke richten, wenn der Zugang zu Informationen für die Erfüllung der Aufgaben des Wissenschaftlichen Gremiums gemäß Artikel [Wissenschaftliches Gremium]2. erforderlich und verhältnismäßig ist.
4. In dem Auskunftsersuchen sind die Rechtsgrundlage und der Zweck des Auskunftsersuchens anzugeben, anzugeben, welche Informationen verlangt werden, sowie die Frist, innerhalb derer die Auskünfte zu erteilen sind, sowie die in Artikel [Geldbußen] vorgesehenen Geldbußen für die Erteilung unrichtiger, unvollständiger oder irreführender Auskünfte festzulegen.
5. Der Anbieter des betreffenden KI-Modells für allgemeine Zwecke oder ihre Vertreter und, im Falle juristischer Personen, Gesellschaften oder Firmen oder wenn sie keine Rechtspersönlichkeit haben, die Personen, die nach Gesetz oder Satzung zu ihrer Vertretung befugt sind, stellen die angeforderten Informationen im Namen des Anbieters des betreffenden KI-Modells für allgemeine Zwecke zur Verfügung.
Ordnungsgemäß bevollmächtigte Rechtsanwälte können die Auskünfte im Namen ihrer Mandanten erteilen. Letzterer bleibt in vollem Umfang verantwortlich, wenn die bereitgestellten Informationen unvollständig, falsch oder irreführend sind.
Artikel E Befugnis zur Durchführung von Evaluierungen
1. Das KI-Büro kann nach Anhörung des Ausschusses Evaluierungen des betreffenden KI-Modells für allgemeine Zwecke durchführen
a) Bewertung der Einhaltung der Verpflichtungen aus dieser Verordnung durch den Anbieter, wenn die gemäß Artikel D [Befugnis zum Anfordern von Informationen] eingeholten Informationen nicht ausreichen; oder
b) Untersuchung der Systemrisiken von Allzweck-KI-Modellen mit Systemrisiko auf Unionsebene, insbesondere im Anschluss an einen qualifizierten Bericht des wissenschaftlichen Gremiums gemäß Artikel [Durchsetzung der Verpflichtungen von Anbietern von Allzweck-KI-Modellen und Allzweck-KI-Modellen mit Systemrisiko]3.
2. Die Kommission kann beschließen, unabhängige Sachverständige zu benennen, die in ihrem Namen Bewertungen durchführen, auch aus dem wissenschaftlichen Gremium gemäß Artikel [Wissenschaftliches Gremium unabhängiger Sachverständiger]. Alle unabhängigen Sachverständigen, die für diese Aufgabe benannt werden, müssen die in Artikel 58b Absatz 2 genannten Kriterien erfüllen.
3. Für die Zwecke des Absatzes 1 kann die Kommission den Zugang zu dem betreffenden KI-Modell für allgemeine Zwecke über Anwendungsprogrammierschnittstellen (API) oder andere geeignete technische Mittel und Instrumente, auch über Quellcode, beantragen.
4. In dem Antrag auf Zugang sind die Rechtsgrundlage, der Zweck und die Gründe des Antrags anzugeben und die Frist, innerhalb derer der Zugang zu gewähren ist, sowie die in Artikel [Geldbußen] vorgesehenen Geldbußen für die Nichtgewährung des Zugangs anzugeben.
5. Die Anbieter des betreffenden KI-Modells für allgemeine Zwecke und, im Falle juristischer Personen, Gesellschaften oder Firmen oder, wenn sie keine Rechtspersönlichkeit besitzen, die Personen, die nach Gesetz oder Satzung zu ihrer Vertretung befugt sind, gewähren den im Namen des Anbieters beantragten Zugang zu den Personen, die nach Gesetz oder Satzung zu ihrer Vertretung befugt sind. betreffenden KI-Modells.
6. Die Modalitäten und Bedingungen der Evaluierungen, einschließlich der Modalitäten für die Einbeziehung unabhängiger Sachverständiger und des Verfahrens für deren Auswahl, werden in Durchführungsrechtsakten festgelegt. Diese Durchführungsrechtsakte werden nach dem in Artikel xx Buchstabe x genannten Prüfverfahren erlassen.
7. Vor der Beantragung des Zugangs zu dem betreffenden KI-Modell für allgemeine Zwecke kann das KI-Amt einen strukturierten Dialog mit dem Anbieter des KI-Modells für allgemeine Zwecke einleiten, um weitere Informationen über die interne Prüfung des Modells, interne Garantien zur Vermeidung systemischer Risiken und andere interne Verfahren und Maßnahmen zu sammeln, die der Anbieter zur Minderung solcher Risiken ergriffen hat.
Artikel F Befugnis, Maßnahmen zu beantragen
1. Erforderlichenfalls und angemessen kann die Kommission die Anbieter auffordern,
a) geeignete Maßnahmen zu ergreifen, um den in Titel/Kapitel [Pflichten des Anbieters von KI-Modellen für allgemeine Zwecke] festgelegten Verpflichtungen nachzukommen;
b) von einem Anbieter die Durchführung von Minderungsmaßnahmen zu verlangen, wenn die gemäß Artikel [Befugnis zur Durchführung von Evaluierungen] durchgeführte Evaluierung Anlass zu ernsthaften und begründeten Bedenken hinsichtlich eines Systemrisikos auf Unionsebene gegeben hat;
c) die Bereitstellung auf dem Markt einzuschränken, das Modell vom Markt zu nehmen oder zurückzurufen.
2. Bevor eine Maßnahme beantragt wird, kann das KI-Amt einen strukturierten Dialog mit dem Anbieter des universellen KI-Modells aufnehmen.
3. Bietet der Anbieter des Allzweck-KI-Modells mit Systemrisiko während des strukturierten Dialogs gemäß Absatz 2 Zusagen zur Durchführung von Minderungsmaßnahmen zur Bewältigung eines Systemrisikos auf Unionsebene an, so kann die Kommission diese Verpflichtungen durch Beschluss für verbindlich erklären und erklären, dass kein weiterer Grund für Maßnahmen besteht.
Artikel g???
Artikel H Verfahrensrechte der Wirtschaftsakteure des Allzweck-KI-Modells
Artikel 18 der Verordnung (EU) 2019/1020 gilt unbeschadet der in der vorliegenden Verordnung vorgesehenen spezifischeren Verfahrensrechte entsprechend für die Anbieter des Allzweck-KI-Modells.
