AI Act :
Artikel 10- Daten und Daten-Governance
KAPITEL I- ALLGEMEINE BESTIMMUNGEN
KAPITEL II– VERBOTENE PRAKTIKEN IM KI-BEREICH
KAPITEL III– HOCHRISIKO-KI-SYSTEME
- Artikel 6_ Einstufungsvorschriften für Hochrisiko-KI-Systeme
- Artikel 7_ Änderungen des Anhangs III
- Artikel 8_ Einhaltung der Anforderungen
- Artikel 9_ Risikomanagementsystem
- Artikel 10_ Daten und Daten-Governance
- Artikel 11_ Technische Dokumentation
- Artikel 12_ Aufzeichnungspflichten
- Artikel 13_ Transparenz und Bereitstellung von Informationen für die Betreiber
- Artikel 14_ Menschliche Aufsicht
- Artikel 15_ Genauigkeit, Robustheit und Cybersicherheit
- Artikel 16_ Pflichten der Anbieter von Hochrisiko-KI-Systemen
- Artikel 17_ Qualitätsmanagementsystem
- Artikel 18_ Aufbewahrung der Dokumentation
- Artikel 19_ Automatisch erzeugte Protokolle
- Artikel 20_ Korrekturmaßnahmen und Informationspflicht
- Artikel 21_ Zusammenarbeit mit den zuständigen Behörden
- Artikel 22_ Bevollmächtigte der Anbieter von Hochrisiko-KI-Systemen
- Artikel 23_ Pflichten der Einführer
- Artikel 24_ Pflichten der Händler
- Artikel 25 _ Verantwortlichkeiten entlang der KI-Wertschöpfungskette
- Artikel 26 _ Pflichten der Betreiber von Hochrisiko-KI-Systemen
- Artikel 27_ Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme
- Artikel 28 _ Notifizierende Behörden
- Artikel 29_ Antrag einer Konformitätsbewertungsstelle auf Notifizierung
- Artikel 30_ Notifizierungsverfahren
- Artikel 31_ Anforderungen an notifizierte Stellen
- Artikel 32_ Vermutung der Konformität mit den Anforderungen an notifizierte Stellen
- Artikel 33_ Zweigstellen notifizierter Stellen und Vergabe von Unteraufträgen
- Artikel 34_ Operative Pflichten der notifizierten Stellen
- Artikel 35_ Identifizierungsnummern und Verzeichnisse notifizierter Stellen
- Artikel 36_ Änderungen der Notifizierungen
- Artikel 37_ Anfechtungen der Kompetenz notifizierter Stellen
- Artikel 38_ Koordinierung der notifizierten Stellen
- Artikel 39_ Konformitätsbewertungsstellen in Drittländern
- Artikel 40_ Harmonisierte Normen und Normungsdokumente
- Artikel 41_ Gemeinsame Spezifikationen
- Artikel 42_ Vermutung der Konformität mit bestimmten Anforderungen
- Artikel 43_ Konformitätsbewertung
- Artikel 44_ Bescheinigungen
- Artikel 45_ Informationspflichten der notifizierten Stellen
- Artikel 46_ Ausnahme vom Konformitätsbewertungsverfahren
- Artikel 47_ EU-Konformitätserklärung
- Artikel 48_ CE-Kennzeichnung
- Artikel 49_ Registrierung
KAPITEL IV- TRANSPARENZPFLICHTEN FÜR ANBIETER UND BETREIBER BESTIMMTER KI-SYSTEME
KAPITEL V– KI-MODELLE MIT ALLGEMEINEM VERWENDUNGSZWECK
KAPITEL VI– MASSNAHMEN ZUR INNOVATIONSFÖRDERUNG
KAPITEL VIII- EU-DATENBANK FÜR HOCHRISIKO-KI-SYSTEME
KAPITEL IX– BEOBACHTUNG NACH DEM INVERKEHRBRINGEN, INFORMATIONSAUSTAUSCH UND MARKTÜBERWACHUNG
KAPITEL X– VERHALTENSKODIZES UND LEITLINIEN
(1) Hochrisiko-KI-Systeme, in denen Techniken eingesetzt werden, bei denen KI-Modelle mit Daten trainiert werden, müssen mit Trainings-, Validierungs- und Testdatensätzen entwickelt werden, die den in den Absätzen 2 bis 5 genannten Qualitätskriterien entsprechen, wenn solche Datensätze verwendet werden.
