Artificial Intelligence Act
KI-Regulierung bedeutet Handlungsbedarf für Unternehmen
Foto: Ivan Marc - shutterstock.com
Absicht des EU AI Acts ist, das Vertrauen in KI-Systeme zu fördern. Das Gesetz verbietet deswegen bestimmte KI-Anwendungen. Untersagt ist beispielsweise der Einsatz von KI, die das Verhalten manipulieren und Menschen schaden kann. Unzulässig ist auch eine Bewertung des sozialen Verhaltens, wie es beispielsweise im chinesischen Sozialkreditsystem praktiziert wird.
Das neue Gesetz enthält Vorschläge, aber auch Verpflichtungen, die Unternehmen im Umgang mit Künstlicher Intelligenz (KI) kennen sollten. Lesen Sie hier, was jetzt auf Sie zukommt. Einen detaillierten Überblick, was Sie tun sollten, finden Sie im AI Playbook von OneTrust, einem renommierten Anbieter von Software für die Bereiche Datenschutz, Risikomanagement, Ethik und ESG.
Um den neuen Regulierungen Rechnung zu tragen, müssen Anbieter von KI-Systemen sehr viel vorbereiten.
Anforderungen an Anbieter von KI-Systemen:
|
1. Risikomanagement
Da KI-Systeme immer Risiken bergen, müssen Sie künftig Ereignisprotokolle führen und schwerwiegende Vorfälle oder Gesetzesverstöße den Marktaufsichtsbehörden melden. Deswegen müssen die Risiken bezüglich Wahrscheinlichkeit und Auswirkungen laufend bewertet und dokumentiert werden, ebenso wie Datenschutz und Sicherheit. Wenn die KI ein Risiko für Gesundheit, Sicherheit oder den Schutz grundlegender Rechte darstellt, kann die zuständige Aufsichtsbehörde unter Umständen anordnen, dass das System vom Markt genommen wird.
Foto: OneTrust, LLC
Einen praktischen Rahmen, um das Risiko bewerten zu können, bietet das KI-Risikomanagement-Rahmenwerk (RMF) des amerikanischen National Institute of Standards and Technology (NIST). Das RMF hilft, KI-Risiken zu erkennen. Außerdem bietet es Leitlinien, damit die Vorschriften eingehalten werden können.
2. Governance
Anbieter sollten jetzt Verfahren festlegen, die KI-Rollen und -Verantwortlichkeiten klären und Risiken minimieren. Nachzuweisen sind Entwurf, Entwicklung und Verwendung des KI-Systems. Sie können eine KI-Compliance-Strategie auch in Ihre QMS integrieren. Damit wird es möglich, die Risiken des KI-Einsatzes zu managen, die Compliance nachzuweisen und gleichzeitig die Effizienz Ihrer Prozesse zu steigern. OneTrust bietet dafür die nötigen Integrationsmöglichkeiten und Best Practices.
So integrieren Sie eine KI-Compliance-Strategie in Ihr QMS
|
"Mit einem AI Governance Programm gewährleisten Unternehmen eine verantwortungsvolle Nutzung von KI. Damit unterstützen sie den Aufbau von Vertrauen bei allen Stakeholdern, um Innovation zu ermöglichen und gleichzeitig Risiken zu mindern", sagt Felix Muckenfuß, AI Governance Specialist EMEA bei OneTrust.
Interessant ist dabei auch, dass die Plattform von OneTrust in der Lage ist, sich direkt in Ihre eigenen MLOps-Tools zu integrieren. Dabei werden Leitplanken implementiert und technische Metadaten gesammelt. Das erleichtert die Steuerung der KI-Entwicklung, während gleichzeitig die Belastung der technischen Teams für die Bereitstellung von Input reduziert wird. Zum Beispiel erhalten Sie sofortige Benachrichtigungen, wenn die Leistung des KI-Modells von den erwarteten Werten abweicht. Das erleichtert es, potenzielle Probleme zu erkennen und zu beheben.
3. Technische Dokumentation
Die EU-Regulierung sieht vor, dass Sie Daten und technische Einzelheiten des KI-Systems erläutern. Damit lassen sich dann Produktanforderungen ableiten und Gefahrenmodelle erstellen.