Artikel 68 c Recht auf Erläuterung der individuellen Entscheidungsfindung
1. Jede betroffene Person, die einer Entscheidung unterliegt, die vom Betreiber auf der Grundlage der Ergebnisse eines in Anhang III aufgeführten Hochrisiko-KI-Systems, mit Ausnahme der unter Nummer 2 aufgeführten Systeme, getroffen wird und die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich in einer Weise beeinträchtigt, die ihrer Ansicht nach ihre Gesundheit beeinträchtigt, Sicherheit und Grundrechte haben das Recht, vom Betreiber klare und aussagekräftige Erläuterungen zur Rolle des KI-Systems im Entscheidungsverfahren und zu den wichtigsten Elementen der getroffenen Entscheidung zu verlangen.
2. Absatz 1 gilt nicht für den Einsatz von KI-Systemen, für die sich Ausnahmen oder Beschränkungen von der Verpflichtung nach Absatz 1 aus dem Unionsrecht oder dem nationalen Recht im Einklang mit dem Unionsrecht ergeben.
3. Dieser Artikel gilt nur insoweit, als das in Absatz 1 genannte Recht nicht bereits in den Rechtsvorschriften der Union vorgesehen ist.
Artikel 68 d
Änderung der Richtlinie (EU) 2020/1828 In Anhang I der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates 1a wird folgender Buchstabe angefügt: „(67a) Verordnung xxxx/xxxx des Europäischen Parlaments und des Rates [mit harmonisierten Vorschriften über künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Gesetzgebungsakte der Union (ABl. _________________ 1a Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1).
Artikel 68 e
Meldung von Verstößen und Schutz von Hinweisgebern Die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates gilt für die Meldung von Verstößen gegen diese Verordnung und den Schutz von Personen, die solche Verstöße melden.
Kapitel 3c Aufsicht, Untersuchung, Durchsetzung und Überwachung in Bezug auf Anbieter von KI-Modellen für allgemeine Zwecke
Artikel 68f: Durchsetzung der Verpflichtungen von Anbietern von KI-Modellen für allgemeine Zwecke
1. Die Kommission hat die ausschließliche Zuständigkeit für die Überwachung und Durchsetzung von Kapitel/Titel [AI-Modelle für allgemeine Zwecke] unter Berücksichtigung der Verfahrensgarantien gemäß Artikel H. Die Kommission überträgt die Durchführung dieser Aufgaben dem Europäischen AI-Büro, unbeschadet der Organisationsbefugnisse der Kommission und der auf den Verträgen beruhenden Aufteilung der Zuständigkeiten zwischen den Mitgliedstaaten und der Union.
2. Unbeschadet des Artikels 63a Absatz 3 können die Marktüberwachungsbehörden die Kommission ersuchen, die in diesem Kapitel festgelegten Befugnisse auszuüben, wenn dies notwendig und verhältnismäßig ist, um sie bei der Erfüllung ihrer Aufgaben gemäß dieser Verordnung zu unterstützen.
Artikel 68g: Überwachungsmaßnahmen
1. Zur Erfüllung der ihm nach diesem Kapitel übertragenen Aufgaben kann das AI-Büro die erforderlichen Maßnahmen ergreifen, um die wirksame Durchführung und Einhaltung dieser Verordnung durch die Anbieter von AI-Modellen für allgemeine Zwecke, einschließlich der Einhaltung der genehmigten Verhaltenskodizes, zu überwachen.
2. Die nachgeschalteten Anbieter haben das Recht, eine Beschwerde wegen eines Verstoßes gegen diese Verordnung einzureichen. Eine Beschwerde ist ordnungsgemäß zu begründen und zumindest anzugeben:
(a) die Kontaktstelle des Anbieters des betreffenden AI-Modells für allgemeine Zwecke;
(b) Beschreibung des relevanten Sachverhalts, der betreffenden Bestimmungen dieser Verordnung und der Gründe, warum der nachgeschaltete Anbieter der Auffassung ist, dass der Anbieter des betreffenden KI-Modells für allgemeine Zwecke gegen diese Verordnung verstoßen hat;
(c) alle sonstigen Informationen, die der nachgeschaltete Anbieter, der die Anfrage gestellt hat, für relevant hält, gegebenenfalls auch Informationen, die er von sich aus eingeholt hat.
Artikel 68g: Überwachungsmaßnahmen
1. Zur Erfüllung der ihm nach diesem Kapitel übertragenen Aufgaben kann das AI-Büro die erforderlichen Maßnahmen ergreifen, um die wirksame Durchführung und Einhaltung dieser Verordnung durch die Anbieter von AI-Modellen für allgemeine Zwecke, einschließlich der Einhaltung der genehmigten Verhaltenskodizes, zu überwachen.
2. Die nachgeschalteten Anbieter haben das Recht, eine Beschwerde wegen eines Verstoßes gegen diese Verordnung einzureichen. Eine Beschwerde ist ordnungsgemäß zu begründen und zumindest anzugeben:
TITEL IX: VERHALTENSKODIZES
Artikel 69 Verhaltenskodizes für die freiwillige Anwendung spezifischer Anforderungen
1. Das KI-Büro und die Mitgliedstaaten fördern und erleichtern die Ausarbeitung von Verhaltenskodizes, einschließlich der damit verbundenen Governance-Mechanismen, mit denen die freiwillige Anwendung einiger oder aller der in Titel III Kapitel 2 dieser Verordnung festgelegten Anforderungen auf andere KI-Systeme als Hochrisiko-KI-Systeme gefördert werden soll, wobei die verfügbaren technischen Lösungen und bewährten Verfahren der Branche, die die Anwendung dieser Anforderungen ermöglichen, berücksichtigt werden.
