Kommentar von Prof. Dr. Frank Schönefeld, T-Systems MMS Die Datensouveränität im Kontext von KI-Anwendungen wahren

Von Prof. Dr. Frank Schönefeld

Anbieter zum Thema

Künstliche Intelligenz (KI) ist aus unserem Alltag nicht mehr wegzudenken: Sprachassistenten helfen beim Einkaufen, Staubsauger-Roboter halten die Wohnung sauber und Autos parken ohne menschliche Hilfe ein. Auch die Zahl der Unternehmen, die KI-Systeme nutzen, steigt stetig. Die moderne Technologie optimiert unsere Abläufe und spart Ressourcen.

Prof. Dr. Frank Schönefeld ist Mitglied der Geschäftsleitung von T-Systems MMS und  verantwortlich für die Bereiche Technologieentwicklung und Innovation.
Prof. Dr. Frank Schönefeld ist Mitglied der Geschäftsleitung von T-Systems MMS und verantwortlich für die Bereiche Technologieentwicklung und Innovation.
(Bild: T-Systems MMS)

Doch schon seit einigen Jahren mehren sich die Stimmen von Technologie-Experten, die vor den Gefahren Künstlicher Intelligenz warnen. Denn die rasant ansteigende Nutzung von KI birgt einige Risiken. Falsche Korrelationen in den Trainingsdaten etwa können zu Diskriminierung bei Jobeinstellungen, Kreditvergaben oder anderen personenbezogenen Entscheidungen führen. Noch drastischer: KI kann eine Bedrohung für die Demokratie darstellen. Erstellt jemand mittels KI-Anwendungen in krimineller Absicht sogenannte Deepfakes, also extrem realistisch wirkende Videos und Bilder, häufig mit kompromittierendem Inhalt, kann das zu verstärkter Polarisierung, Wahlmanipulation und persönlicher Erpressung führen.

In knapp einem Jahr tritt nun der Artificial Intelligence Act (AI Act) in Kraft, der Betreiber und Nutzer von KI-Systemen dazu verpflichtet, bestimmte Regularien zu erfüllen. Laut einer PwC-Studie von 2020 haben allerdings bisher drei Viertel aller Unternehmen keine Standards zu ethischen Fragen festgehalten. Viel Zeit bleibt ihnen also nicht mehr, um das Versäumte nachzuholen.

Das Dilemma: Innovationspotenzial vs. Ethik

Es gibt schon jetzt eine Vielzahl von Bemühungen, den Umgang mit KI nach ethischen Richtlinien zu regeln. So wurde im März 2019 vom KI Bundesverband e. V. das KI-Gütesiegel vorgestellt. Und auch innerhalb der Europäischen Union (EU) gibt es Bestrebungen, KI-Systeme einheitlich zu regulieren. Gleichwohl reicht allein eine Kontrolle der KI-Ethik nicht aus: Die Menschen selbst müssen ethischen Regeln folgen. Und dieselben Regeln nachweislich in KI-Systeme implementieren, um deren Missbrauch zu verhindern.

Eine legislative Grundrichtung gibt die EU etwa mit der DSGVO und dem Artificial Intelligence Act (AI Act) vor. Letzterer soll „(…) bei der Entwicklung einer sicheren, vertrauenswürdigen und ethisch vertretbaren künstlichen Intelligenz weltweit eine Führungsrolle einnehmen und für den Schutz von Ethikgrundsätzen sorgen.“ 2024 soll der AI Act in Kraft treten und für 27 Länder und über 447 Millionen Menschen gelten. Damit möchte die EU ein einheitliches Gesetz im Umgang mit Künstlicher Intelligenz schaffen. Gleichzeitig werden andere Länder – wie schon bei der DSGVO geschehen – Teile der Gesetzgebung in ihre nationale Regulierung übernehmen.

Was soll sich mit dem AI Act ändern?

