ADMIN
2023
01
2022-12-29T12:00:00
Collaboration
PRAXIS
051
Künstliche Intelligenz
Artificial Intelligence
Der AI Act und seine Folgen
Digitale Ethik denken
von Dr. Frank Schönefeld
Veröffentlicht in Ausgabe 01/2023 - PRAXIS
Mit immer mehr digitalen Technologien ist es notwendig, frühzeitig ethische Fragen und Grundsätze für den Umgang mit Daten zu berücksichtigen. Doch die wenigsten Unternehmen verfügen hier über ausformulierte Standards. Das muss sich in knapp einem Jahr ändern, denn dann tritt der Artificial Intelligence Act in Kraft. Er verpflichtet Betreiber und Anwender von KI-Systemen dazu, bestimmte Regularien zu erfüllen. Welche das sind und inwiefern diese IT-Verantwortliche betreffen, zeigt unser Beitrag.

Künstliche Intelligenz ist aus unserem Alltag nicht mehr wegzudenken: Sprachassistenten helfen beim Einkauf oder spielen die liebsten Musiktitel, Staubsauger-Roboter halten die Wohnung sauber und manche Autos parken sogar ohne menschliche Hilfe ein. Die moderne Technologie optimiert unsere Abläufe, spart Ressourcen, stiftet so ihren Nutzen für Gesellschaft und Umwelt und verschafft wirtschaftliche Wettbewerbsvorteile.
KI oft mit Vorurteilen
Doch ihre Nutzung birgt auch viele Risiken, insbesondere die sogenannte "Generating AI", die beispielsweise aus Texteingaben Bilder erzeugen kann. Ihre Modelle basieren auf Datensätzen von neunstelliger Größe aus zahlreichen Quellen. Und gerade diese Datenbasis, auf deren Grundlage Künstliche Intelligenz lernt, bildet die Realität selten vollständig ab.
So finden sich zum Beispiel immer wieder Algorithmen, die auf geschlechterrollenspezifischen Klischees basieren, etwa indem bei Eingabe des Akronyms CEO die Künstliche Intelligenz einen Mann mit weißer Hautfarbe darstellt.
Künstliche Intelligenz ist aus unserem Alltag nicht mehr wegzudenken: Sprachassistenten helfen beim Einkauf oder spielen die liebsten Musiktitel, Staubsauger-Roboter halten die Wohnung sauber und manche Autos parken sogar ohne menschliche Hilfe ein. Die moderne Technologie optimiert unsere Abläufe, spart Ressourcen, stiftet so ihren Nutzen für Gesellschaft und Umwelt und verschafft wirtschaftliche Wettbewerbsvorteile.
KI oft mit Vorurteilen
Doch ihre Nutzung birgt auch viele Risiken, insbesondere die sogenannte "Generating AI", die beispielsweise aus Texteingaben Bilder erzeugen kann. Ihre Modelle basieren auf Datensätzen von neunstelliger Größe aus zahlreichen Quellen. Und gerade diese Datenbasis, auf deren Grundlage Künstliche Intelligenz lernt, bildet die Realität selten vollständig ab.
So finden sich zum Beispiel immer wieder Algorithmen, die auf geschlechterrollenspezifischen Klischees basieren, etwa indem bei Eingabe des Akronyms CEO die Künstliche Intelligenz einen Mann mit weißer Hautfarbe darstellt.
Wenn Vorurteile in Daten einfließen, wendet die Künstliche Intelligenz diese an, und was diese einmal falsch gelernt hat, vergisst sie nicht mehr. Diskriminierungsfreie Datensätze bei großen Datenmengen zu gewährleisten, ist keine leichte Aufgabe. Zum einen liegt es an der Frage der technischen Umsetzbarkeit und zum anderen an der Festlegung der Maßstäbe für diskriminierungsfreie Daten. Werden diskriminierende Algorithmen erst einmal entdeckt, gilt es herauszufinden, auf Basis welcher Daten der Algorithmus gelernt hat. Im schlimmsten Fall ist die Quelle nicht bekannt und der Fehler nicht behebbar.