2. Das KI-Büro und die Mitgliedstaaten erleichtern die Ausarbeitung von Verhaltenskodizes für die freiwillige Anwendung spezifischer Anforderungen an alle KI-Systeme, auch durch Betreiber, auf der Grundlage klarer Ziele und zentraler Leistungsindikatoren zur Messung der Erreichung dieser Ziele, einschließlich Elementen wie, aber nicht beschränkt auf:
a) anwendbare Elemente, die in den europäischen Ethikleitlinien für vertrauenswürdige KI vorgesehen sind;
b) Bewertung und Minimierung der Auswirkungen von KI-Systemen auf die ökologische Nachhaltigkeit, auch im Hinblick auf energieeffiziente Programmierung und Techniken für eine effiziente Konzeption, Ausbildung und Nutzung von KI;
c) Förderung der KI-Kompetenz, insbesondere von Personen, die mit der Entwicklung, dem Betrieb und der Nutzung von KI befasst sind;
d) Erleichterung einer inklusiven und vielfältigen Gestaltung von KI-Systemen, unter anderem durch die Einrichtung inklusiver und vielfältiger Entwicklungsteams und die Förderung der Beteiligung der Interessenträger an diesem Prozess;
e) Bewertung und Verhinderung der negativen Auswirkungen von KI-Systemen auf schutzbedürftige Personen oder Personengruppen, auch im Hinblick auf die Zugänglichkeit für Menschen mit Behinderungen, sowie auf die Gleichstellung der Geschlechter.
3. Verhaltenskodizes können von einzelnen Anbietern oder Betreibern von KI-Systemen oder von Organisationen, die sie vertreten, oder von beiden, auch unter Einbeziehung der Betreiber und aller interessierten Interessenträger und ihrer Vertretungsorganisationen, einschließlich Organisationen der Zivilgesellschaft und der Wissenschaft, ausgearbeitet werden. Verhaltenskodizes können sich auf ein oder mehrere KI-Systeme erstrecken, wobei die Ähnlichkeit der Zweckbestimmung der betreffenden Systeme zu berücksichtigen ist.
4. Das KI-Büro und die Mitgliedstaaten berücksichtigen die besonderen Interessen und Bedürfnisse von KMU, einschließlich Start-up-Unternehmen, wenn sie die Ausarbeitung von Verhaltenskodizes fördern und erleichtern.
TITEL X: VERTRAULICHKEIT UND SANKTIONEN
Artikel 70 Vertraulichkeit
1. Die Kommission, die Marktüberwachungsbehörden und notifizierten Stellen sowie alle anderen natürlichen oder juristischen Personen, die an der Anwendung dieser Verordnung beteiligt sind, wahren im Einklang mit dem Unionsrecht oder dem nationalen Recht die Vertraulichkeit von Informationen und Daten, die sie bei der Wahrnehmung ihrer Aufgaben und Tätigkeiten erhalten, in einer Weise, die insbesondere Folgendes schützt:
a) Rechte des geistigen Eigentums und vertrauliche Geschäftsinformationen oder Geschäftsgeheimnisse einer natürlichen oder juristischen Person, einschließlich Quellcode, mit Ausnahme der in Artikel 5 der Richtlinie 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb, rechtswidriger Nutzung und rechtswidriger Offenlegung;
b) die wirksame Durchführung dieser Verordnung, insbesondere für die Zwecke von Inspektionen, Untersuchungen oder Audits;
ba) öffentliche und nationale Sicherheitsinteressen
c) Integrität von Straf- oder Verwaltungsverfahren.
da) die Integrität von Informationen, die im Einklang mit dem Unionsrecht oder dem nationalen Recht als Verschlusssache eingestuft sind.
db) 1a) 2. Die Behörden, die gemäß Absatz 1 an der Anwendung dieser Verordnung beteiligt sind, fordern nur Daten an, die für die Bewertung des vom KI-System ausgehenden Risikos und für die Ausübung ihrer Befugnisse im Einklang mit dieser Verordnung und der Verordnung (EU) 2019/1020 unbedingt erforderlich sind. Sie ergreifen angemessene und wirksame Cybersicherheitsmaßnahmen, um die Sicherheit und Vertraulichkeit der erhaltenen Informationen und Daten zu schützen, und löschen die erhobenen Daten, sobald sie für den Zweck, für den sie angefordert wurden, im Einklang mit den geltenden nationalen oder europäischen Rechtsvorschriften nicht mehr benötigt werden.
2. Unbeschadet der Absätze 1 und 1a dürfen Informationen, die auf vertraulicher Basis zwischen den zuständigen nationalen Behörden sowie zwischen den zuständigen nationalen Behörden und der Kommission ausgetauscht werden, nicht ohne vorherige Konsultation der zuständigen nationalen Behörde und des Betreibers offengelegt werden, wenn die in Anhang III Nummern 1, 6 und 7 genannten Hochrisiko-KI-Systeme von den Strafverfolgungsbehörden verwendet werden — Grenzkontroll-, Einwanderungs- oder Asylbehörden, wenn eine solche Offenlegung die öffentlichen und nationalen Sicherheitsinteressen gefährden würde. Dieser Informationsaustausch erstreckt sich nicht auf sensible operative Daten im Zusammenhang mit den Tätigkeiten der Strafverfolgungs-, Grenzkontroll-, Einwanderungs- oder Asylbehörden.
Handelt es sich bei den Strafverfolgungs-, Einwanderungs- oder Asylbehörden um Anbieter von Hochrisiko-KI-Systemen gemäß Anhang III Nummern 1, 6 und 7, so verbleiben die in Anhang IV genannten technischen Unterlagen in den Räumlichkeiten dieser Behörden. Diese Behörden stellen sicher, dass die in Artikel 63 Absätze 5 und 6 genannten Marktüberwachungsbehörden auf Antrag unverzüglich Zugang zu den Unterlagen erhalten oder eine Kopie davon erhalten können. Nur Bedienstete der Marktüberwachungsbehörde, die über eine angemessene Sicherheitsermächtigung verfügen, dürfen auf diese Unterlagen oder Kopien davon zugreifen.
3. Die Absätze 1, 1a und 2 berühren weder die Rechte und Pflichten der Kommission, der Mitgliedstaaten und ihrer zuständigen Behörden als auch der notifizierten Stellen in Bezug auf den Informationsaustausch und die Verbreitung von Warnungen, auch im Rahmen der grenzüberschreitenden Zusammenarbeit, noch die strafrechtlichen Verpflichtungen der betroffenen Parteien zur Bereitstellung von Informationen nach dem Strafrecht der Mitgliedstaaten. ätze 1 und 2 dürfen sich weder auf die Rechte und Pflichten der Kommission, der Mitgliedstaaten und notifizierten Stellen in Bezug auf den Informationsaustausch und die Weitergabe von Warnungen noch auf die Pflichten der betreffenden Parteien auswirken, Informationen auf der Grundlage des Strafrechts der Mitgliedstaaten bereitzustellen.
