Vorbereitung auf das EU-KI-Gesetz: Governance richtig gestalten

Das EU-Gesetz zur künstlichen Intelligenz (KI) setzt neue Maßstäbe für die menschliche Aufsicht und die Einhaltung von Vorschriften für künstliche Intelligenz (KI) in der Europäischen Union. Ähnlich wie die DSGVO für den Datenschutz hat das EU-KI-Gesetz das Potenzial, den Ton für kommende KI-Regulierungen weltweit anzugeben.

Anfang 2024 verabschiedete das Europäische Parlament, bestehend aus 27 Mitgliedsstaaten, einstimmig das EU-KI-Gesetz. Das Gesetz durchläuft nun die letzten Phasen des Gesetzgebungsverfahrens und wird voraussichtlich in der zweiten Jahreshälfte 2024 schrittweise in Kraft treten.Die Bestimmungen des EU-KI-Gesetzes zu verstehen und sich auf die Einhaltung der Vorschriften vorzubereiten, ist für jedes Unternehmen, das KI entwickelt, bereitstellt oder nutzt – oder plant, dies zu tun – von entscheidender Bedeutung.

Das KI-Gesetz zielt darauf ab, „die Position Europas als globales Kompetenzzentrum für KI vom Labor bis zum Markt zu stärken, sicherzustellen, dass KI in Europa festgelegte Werte und Regeln respektiert, und das Potenzial von KI für den industriellen Einsatz zu nutzen.“

– European Parliament News

Der Hauptschwerpunkt des EU-KI-Gesetzes liegt auf der Stärkung der Einhaltung von Vorschriften in den Bereichen Risikomanagement, Datenschutz, Qualitätsmanagementsysteme, Transparenz, menschliche Überwachung, Genauigkeit, Robustheit und Cybersicherheit. Das Gesetz soll die Transparenz und Rechenschaftspflicht bei der Entwicklung und dem Einsatz von KI-Systemen fördern und dazu beitragen, dass die auf den Markt gebrachten KI-Produkte für Einzelpersonen sicher sind.

Das EU-KI-Gesetz zielt darauf ab, sich der Herausforderung zu stellen, KI in Branchen wie dem Gesundheitswesen, dem Finanzwesen und der Energiebranche verantwortungsvoll bereitzustellen. Für Branchen, die wesentliche Dienstleistungen für Kunden erbringen, wie Versicherungen, Banken und den Einzelhandel, verlangt das Gesetz die Durchführung einer Folgenabschätzung für die Grundrechte, in der detailliert beschrieben wird, wie sich der Einsatz von KI auf die Rechte der Kunden auswirkt.

Das EU-KI-Gesetz schreibt vor, dass Allzweck-KI-Modelle, einschließlich generativer KI-Systeme wie Large Language Models (LLMs) und Foundation Models, sich an ein Klassifizierungssystem halten müssen, das auf systematischen Risikostufen basiert. Für höhere Risikostufen gelten strengere Transparenzanforderungen, einschließlich Modellbewertung, Dokumentation und Berichterstellung. Dazu gehören auch die Bewertung und Minderung von Systemrisiken, die Meldung schwerwiegender Vorfälle und die Bereitstellung von Schutzmaßnahmen gegen Cybersicherheitsrisiken. Darüber hinaus umfassen diese Transparenzanforderungen die Pflege einer aktuellen technischen Dokumentation, die Bereitstellung einer Zusammenfassung der für das Modelltraining verwendeten Inhalte und die Einhaltung der europäischen Urheberrechtsgesetze.

Das EU-KI-Gesetz verfolgt einen risikobasierten Ansatz und verwendet Ebenen, um das Risiko zu klassifizieren, das KI-Systeme für die Gesundheit, Sicherheit oder Grundrechte einer Person darstellen. Die drei Ebenen sind:

• Systeme mit geringem Risiko wie Spam-Filter oder Videospiele unterliegen gesetzlich nur wenigen Anforderungen, abgesehen von der Transparenzpflicht 