AI Act soll 2024 kommen
Trotz dieser Komplexität sollten IT-Verantwortliche nicht kapitulieren. Es braucht einen umfassenden und ausgewogenen Ansatz, der gemeinsame Werte und technologischen Fortschritt ins Lot bringt – und das, ohne das Innovationspotenzial von Technologien zu hemmen. Eine legislative Grundrichtung gibt die Europäische Union vor, durch die DSGVO oder den aktuellen Vorstoß des Artificial Intelligence Acts (AI Act). Dieser soll ergänzend zur DSGVO "... bei der Entwicklung einer sicheren, vertrauenswürdigen und ethisch vertretbaren künstlichen Intelligenz weltweit eine Führungsrolle einnehmen und für den Schutz von Ethikgrundsätzen sorgen."
Aktuell noch in der Überarbeitung, soll der AI Act 2024 in Kraft treten und für 27 Länder und über 447 Millionen Menschen gelten. Damit ist innerhalb der EU ein einheitliches Gesetz im Umgang mit Künstlicher Intelligenz geplant. Gleichzeitig dürften andere Länder (wie schon bei der DSGVO geschehen) bestimmte Passagen in ihre nationalen Gesetze übernehmen. Anfang Dezember ist auf Ministerebene eine erste Einigung erreicht worden, im Anschluss wird sich entscheiden, wann die finalen Verhandlungen im EU-Parlament geltend gemacht werden.
Das ändert sich mit dem AI Act
Kurz gefasst enthält der AI Act Vorschriften für die Entwicklung, Einführung und Nutzung von Künstlicher Intelligenz. Er legt eine Risikoeinstufung von KI-Systemen fest, auf Basis derer Einschränkungen oder Verbote abgeleitet werden. Grundsätzlich ist ein Einsatz von KI inakzeptabel und verboten, wenn ein hohes Risiko für die menschliche Gesundheit, Sicherheit und Grundrechte besteht. Dazu zählt die Anwendung von KI-Systemen, die
- das soziale Verhalten natürlicher oder juristischer Personen zum Zweck der Verhaltensprognose beziehungsweise -steuerung bewerten (sogenannte Sozialkredit-Systeme oder Social Scoring)
- durch unterschwellige Manipulation zu psychischen oder physischen Schäden von Personen führen
- Kinder oder geistig behinderte Menschen mit der Folge psychischer und physischer Schäden ausbeuten
- in öffentlich zugänglichen Räumen Gesichter zum Zweck der Strafverfolgung biometrisch fernidentifizieren.
Eingeschränkt werden sollen KI-Systeme, die die Einstufung "hohes Risiko" erhalten. Diese sind im Rahmen eines Risikomanagementsystems zu überwachen. Das beinhaltet die Datenqualität und -verwaltung sowie technische Dokumentation, die Bereitstellung von Informationen und die menschliche Aufsicht im Hinblick auf Genauigkeit, Robustheit und Sicherheit. KI-Systeme mit einem geringen bis hin zu keinem Risiko sind ohne Einschränkungen erlaubt, es werden allerdings freiwillige Verhaltenskodizes im Umgang mit diesen Systemen empfohlen.
Die Umsetzung erfolgt auf europäischer und nationaler Ebene. Auf europäischem Level schaffen EU-Mitgliedsstaaten Behörden, die die Kriterien für die Risikoeinschätzung benennen und überwachen. Zusätzlich unterstützt ein Europäischer Ausschuss für künstliche Intelligenz (EAKI) die Kommission als Expertenkreis bei der Umsetzung der Verordnung.
Auch national soll es zuständige Behörden geben, die als Marktüberwachungsbehörden und Teil des Expertenkreises agieren. Sie erhalten Zugang zu Daten und Dokumentationen der KI-Anbieter und können auf Verdacht eines bestehenden Risikos hin das System mit der Verordnung überprüfen und Korrekturmaßnahmen anordnen. Bei deren Nichtbefolgung können sie die Verwendung eines Systems einschränken oder unterbinden.