(2) Für Trainings-, Validierungs- und Testdatensätze gelten Daten-Governance- und Datenverwaltungsverfahren, die für die Zweckbestimmung des Hochrisiko-KI-Systems geeignet sind. Diese Verfahren betreffen insbesondere
a) die einschlägigen konzeptionellen Entscheidungen,
b) die Datenerhebungsverfahren und die Herkunft der Daten und im Falle personenbezogener Daten den ursprünglichen Zweck der Datenerhebung,
c) relevante Datenaufbereitungsvorgänge wie Annotation, Kennzeichnung, Bereinigung, Aktualisierung, Anreicherung und Aggregierung,
d) die Aufstellung von Annahmen, insbesondere in Bezug auf die Informationen, die mit den Daten erfasst und dargestellt werden sollen,
e) eine Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze,
f) eine Untersuchung im Hinblick auf mögliche Verzerrungen (Bias), die die Gesundheit und Sicherheit von Personen beeinträchtigen, sich negativ auf die Grundrechte auswirken oder zu einer nach den Rechtsvorschriften der Union verbotenen Diskriminierung führen könnten, insbesondere wenn die Datenausgaben die Eingaben für künftige Operationen beeinflussen,
g) geeignete Maßnahmen zur Erkennung, Verhinderung und Abschwächung möglicher gemäß Buchstabe f ermittelter Verzerrungen,
h) die Ermittlung relevanter Datenlücken oder Mängel, die der Einhaltung dieser Verordnung entgegenstehen, und wie diese Lücken und Mängel behoben werden können.
(3) Die Trainings-, Validierungs- und Testdatensätze müssen im Hinblick auf die Zweckbestimmung relevant, hinreichend repräsentativ und so weit wie möglich fehlerfrei und vollständig sein. Sie müssen die geeigneten statistischen Merkmale, gegebenenfalls auch bezüglich der Personen oder Personengruppen, für die das Hochrisiko-KI-System bestimmungsgemäß verwendet werden soll, haben. Diese Merkmale der Datensätze können auf der Ebene einzelner Datensätze oder auf der Ebene einer Kombination davon erfüllt werden.
(4) Die Datensätze müssen, soweit dies für die Zweckbestimmung erforderlich ist, die entsprechenden Merkmale oder Elemente berücksichtigen, die für die besonderen geografischen, kontextuellen, verhaltensbezogenen oder funktionalen Rahmenbedingungen, unter denen das Hochrisiko-KI-System bestimmungsgemäß verwendet werden soll, typisch sind.
(5) Soweit dies für die Erkennung und Korrektur von Verzerrungen im Zusammenhang mit Hochrisiko-KI-Systemen im Einklang mit Absatz 2 Buchstaben f und g dieses Artikels unbedingt erforderlich ist, dürfen die Anbieter solcher Systeme ausnahmsweise besondere Kategorien personenbezogener Daten verarbeiten, wobei sie angemessene Vorkehrungen für den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen treffen müssen. Zusätzlich zu den Bestimmungen der Verordnungen (EU) 2016/679 und (EU) 2018/1725 und der Richtlinie (EU) 2016/680 müssen alle folgenden Bedingungen erfüllt sein, damit eine solche Verarbeitung stattfinden kann:
a) Die Erkennung und Korrektur von Verzerrungen kann durch die Verarbeitung anderer Daten, einschließlich synthetischer oder anonymisierter Daten, nicht effektiv durchgeführt werden;
b) die besonderen Kategorien personenbezogener Daten unterliegen technischen Beschränkungen einer Weiterverwendung der personenbezogenen Daten und modernsten Sicherheits- und Datenschutzmaßnahmen, einschließlich Pseudonymisierung;
c) die besonderen Kategorien personenbezogener Daten unterliegen Maßnahmen, mit denen sichergestellt wird, dass die verarbeiteten personenbezogenen Daten gesichert, geschützt und Gegenstand angemessener Sicherheitsvorkehrungen sind, wozu auch strenge Kontrollen des Zugriffs und seine Dokumentation gehören, um Missbrauch zu verhindern und sicherzustellen, dass nur befugte Personen Zugang zu diesen personenbezogenen Daten mit angemessenen Vertraulichkeitspflichten haben;
d) die besonderen Kategorien personenbezogener Daten werden nicht an Dritte übermittelt oder übertragen, noch haben diese Dritten anderweitigen Zugang zu diesen Daten;
e) die besonderen Kategorien personenbezogener Daten werden gelöscht, sobald die Verzerrung korrigiert wurde oder das Ende der Speicherfrist für die personenbezogenen Daten erreicht ist, je nachdem, was zuerst eintritt;
f) die Aufzeichnungen über Verarbeitungstätigkeiten gemäß den Verordnungen (EU) 2016/679 und (EU) 2018/1725 und der Richtlinie (EU) 2016/680 enthalten die Gründe, warum die Verarbeitung besonderer Kategorien personenbezogener Daten für die Erkennung und Korrektur von Verzerrungen unbedingt erforderlich war und warum dieses Ziel mit der Verarbeitung anderer Daten nicht erreicht werden konnte.
(6) Bei der Entwicklung von Hochrisiko-KI-Systemen, in denen keine Techniken eingesetzt werden, bei denen KI-Modelle trainiert werden, gelten die Absätze 2 bis 5 nur für Testdatensätze.