Im vergangenen Jahr sind AI-as-a-Service-Tools wie ChatGPT in vielen Branchen zu einem festen Bestandteil des täglichen Geschäftsbetriebs geworden und haben "Enterprise-ready AI" geschaffen. Eine aktuelle Studie von Cisco Systems hat jedoch ergeben, dass Mitarbeiter große Mengen sensibler Daten in diese neuartigen Tools eingeben, was zu erheblichen Bedenken hinsichtlich Sicherheit und Datenschutz führt [1]. Darüber hinaus erhöhen allgemeine KI-Risiken im Zusammenhang mit Datenverzerrungen und ethischer Entscheidungsfindung den Bedarf an Schutzmaßnahmen und organisatorischer KI-Governance.
Der AI Act
Um diese Herausforderungen zu bewältigen, hat die Europäische Union (EU) die weltweit erste KI-Verordnung vorgelegt, den AI Act [2]. Die Verordnung wird voraussichtlich Ende 2024 oder Anfang 2025 in Kraft treten und für KI-Systeme gelten, die Auswirkungen auf Individuen in der EU haben. Ein KI-System ist ein maschinenbasiertes System, das Eingaben aus seiner Umgebung erhält, um Ausgaben wie Vorhersagen, Inhalte oder Entscheidungen zu generieren [3]. KI-Systeme interagieren also aktiv mit ihrer Umgebung und verfügen über ein gewisses Maß an Autonomie. Um diese Autonomie zu regeln, verwendet der AI Act einen risikobasierten Ansatz zur Einteilung von KI-Systemen in vier Hauptkategorien (1 - inakzeptabel, 2 - hoch, 3 - begrenzt und 4 - minimal oder kein Risiko), die durch eine fünfte Kategorie (5 - General Purpose AI) ergänzt werden. Es gilt der Grundsatz: "Je höher das Risiko, desto strenger die Regeln" [4].
Abbildung 1: Überblick über den risikobasierten Ansatz der EU zur Regulierung von KI
1 - Inakzeptables Risiko
Inakzeptable KI-Systeme verstossen gegen die Werte der EU und bedrohen die Grundrechte. Zu den verbotenen Anwendungen gehören beispielsweise die Emotionserkennung am Arbeitsplatz, Social Scoring oder KI, die menschliches Verhalten manipuliert, um den freien Willen zu umgehen [2]. Daher würde das KI-Gesetz die in China angewandten Praktiken des Social Scoring als inakzeptabel erachten [5] und ihre Anwendung verbieten. Enge Ausnahmen wie biometrische Identifizierungssysteme in öffentlichen Räumen für die Strafverfolgung sind jedoch unter strengen Auflagen zulässig.
2 - Hohes Risiko
Die Hochrisikokategorie umfasst KI-Systeme mit erheblichem Schadenspotenzial für die Gesundheit, die Sicherheit und die Grundrechte. Typische Beispiele sind kritische Infrastrukturen, medizinische Geräte, Zugang zu Bildung und Rekrutierungssysteme, die sich auf KI stützen. Daher müssen diese Systeme obligatorische Compliance-Verpflichtungen erfüllen, wie z. B. die Einrichtung eines Risikomanagementsystems während des gesamten Lebenszyklus des KI-Systems (Entwicklung, Einsatz und Überwachung). Zusätzliche Data-Governance-Verfahren (detaillierte Dokumentation der Datenerhebung, Datenaufbereitung und potenzieller Datenverzerrungen [6]) und Verpflichtungen (Transparenz, Robustheit, Genauigkeit, Cybersicherheit, Konformitätsbewertungen, Notfallverfahren, Folgenabschätzungen für Grundrechte) helfen Organisationen beim Umgang mit KI-Systemen mit hohem Risiko [2].
3 - Begrenztes Risiko
Die dritte Kategorie mit begrenztem Risiko umfasst Chatbots, bestimmte Systeme zur Erkennung von Emotionen und biometrischen Merkmalen sowie KI-Systeme, die Deep Fakes erzeugen. Für diese Systeme gelten höhere Transparenzanforderungen, z. B. die Information der Nutzer, dass sie mit einem KI-System interagieren, und die Kennzeichnung synthetischer Inhalte. Folglich sollten KI-generierte Inhalte mit einem digitalen "Wasserzeichen" versehen werden.
