Artificial Intelligence Act

KI-Regulierung bedeutet Handlungsbedarf für Unternehmen

29.05.2024
Anzeige  Die EU hat ihren Gesetzentwurf zur Regulierung der Künstlichen Intelligenz verabschiedet. Anbieter, wie auch Betreiber von KI müssen reagieren.
Die EU hat kürzlich den AI Act angenommen, der neue Beschränkungen für die Nutzung künstlicher Intelligenz vorsieht und Transparenz vorschreibt.
Foto: Ivan Marc - shutterstock.com

Absicht des EU AI Acts ist, das Vertrauen in KI-Systeme zu fördern. Das Gesetz verbietet deswegen bestimmte KI-Anwendungen. Untersagt ist beispielsweise der Einsatz von KI, die das Verhalten manipulieren und Menschen schaden kann. Unzulässig ist auch eine Bewertung des sozialen Verhaltens, wie es beispielsweise im chinesischen Sozialkreditsystem praktiziert wird.

Das neue Gesetz enthält Vorschläge, aber auch Verpflichtungen, die Unternehmen im Umgang mit Künstlicher Intelligenz (KI) kennen sollten. Lesen Sie hier, was jetzt auf Sie zukommt. Einen detaillierten Überblick, was Sie tun sollten, finden Sie im AI Playbook von OneTrust, einem renommierten Anbieter von Software für die Bereiche Datenschutz, Risikomanagement, Ethik und ESG.

Um den neuen Regulierungen Rechnung zu tragen, müssen Anbieter von KI-Systemen sehr viel vorbereiten.

Anforderungen an Anbieter von KI-Systemen:

  • Einrichtung und Betrieb eines Risikomanagements

  • Data Governance

  • Technische Dokumentation

  • Aufsicht durch menschliches Personal

  • Automatische Aufzeichnung von Vorgängen und Ereignissen

  • Transparente Informationen für die Nutzer

1. Risikomanagement

Da KI-Systeme immer Risiken bergen, müssen Sie künftig Ereignisprotokolle führen und schwerwiegende Vorfälle oder Gesetzesverstöße den Marktaufsichtsbehörden melden. Deswegen müssen die Risiken bezüglich Wahrscheinlichkeit und Auswirkungen laufend bewertet und dokumentiert werden, ebenso wie Datenschutz und Sicherheit. Wenn die KI ein Risiko für Gesundheit, Sicherheit oder den Schutz grundlegender Rechte darstellt, kann die zuständige Aufsichtsbehörde unter Umständen anordnen, dass das System vom Markt genommen wird.

KI-Gesetze und -Rahmenbedingungen
Foto: OneTrust, LLC

Einen praktischen Rahmen, um das Risiko bewerten zu können, bietet das KI-Risikomanagement-Rahmenwerk (RMF) des amerikanischen National Institute of Standards and Technology (NIST). Das RMF hilft, KI-Risiken zu erkennen. Außerdem bietet es Leitlinien, damit die Vorschriften eingehalten werden können.

2. Governance

Anbieter sollten jetzt Verfahren festlegen, die KI-Rollen und -Verantwortlichkeiten klären und Risiken minimieren. Nachzuweisen sind Entwurf, Entwicklung und Verwendung des KI-Systems. Sie können eine KI-Compliance-Strategie auch in Ihre QMS integrieren. Damit wird es möglich, die Risiken des KI-Einsatzes zu managen, die Compliance nachzuweisen und gleichzeitig die Effizienz Ihrer Prozesse zu steigern. OneTrust bietet dafür die nötigen Integrationsmöglichkeiten und Best Practices.

So integrieren Sie eine KI-Compliance-Strategie in Ihr QMS

  • Identifizieren Sie die relevanten Compliance-Anforderungen und Risiken Ihrer KI. Dazu gehören z. B. Datenschutz, Fairness, Transparenz und Erklärbarkeit der Systeme. Passen Sie Ihre QMS-Prozesse an, um diese Compliance-Anforderungen zu berücksichtigen. Dazu gehören z.B. Risikoanalysen, Testverfahren und Überwachungsmaßnahmen.

  • Nutzen Sie die Integrationsmöglichkeiten von OneTrust, um Compliance-Daten aus KI-Systemen zu erfassen und in Ihr QMS zu übernehmen. OneTrust bietet dafür eine Vielzahl von Schnittstellen zu gängigen Plattformen.

  • Automatisieren Sie so weit wie möglich die Compliance-Überwachung und -Berichterstattung für KI-Systeme, um die Effizienz zu steigern und Fehler zu vermeiden. OneTrust unterstützt dabei mit vorgefertigten Integrations-Lösungen für gängige Compliance-Frameworks wie ISO 27001 oder SOC 2.

  • Schulen Sie Ihr Personal in Bezug auf die Compliance-Anforderungen für KI und binden Sie diese in Ihre QMS-Prozesse ein. Nur so kann eine effektive Kontrolle und Überwachung sichergestellt werden.

