Kommentar von Lori Witzel, Tibco Software Weltweite KI-Verordnungen? Den Anfang macht möglicherweise die EU

Anbieter zum Thema

Vogel IT-Medien GmbH

Fujitsu Technology Solutions GmbH

Fivetran Germany GmbH

TIBCO Software GmbH

Für Datenexperten sind Gesetze, Governance und Compliance nichts Neues. Doch nun, da der Wirbel um die EU-DSGVO sich langsam legt, erscheint etwas Neues und gleichermaßen Großes am Horizont. Die Europäische Union hat ihren Entwurf für eine KI-Verordnung (Artificial Intelligence Act, EU AIA) im April 2021 unter der Leitung des Ressorts „Ein Europa für das digitale Zeitalter“ vorgelegt.

Das Ziel der Verordnung unter Federführung der Kommission lautet, „Europa zum globalen Zentrum für vertrauenswürdige künstliche Intelligenz (KI)“ zu machen und, in Partnerschaft mit den Mitgliedsstaaten, den weltweit ersten Rechtsrahmen für KI zu entwickeln.

Auf dem Papier erscheint und klingt das fantastisch; man stelle sich das als eine „Bill of Rights“ für KI vor: Eine Welt, in der KI verantwortungsvoll und sicher genutzt und gefördert werden muss, sodass sie ausschließlich eine vertrauenswürdige Anwendererfahrung liefert. In der Praxis wird die Verordnung von Datenexperten viel Aufmerksamkeit, großen Einsatz und eine gute Portion Hirnschmalz erfordern. Es gibt vieles in dem Text, das sie erst noch verstehen und in ihren Teams und Systemen vorbereiten müssen, um die empfindlichen Strafen für die Nichteinhaltung der Vorschriften in der Verordnung zu vermeiden.

Was bedeutet das?

Um die Tragweite dieser Verordnung zu begreifen, ist es hilfreich zu verstehen, was die Verordnung als KI definiert. In diesem frühen Stadium des Verordnungsentwurfs ist die aktuelle Definition relativ breit angelegt und umfasst Ansätze für maschinelles Lernen, logik- und wissensbasierte Ansätze, Expertensysteme, statistische Ansätze, die Bayes‘sche Schätztheorie, andere statistische Methoden sowie Such- und Optimierungsmethoden. Es ist daher naheliegend, dass auch jegliche Modellierung mithilfe von Augmented Analytics und Data Science unter die Verordnung fallen wird.

Darüber hinaus wird es wie im Fall der europäischen Datenschutz-Grundverordnung keinen Unterschied machen, ob ein Unternehmen seinen Sitz außerhalb der EU-Grenzen hat. Sobald es eine Verbindung in die EU gibt, seien es Kunden, Zulieferer, Beschäftigte oder nur die Herstellung von für die EU bestimmten Produkten, findet die Verordnung Anwendung. Verstöße sollen mit Geldstrafen für die Unternehmen geahndet werden — im Detail ist im Entwurf von Strafen von bis zu 30 Millionen Euro oder sechs Prozent des weltweiten Jahresumsatzes die Rede. Unternehmen, die mit dem Gedanken spielen, ein Schlupfloch zu suchen, ist dringend davon abzuraten. Die Verordnung stellt deutlich fest, dass für die Weitergabe inkorrekter, unvollständiger oder irreführender Informationen an Regierungsbehörden Strafen in Höhe von zehn Millionen Euro oder zwei Prozent des Umsatzes festgesetzt werden sollen.

Wo und wann wird die Verordnung in Kraft treten?

Es scheint, als wäre noch genug Zeit, allerdings hat die Vorbereitung auf die EU-DSGVO gezeigt, dass die Zeit nicht ausreichen wird, um es sich gemütlich zu machen. Offiziell wurde die Verordnung an den EU-Parlamentsausschuss übergeben und soll daraufhin durch den Ministerrat geprüft werden. Erst wenn sie verabschiedet ist, beginnt der zweijährige Einführungszeitraum.

Dabei lässt sich nicht genug betonen, dass die geplante Verordnung nicht darauf abzielt, KI zu stigmatisieren. Stattdessen will sie dazu beitragen, Europa als Kompetenzzentrum für KI zu positionieren. Tatsächlich kommt die Verordnung zu einem Zeitpunkt, an dem die Welt gerade beginnt, das Potenzial von KI in den verschiedenen Märkten, die sich über unterschiedlichste Branchen wie Gesundheitswesen, Transport, Energie, Landwirtschaft, Tourismus und sogar Cybersecurity erstrecken, zu erkennen und zu heben. Die Verordnung konzentriert sich deshalb auf KI-Systeme, die als hoch riskant eingestuft werden.