4 - Minimales/Kein Risiko
KI-Systeme mit geringem/keinem Risiko fallen nicht unter die oben genannten Risikokategorien. Beispiele hierfür sind KI-basierte Empfehlungssysteme oder Spam-Filter. Folglich erlaubt die EU die uneingeschränkte Nutzung dieser KI-Systeme, fördert aber die Umsetzung freiwilliger Verhaltenskodizes. Nach Ansicht der Europäischen Kommission werden die meisten KI-Systeme in diese Kategorie fallen [7].
5 - General Purpose AI
Aufgrund der zunehmenden Bedeutung der generativen KI im Jahr 2023 hat die EU eine fünfte Kategorie aufgenommen, die sich auf KI-Systeme für allgemeine Zwecke (General Purpose AI, GPAI), wie ChatGPT, bezieht. Dieser Schritt ist notwendig, weil GPAI-Systeme entlang ganzer Wertschöpfungsketten integriert sind. Ein Beispiel dafür ist die ChatGPT-API, die zur Steuerung einzelner Chatbots, zur Dokumentenanalyse oder zur Prozessoptimierung verwendet werden kann. GPAI stützt sich auf grundlegende Modelle, die "auf einer breiten Datenbasis in großem Umfang trainiert wurden, auf die Allgemeinheit der Ergebnisse ausgelegt sind und an ein breites Spektrum unterschiedlicher Aufgaben angepasst werden können" [2]. Zur Bewältigung von GPAI wählt die EU einen zweistufigen Ansatz. Infolgedessen müssen alle GPAI-Systeme Transparenzanforderungen wie Dokumentations- und EU-Urheberrechtsvorschriften erfüllen und gleichzeitig detaillierte Zusammenfassungen während der Schulung bereitstellen. GPAI-Modelle mit systemischem Risiko (hohe Rechenleistung) müssen strenge Auflagen erfüllen (Modellbewertungen, Minderung des systemischen Risikos, gegnerische Tests, Meldung von Vorfällen an die Kommission, Gewährleistung der Cybersicherheit und Berichterstattung über Energieeffizienz).
Wie kann sich meine Organisation bereits vorbereiten?
Ein genauerer Blick auf das KI-Gesetz zeigt, dass KI-Governance im Rahmen des AI Acts nicht nur eine technische Aufgabe sein wird. Die KI-Governance wird einen ganzheitlichen Ansatz entlang sozialer und menschlicher Perspektiven erfordern [8]. Daher werden in diesem Artikel fünf Maßnahmen vorgestellt, die Unternehmen heute ergreifen können, um sich auf das Zeitalter der KI-Governance und das kommende KI-Gesetz vorzubereiten.
Abbildung 2: AI Act-Maßnahmen
Maßnahme 1 - KI als strategisches Thema etablieren
Erheben Sie KI zu einer strategischen Priorität, indem Sie die Zustimmung der Geschäftsleitung einholen. Die Unterstützung der Geschäftsleitung ist entscheidend, um die Unternehmensziele mit den gesetzlichen Anforderungen und der allgemeinen Geschäftsstrategie in Einklang zu bringen. Durch die Positionierung von KI als Schlüsselpriorität treiben die Führungskräfte proaktive Compliance-Bemühungen voran, die für den langfristigen Erfolg der KI-Governance im Rahmen des AI Acts unerlässlich sind. Darüber hinaus sollten Sie die strategische Rolle Ihres Unternehmens entlang der KI-Wertschöpfungskette verstehen.
Maßnahme 2 - Organisationsstrukturen anpassen
Datenschutz und Sicherheit sind keine neuen Herausforderungen für Unternehmen. Daher ist es von entscheidender Bedeutung, eine nahtlose Zusammenarbeit zwischen bestehenden Abteilungen (z. B. GDPR, Compliance) und neuen organisatorischen Einheiten, die durch den AI Act erforderlich werden, zu etablieren. Daher müssen Unternehmen ihre Rollen und Zuständigkeiten strategisch neu ausrichten, um den Anforderungen des KI-Gesetzes gerecht zu werden. Dazu gehört auch die Schaffung spezialisierter Rollen, die sich auf KI-Systeme mit hohem und begrenztem Risiko konzentrieren.
