EU AI Act

Scheitert generative KI an der Regulierung?

29.08.2023 von Sebastian Bluhm
Geht es um die Regulierung generativer KI in der EU, wird die Lage schnell unübersichtlich. Dieser Artikel beschreibt den aktuellen Stand für IT-Entscheider.
Bei der Regulierung von generativer KI über den EU AI Act sind noch viele Fragen offen. CIOs können und sollten aber jetzt schon Vorkehrungen für einen produktiven Einsatz treffen.
Foto: Dragon Claws - shutterstock.com

Kennen Sie die "Wo ist Walter"-Bücher? Auf den Bildern des britischen Zeichners Martin Handford herrscht stets ein großes Wirrwarr. Hunderte Menschen sind darauf zu sehen, sie rennen wild umher oder kämpfen miteinander, sie lachen und weinen, tanzen und stolpern. Kurzum: Es ist schrecklich viel los - und unmöglich, den Überblick zu behalten. Die Aufgabe ist es, auf diesen Wimmelbildern eine bestimmte Person zu finden. Nämlich Walter, der meist ungerührt vom ganzen Trubel seinen eigenen Weg geht.

Beim Anblick eines dieser Bilder musste ich kürzlich an die Auseinandersetzungen rund um die Nutzung und Regulierung generativer KI in der EU denken. Denn auch hier wird es zunehmend schwierig, den Überblick zu behalten.

Was wir heute mit Sicherheit sagen können, und was nicht

Bevor wir uns ins Getümmel werfen, beginnen wir mit dem, was wir mit Sicherheit wissen. Erstens: Das Potenzial generativer KI ist riesig. Foundation Models, insbesondere die der amerikanischen Tech-Konzerne, haben in den vergangenen Jahren große Fortschritte gemacht. Trainiert mit Milliarden von Datensätzen sind sie in der Lage, in immer mehr Bereichen Leistungen auf menschlichem Niveau zu erbringen.

Kein Wunder, dass viele Unternehmen prüfen, wie sie die großen Foundation Models, oft auch Large Language Models (LLM) genannt, in ihre Geschäftsmodelle integrieren können. Ob Fachkräftemangel oder effiziente Nutzung von Ressourcen: Die Hoffnung, die Fähigkeiten generativer KI zur Lösung drängender Probleme einsetzen zu können, ist groß.

Zweitens: Die KI-Regulierung kommt. Der EU AI Act, der aktuell im Europäischen Parlament diskutiert wird, soll künftig dafür sorgen, dass in der EU entwickelte beziehungsweise eingesetzte KI-Modelle den gesetzlichen Rahmenbedingungen und Werten der Europäischen Union entsprechen. Sie müssen Anforderungen an Sicherheit, Datenschutz und Transparenz genügen, dürfen bestehende Diskriminierungsmechanismen nicht weiter verstärken und sollen weder der Gesellschaft noch der Umwelt schaden.

Was wir bisher noch nicht wissen, ist, wie diese Dinge ineinander spielen und was am Ende dabei herauskommen wird. Wie wird sich die europäische Gesetzgebung auf die großen Foundation Models auswirken? Wird die Leistung der Modelle unter den strengen Regeln leiden? Könnten eventuell sogar europäische Anbieter von der Regulierung profitieren?

Wird mangelnde Transparenz zum Stolperstein für OpenAI und Co.?

Eine aktuelle Studie des Stanford Center for Research on Foundation Models scheint eine erste Antwort zu geben. Die Forschenden untersuchten, ob - Stand heute - zehn der bekanntesten LLMs den geplanten Anforderungen des EU AI Act entsprechen.

Das Ergebnis: Insbesondere an den Anforderungen in Sachen Transparenz drohen viele der beliebtesten Modelle zu scheitern. Das heißt im Klartext: Würde der AI Act morgen in Kraft treten, dürften sie in der EU in dieser Form womöglich nicht länger angeboten werden. Sechs der zehn betrachteten Modelle - darunter GPT-4 von OpenAI, PaLM 2 von Google und LLaMa von Facebook, aber auch das Modell Luminous des deutschen Start-ups Aleph Alpha - erzielten weniger als die Hälfte der maximal möglichen Punkte.