Die Systeme, die aller Voraussicht nach unmittelbar davon betroffen sein werden, sind Teil eines Sicherheitssystems, einer kritischen Infrastruktur, des Bereichs Aus- und Fortbildung, von Mitarbeiterprogrammen, Finanzdienstleistungen, Strafverfolgung, Grenzkontrolle oder Justiz und unterliegen dem Harmonisierungsrecht des Europäischen Binnenmarkts.

Was können die Unternehmen jetzt tun?

Zuallererst kommt es darauf an, generell die Sichtweise auf KI zu verändern. Wenn ein Unternehmen bereits in irgendeiner Form mit seiner digitalen Transformation oder einem Automatisierungsprojekt begonnen hat, ist die Wahrscheinlichkeit, dass dabei KI schon mit im Spiel ist, äußerst hoch. Deshalb empfiehlt es sich, als Erstes einen Risikominimierungsplan für KI einzuführen und sicherzustellen, dass die Führungskräfte im Unternehmen mit an Bord sind. Denn KI ist allgegenwärtig. Auch wenn das Führungsteam vielleicht der Überzeugung ist, dass sie nicht die Terminator-KI Skynet verwenden und keine Roboter zu Erlangung der Weltherrschaft bauen, ist es wichtig, dass sie wissen, wie das Unternehmen KI in seinen Daten- und Automatisierungsprozessen einsetzt. Aussagen wie „Das war mir nicht bewusst“ werden bei den Aufsichtsbehörden keinerlei Mitleid erregen.

Eine geänderte Sichtweise auf KI wird dazu führen, dass die Unternehmen offenlegen, wo sie KI im Betrieb einsetzen. Dafür müssen sie alle ihre neuen, alten und geplanten Systeme durchforsten und dürfen sich dabei nicht nur auf das beschränken, was sichtbar ist. Sie müssen herausfinden, was ihre Lieferanten nutzen, ihre Cloudservices prüfen und welche KI dort in ihrem Namen verwendet wird, und anschließend all das dokumentieren. Nur wenn die Unternehmen einen vollständigen Überblick haben, können sie faktenbasierte Entscheidungen treffen, wie sie die Vorschriften und Klassifizierungen der EU einhalten können. Zu den Systemen, die sie einer genaueren Prüfung unterziehen müssen, werden auch solche gehören, die maschinelles Lernen zur Mustererkennung, Anomalieerkennung und Ursachenanalyse am Edge, dynamische Preisgestaltung, Interaktionen mit Kunden, digitale Zwillinge zur Ertragssteigerung, Produktionsüberwachung und zustandsabhängige Instandhaltung sowie Betrugs- und Risikomanagement verwenden.

Ferner sollte ein entscheidungsbefugtes Beobachterteam geschaffen werden, das sich nicht nur aus Datenwissenschaftlern, sondern aus Verantwortlichen unterschiedlichster Bereiche zusammensetzt. Dieses Team sollte Teil eines ebenfalls zu gründenden internen Steuerungskomitees für die KI-Verordnung werden. Dem Beobachterteam können dann unterschiedliche Aufgaben in den verschiedenen Geschäftsbereichen übertragen werden. Dort lassen sich ihre Erkenntnisse umsetzen, um die Risiken von KI-Algorithmen im Team zu managen.

Jetzt handeln

Es kann nicht genug betont werden, wie wichtig es ist, diesen Prozess jetzt zu starten. Ein grundlegender Unterschied zwischen personenbezogenen Daten, dem Gegenstand der EU-DSGVO, und KI liegt darin, dass Künstliche Intelligenz nicht immer sichtbar ist. Sie ist oftmals so tiefgehend mit den Systemstrukturen verwoben, dass geschäftliche Anwender sie nicht einmal wahrnehmen, sondern sich damit begnügen, ihre Ergebnisse wertzuschätzen – die visuellen Analysen, welche die Systeme ihnen monatlich liefern, oder die Erkenntnis, dass ihre Kunden Tafelwasser gesüßten, kohlensäurehaltigen Getränken vorziehen.

Zu guter Letzt sollten die Unternehmen sich auf dem Laufenden halten. Die EU pflegt eine Liste mit Updates zur KI-Verordnung und sobald die Dinge ins Rollen kommen, wird es schnell vorangehen.

(ID:47848507)