4. Die Kommission und die Mitgliedstaaten können erforderlichenfalls und im Einklang mit den einschlägigen Bestimmungen internationaler Abkommen und Handelsübereinkünfte vertrauliche Informationen mit Regulierungsbehörden von Drittländern austauschen, mit denen sie bilaterale oder multilaterale Vertraulichkeitsvereinbarungen geschlossen haben, die ein angemessenes Maß an Vertraulichkeit gewährleisten.
Artikel 71 Sanktionen
1. Die Mitgliedstaaten legen im Einklang mit den in dieser Verordnung festgelegten Bedingungen die Vorschriften über Sanktionen und andere Durchsetzungsmaßnahmen fest, die auch Verwarnungen und nichtmonetäre Maßnahmen umfassen können, die bei Verstößen von Marktteilnehmern gegen diese Verordnung anzuwenden sind, und treffen alle erforderlichen Maßnahmen, um sicherzustellen, dass diese ordnungsgemäß und wirksam durchgeführt werden, und berücksichtigen dabei die von der Kommission gemäß Artikel 82b herausgegebenen Leitlinien. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Sie tragen den Interessen von KMU, einschließlich Start-up-Unternehmen, und ihrer wirtschaftlichen Rentabilität Rechnung.
2. Die Mitgliedstaaten unterrichten die Kommission unverzüglich, spätestens jedoch bis zum Zeitpunkt des Inkrafttretens dieser Vorschriften und Maßnahmen, und unterrichten sie unverzüglich über jede spätere Änderung, die sie betrifft.
3. Die Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz wird mit Geldbußen von bis zu 35 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, mit bis zu 7 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet, je nachdem, welcher Betrag höher ist:
4. Die Nichteinhaltung einer der folgenden Bestimmungen in Bezug auf Betreiber oder notifizierte Stellen, die nicht in Artikel 5 festgelegt sind, wird mit Geldbußen von bis zu 15 000 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, mit bis zu 3 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet. je nachdem, welcher Wert höher ist:
a) ???
b) Pflichten der Anbieter gemäß Artikel 16;
c) ???
d) Pflichten der Bevollmächtigten gemäß Artikel 25;
e) Pflichten der Einführer gemäß Artikel 26;
f) Pflichten der Händler gemäß Artikel 27;
g) Pflichten der Betreiber gemäß Artikel 29 Absätze 1 bis 6a;
h) Anforderungen und Pflichten der notifizierten Stellen gemäß Artikel 33, Artikel 34 Absatz 1, Artikel 34 Absatz 3, Artikel 34 Absatz 4 und Artikel 34a;
i) Transparenzpflichten für Anbieter und Nutzer gemäß Artikel 52.
5. Die Übermittlung unrichtiger, unvollständiger oder irreführender Informationen an notifizierte Stellen und zuständige nationale Behörden als Antwort auf ein Ersuchen wird mit Geldbußen von bis zu 7 500 000 EUR oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, mit bis zu 1 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr geahndet, je nachdem, welcher Betrag höher ist.
5a. Im Falle von KMU, einschließlich Start-up-Unternehmen, beträgt jede in diesem Artikel genannte Geldbuße die in den Absätzen 3, 4 und 5 genannten Prozentsätze oder Betrage, je nachdem, welcher der beiden Werte niedriger ist.
6. Bei der Entscheidung über die Verhängung einer Geldbuße und der Höhe der Geldbuße in jedem Einzelfall sind alle relevanten Umstände der besonderen Situation zu berücksichtigen und gegebenenfalls Folgendes zu berücksichtigen:
a) Art, Schwere und Dauer des Verstoßes und seiner Folgen unter Berücksichtigung des Zwecks des KI-Systems sowie gegebenenfalls der Zahl der betroffenen Personen und der Höhe des von ihnen erlittenen Schadens;
b) ob andere Marktüberwachungsbehörden eines oder mehrerer Mitgliedstaaten wegen desselben Verstoßes bereits Geldbußen gegen denselben Betreiber verhängt haben;
ba) ob andere Behörden bereits Geldbußen gegen denselben Betreiber wegen Verstößen gegen andere Rechtsvorschriften der Union oder der Mitgliedstaaten verhängt haben, wenn diese Verstöße auf dieselbe Tätigkeit oder Unterlassung zurückzuführen sind, die einen relevanten Verstoß gegen dieses Gesetz darstellt;
c) die Größe, den Jahresumsatz und den Marktanteil des Wirtschaftsteilnehmers, der die Zuwiderhandlung begangen hat;
ca) alle anderen erschwerenden oder mildernden Umstände, die auf die Umstände des Falles anwendbar sind, wie z. B. unmittelbar oder mittelbar durch die Zuwiderhandlung erlangte finanzielle Vorteile oder vermiedene Verluste.
ca) den Grad der Zusammenarbeit mit den zuständigen nationalen Behörden, um den Verstoß zu beheben und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern;
cb) den Grad der Verantwortung des Betreibers unter Berücksichtigung der von ihm durchgeführten technischen und organisatorischen Maßnahmen;
ce) die Art und Weise, in der der Verstoß den zuständigen nationalen Behörden bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Betreiber den Verstoß gemeldet hat;
cf) das Vorsatz oder die Fahrlässigkeit des Verstoßes;
cg) alle Maßnahmen, die der Betreiber ergriffen hat, um den Schaden der betroffenen Personen zu mindern;
7. Jeder Mitgliedstaat legt fest, in welchem Umfang Geldbußen gegen in diesem Mitgliedstaat niedergelassene Behörden und Stellen verhängt werden können.
8. Je nach Rechtsordnung der Mitgliedstaaten können die Vorschriften über Geldbußen so angewandt werden, dass die Geldbußen von den zuständigen nationalen Gerichten oder anderen Stellen in diesen Mitgliedstaaten verhängt werden. Die Anwendung dieser Vorschriften in diesen Mitgliedstaaten hat die gleiche Wirkung.