Maßnahme 3 - KI-Governance-Framework etablieren
Diese spezialisierten Rollen sollten sich darauf konzentrieren, einen KI-Governance- und Risikomanagementrahmen innerhalb der Organisation zu schaffen. Daher sollten Organisationen ein spezielles Risikomanagementsystem und Datenverarbeitungsverfahren einführen. Dazu gehört die Formulierung interner Richtlinien und Verfahren, die mit den Anforderungen des KI-Gesetzes über den gesamten Lebenszyklus von KI-Systemen (Entwicklung, Einsatz und Überwachung) übereinstimmen. Die Risikoklassifizierung von KI-Systemen sowie deren technische und nicht-technische Dokumentation dient als Grundlage für die weitere KI-Governance.
Maßnahme 4 - Rolle des Menschen entdecken
Unternehmen sollten aktiv die Beziehung zwischen Menschen und KI-Systemen erkunden. Durch die Analyse des Zusammenspiels zwischen Menschen und Maschinen werden die menschlichen Stärken und Verantwortlichkeiten deutlich. Maschinen sind beispielsweise sehr gut darin, Daten zu analysieren, während Menschen gut darin sind, sie zu interpretieren. Halten Sie den Menschen stets "In-the-Loop", um die Verantwortlichkeit über den gesamten Lebenszyklus des KI-Systems sicherzustellen.
Maßnahme 5 - Mitarbeitende schulen
Um KI-Systeme effektiv zu verwalten und die Einhaltung der Vorschriften zu gewährleisten, sollten Unternehmen in Schulungsprogramme für Mitarbeiter investieren. Dazu gehört die Schulung der Mitarbeiter zu den Grundlagen und Konzepten der KI, zu bestehenden Datenschutzbestimmungen (z. B. GDPR) sowie zu neuen Kenntnissen und Pflichten, die sich aus dem KI-Gesetz ergeben (z. B. Hochrisikosysteme: Risikomanagementsystem, Datenverarbeitungsverfahren). Organisationen sollten die Bedeutung des KI-Governance-Rahmens hervorheben und den Mitarbeitern zeigen, wie sie ihn in ihrer täglichen Arbeit umsetzen können.
Bleiben Sie informiert und werden Sie aktiv! Wenn Sie mehr über den AI Act erfahren und sich aktiv mit seinen Auswirkungen befassen möchten, wenden Sie sich an AI Spaces. Wir unterstützen Sie gerne, wenn Sie weitere Informationen über das KI-Gesetz und eine Anleitung zur Umsetzung der Maßnahmen 1 bis 5 benötigen. Lassen Sie uns gemeinsam daran arbeiten, die sich entwickelnde Landschaft der KI-Regulierung zu navigieren und eine sichere und transparente Zukunft zu gewährleisten. Besuchen Sie unsere Website für weitere Informationen.
Quellen
[1] Cisco, “Cisco 2024 Data Privacy Benchmark Study,” 2024, [Online]. Available: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-privacy-benchmark-study-2024.pdf?CCID=cc000160&DTID=esootr000875&OID=rptsc032067
[2] Gibson Dunn, “The EU Agrees on a Path Forward for the AI Act,” Gibson Dunn. Accessed: Jan. 05, 2024. [Online]. Available: https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/
[3] S. J. Russell, K. Perset, and M. Grobelnik, “Updates to the OECD’s definition of an AI system explained,” OECD.AI. Accessed: Jan. 03, 2024. [Online]. Available: https://oecd.ai/en/wonk/ai-system-definition-update
[4] Dentons, “The New EU AI Act – the 10 key things you need to know now,” Dentons. Accessed: Jan. 03, 2024. [Online]. Available: https://www.dentons.com/en/insights/articles/2023/december/14/the-new-eu-ai-act-the-10-key-things-you-need-to-know-now
[5] Bertelsmann Stiftung, “CHINA’S SOCIAL CREDIT SYSTEM.” 2023. [Online]. Available: https://www.bertelsmann-stiftung.de/fileadmin/files/aam/Asia-Book_A_03_China_Social_Credit_System.pdf
[6] EU AI Act, “Art. 10 Data and Data Governance - EU AI Act.” Accessed: Jan. 09, 2024. [Online]. Available: https://www.euaiact.com/article/10
[7] PricewaterhouseCoopers, “The Artificial Intelligence Act demystified,” PwC. Accessed: Jan. 09, 2024. [Online]. Available: https://www.pwc.ch/en/insights/regulation/ai-act-demystified.html
[8] L. Sartori and A. Theodorou, “A sociotechnical perspective for the future of AI: narratives, inequalities, and human control,” Ethics Inf Technol, vol. 24, no. 1, p. 4, Jan. 2022, doi: 10.1007/s10676-022-09624-3.
