Kommentar von Christian Meyer und Nabil Alsabah, msg Wird Künstliche Intelligenz durch den AI Act „verlässlicher“?

Nach wie vor bestehen gegenüber Künstlicher Intelligenz (KI) viele Ängste und Vorbehalte. Der AI Act und die Idee von „verlässlicher KI“ sollen dem entgegenwirken, indem sie für mehr Transparenz und Erklärbarkeit von KI-Anwendungen sorgen.

Anbieter zum Thema

Der Artificial Intelligence Act (AI Act) der Europäischen Kommission will für mehr Transparenz und Erklärbarkeit von KI-Anwendungen sorgen.
Der Artificial Intelligence Act (AI Act) der Europäischen Kommission will für mehr Transparenz und Erklärbarkeit von KI-Anwendungen sorgen.
(Bild: © Yingyaipumi - stock.adobe.com)

Eine Umfrage des Bitkom von 2020 zeigt: Die Menschen wollen KI, haben aber auch Angst vor ihr. Eine Mehrheit der gut 1.000 befragten Bürgerinnen und Bürger rechnet damit, dass KI die Gesellschaft in den kommenden fünf Jahren spürbar verändern wird und fordert, dass die Technologie stärker kontrolliert wird.

Aus der Erhebung geht hervor, dass der Begriff „KI“ zwar in der Mitte der Gesellschaft angekommen ist. Die Vorbehalte bestehen aber weiter. Vor diesem Problem stehen auch Unternehmen, die KI einsetzen oder dies planen. Effizienzsteigerungen und Kosteneinsparungen sind zweifelsohne deren großer Nutzen. Doch damit einhergehende Risiken – seien sie technischer Natur oder im Hinblick auf menschliche Vorbehalte – stellen nach wie vor Hindernisse für die breitere Anwendung von KI-Systemen dar.

Der Artificial Intelligence Act – eine KI-Regulierung auf EU-Ebene

Der Artificial Intelligence Act (AI Act) der Europäischen Kommission ist ein Ansatz, um diesen Spagat zu meistern. Einen Entwurf für diese Verordnung legte die EU-Kommission im April 2021 im Rahmen der EU-Digitalstrategie vor. Das Gesetz wird voraussichtlich innerhalb der nächsten zwei Jahre in Kraft treten. Dann bleibt Unternehmen und Institutionen ein Jahr Karenzzeit, um die Anforderungen umzusetzen. Danach kann ein Verstoß mit hohen Geldstrafen verbunden sein. Deshalb empfiehlt es sich für jede Organisation, die KI einsetzt oder neue KI-Projekte plant, sich schon jetzt mit der Regulierung zu beschäftigen.

Der AI Act baut auf das Konzept von „verlässlicher KI“ sowie auf einen risikobasierten Ansatz. Verlässliche KI umfasst dabei sechs Dimensionen:

  • 1. Ist eine Anwendung „fair“, sodass sie vorteilsfrei und transparent Entscheidungen trifft?
  • 2. Ist sichergestellt, dass Nutzerinnen und Nutzer die Kontrolle haben und Entscheidungen einer Anwendung revidieren können?
  • 3. Sind die Entscheidungen einer KI-Anwendung erklärbar und nachvollziehbar?
  • 4. Ist die Anwendung technisch robust aufgebaut?
  • 5. Bietet das KI-System Schutz vor unbefugtem Zugriff?
  • 6. Ist der Datenschutz gewährleistet?

Insbesondere die ersten drei Dimensionen, die sich als ethische Ebene zusammenfassen lassen, werden im AI Act berücksichtigt. Die neuen Anforderungen sollen KI transparenter und nachvollziehbarer machen sowie potenzielles Diskriminierungspotenzial eliminieren. Doch nicht alle Dimensionen sind für jede KI-Anwendung gleichermaßen relevant. Zum Beispiel muss eine Streaming-Anwendung, die Filme o. ä. empfiehlt, nicht unbedingt erklärbar sein. Deshalb ist in dem aktuellen Entwurf ein Stufensystem vorgesehen, das KI-Anwendungen in verschiedene Risikoklassen mit jeweils unterschiedlichen Auflagen einteilt. Die Stufen differenzieren zwischen „unannehmbarem Risiko“, „hohem Risiko“, „geringem Risiko“ und „minimalem Risiko“, wobei sich die Risiken konkret auf eine mögliche Verletzung von Grundrechten und auf Sicherheitsaspekte beziehen.

Welche Regeln gilt es je nach Risiko zu beachten?