4. Aufsicht durch menschliches Personal
KI-Systeme sollten so konzipiert werden, dass sie Rechtsvorschriften, Menschenrechte und demokratische Werte respektieren. Hierbei gibt es drei unterschiedliche Ansätze:
• "Mensch-in-der-Schleife": Dies bezeichnet den Fall, dass ein Mensch die volle Kontrolle über die KI hat. Empfehlungen oder Entscheidungen seitens der KI müssen von dieser Person genehmigt werden.
• "Mensch-aus-der-Schleife": Hier hat das System die volle Kontrolle, ohne dass natürliche Personen beteiligt sind oder Entscheidungen außer Kraft setzen könnten.
• "Mensch-über-der-Schleife": In diesem Fall hat die menschliche Aufsicht eine Kontroll- oder Überwachungsfunktion mit der Möglichkeit des Eingriffs, wenn unerwartete oder unerwünschte Ereignisse beim KI-Modell auftreten.
5. Automatische Aufzeichnung von Vorgängen und Ereignissen
Konformitätsbewertungen stellen sicher, dass jedes KI-System den im EU AI Act beschriebenen Kriterien entspricht. Sie sollten also Tests konzipieren, die die Erkennung von Vorfällen und Informationsaustausch ermöglichen. Potenzielle Risiken können Sie mit Hilfe von KI-Folgenabschätzungen dokumentieren.
6. Transparente Informationen
Gegenüber den Aufsichtsbehörden haben Sie eine Informationspflicht: In Übereinstimmung mit ISO 23894 und anderen Rahmenwerken müssen Sie die Verantwortung für Entscheidungen, die durch die KI getroffen werden, sicherstellen und diese vor Behörden und Stakeholdern verantworten. In der Regel ist ein dafür benannter EU-Vertreter dafür zuständig, alle zuständigen Behörden über die bestehenden KI-Systeme zu informieren.
Für die Betreiber von KI-Systemen macht der EU AI Act ähnliche Vorschriften wie für Anbieter. Dies betrifft die Bereiche Governance sowie die Dokumentation der rechtlichen und regulatorischen KI-Anforderungen. Darüber hinaus müssen KI-Betreiber offenlegen, wenn ihr KI-System Deepfakes generiert, und Vorfälle oder Fehler melden.
Wo Sie Hilfe bekommen können
Insgesamt ist mit dem EU AI Act ein riesiger Aufwand verbunden, speziell was die Einhaltung von Datenschutz- und Compliance-Anforderungen angeht. Bei der Bewältigung der Bürokratie kann eine Plattform helfen, die das amerikanische Unternehmen OneTrust eigens für die Umsetzung des EU AI Acts entwickelt hat. Mit AI Governance lassen sich Risiken in Datensätzen erkennen und mindern, bevor die Daten zum Trainieren von ML-Algorithmen oder zur Eingabe in ein generatives KI-System verwendet werden.
Diverse Tools automatisieren Richtlinien und Verfahren für die Mensch-KI-Konfigurationen und die Aufsicht über KI-Systeme. Die Tools sind auch in der Lage, Rollen und Verantwortlichkeiten klar zu definieren und zu dokumentieren. Mit Hilfe der Plattform können Sie Vorfälle melden, den Einsatz von Hochrisiko-KI-Systemen überwachen, die Effizienz Ihrer KI-Systeme maximieren und die erforderliche Governance sicherstellen.
OneTrust LLC hat seinen regionalen Sitz für den DACH-Raum in München und wurde als Reaktion auf die zunehmende Regulierung und Gesetzgebung im Bereich des Datenschutzes im Internet gegründet. Spezialisiert ist OneTrust auf Data Governance, Compliance-Automatisierung und Datenschutz. Das Unternehmen hat mehr als 14.000 Kunden und hält 300 zugelassene Patente.
Detaillierte Handlungsempfehlungen können Sie hier downloaden. Mit einem AI-Spezialisten direkt in Kontakt treten oder eine AI Governance Demo anfordern können Sie hier.