Zur Durchsetzung der Verordnung sind Sanktionen möglich. Bei Verstößen gegen die gelisteten Verbote oder gegen Anforderungen der Hochrisiko-Systeme bezüglich der Datenverwaltung sind Geldbußen von bis zu 30 Millionen Euro oder sechs Prozent des Gesamtjahresumsatzes vorgesehen. Unternehmen oder öffentliche Stellen, die KI-Anwendungen entwickeln oder verwenden, die ein hohes Risiko für die Sicherheit oder Grundrechte von Bürgern darstellen, sind verpflichtet, bestimmte Anforderungen und Voraussetzungen einzuhalten.
Folgen für den Umgang mit KI
Verstöße sind also nicht unerheblich, weshalb es umso wichtiger ist, dass Anbieter und Nutzer von Künstlicher Intelligenz die Regularien des AI Acts kennen und befolgen. KI-Anbieter sollten daher in ihrer Organisation ein auf die KI bezogenes Qualitätsmanagement etablieren und eine technische Dokumentation führen. Außerdem sollten Protokollierungspflichten eingeführt werden, damit die Nutzer KI-Systeme mit hohem Risiko überwachen können. Betreiber sind außerdem dazu angehalten, eine Konformitätsbewertung vorzunehmen und das System im Fall wesentlicher Änderungen neu zu bewerten.
Das KI-System selbst ist zudem in einer entsprechenden EU-Datenbank zu registrieren. Es muss eine CE-Kennzeichnung aufweisen und zudem ist eine Konformitätserklärung zu unterzeichnen. Nach dem Inverkehrbringen des Systems sind regelmäßige Überwachungen Pflicht, wobei sich eine Zusammenarbeit mit der nationalen Aufsichtsbehörde empfiehlt. Diese agiert auch als Marktüberwachungsbehörde und ist Teil des EAKI.
Nutzer von KI-Systemen wiederum sollten das KI-System gemäß seiner Gebrauchsanweisung bedienen und eine menschliche Aufsicht bei der Nutzung sicherstellen. Außerdem gilt es, den Betrieb auf mögliche Risiken hin zu überwachen und den Anbieter oder Händler über jeden schwerwiegenden Vorfall und jede Funktionsstörung zu informieren. Weiterhin sollten Anwender wissen, dass zusätzliche rechtliche Verpflichtungen (wie die DSGVO) weiterhin gelten.
IT-Administratoren mittendrin
Die Erfüllung der AI-Act-Regularien liegt hauptsächlich in der Verantwortung der Geschäftsleitung. Sie hat dafür Sorge zu tragen, dass die Unternehmensstrategie und Geschäftsplanung Gesetzgebungen wie den AI Act berücksichtigt und haftet schließlich im Fall von Verstößen. Hierbei muss sie eng mit den Bereichen Risk und Data Privacy Management zusammenarbeiten, die letztendlich gemeinsam mit der Rechtsabteilung Maßnahmen für die Umsetzung ins Leben rufen und deren Umsetzung gewährleisten müssen.
Aufgrund ihrer alltäglichen Tätigkeit im User Support sind IT-Administratoren bei der Umsetzung des AI Acts das Zünglein an der Waage: Sie kennen die genutzten Systeme im Unternehmen am besten und müssen User für die korrekte Nutzung der Systeme sensibilisieren. Die Admins erhalten Feedback der User und der Systeme und können dieses, vor allem wenn es sicherheitsrelevant ist, an das Daten- und Risikomanagement weitergeben. Ihnen obliegt die technologische Bewertung von System Issues und sie profitieren letztlich selbst von der KI, denn diese erleichtert ihre Arbeitsbedingungen.
So sind mittels der intelligenten Technologie Self-Healing-Programme anwendbar, die Anomalien erkennen und selbstständig beheben können, was die Rufbereitschaft der Administratoren enorm reduziert. Gemeinsam mit den Fachkräften aus dem Risk und Data Management und anderen IT-Berufsgruppen wie der Softwareentwicklung, IT-Projektleitung und Systemtechnikern liegt es an ihnen, sich für eine ausgewogene Regulierung einzusetzen, die das Innovationspotenzial neuer Technologien nicht einschränkt und trotzdem sicher und fair ist.