Artikel 72 Geldbußen gegen Organe, sonstige Stellen und Einrichtungen der Union
1. Der Europäische Datenschutzbeauftragte kann gegen Organe, sonstige Stellen und Einrichtungen der Union, die in den Anwendungsbereich dieser Verordnung fallen, Geldbußen verhängen. Bei der Entscheidung über die Verhängung einer Geldbuße und der Höhe der Geldbuße in jedem Einzelfall sind alle relevanten Umstände der besonderen Situation zu berücksichtigen und Folgendes gebührend zu berücksichtigen:
a) Art, Schwere und Dauer des Verstoßes und seiner Folgen unter Berücksichtigung des Zwecks des betreffenden KI-Systems sowie der Zahl der betroffenen Personen und der Höhe des von ihnen erlittenen Schadens sowie etwaiger einschlägiger früherer Verstöße;
aa) den Grad der Verantwortung des Organs, der sonstigen Stelle oder der Einrichtung der Union unter Berücksichtigung der von ihnen durchgeführten technischen und organisatorischen Maßnahmen;
ab) alle Maßnahmen, die das Organ, die sonstige Stelle oder die Einrichtung der Union ergriffen hat, um den den betroffenen Personen entstandenen Schaden zu mindern;
b) den Grad der Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten, um den Verstoß zu beheben und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern, einschließlich der Einhaltung von Maßnahmen, die der Europäische Datenschutzbeauftragte zuvor gegen das betreffende Organ, die betreffende Agentur oder Einrichtung der Union in Bezug auf denselben Gegenstand angeordnet hat;
c) ähnliche frühere Verstöße des Organs, der sonstigen Stelle oder der Einrichtung der Union;
ca) die Art und Weise, in der der Europäische Datenschutzbeauftragte von dem Verstoß Kenntnis erlangt hat, insbesondere ob und gegebenenfalls in welchem Umfang das Organ oder die Einrichtung der Union den Verstoß gemeldet hat;
cb) den Jahreshaushalt der Einrichtung;
2. Die Nichteinhaltung des Verbots der in Artikel 5 genannten Praktiken der künstlichen Intelligenz wird mit Geldbußen von bis zu 1 500 000 EUR geahndet.
a) gestrichen
aa) entfällt
b) gestrichen
3. Erfüllt das KI-System andere als die in Artikel 5 festgelegten Anforderungen oder Verpflichtungen aus dieser Verordnung, so wird mit Geldbußen von bis zu 750 000 EUR geahndet.
4. Bevor der Europäische Datenschutzbeauftragte Beschlüsse nach diesem Artikel fasst, gibt er dem Organ, der sonstigen Stelle oder der Einrichtung der Union, das bzw. die Gegenstand des Verfahrens des Europäischen Datenschutzbeauftragten ist, Gelegenheit, zu der Angelegenheit im Zusammenhang mit dem möglichen Verstoß gehört zu werden. Der Europäische Datenschutzbeauftragte stützt seine Entscheidungen nur auf Elemente und Umstände, zu denen die betroffenen Parteien Stellung nehmen konnten. Etwaige Beschwerdeführer werden eng in das Verfahren einbezogen.
5. Die Verteidigungsrechte der betroffenen Parteien werden in dem Verfahren uneingeschränkt gewahrt. Sie haben das Recht auf Einsicht in die Akte des Europäischen Datenschutzbeauftragten, vorbehaltlich des berechtigten Interesses der Einzelpersonen oder Unternehmen am Schutz ihrer personenbezogenen Daten oder Geschäftsgeheimnisse.
6. Die durch die Verhängung von Geldbußen gemäß diesem Artikel erhobenen Mittel tragen zum Gesamthaushaltsplan der Union bei. Die Geldbußen berühren nicht die wirksame Arbeit des Organs, der Einrichtung oder der sonstigen Stelle der Union, gegen die eine Geldbuße verhängt wurde.
6a. Der Europäische Datenschutzbeauftragte unterrichtet die Kommission jährlich über die von ihm gemäß diesem Artikel verhängten Geldbußen und alle Rechtsstreitigkeiten oder Gerichtsverfahren;
Artikel 72a Geldbußen für Anbieter von KI-Modellen für allgemeine Zwecke
1. Die Kommission kann gegen Anbieter von KI-Modellen für allgemeine Zwecke Geldbußen verhängen, die 3 % ihres weltweiten Gesamtumsatzes im vorangegangenen Geschäftsjahr oder 15 Mio. EUR nicht überschreiten dürfen, je nachdem, welcher Betrag höher ist. Geldbußen sollten ein Jahr nach Inkrafttreten der einschlägigen Bestimmungen dieser Verordnung verhängt werden, um den Anbietern ausreichend Zeit für die Anpassung zu geben, wenn die Kommission feststellt, dass der Anbieter vorsätzlich oder fahrlässig
a) gegen die einschlägigen Bestimmungen dieser Verordnung verstößt;
b) einem Ersuchen um Vorlage von Dokumenten oder Informationen gemäß Artikel [Befugnis zur Anforderung von Unterlagen und Informationen] nicht nachkommt oder unrichtige, unvollständige oder irreführende Auskünfte erteilt;
b) einer nach Artikel [Befugnis zum Ersuchen um Maßnahmen] beantragten Maßnahme nicht nachkommt;
c) der Kommission keinen Zugang zu dem KI-Modell für allgemeine Zwecke oder zum KI-Modell für allgemeine Zwecke mit Systemrisiko zur Verfügung stellt, um eine Bewertung gemäß Artikel [Befugnis zur Durchführung von Evaluierungen] durchzuführen.
Bei der Festsetzung der Höhe der Geldbuße oder des Zwangsgelds sind Art, Schwere und Dauer des Verstoßes unter gebührender Berücksichtigung der Grundsätze der Verhältnismäßigkeit und der Angemessenheit zu berücksichtigen. Die Kommission berücksichtigt auch Verpflichtungen, die sie gemäß Artikel F Absatz 3 oder in einschlägigen Verhaltenskodizes gemäß Artikel [Verhaltenskodizes] eingegangen ist.
2. Bevor die Kommission den Beschluss nach Absatz 1 dieses Artikels erlässt, teilt sie dem Anbieter des Allzweck-KI-Modells oder des Allzweck-KI-Modells mit Systemrisiko ihre vorläufigen Feststellungen mit und gibt Gelegenheit zur Anhörung. 2a) Die gemäß diesem Artikel verhängten Geldbußen müssen verhältnismäßig, abschreckend und wirksam sein.
2b) Die Informationen über die Geldbußen werden gegebenenfalls auch dem Ausschuss mitgeteilt.
