Wie ein etwas rumpeliger Hürdenlauf: So beschreibt Oliver Holzner den aktuellen Umgang der Unternehmen mit KI im Licht der neuen Regulierung. Er kennt sich aus. Schließlich betreut er als Lead Data Scientist bei Exxeta vor allem Unternehmen aus der Finanzbranche – ein Bereich, der traditionell stark von Regulierung geprägt ist. Wir sprechen mit ihm über Regeln im Umgang mit KI, wie Unternehmen diese bestmöglich umsetzen können und warum rasches Handeln ratsam ist.
Oliver, wie schätzt du die aktuellen Entwicklungen im Bereich KI-Regulierung ein?
Regulierung hat zwei Seiten: Einerseits schützt sie uns als Individuen. Unsere Werte, die wir als Gesellschaft teilen. Andererseits muss man auch sagen, dass Regulierung für Unternehmen eine große Herausforderung ist. Denn die Jurist:innen, die hinter den Auflagen und Regulierungen stecken, sind selten gleichzeitig Informatiker:innen. Das heißt, die regulatorische Entwicklung erfolgt nicht unbedingt synchron mit dem technischen Fortschritt.
Was bedeutet das für Unternehmen?
KI- und insbesondere GenAI-Anwendungen setzen nicht nur enorme kreative Potenziale frei und können wirtschaftliche Werte schaffen. Sie helfen Unternehmen auch, ihre Effizienz zu steigern. Diese Entwicklungen sollten wirtschaftlich genutzt werden. Interessant ist hier der RAI, der “Return on AI” unter Berücksichtigung der Regulierungskosten. Was bedeutet das? Unternehmen sollten schon aus Wettbewerbsgründen proaktiv agieren und sich gleichzeitig schon jetzt mit den regulatorischen Themen auseinandersetzen.
Welche aktuellen Entwicklungen im Bereich Regulatorik sind für Unternehmen relevant?
Es gibt drei Ebenen: Gesetz, Standard und Empfehlung. Ein Gesetz wie beispielsweise der AI-Act der Europäischen Union ist bindend, d. h. daran müssen sich die Unternehmen halten. Standards wie beispielsweise ISO 42001 sind für Unternehmen hochrelevant, da sie konkrete Orientierungshilfen liefern, wie sie mit KI umgehen sollten, und dieses über Zertifizierungen auch prüfbar belegt werden kann. Drittens gibt es Empfehlungen wie die der High-Level Expert Group on Artificial Intelligence (HLEG) der Europäischen Union. Sie umfassen Ethik-Leitlinien für vertrauenswürdige KI, also Non-Bias, Persönlichkeitsrechte, Nachhaltigkeit und anderes, was sich in der Regel bereits in den Werten des jeweiligen Unternehmens findet.
Wie können Unternehmen sicherstellen, dass sie den Regularien folgen?
Ich empfehle unseren Kunden immer, als ersten Schritt eine KI-Policy zu erstellen, um einen sicheren Rahmen für den Umgang mit KI zu haben. Hier sind Elemente wie Zweck und Umfang, ethische Richtlinien, Governance, Risikomanagement, Compliance, Training und Mitarbeiter-Awareness, sowie Update-Modalitäten der Policy geregelt.
Das klingt sehr allgemein.
Richtig, es handelt sich zunächst um eine Blaupause. Beim Kunden werden wir dann sehr konkret und passen die Policy genau an die Bedürfnisse des Unternehmens an. Und gleichen sie mit anderen Standards und Gesetzen ab. Beispiel DORA (Digital Operational Resilience Act): Hier kann GenAI einerseits deutliche Vereinfachungen im IKT-Vertragsmanagement bewirken und damit den DORA-Aufwand reduzieren. Andererseits bieten beispielsweise fehlerhafte/schädliche KI-Modelle, Schnittstellen oder Prompts neue DORA-relevante Angriffsflächen. Man sieht also, dass KI-Einsätze viele Regularien berühren und es wichtig ist, a priori unternehmensintern Klarheit zu schaffen.
Wie sind Unternehmen im Bereich KI-Policy aufgestellt?