BSI sieht Nachbesserungsbedarf
Der aktuelle Entwurf wurde unter anderem von AlgorithmWatch und Bitkom ausführlich analysiert und diskutiert. Positiv sei, dass durch ihn digitale Ethik auf den politischen Agenden weltweit um einige Positionen nach oben rückt und er damit Debatten rund um KI auch außerhalb des engsten Expertenkreises entfacht. Zudem ist zu erwarten, dass sich Entscheidungsträger aus Drittstaaten und internationalen Organisationen am von der EU gesetzten Standard orientieren oder rechtfertigen müssen, wenn sie von diesem abweichen.
Das Positionspapier des Bitkom fordert aber auch eine engere Definition von Künstlicher Intelligenz. Zudem berücksichtige die Liste der hochriskanten KI-Anwendungen gegenwärtig nur den allgemeinen Einsatzbereich, nicht jedoch die konkrete Ausgestaltung der KI, ihre exakte Verwendung oder das eigentliche Risiko, das sie mit sich bringen.
Diese pauschale Einordnung habe zur Folge, dass eine Vielzahl von harmlosen KI-Anwendungen als hochriskant gelten. Dies gelte beispielsweise für Anwendungen zur Effizienzsteigerung von Arbeitsabläufen, wie beispielweise digitale Posteingangslösungen oder Anwendungen im Bewerbungsmanagement, die eine Sichtung von Einreichungen objektiver machen würden.
Außerdem biete die DSGVO bereits einen ausreichenden Schutz für Verbraucher und gelte schon für KI-Anwendungen, die personenbezogene Daten nutzen. Neue Anforderungen und Vorgaben durch eine zusätzliche KI-Regulierung könnten laut Bitkom daher zu Doppelregulierungen und einem inkonsistenten Rechtsrahmen führen. Dies hätte nicht nur einen zusätzlichen Aufwand und Rechtsunsicherheiten für Unternehmen zur Folge, sondern hemme auch langfristig Innovationen.
Der Bitkom schlägt vor, dass die EU-Kommission nach Abschluss des Gesetzgebungsverfahrens einen anwendungsorientierten Leitfaden vorlegen sollte, in dem die Regelungen praxisnah und einfach verständlich für KI-Entwickler aufgelistet werden, idealerweise mit Checklisten und Step-by-Step-Anleitungen.
So könnten die Leitlinien Softwareentwickler bei der Beantwortung der Fragen unterstützen, wann von einer KI-Anwendung ein hohes Risiko ausgeht oder wie sich sicherstellen lässt, dass Datensätze keine diskriminierenden Eigenschaften aufweisen.
Fazit
Es gilt im Bereich ethischer Standards für Künstliche Intelligenz noch einiges mitzudenken und sich dafür stark zu machen, dass Überarbeitungen und zusätzliche Richtlinien ineinandergreifen. Auch ist es wichtig, am AI Act Beteiligte auf allen Ebenen zu unterstützen.
Bis dahin bieten die fünf im Kasten genannten Empfehlungen einen guten Rahmen für die Nutzung verantwortungsvoller, sicherer und diskriminierungsfreier KI-Anwendungen.
(ln)
Prof. Dr. Frank Schönefeld ist Mitglied der Geschäftsleitung der T-Systems MMS und dort verantwortlich für Technologieentwicklung und Innovation.