Ein zentraler Kritikpunkt der Studie an allen Sprachmodellen ist ihr Umgang mit urheberrechtlich geschützten Daten. So werden aktuell viele Modelle mit Daten aus dem Internet trainiert, von denen ein nennenswerter Teil höchstwahrscheinlich urheberrechtlich geschützt ist. Aber: Kaum ein Anbieter veröffentlicht Informationen über den Copyright-Status der eingesetzten Trainingsdaten.

Unternehmen schwanken zwischen Skepsis und Verlockung

Droht diese mangelnde Transparenz also zum Stolperstein für die Anbieter der großen Foundation Models zu werden? Erwartet uns nach Inkrafttreten des EU AI Acts ein europaweites Verbot der Systeme? Oder ein Rückbau ihrer Funktionen?

Das ist noch nicht gesagt. Zwar haben bereits einige Staaten damit begonnen, führende Sprachmodelle kritisch zu prüfen, und deren Nutzung teilweise eingeschränkt. In Italien wurde ChatGPT aber beispielsweise nach wenigen Wochen (und der Umsetzung überschaubarer Auflagen) wieder erlaubt.

Ein ähnliches Phänomen zeigt sich auch bei vielen unserer Kunden. Nach anfänglicher Skepsis aufgrund von Datenschutzbedenken schwenken einige Unternehmen nach wenigen Wochen um. Zu attraktiv sind die Fähigkeiten der großen Sprachmodelle. Und zu unwahrscheinlich die Möglichkeit, in absehbarer Zeit eine ebenbürtige Anwendung entwickeln zu können, die allen Anforderungen an Transparenz und Datenschutz genügt. Open AI, Google und Co. haben ihren Job gut gemacht. Die Verlockung ist zu groß.

Der genaue Gesetzestext steht noch nicht fest

Der europäische Gesetzgeber steht derweil vor der Herausforderung, dass sich die Foundation Models nur schwer in die definierten Risikokategorien einordnen lassen. Auf den ersten Blick handelt es sich bei generativer KI um Systeme mit begrenztem Risiko. Doch die neuesten Modelle sind so vielfältig anwendbar, dass sie selbstverständlich auch in Hochrisiko-Anwendungen zum Einsatz kommen können und werden. Es macht eben einen Unterschied, ob ich mir von ChatGPT einen LinkedIn-Post vorbereiten lasse, oder ob in einer Behörde die Anträge auf Sozialleistungen automatisiert beantwortet werden (nicht, dass das jemand vorhätte). Die Festlegung der Technologie auf eine spezifische Risikoklasse greift jedenfalls zu kurz.

Das Europäische Parlament hat darauf reagiert, indem es eine zusätzliche Regelung für Foundation Models eingebracht hat. Der entsprechende Artikel enthält neun Verpflichtungen für die Entwickler generativer KI, darunter Risikobewertung und Transparenz.

Noch wird in den europäischen Institutionen also um den genauen Gesetzestext gerungen. Dass in dieser Situation die großen Tech-Konzerne ihre Lobbyismus-Maschinen anschmeißen, um die Regulierung in ihrem Sinne zu beeinflussen, versteht sich von selbst. Und auch Organisationen wie der KI-Bundesverband, dessen Mitglied ich bin, versuchen, noch letzte Änderungen durchzusetzen - darunter eine engere Definition von künstlicher Intelligenz sowie begleitende Maßnahmen zur Förderung von Startups und KMU in Europa.

Eins ist klar: Die Lage ist unklar

Hinzu kommt, dass es weitere Gesetzgebungsverfahren gibt, die die Nutzung der amerikanischen Systeme innerhalb von Europa erschweren könnten - zumindest wenn personenbezogene Daten im Spiel sind. Nach aktuellem Stand kann durch das Privacy Shield 2.0 bald wieder eine Verarbeitung von personenbezogenen Daten auf Servern von US-Unternehmen und damit auch von KI-Modellen stattfinden. Doch der Datenschutzaktivist Max Schrems hat die nächste EuGH-Klage schon in der Schublade. Es ist also nicht sicher, wann und in welcher Form das geplante Abkommen zu den Datentransfers zwischen der EU und den USA zustande kommt oder wie lange es halten wird.

Somit ist eigentlich nur eines klar: Nämlich, dass die Lage unübersichtlich bleibt. Für Unternehmen ist das eine herausfordernde Situation. Wie sollen Sie in Bezug auf die Nutzung großer Sprachmodelle strategische Entscheidungen treffen, während noch völlig unklar ist, wie es weitergeht?