3. Der Gerichtshof der Europäischen Union hat die Befugnis zu unbeschränkter Nachprüfung von Entscheidungen, mit denen die Kommission eine Geldbuße festgesetzt hat. Sie kann die verhängte Geldbuße aufheben, herabsetzen oder erhöhen.
4. Die Kommission erlässt Durchführungsrechtsakte in Bezug auf die Modalitäten und praktischen Modalitäten des Verfahrens im Hinblick auf den möglichen Erlass von Beschlüssen gemäß Absatz 1. Diese Durchführungsrechtsakte werden nach dem in Artikel xx Buchstabe x genannten Prüfverfahren erlassen.
TITEL XI: BEFUGNISÜBERTRAGUNG UND AUSSCHUSSVERFAHREN
Artikel 73 Ausübung der Befugnisübertragung
1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß [Artikel 4, Artikel 7 Absatz 1, Artikel 11 Absatz 3, Artikel 43 Absätze 5 und 6 und Artikel 48 Absatz 5] wird der Kommission für einen Zeitraum von fünf Jahren ab dem … [Datum des Inkrafttretens der Verordnung]. Die Kommission erstellt spätestens neun Monate vor Ablauf des Fünfjahreszeitraums einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.
3. Die Befugnisübertragung gemäß Artikel 7 Absatz 1, Artikel 7 Absatz 3, Artikel 11 Absatz 3, Artikel 43 Absätze 5 und 6 und Artikel 48 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Mit einem Beschluss über den Widerruf wird die in diesem Beschluss festgelegte Befugnisübertragung beendet. Sie wird am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin festgelegten späteren Zeitpunkt wirksam. Sie berührt nicht die Gültigkeit bereits in Kraft getretener delegierter Rechtsakte.
4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
5. Ein delegierter Rechtsakt, der gemäß [Artikel 4], Artikel 7 Absatz 1, Artikel 11 Absatz 3, Artikel 43 Absätze 5 und 6 und Artikel 48 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist haben sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt, dass sie keine Einwände erheben werden. Diese Frist wird auf Initiative des Europäischen Parlaments oder des Rates um drei Monate verlängert.
Artikel 74 Ausschussverfahren
1. Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
TITEL XII: SCHLUSSBESTIMMUNGEN
Artikel 75 Änderung der Verordnung (EG) Nr. 300/2008
In Artikel 4 Absatz 3 der Verordnung (EG) Nr. 300/2008 wird folgender Unterabsatz angefügt:
„Bei der Annahme detaillierter Maßnahmen in Bezug auf technische Spezifikationen und Verfahren für die Genehmigung und Verwendung von Sicherheitsausrüstungen für Systeme der künstlichen Intelligenz im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* sind die Anforderungen in Kapitel 2 Titel III der genannten Verordnung zu berücksichtigen.“
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 76 Änderung der Verordnung (EU) Nr. 167/2013
In Artikel 17 Absatz 5 der Verordnung (EU) Nr. 167/2013 wird folgender Unterabsatz angefügt:
„Beim Erlass delegierter Rechtsakte gemäß Unterabsatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 77 Änderung der Verordnung (EU) Nr. 168/2013
In Artikel 22 Absatz 5 der Verordnung (EU) Nr. 168/2013 wird folgender Unterabsatz angefügt:
„Beim Erlass delegierter Rechtsakte gemäß Unterabsatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX über [Künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 78 Änderung der Richtlinie 2014/90/EU
In Artikel 8 der Richtlinie 2014/90/EU wird folgender Absatz angefügt:
„4. Bei Systemen der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, berücksichtigt die Kommission bei der Durchführung ihrer Tätigkeiten gemäß Absatz 1 und bei der Annahme technischer Spezifikationen und Prüfnormen gemäß den Absätzen 2 und 3 die Anforderungen des Titels III — Kapitel 2 der genannten Verordnung.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 79 Änderung der Richtlinie (EU) 2016/797
In Artikel 5 der Richtlinie (EU) 2016/797 wird folgender Absatz angefügt:
„12. Beim Erlass delegierter Rechtsakte gemäß Absatz 1 und Durchführungsrechtsakten gemäß Absatz 11 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 80 Änderung der Verordnung (EU) 2018/858
In Artikel 5 der Verordnung (EU) 2018/858 wird folgender Absatz angefügt:
„4. Beim Erlass delegierter Rechtsakte gemäß Absatz 3 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitskomponenten im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates * handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
Artikel 81 Änderung der Verordnung (EU) 2018/1139
Die Verordnung (EU) 2018/1139 wird wie folgt geändert:
1. In Artikel 17 wird folgender Absatz angefügt:
„3. Unbeschadet des Absatzes 2 werden beim Erlass von Durchführungsrechtsakten gemäß Absatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).“
2. In Artikel 19 wird folgender Absatz angefügt:
„4. Beim Erlass delegierter Rechtsakte gemäß den Absätzen 1 und 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.“
3. In Artikel 43 wird folgender Absatz angefügt:
„4. Beim Erlass von Durchführungsrechtsakten gemäß Absatz 1 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.“
4. In Artikel 47 wird folgender Absatz angefügt:
„3. Beim Erlass delegierter Rechtsakte gemäß den Absätzen 1 und 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.“
5. In Artikel 57 wird folgender Absatz angefügt:
„Beim Erlass dieser Durchführungsrechtsakte in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.“
6. In Artikel 58 wird folgender Absatz angefügt:
„3. Beim Erlass delegierter Rechtsakte gemäß den Absätzen 1 und 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] handelt, werden die Anforderungen in Titel III Kapitel 2 der genannten Verordnung berücksichtigt.“
Artikel 82 Änderung der Verordnung (EU) 2019/2144
In Artikel 11 der Verordnung (EU) 2019/2144 wird folgender Absatz angefügt:
„3. Beim Erlass der Durchführungsrechtsakte gemäß Absatz 2 in Bezug auf Systeme der künstlichen Intelligenz, bei denen es sich um Sicherheitsbauteile im Sinne der Verordnung (EU) YYY/XX [über künstliche Intelligenz] des Europäischen Parlaments und des Rates* handelt, werden die Anforderungen des Titels III Kapitel 2 der genannten Verordnung berücksichtigt.
* Verordnung (EU) YYY/XX [über künstliche Intelligenz] (ABl. …).