Richtig auf AI Act vorbereiten
Unternehmen sollten sich rechtzeitig und umfassend auf den AI Act vorbereiten. Das lässt sich in folgenden Schritten umsetzen:1. Wissen aneignenSich bereits jetzt einen Wissensschatz rund um Künstliche Intelligenz per se und den AI Act aufzubauen, ist essenziell. Alle Mitarbeiter müssen darüber in Kenntnis gesetzt werden, wo KI sie in ihrem beruflichen Alltag begleitet und wo sie grundsätzlich im Unternehmen zur Anwendung kommt. Dabei ist eine Aufklärung zu leisten, welche Vorteile aber auch Risiken damit einhergehen. Bei der Einführung der DSGVO bestand weniger Erklärungsbedarf, weil sie für EU-Bürger mehr Sicherheit bedeutet. Der Anwendung von KI steht ein Großteil der Gesellschaft allerdings noch misstrauisch gegenüber. Laut einer TÜV-Studie wollen 85 Prozent der Befragten für Produkte und Anwendungen, die auf KI basieren, eine entsprechende Kennzeichnung.2. Das richtige Mindset schaffenEine digitale Unternehmensverantwortungsstrategie (CDR) zu entwickeln und nachhaltig in die Prozesse zu integrieren, sodass das ethische Mindset des Unternehmens in Fleisch und Blut übergeht, fördert das Vertrauen in KI. Dies lässt sich realisieren, wenn das Unternehmen bereits etablierte Standards, Normen und Leitlinien in seine Prozesse integriert hat. Hierfür gibt es unternehmensübergreifende Workshops und Beratungskonzepte der Tech-Branche, die bei der Entwicklung und Implementierung von Leitlinien zur ethischen Betrachtung von KI-Anwendungen unterstützen.3. Fakten und Transparenz zeigenUm sichtbarer zu machen, dass die Technologie noch immer dem Einfluss des Menschen unterliegt, eignen sich Berichte über sicherheitsstiftende Indikatoren, wie zum Beispiel die Anzahl erfolgreich abgewehrter Phishing-Anfragen, die Zahl der entdeckten Anomalien und viele weitere. So wird für alle ersichtlich, welchen Mehrwert die Technologie bietet, was ebenfalls vertrauensfördernd wirken kann. Auch sogenannte Data Sheets, die verwendete Trainingsdaten auflisten, können für mehr Transparenz sorgen. Ist die Künstliche Intelligenz fertig trainiert, lässt sich mithilfe von Model Cards offenlegen, wie die vorliegende KI entwickelt ist. /p>4. Interdisziplinarität aufbauenDer Umgang mit Künstlicher Intelligenz geht über die IT-Verantwortung hinaus und ist vor allem im Data-Privacy-Management und Risikomanagement einzuordnen. Es empfiehlt sich abteilungs- und funktionsübergreifende Arbeitskreise, beispielsweise aus IT-Fachleuten, Juristen, Risikomanagern und Datenschutzverantwortlichen, zu bilden. So werden alle Aspekte der neuen Verordnung, seien es juristische Anforderungen, technische Notwendigkeiten oder Umsetzungsmöglichkeiten, mitgedacht. Solche Expertenkreise sorgen ferner für weniger Doppelregulierungen, weil jedes Fachwissen miteinfließt.5. Zertifizieren nach QualitätsstandardsBeim Erarbeiten von Qualitätsstandards für einen sicheren Einsatz von KI muss das Rad allerdings nicht neu erfunden werden: Es gibt bereits zahlreiche Standards, die eine Softwareentwicklung nach datenschutztechnischen und ethischen Kriterien erleichtern. Ein unternehmensinternes Privacy-and-Security-Assessment-Verfahren (PSA-Verfahren) kann beispielsweise eine sichere und faire System- und Produktentwicklung unterstützen. Die Deutsche Telekom hat beispielsweise in ihr PSA-Verfahren auch KI-Leitlinien eingegliedert, um dadurch wichtige Kriterien der Technologie zu berücksichtigen. Weitere ethische Qualitätsstandards, nach denen sich Unternehmen zertifizieren können, beinhaltet unter anderem die Norm ISO 25010. Damit allen Spezialisten, wie etwa Projektleitern, Datenexperten und Programmierern, die Umsetzung der KI-Leitlinien im Entwicklungsprozess gelingt, gibt es Checklistendokumente. Auch im Bereich der Conversational AI existieren bereits attestierte Kriterienkataloge für eine vertrauenswürdige KI.