Die Anforderungen, die durch den AI Act für KI-Systeme entstehen, hängen also von ihrer Klassifizierung ab. KI-Systeme mit minimalem Risiko sind von keinen zusätzlichen Regulierungen betroffen. Anwendungen mit geringem Risiko wie beispielsweise Chatbots müssen lediglich Transparenzpflichten erfüllen. Anders steht es um die KI-Systeme, die gemäß dem AI Act ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte der Menschen darstellen. Darunter fallen grundsätzlich alle KI-Systeme, die für die biometrische Identifizierung und Kategorisierung von Menschen verwendet werden. Auch Anwendungen, die mit personenbezogenen Daten arbeiten und auf deren Basis Entscheidungen treffen, sind in der Regel betroffen – zum Beispiel im Falle einer Personalsoftware.

Zwar dürfen diese Systeme noch eingesetzt werden, unterliegen aber umfangreichen Anforderungen und müssen sich einer ausführlichen Risikoprüfung durch Dritte unterziehen. Dabei erfolgt eine Analyse der Risiken hinsichtlich verschiedener Bereiche wie Datenschutz oder Fairness sowie eine Bewertung, inwieweit sie die Regularien des AI Acts erfüllen. Weiterhin werden an Hochrisiko-Systeme größere Anforderungen hinsichtlich ihrer Robustheit, Cybersicherheit, Genauigkeit und Data Governance gestellt. Dagegen handelt es sich bei KI-Anwendungen mit unannehmbarem Risiko um solche, die eine Bedrohung der Grundrechte darstellen und deshalb gänzlich verboten sind. Dazu zählen beispielsweise Systeme, die menschliches Verhalten manipulieren oder auch Social Scoring.

Die Erfüllung beginnt bei der Planung

Unternehmen stehen nun also vor der Aufgabe, bestehende KI-Anwendungen ihrem Risiko entsprechend einzuordnen sowie zu überprüfen, ob sie den jeweiligen Anforderungen entsprechen. Gleiches gilt natürlich auch für Systeme, die erst noch eingeführt werden. Das Problem ist dabei, dass die Diskussion darüber häufig noch sehr abstrakt und theoretisch ist. Das Bewusstsein für verlässliche KI und die neu entstehenden Anforderungen aus dem AI Act hat sich zwar in den vergangenen Jahren entwickelt. Allerdings eher auf einer hohen Managementebene als in der Planungsebene. Das führt dazu, dass nach wie vor KI-Projekte umgesetzt werden, die nachträglich nochmal angefasst oder sogar vollständig neu entwickelt werden müssen. Dadurch entsteht eine zeitliche sowie finanzielle Mehrbelastung, die – mit der richtigen Planung – zu vermeiden gewesen wäre.

Deshalb ist das wohl die größte Herausforderung für Unternehmen: Die Diskussion über verlässliche KI von der Theorie in die Praxis zu heben. Doch hier bietet der AI Act gleichzeitig auch Potenzial. Denn erstmalig ist ein reglementarisches Werkzeug vorhanden, das Schritte und Anforderungen definiert. Verschiedene Institute und Unternehmen haben auf dieser Basis bereits Prüfverfahren entwickelt, die sich konkret mit der Untersuchung von KI-Anwendungen hinsichtlich ihrer Verlässlichkeit beziehen. Sie beschäftigen sich im ersten Schritt mit einer Risikoeinordnung der jeweiligen Anwendung. Anschließend wird mit dem Management und dem Entwicklungsteam ein Prüfkatalog durchgearbeitet, der sich gezielt auf die Gefahren des KI-Systems im konkreten Anwendungsfall bezieht. So entsteht ein klares Bild darüber, inwieweit Risiken bestehen und die Anforderungen des AI Acts noch nicht erfüllt werden. Daraus wiederum lassen dann konkrete Handlungsempfehlungen für die spezifische Anwendung ableiten.

Der Weg zu einem europäischen Verständnis von KI

Manchen ist der AI Act aufgrund der Regeln und Restriktionen schon jetzt ein Dorn im Auge. Doch dabei muss eines klar gesagt sein: Er setzt in erster Linie Leitplanken. Diese Leitplanken sind nach dem europäischen Verständnis von einem ethischen Umgang mit Technologie wichtig. Daraus kann sich europäische KI sogar zu einer Art Aushängeschild und Qualitätsmerkmal entwickeln. Deshalb ist der AI Act ein richtiger Schritt. Stellen sich die neuen Regeln als wirksam heraus, ist zu erwarten, dass sich dies positiv auf das allgemein vorherrschende Bild gegenüber KI auswirkt. Die Vorteile von KI-Anwendungen, wie höhere Effizienz, Kosteneinsparungen und bequeme und einfache Prozesse, sind schließlich bereits in der Breite der Bevölkerung angekommen. Nun gilt es, die noch vorherrschenden Ängste zu nehmen und Vertrauen zu erarbeiten.

* Christian Meyer ist Principal Consultant im Bereich Public Sector bei msg und leitet die Entwicklung eines KI-Prüfverfahrens. Nabil Alsabah ist Lead Business Consultant im Bereich Public Sector bei msg.

(ID:48237036)