Das Thema künstliche Intelligenz verfrüht abzutun oder auch nur die Verabschiedung der Regulierung abzuwarten, ist jedoch keine Option. Zu groß ist der ökonomische Zugzwang, die neue Technologie gewinnbringend im eigenen Geschäft einzusetzen. Ob im dynamischen Wettbewerb, als Gegenmittel gegen den grassierenden Fachkräftemangel oder um den Verlust von Wissen durch den Weggang erfahrener Mitarbeiter aufzufangen: Die Bereiche, in denen generative KI zu einer enormen Entlastung führen kann, sind zahlreich.

CIOs sollten deshalb alles daran setzen, ihre unternehmerischen Spielräume zu erhalten. Es gilt eine flexible Strategie zu finden, mit der sie ihrem Unternehmen die größtmögliche Unabhängigkeit bewahren - vom Ausgang des Gesetzgebungsverfahrens genauso wie von den großen amerikanischen Tech-Konzernen.

Generative AI: So reduzieren Sie Risiken und Abhängigkeiten

Hierfür gibt es verschiedene Möglichkeiten. Wer sich für die Nutzung eines Large Language Models im Rahmen eigener Anwendungen entscheidet, kann zum Beispiel eine Abstraktionsschicht zwischen die eigenen Systeme und das Sprachmodell schalten (beispielsweise mit Frameworks wie Langchain oder Haystack). Diese ermöglicht es, das Modell bei Bedarf auszutauschen, ohne den kompletten Code umschreiben zu müssen.

Darüber hinaus sollten Unternehmen einen möglichst großen Teil der Wertschöpfung innerhalb der eigenen Infrastruktur abbilden. Nehmen wir beispielsweise an, Sie möchten einen Chatbot für Ihren Kundensupport aufbauen. Die Antworten des Bots basieren auf dem Fachwissen Ihres Unternehmens, das Sie mithilfe von Semantic Search und Information Retrieval intern aufbereiten können und sollten.

Wenn es aber darum geht, die Antworten eloquent auszuformulieren, ist es sinnvoll, eines der großen Sprachmodelle hinzuzuziehen. Es sei denn, man hat genügend Zeit und Ressourcen, ein eigenes, performantes LLM zu bauen - was bei vielen Unternehmen eher unwahrscheinlich ist. Durch diese klare Aufgabenverteilung zwischen eigenen und externen Systemen stellen Sie sicher, dass dem Foundation Model eine möglichst kleine und austauschbare Rolle zukommt.

Auf Ebene des Datenschutzes wiederum ist meine Empfehlung, immer auf größtmögliche Sicherheit zu setzen. Diese Haltung sehe ich auch bei unseren Kunden. Personenbezogene und andere unternehmensinterne Daten möchte niemand teilen - unabhängig von der aktuellen Gesetzeslage.

Auch hierfür gibt es technische Lösungen, etwa die Bereitstellung zweier verschiedener Subnetze: Die Verarbeitung personenbezogener Daten findet dann in Bereichen statt, die von außen gar nicht erreichbar sind. Und das externe Modell hat nur Zugriff auf die anonymisierten Daten im anderen Subnetz.

KI ist nicht gleich ChatGPT

Zuletzt möchte ich noch erwähnen, dass künstliche Intelligenz und ChatGPT nicht gleichzusetzen sind. CIOs wissen das. Und doch hatte ich im vergangenen Jahr gelegentlich den Eindruck, dass diese Tatsache in Vergessenheit geraten ist. Wenn Sie in Ihrem Unternehmen also den Einsatz von KI planen, sollten Sie zunächst genau prüfen, welche Probleme Sie lösen möchten und welche Technologien hierfür infrage kommen.

Wenn Sie sich dann nach ausgiebiger Prüfung für den Einsatz eines großen Sprachmodells entschieden haben, können Sie die oben beschrieben technischen Vorkehrungen treffen, um Risiken und Abhängigkeiten weitestmöglich zu reduzieren.

Und dann? Dann können Sie wie Walter durch das Wimmelbild der KI-Regulierung spazieren und ganz entspannt Ihrem eigenen Weg folgen. (wh)