Softwarelösungen, die Entscheidungen mit Hilfe von KI (Künstlicher Intelligenz) treffen sind heutzutage weit verbreitet, daher plant die EU eine KI-Verordnung. Einige Beispiele für solche Systeme sind digitale Assistenten, Anwendungen zur Objekterkennung oder Recommender.
Der Mehrwert solcher Systeme entsteht durch weitestgehend automatisierten Erkenntnisgewinn aus Daten, deren Komplexität und Menge der Mensch allein nicht bewältigen kann. Ausschlaggebend für die Akzeptanz und das Vertrauen in KI-basierte Anwendungen ist, dass die Entscheidungen der KI fair und nachvollziehbar sind. Relevante Punkte an dieser Stelle sind z.B. eine sorgsame Analyse der Daten in Hinblick auf Verzerrungen (bias) und Analysen der Interpretierbarkeit des Modelles. Interpretierbarkeit bedeutet in diesem Zusammenhang, zu verstehen, warum bestimmte Vorhersagen von einem Modell getroffen werden (https://www.steadforce.com/how-tos/explainable-object-detection, https://www.steadforce.com/blog/explainable-ai-with-lime).
Aufgrund der immer wichtiger werdenden Verbreitung von KI hat sich nun auch der Gesetzgeber in den Diskurs eingeschaltet: Um das Wettbewerbspotenzial Europas in der Forschung und Anwendung künstlicher Intelligenz zu stärken, hat die Europäische Union (EU) einen ambitionierten Plan entworfen, der zum einen die fachliche Exzellenz in der Forschung fördern und zum anderen das Vertrauen in KI-Lösungen weiter verstärken soll. Ziel dieser Strategie ist es, Europa zum Weltführer für vertrauenswürdige und innovative KI zu machen. Ein Kernbaustein dieses Ansatzes ist die KI-Verordnung, der sogenannte Artificial Intelligence Act (AI Act).
Im April 2021 wurde der erste Entwurf einer KI-Verordnung, der EU AI Act vorgestellt, welches das weltweit erste Gesetz zur Regulierung von KI werden soll. Der Entwurf sieht vor, verbindliche Regeln zu schaffen, um Europa zum Weltführer für vertrauenswürdige, sichere und innovative KI zu machen.
Konkret bedeutet das, dass ähnlich wie bei der Datenschutzgrundverordnung (DSGVO), eine EU-weite, harmonisierte Reglementierung geschaffen werden soll. Genauso wie bei der DSGVO sind Anbieter, die ihre KI-Lösungen innerhalb Europas anbieten wollen, an dieses Regelwerk gebunden, unabhängig davon wo der Unternehmenssitz ist. Entsprechend erweitert dies den Anwendungsbereich der KI-Verordnung über den Europäischen Binnenraum hinaus.
Der AI Act (Artificial Intelligence Act) wird also die weltweite Entwicklung von KI-Technologie beeinflussen.
Der Entwurf vom April 2021 sieht eine weitreichende und teilweise unklare Definition von KI vor, die nicht nur Machine Learning Methoden beinhaltet, sondern beispielsweise auch rein statistische Verfahren. Entsprechend fiele ein beträchtlicher Anteil an heute produktiver Software in den Geltungsbereich der KI-Verordnung. Der Europäische Rat hat in seinem gemeinsamen Standpunkt Ende 2022 darauf Bezug nehmend eine engere Definition vorgeschlagen, die sich konkret auf maschinelles Lernen bzw. logik- und wissensgestützte Konzepte bezieht. Dies ist eine deutliche Verbesserung im Vergleich zur vorherigen Formulierung, es bleibt dennoch zu hoffen, dass an dieser Stelle für die betroffenen Unternehmen durch eine klarere Definition für mehr Sicherheit gesorgt wird.
Im Weiteren werden KI-Systeme, die unter die oben genannte Definition fallen, in verschiedene Risikostufen eingeteilt. Die Auflagen sollen also von dem Risikopotenzial der KI-Anwendung abhängen. Dies soll für eine maßvolle Regulierung sorgen, um innovationsfreundliche Bedingungen zu schaffen.