Der AI Act umfasst, kurz gesagt, Vorschriften für die Entwicklung, Einführung und Nutzung von Künstlicher Intelligenz. Er legt eine Risikobewertung von KI-Systemen fest, auf deren Basis Einschränkungen oder Verbote abgeleitet werden. Grundsätzlich ist der Einsatz von KI verboten, wenn ein hohes Risiko für die menschliche Gesundheit oder Sicherheit besteht sowie wenn die Nutzung zu Grundrechtsverletzungen führen könnte.

Dazu zählt die Anwendung von KI-Systemen, die:

  • das soziale Verhalten natürlicher oder juristischer Personen zum Zweck der Verhaltensprognose bzw. -steuerung bewerten (sogenannte Sozialkredit-Systeme oder Social Scoring)
  • durch unterschwellige Manipulation zu psychischen oder physischen Schäden von Personen führen
  • Kinder oder geistig behinderte Menschen ausbeuten und psychische oder physische Schäden verursachen
  • Gesichter zum Zweck der Strafverfolgung in öffentlich zugänglichen Räumen biometrisch identifizieren

Eingeschränkt und im Rahmen eines Risikomanagementsystems überwacht werden KI-Systeme mit der Einstufung „hohes Risiko“. Dieses Risiko bezieht sich auf die Datenqualität und -verwaltung sowie technische Dokumentation, die Bereitstellung von Informationen und die menschliche Aufsicht im Hinblick auf Genauigkeit, Robustheit und Sicherheit. KI-Systeme mit einem geringen Risiko oder gänzlich ohne sind uneingeschränkt erlaubt. Der AI Act empfiehlt allerdings freiwillige Verhaltenskodizes im Umgang mit diesen Systemen.

Die Umsetzung übernehmen schließlich auf europäischer und nationaler Ebene Behörden, die die Kriterien für die Risikoeinschätzung festlegen und überwachen. Sie können Sanktionen ergreifen, um die Verordnung durchzusetzen. Bei Verstößen gegen die gelisteten Verbote oder gegen Anforderungen der Hochrisiko-Systeme bezüglich der Datenverwaltung sind Geldbußen von bis zu 30 Millionen Euro oder sechs Prozent des Gesamtjahresumsatzes vorgesehen. Unternehmen oder öffentliche Stellen, die KI-Anwendungen entwickeln oder verwenden, sind verpflichtet, bestimmte Anforderungen und Verpflichtungen einzuhalten.

Bedeutung für den Umgang mit Künstlicher Intelligenz

Die Strafen für Verstöße sind also durchaus beträchtlich, weshalb es für Anbieter und Nutzerinnen und Nutzer von Künstlicher Intelligenz umso wichtiger ist, die Regularien des AI Acts zu kennen und zu befolgen. Anbieter sind hier in der Pflicht, ein auf KI bezogenes Qualitätsmanagement zu etablieren sowie eine technische Dokumentation zu führen und Protokolle verpflichtend zu machen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Betreiber müssen außerdem eine Konformitätsbewertung vornehmen und das System im Falle wesentlicher Änderungen neu bewerten. Das KI-System selbst muss zudem in einer entsprechenden EU-Datenbank registriert werden und eine CE-Kennzeichnung aufweisen, die eine Konformitätserklärung beinhaltet. Nach dem Inverkehrbringen des Systems sind regelmäßige Überwachungen vorgeschrieben. Hier ist es empfehlenswert, dass Unternehmen mit der nationalen Aufsichtsbehörde zusammenarbeiten.