Das ist verbesserungsfähig. Die Mitarbeitenden können nicht unbedingt abschätzen, welche Informationen sie nach außen tragen, also mit Systemen wie ChatGPT teilen dürfen. Es gibt das Beispiel eines großen Elektronikkonzerns, bei dem Mitarbeitende durch ihre Chatanfragen sensible Unternehmensinformationen geleakt haben. Weitere Gefahren liegen im Bereich des Urheberrechts, bei den erwähnten Manipulationen – genannt Prompt Injections – und natürlich im Umgang mit Kundendaten. Alle diese Fragen können und sollten in einer KI-Policy geregelt werden.
Warum fehlt aktuell noch der Appetit für eine KI-Policy?
Weil sowohl die Regulierung als auch die Technologie noch zu neu sind. Soll heißen das Wissen um ihre Potenziale ist noch nicht verbreitet genug. Hier leisten wir Aufklärungsarbeit und empfehlen eine robuste KI-Politik als Ausgangsvoraussetzung für eine sichere und gewinnbringende Steigerung der KI-Reife. Nach dem Motto: Jetzt handeln schafft Sicherheit.
Empfehlung: Was ist die AI HLEG der EU?
Die High-Level Expert Group on Artificial Intelligence (AI HLEG) der EU hat maßgeblich zur Entwicklung der Überlegungen der Kommission zur Künstlichen Intelligenz beigetragen. Die Empfehlungen der HLEG umfassen Überlegungen zu den Themen Wohlergehen und Recht des Menschen durch KI, Fairness und Nichtdiskriminierung, Transparenz und Erklärbarkeit, Sicherheit und Robustheit und Rechenschaftspflicht und Verantwortung.
Die Empfehlungen der HLEG sind nicht rechtsverbindlich. Sie stellen jedoch eine wichtige Grundlage für die weitere Diskussion über die Zukunft der KI in Deutschland und Europa dar.
Standard: Welche ISO-Standards im Bereich KI gibt es?
Der ISO 42001 ist ein internationaler ISO-Standard für Unternehmen, um die Einrichtung, Implementierung, Pflege und kontinuierliche Verbesserung eines KI-Managementsystems (AIMS) zu regeln und zu organisieren.
Es richtet sich an Unternehmen, die KI-basierte Produkte oder Dienstleistungen anbieten oder nutzen, und soll eine verantwortungsvolle Entwicklung und Nutzung von KI-Systemen gewährleisten.
Im Kern geht es bei der ISO 42001 darum, den Organisationen einen strukturierten Weg zu bieten, die Risiken und Chancen im Zusammenhang mit KI zu managen und dabei Innovation und Governance in Einklang zu bringen
Gesetz: Was umfasst der AI-Act der Europäischen Union?
Der KI-Act enthält ein Klassifizierungssystem für die Risikobewertung von KI. Je risikoreicher eine KI-Anwendung ist, desto strenger wird sie geprüft. Die überwiegende Mehrheit der KI-Systeme wird als risikoarm eingestuft, beispielsweise Systeme zur Empfehlung von Inhalten oder Spam-Filter. Für risikoreiche KI-Anwendungen, z. B. in medizinischen Geräten oder kritischen Infrastrukturen wie Wasser- oder Stromnetzen, gelten strengere Anforderungen.
Einige KI-Anwendungen sind verboten, weil sie als unannehmbare Risiken angesehen werden, wie z. B. soziale Scoring-Systeme, die das Verhalten von Menschen bewerten, bestimmte Arten der vorausschauenden Polizeiarbeit und Systeme zur Erkennung von Emotionen in Schulen und am Arbeitsplatz.
Zu den verbotenen Anwendungen gehört auch das Scannen von Gesichtern in der Öffentlichkeit durch KI-gestützte „biometrische Identifizierungssysteme“, es sei denn, es geht um schwere Verbrechen wie Entführung oder Terrorismus.
Was bedeutet der AI-Act der Europäischen Union für Unternehmen?
Für Unternehmen in Deutschland bedeutet der AI-Act, dass sie neue regulatorische Anforderungen erfüllen müssen. Unternehmen und Behörden, die in der EU KI-Systeme anbieten oder einsetzen, sind verpflichtet, die Bestimmungen des Gesetzes einzuhalten. Dazu gehört auch die Pflicht, Beschwerden über KI-Systeme einzureichen und Erklärungen abzugeben, wenn sie von KI-Systemen mit hohem Risiko betroffen sind und diese Systeme ihre Rechte beeinträchtigen.