Artikel 82a Leitlinien der Kommission zur Durchführung dieser Verordnung
1. Die Kommission erarbeitet Leitlinien für die praktische Durchführung dieser Verordnung, insbesondere für
a) die Anwendung der in den Artikeln 8 bis 15 und Artikel 28 genannten Anforderungen und Verpflichtungen;
b) die in Artikel 5 genannten verbotenen Praktiken;
c) die praktische Umsetzung der Bestimmungen über wesentliche Änderungen;
d) die praktische Umsetzung der in Artikel 52 festgelegten Transparenzpflichten;
e) ausführliche Informationen über das Verhältnis dieser Verordnung zu den in Anhang II dieser Verordnung genannten Rechtsvorschriften sowie zu anderen einschlägigen Rechtsvorschriften der Union, auch im Hinblick auf die Kohärenz ihrer Durchsetzung;
a) die Anwendung der Definition des Begriffs „KI-System“ gemäß Artikel 3 Absatz 1.
Bei der Herausgabe solcher Leitlinien achtet die Kommission besonders auf die Bedürfnisse von KMU, einschließlich Start-up-Unternehmen, lokalen Behörden und Sektoren, die am stärksten von dieser Verordnung betroffen sein werden.
Die in Unterabsatz 1 genannten Leitlinien tragen dem allgemein anerkannten Stand der Technik in Bezug auf KI sowie den einschlägigen harmonisierten Normen und gemeinsamen Spezifikationen gemäß den Artikeln 40 und 41 oder den harmonisierten Normen oder technischen Spezifikationen, die gemäß dem Harmonisierungsrecht der Union festgelegt sind, gebührend Rechnung.
2. Auf Ersuchen der Mitgliedstaaten oder des KI-Büros oder von sich aus aktualisiert die Kommission bereits angenommene Leitlinien, wenn sie dies für notwendig erachtet.
Artikel 83 KI-Systeme, die bereits in Verkehr gebracht oder in Betrieb genommen wurden
1. Unbeschadet der Anwendung des Artikels 5 gemäß Artikel 85 Absatz 3 Buchstabe -aa müssen KI-Systeme, die Bestandteile der IT-Großsysteme sind, die durch die in Anhang IX aufgeführten Rechtsakte eingerichtet wurden und die vor Ablauf von 12 Monaten nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung in Verkehr gebracht oder in Betrieb genommen wurden, bis Ende 2030 mit dieser Verordnung in Einklang gebracht werden.
Die in dieser Verordnung festgelegten Anforderungen werden bei der Bewertung jedes IT-Großsystems, das durch die in Anhang IX aufgeführten Rechtsakte eingerichtet wurde, berücksichtigt, die gemäß den jeweiligen Rechtsakten und bei jeder Ersetzung oder Änderung dieser Rechtsakte durchzuführen ist.
2. Unbeschadet der Anwendung des Artikels 5 gemäß Artikel 85 Absatz 3 Buchstabe -aa gilt diese Verordnung für Betreiber von anderen als den in Absatz 1 genannten KI-Systemen mit hohem Risiko, die vor dem [Geltungsbeginn dieser Verordnung gemäß Artikel 85 Absatz 2] in Verkehr gebracht oder in Betrieb genommen wurden nur dann, wenn diese Systeme ab diesem Zeitpunkt erheblichen Änderungen ihres Konzepts unterliegen. Im Falle von Hochrisiko-KI-Systemen, die von Behörden verwendet werden sollen, ergreifen die Anbieter und Betreiber solcher Systeme die erforderlichen Maßnahmen, um die Anforderungen dieser Verordnung vier Jahre nach dem Datum des Inkrafttretens dieser Verordnung zu erfüllen.
3. Anbieter von universellen KI-Modellen, die vor dem [Geltungsbeginn dieser Verordnung gemäß Artikel 85 Absatz 3 Buchstabe a] in Verkehr gebracht wurden, ergreifen die erforderlichen Maßnahmen, um den in dieser Verordnung festgelegten Verpflichtungen bis zum [2 Jahre nach dem Datum des Inkrafttretens dieser Verordnung gemäß Artikel 85 Absatz 3 Buchstabe a] nachzukommen.
Artikel 84 Evaluierung und Überprüfung
1. Die Kommission prüft einmal jährlich nach Inkrafttreten dieser Verordnung und bis zum Ende des Zeitraums der Befugnisübertragung, ob die Liste in Anhang III und die Liste der verbotenen KI-Praktiken in Artikel 5 geändert werden müssen. Die Kommission legt die Ergebnisse dieser Bewertung dem Europäischen Parlament und dem Rat vor.
2. Spätestens zwei Jahre nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung und danach alle vier Jahre bewertet die Kommission die Notwendigkeit einer Änderung der folgenden Bestimmungen und erstattet dem Europäischen Parlament und dem Rat darüber Bericht:
die Notwendigkeit einer Erweiterung bestehender Gebietsüberschriften oder der Hinzufügung neuer Gebietsüberschriften in Anhang III;
die Liste der KI-Systeme, für die zusätzliche Transparenzmaßnahmen erforderlich sind, Artikel 52;
Wirksamkeit des Aufsichts- und Governancesystems
2a) Spätestens drei Jahre nach dem in Artikel 85 Absatz 3 genannten Geltungsbeginn dieser Verordnung und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Dieser Bericht enthält eine Bewertung der Durchsetzungsstruktur und der Frage, ob eine Agentur der Union zur Behebung festgestellter Mängel erforderlich ist. Auf der Grundlage der Feststellungen wird diesem Bericht gegebenenfalls ein Vorschlag zur Änderung dieser Verordnung beigefügt. Die Berichte werden veröffentlicht.