• KI-Systeme mit hohem Risiko wie autonome Fahrzeuge, medizinische Geräte und kritische Infrastrukturen (Wasser, Gas, Strom usw.) erfordern, dass Entwickler und Nutzer zusätzliche regulatorische Anforderungen einhalten:
  • Risikomanagement implementieren, Genauigkeit, Robustheit und ein Framework für die Rechenschaftspflicht bereitstellen, das menschliche Aufsicht einschließt
  • Einhaltung der Transparenzanforderungen für Benutzer, Aufzeichnungen und technische Dokumentation

• Verbotene Systeme mit wenigen Ausnahmen sind Systeme, die ein inakzeptables Risiko darstellen, wie z. B. Social Scoring, Gesichtserkennung, Emotionserkennung und biometrische Fernidentifikation in öffentlichen Räumen

Das EU-KI-Gesetz legt auch fest, wie Kunden benachrichtigt werden, wenn ein Chatbot verwendet wird oder ein System zur Emotionserkennung zum Einsatz kommt. Es gibt zusätzliche Anforderungen für die Kennzeichnung von Deepfakes und die Identifizierung, wenn generative KI-Inhalte in den Medien verwendet werden.

Die Nichteinhaltung des EU-KI-Gesetzes kann kostspielig sein:

7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist) für die Bereitstellung falscher Informationen. 15 Millionen Euro oder 3 % des gesamten weltweiten Jahresumsatzes eines Unternehmens (je nachdem, welcher Betrag höher ist) für Verstöße gegen die Verpflichtungen des EU-KI-Gesetzes.

– VentureBeat

Das EU-KI-Gesetz ist derzeit das umfangreichste rechtliche Framework für KI-Vorschriften. Regierungen auf der ganzen Welt nehmen dies zur Kenntnis und diskutieren aktiv darüber, wie die KI-Technologie reguliert werden kann, um sicherzustellen, dass ihre Bürger, Unternehmen und Regierungsbehörden vor potenziellen Risiken geschützt sind. Darüber hinaus legen Stakeholder, von Unternehmensvorständen bis hin zu Verbrauchern, in Bezug auf KI zunehmend Wert auf Vertrauen, Transparenz, Fairness und Rechenschaftspflicht.

IBM watsonx.governance unterstützt Sie bei der Beschleunigung verantwortungsvoller, transparenter und erklärbarer KI-Workflows

IBM watsonx.governance ermöglicht es Ihnen, Ihre KI-Governance sowie die Steuerung, Verwaltung und Überwachung der KI-Aktivitäten Ihres Unternehmens zu beschleunigen. Es nutzt Software-Automatisierung, um Ihre Fähigkeit zur Risikominderung, zur Verwaltung von Richtlinienanforderungen und zur Steuerung des Lebenszyklus von generativen KI- und prädiktiven Machine-Learning-Modellen (ML) zu verbessern.

Watsonx.governance hilft dabei, die Transparenz, Erklärbarkeit und Dokumentation von Modellen in drei Schlüsselbereichen voranzutreiben:

• Compliance – Unterstützen Sie die Verwaltung der KI-Transparenz und die Einhaltung von Richtlinien und Standards. Verknüpfen Sie Daten mit wichtigen Risikokontrollen und nutzen Sie Factsheets, um die Erfassung und Berichterstellung von Modell-Metadaten zur Unterstützung von Anfragen und Audits zu automatisieren.

• Risikomanagement – Voreingestellte Risikoschwellen helfen, Risiken von KI-Modellen proaktiv zu erkennen und zu mindern. Überwachen Sie auf Fairness, Abweichungen, Verzerrungen, Leistung im Vergleich zu Bewertungsmetriken, Fälle von toxischer Sprache und den Schutz personenbezogener Daten (Personal Identifiable Information, PII). Gewinnen Sie mit benutzerbasierten Dashboards und Berichten Erkenntnisse zu Unternehmensrisiken.

• Lifecycle Governance –Unterstützen Sie mithilfe integrierter Workflows und Genehmigungen die Steuerung sowohl generativer KI- als auch prädiktiver Machine-Learning-Modelle über den gesamten Lebenszyklus hinweg. Überwachen Sie den Status von Anwendungsfällen, Änderungsanfragen während des Prozesses, Herausforderungen, Problemen und zugewiesenen Aufgaben.

Die Einhaltung der Datenschutzgesetze und -richtlinien liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Dienstleistungen oder Produkte von IBM die Einhaltung von Gesetzen oder Vorschriften durch den Kunden sicherstellen.