So soll ein großer Anteil von KI-Anwendungen gar nicht erfasst werden, konkret nennt der Entwurf hier beispielsweise Videospiele, Suchalgorithmen oder Spamfilter. Im Weiteren soll für Systeme mit geringem Risiko, z.B. Chatbots oder sog. Deep Fakes, nur eine Transparenzpflicht gelten. Dies bedeutet, dass den Nutzerinnen und Nutzern lediglich klar sein muss, dass mit einer KI interagiert wird.
Deutlich stärker werden sog. Hochrisiko-KI-Systeme reglementiert. Darunter fallen beispielsweise Anwendungen für den Betrieb kritischer Infrastruktur, für die Regulierung des Zugangs zu Aus- und Fortbildung bzw. wesentlichen privaten und öffentlichen Leistungen und solche, die mit biometrischen Daten arbeiten. Darüber hinaus fallen auch Systeme zur Unterstützung der Strafverfolgung, Grenzkontrolle oder Justiz darunter. Im Allgemeinen werden hier also vor Allem Anwendungen erwähnt, die in Gesundheit und Sicherheit oder die Grundrechte von Menschen eingreifen können.
Hier setzt der Entwurf der KI-Verordnung auf umfassende Pflichten für Anbieter und Nutzer. Diese beinhalten unter anderem eine Konformitätsbewertung, menschliche Aufsicht, die Meldung schwerwiegender Vorfälle im Betrieb und die Schaffung von Transparenz und Interpretierbarkeit der Ergebnisse für Nutzerinnen und Nutzern. Werden Hochrisiko-KI-Anwendungen mit Daten trainiert, so werden darüber hinaus auch strenge Anforderungen an die Qualität und Governance dieser Daten gestellt. Dies betrifft die Einrichtung geeigneter Data-Governance-Verfahren für die Datenerfassung, für Datenaufbereitungsvorgänge wie z.B. das Labeling, aber auch eine vorherige Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze und eine Untersuchung im Hinblick auf mögliche Verzerrungen (bias). Insbesondere müssen die Datensätze relevant, repräsentativ, fehlerfrei und vollständig sein. Auffällig hier, ist auch die vage Formulierung des Entwurfes, die in der Praxis für große Unsicherheit sorgen dürfte.
Zuletzt sollen Anwendungen mit inakzeptablem Risiko, die z.B. das Verhalten seiner User manipulieren, biometrische Überwachung oder “Social Scoring” einsetzen, vollständig verboten werden. Eine Ausnahme besteht hier ausschließlich für militärische Anwendungen.
Der Entwurf des AI Acts befindet sich derzeit in der Überarbeitung und wird in der nahen Zukunft finalisiert werden. Erwartungsgemäß ist die Definition von KI, sowie die detaillierte Einstufung von Anwendungen in die unterschiedlichen Risikogruppen derzeit noch in Diskussion. Es bleibt zu hoffen, dass an dieser Stelle eine klarere, innovationsfreundliche Lösung gefunden werden kann.
Angesichts empfindlicher Geldstrafen von bis zu 30 Millionen Euro bzw. sechs Prozent des weltweiten Jahresumsatzes bei Verstößen, empfiehlt es sich, zügig aktiv werden. Unabhängig von der genauen Definition von KI sowie der entsprechenden Risikobewertung, kann die Compliance mit der neuen KI-Verordnung nur gewährleistet werden, wenn ein kompletter Überblick über die in der gesamten Systemlandschaft verwendeten KI-Tools besteht.
Insbesondere die Einführung einer unternehmensweiten Data Governance, eines Rahmenwerks für die effiziente Nutzbarmachung von Daten, ist ein umfassender und komplexer Vorgang. Das Definieren einheitlicher, standardmäßiger Prozesse für den Umgang mit Daten und von den entsprechenden Verantwortlichkeiten und Sicherheitsmechanismen kann einen Großteil der bestehenden IT-Systemlandschaft betreffen. Hier kann ein kompetenter und verlässlicher Partner eine große Hilfe sein.
Noch muss der Entwurf der KI-Verordnung überarbeitet und final verabschiedet werden. Es ist davon auszugehen, dass der zweijährige Einführungszeitraum noch im Laufe des Jahres 2023 beginnen wird. Wir werden Sie durch diesen Blog weiterhin auf dem Laufenden halten. Angesichts der komplexen Thematik gilt es jetzt, keine Zeit zu verlieren und zügig die Umsetzung vorzubereiten.