3. In den in Absatz 2 genannten Berichten wird Folgendem besondere Aufmerksamkeit gewidmet:
a) den Status der finanziellen, technischen und personellen Ressourcen der zuständigen nationalen Behörden, damit sie die ihnen im Rahmen dieser Verordnung übertragenen Aufgaben wirksam wahrnehmen können;
b) den Stand der Sanktionen, insbesondere der Geldbußen gemäß Artikel 71 Absatz 1, die von den Mitgliedstaaten bei Verstößen gegen die Bestimmungen dieser Verordnung verhängt werden.
ba) ba) harmonisierte Normen und gemeinsame Spezifikationen verabschiedet hat, die zur Unterstützung dieser Verordnung entwickelt wurden.
bb) die Zahl der Unternehmen, die nach Inkrafttreten der Verordnung in den Markt eintreten, und wie viele davon KMU sind.
bb) Bis… [zwei Jahre nach dem in Artikel 85 Absatz 2 genannten Tag des Inkrafttretens dieser Verordnung] bewertet die Kommission, wie das KI-Büro funktioniert, ob das Amt mit ausreichenden Befugnissen und Befugnissen ausgestattet wurde, um seine Aufgaben zu erfüllen, und ob es für die ordnungsgemäße Durchführung und Durchsetzung dieser Verordnung relevant und erforderlich wäre, das Amt und seine Durchsetzungsbefugnisse aufzuwerten und seine Ressourcen aufzustocken. Die Kommission legt diesen Evaluierungsbericht dem Europäischen Parlament und dem Rat vor.
3a) Spätestens zwei Jahre [nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung] und danach alle vier Jahre legt die Kommission einen Bericht über die Überprüfung der Fortschritte bei der Entwicklung von Normungsergebnissen für die energieeffiziente Entwicklung von Universalmodellen vor und bewertet die Notwendigkeit weiterer Maßnahmen oder Aktionen. einschließlich verbindlicher Maßnahmen oder Aktionen. Der Bericht wird dem Europäischen Parlament und dem Rat vorgelegt und veröffentlicht.
4. Innerhalb des … [zwei Jahre nach dem in Artikel 85 Absatz 2 genannten Geltungsbeginn dieser Verordnung] und danach alle drei Jahre bewertet die Kommission die Auswirkungen und die Wirksamkeit freiwilliger Verhaltenskodizes, um die Anwendung der in Titel III Kapitel 2 festgelegten Anforderungen für andere KI-Systeme als Hochrisiko-KI-Systeme und möglicherweise anderer zusätzlicher Anforderungen an andere KI-Systeme als Hochrisiko-KI-Systeme zu fördern; auch im Hinblick auf die ökologische Nachhaltigkeit;
5. Für die Zwecke der Absätze 1 bis 4 übermitteln der Ausschuss, die Mitgliedstaaten und die zuständigen nationalen Behörden der Kommission auf deren Verlangen unverzüglich Informationen
6. Bei der Durchführung der in den Absätzen 1 bis 4 genannten Evaluierungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Ausschusses, des Europäischen Parlaments, des Rates und anderer einschlägiger Gremien oder Quellen.
7. Die Kommission unterbreitet erforderlichenfalls geeignete Vorschläge zur Änderung dieser Regulierung, insbesondere unter Berücksichtigung der technologischen Entwicklungen, der Auswirkungen von KI-Systemen auf Gesundheit und Sicherheit, der Grundrechte und unter Berücksichtigung des Stands der Fortschritte in der Informationsgesellschaft.
7a. Als Richtschnur für die in den Absätzen 1 bis 4 dieses Artikels genannten Evaluierungen und Überprüfungen verpflichtet sich das Amt, eine objektive und partizipative Methodik für die Bewertung des Risikoniveaus auf der Grundlage der in den einschlägigen Artikeln dargelegten Kriterien
und die Aufnahme neuer Systeme in die Liste in Anhang III zu entwickeln, einschließlich der Erweiterung bestehender Gebietsüberschriften oder der Hinzufügung neuer Gebietsüberschriften in diesem Anhang;
die Liste der verbotenen Praktiken gemäß Artikel 5;
und die Liste der KI-Systeme, für die zusätzliche Transparenzmaßnahmen gemäß Artikel 52 erforderlich sind.
7b. Bei jeder Änderung dieser Verordnung gemäß Absatz 7 des vorliegenden Artikels oder einschlägiger künftiger delegierter Rechtsakte oder Durchführungsrechtsakte, die die in Anhang II Abschnitt B aufgeführten sektoralen Rechtsvorschriften betreffen, werden die regulatorischen Besonderheiten der einzelnen Sektoren sowie die bestehenden Governance-, Konformitätsbewertungs- und Durchsetzungsmechanismen und die darin eingerichteten Behörden berücksichtigt.
7c. Bis… [fünf Jahre nach dem Geltungsbeginn dieser Verordnung] nimmt die Kommission eine Bewertung der Durchsetzung dieser Verordnung vor und erstattet dem Europäischen Parlament, dem Rat und dem Europäischen Wirtschafts- und Sozialausschuss unter Berücksichtigung der ersten Jahre der Anwendung der Verordnung Bericht. Auf der Grundlage der Feststellungen dieses Berichts wird gegebenenfalls ein Vorschlag zur Änderung dieser Verordnung im Hinblick auf die Struktur der Durchsetzung und die Notwendigkeit einer Agentur der Union beigefügt, festgestellte Mängel zu beheben.
Artikel 85 Inkrafttreten und Anwendung
1. Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
2. Diese Verordnung gilt ab dem [24 Monate nach Inkrafttreten der Verordnung]. In Bezug auf die in Artikel 53 Absatz 1 genannte Verpflichtung umfasst diese Verpflichtung entweder, dass an diesem Tag mindestens ein regulatorisches KI-Reallabor pro Mitgliedstaat betriebsbereit ist oder dass der Mitgliedstaat an einem KI-Reallabor eines anderen Mitgliedstaats teilnimmt *
3. Abweichend von Absatz 2 gilt Folgendes:
(-a) Die Titel I und II [Verbote] gelten ab dem [sechs Monate nach Inkrafttreten dieser Verordnung];
a) Titel III Kapitel 4, Titel VI, Titel VIIIa [GPAI], Titel X [Sanktionen] gelten ab dem [zwölf Monate nach Inkrafttreten dieser Verordnung];
b) Artikel 6 Absatz 1 und die entsprechenden Verpflichtungen in dieser Verordnung gelten ab dem [36 Monate nach Inkrafttreten dieser Verordnung].
Die Verhaltenskodizes müssen spätestens neun Monate nach Inkrafttreten dieser Verordnung fertig sein. Das KI-Büro ergreift die erforderlichen Schritte, einschliesslich der Einladung von Anbietern nach Artikel 52e Absatz 5.
Die Verhaltenskodizes müssen spätestens neun Monate nach Inkrafttreten dieser Verordnung fertig sein. Das KI-Büro ergreift die erforderlichen Schritte, einschliesslich der Einladung von Anbietern nach Artikel 52e Absatz 5.