In 5 Schritten auf den AI Act vorbereiten

Unternehmen haben jetzt die Chance, sich rechtzeitig und umfassend vorzubereiten. Das lässt sich in folgenden Schritten umsetzen:

  • 1. Wissen aneignen: Das Aneignen von Wissen rund um KI und den AI Act ist essenziell. Alle Mitarbeiterinnen und Mitarbeiter müssen darüber in Kenntnis gesetzt werden, wo KI sie in ihrem beruflichen Alltag begleitet und wo ihr Unternehmen sie grundsätzlich anwendet. Besonders wichtig ist dabei die Aufklärung über Vorteile und Risiken.
  • 2. Das richtige Mindset schaffen: Eine digitale Unternehmensverantwortungsstrategie (CDR) zu entwickeln und nachhaltig in die Prozesse zu integrieren, fördert das Vertrauen in KI. Das lässt sich realisieren, wenn das Unternehmen bereits etablierte Standards, Normen und Leitlinien in seine Prozesse integriert hat. Hierfür gibt es unternehmensübergreifende Workshops und Beratungskonzepte, die Interessenten bei der Entwicklung und Implementierung von Leitlinien zur ethischen Betrachtung von KI-Anwendungen unterstützen.
  • 3. Fakten schaffen und Transparenz zeigen: Um zu veranschaulichen, wie konkret Technologie Menschen unterstützt, ist es sinnvoll, die Vorteile von Technologien zu veranschaulichen. Hier helfen Indikatoren wie etwa die Anzahl der Phishing-Angriffe, die KI-gestützte Anwendungen abgewehrt haben oder die Summe der so entdeckten Anomalien. Solche Fakten demonstrieren den Mehrwert von Technologie und wirken dadurch vertrauensfördernd. Außerdem kann es sinnvoll sein, die Programmierung mittels Data Sheets transparent zu machen, um so die Funktionsweise der Technologie darzulegen.
  • 4. Interdisziplinarität aufbauen: Der Umgang mit Künstlicher Intelligenz geht über die IT-Verantwortung hinaus und ist vor allem im Data Privacy Management und Risk Management einzuordnen. Daher sollten Unternehmen abteilungs- und funktionsübergreifende Arbeitskreise bilden, beispielsweise mit IT-Fachleuten, Jurist*innen, Risikomanager*innen und Datenschutzverantwortlichen. So können sie effizient und ohne Doppelungen alle Aspekte der neuen Verordnung abdecken: juristische Anforderungen, technische Notwendigkeiten und Umsetzungsmöglichkeiten.
  • 5. Zertifizierung nach Qualitätsstandards: Beim Erarbeiten von Qualitätsstandards für einen sicheren Einsatz von KI muss niemand das Rad neu erfinden: Es gibt bereits zahlreiche Qualitätsstandards, die eine Softwareentwicklung nach datenschutztechnischen und ethischen Kriterien erleichtern. Ein unternehmensinternes Privacy-and-Security-Assessment-Verfahren (PSA-Verfahren) kann beispielsweise eine sichere und faire System- und Produktentwicklung unterstützen. Die Telekom hat beispielsweise in ihr PSA-Verfahren auch KI-Kriterien eingegliedert, um dadurch wichtige Kriterien der Technologie zu berücksichtigen. Weitere ethische Qualitätsstandards, nach denen sich Unternehmen zertifizieren können, beinhaltet unter anderem die Norm ISO 25010. Damit allen Spezialisten und Spezialistinnen, wie etwa Projektleitern, Datenexperten und Programmierern, die Umsetzung der KI-Leitlinien im Entwicklungsprozess gelingt, gibt es Checklistendokumente der European AI Alliance und attestierte Kriterienkataloge für eine vertrauenswürdige KI.

Digitale Ethik operativ und strategisch verankern

Unternehmen müssen sich aktiv mit digitaler Ethik befassen und diese strategisch wie operativ in ihrem Handeln verankern. Denn die ethische Gestaltung von Algorithmen muss ein zentraler Bestandteil der Unternehmenskultur und der Zusammenarbeit zwischen Organisationen sein.

Das bedeutet zunächst einen hohen zeitlichen und finanziellen Aufwand, gleichzeitig bietet sich für Unternehmen die Chance, sich vor Eintreten des neuen Gesetzes klar zu positionieren und so das Vertrauen von Kunden, Partnern und auch potenziellen Mitarbeitern zu festigen.

(ID:48983884)