"Mit einem AI Governance Programm gewährleisten Unternehmen eine verantwortungsvolle Nutzung von KI. Damit unterstützen sie den Aufbau von Vertrauen bei allen Stakeholdern, um Innovation zu ermöglichen und gleichzeitig Risiken zu mindern", sagt Felix Muckenfuß, AI Governance Specialist EMEA bei OneTrust.

Interessant ist dabei auch, dass die Plattform von OneTrust in der Lage ist, sich direkt in Ihre eigenen MLOps-Tools zu integrieren. Dabei werden Leitplanken implementiert und technische Metadaten gesammelt. Das erleichtert die Steuerung der KI-Entwicklung, während gleichzeitig die Belastung der technischen Teams für die Bereitstellung von Input reduziert wird. Zum Beispiel erhalten Sie sofortige Benachrichtigungen, wenn die Leistung des KI-Modells von den erwarteten Werten abweicht. Das erleichtert es, potenzielle Probleme zu erkennen und zu beheben.

3. Technische Dokumentation

Die EU-Regulierung sieht vor, dass Sie Daten und technische Einzelheiten des KI-Systems erläutern. Damit lassen sich dann Produktanforderungen ableiten und Gefahrenmodelle erstellen.

4. Aufsicht durch menschliches Personal

KI-Systeme sollten so konzipiert werden, dass sie Rechtsvorschriften, Menschenrechte und demokratische Werte respektieren. Hierbei gibt es drei unterschiedliche Ansätze:

• "Mensch-in-der-Schleife": Dies bezeichnet den Fall, dass ein Mensch die volle Kontrolle über die KI hat. Empfehlungen oder Entscheidungen seitens der KI müssen von dieser Person genehmigt werden.

• "Mensch-aus-der-Schleife": Hier hat das System die volle Kontrolle, ohne dass natürliche Personen beteiligt sind oder Entscheidungen außer Kraft setzen könnten.

• "Mensch-über-der-Schleife": In diesem Fall hat die menschliche Aufsicht eine Kontroll- oder Überwachungsfunktion mit der Möglichkeit des Eingriffs, wenn unerwartete oder unerwünschte Ereignisse beim KI-Modell auftreten.

5. Automatische Aufzeichnung von Vorgängen und Ereignissen

Konformitätsbewertungen stellen sicher, dass jedes KI-System den im EU AI Act beschriebenen Kriterien entspricht. Sie sollten also Tests konzipieren, die die Erkennung von Vorfällen und Informationsaustausch ermöglichen. Potenzielle Risiken können Sie mit Hilfe von KI-Folgenabschätzungen dokumentieren.

6. Transparente Informationen

Gegenüber den Aufsichtsbehörden haben Sie eine Informationspflicht: In Übereinstimmung mit ISO 23894 und anderen Rahmenwerken müssen Sie die Verantwortung für Entscheidungen, die durch die KI getroffen werden, sicherstellen und diese vor Behörden und Stakeholdern verantworten. In der Regel ist ein dafür benannter EU-Vertreter dafür zuständig, alle zuständigen Behörden über die bestehenden KI-Systeme zu informieren.

Für die Betreiber von KI-Systemen macht der EU AI Act ähnliche Vorschriften wie für Anbieter. Dies betrifft die Bereiche Governance sowie die Dokumentation der rechtlichen und regulatorischen KI-Anforderungen. Darüber hinaus müssen KI-Betreiber offenlegen, wenn ihr KI-System Deepfakes generiert, und Vorfälle oder Fehler melden.

Wo Sie Hilfe bekommen können

Insgesamt ist mit dem EU AI Act ein riesiger Aufwand verbunden, speziell was die Einhaltung von Datenschutz- und Compliance-Anforderungen angeht. Bei der Bewältigung der Bürokratie kann eine Plattform helfen, die das amerikanische Unternehmen OneTrust eigens für die Umsetzung des EU AI Acts entwickelt hat. Mit AI Governance lassen sich Risiken in Datensätzen erkennen und mindern, bevor die Daten zum Trainieren von ML-Algorithmen oder zur Eingabe in ein generatives KI-System verwendet werden.

Diverse Tools automatisieren Richtlinien und Verfahren für die Mensch-KI-Konfigurationen und die Aufsicht über KI-Systeme. Die Tools sind auch in der Lage, Rollen und Verantwortlichkeiten klar zu definieren und zu dokumentieren. Mit Hilfe der Plattform können Sie Vorfälle melden, den Einsatz von Hochrisiko-KI-Systemen überwachen, die Effizienz Ihrer KI-Systeme maximieren und die erforderliche Governance sicherstellen.

OneTrust LLC hat seinen regionalen Sitz für den DACH-Raum in München und wurde als Reaktion auf die zunehmende Regulierung und Gesetzgebung im Bereich des Datenschutzes im Internet gegründet. Spezialisiert ist OneTrust auf Data Governance, Compliance-Automatisierung und Datenschutz. Das Unternehmen hat mehr als 14.000 Kunden und hält 300 zugelassene Patente.

Detaillierte Handlungsempfehlungen können Sie hier downloaden. Mit einem AI-Spezialisten direkt in Kontakt treten oder eine AI Governance Demo anfordern können Sie hier.