Was ist geplant?
Der Gesetzentwurf über Künstliche Intelligenz (KI) der EU-Kommission sieht vor, dass der Einsatz von KI-Technologie in Zukunft bestimmten Regeln unterliegt. Diese sind davon abhängig, welche Risiken für den Menschen dabei entstehen. Wichtig ist dabei, dass die Regeln nicht von der Technologie selbst abhängen, sondern von der Anwendung, in der sie eingesetzt werden soll. Das ist insofern bemerkenswert, da es berücksichtigt, dass die Anwendungen der entscheidende Hebel für den Nutzen – also der Chancen – aber eben auch der Risiken ist. Die Technologie an sich ist wertfrei.
Verschiedene Risiko-Kategorien geplant
Begrenztes Risiko
Geht von der KI kein oder nur ein kleines Risiko aus, sollen die Auflagen sich in Grenzen halten. Hier dürften Anwendungen wie Spamfilter, KI-unterstützte Spiele, Klassifikation von Rechnungen in unkritischen Bereichen wie Administration dazu gehören. Anforderung soll in dieser Kategorie sein, dass der Nutzer über den KI-Einsatz informiert wird (Transparenzpflicht) und entscheiden kann, ob er den Service weiter nutzen will – ähnlich wie es bei der Zustimmung zum Cookie-Einsatz bei Webseiten heute bereits der Fall ist.
Hohes Risiko
Werden KI-Systeme in einer als Hochrisiko definierten Anwendung eingesetzt, wie z.B. Sicherheitskomponenten von Produkten, in vielen Bereichen der Medizintechnik, des Personalmanagements oder in kritischer Infrastruktur, so unterliegen sie besonderen Regularien und Dokumentationspflichten. Damit sollen vor allem die Grundrechte der Menschen geschützt werden. Ähnlich wie bei existierenden Qualitätsmanagementsystemen (QMS) nach ISO 9001 oder ISO 13485 wäre der Nachweis vom Hersteller zu erbringen, dass die entwickelten Systeme regelkonform sind.
Verbotene Anwendungen
Verboten sind Anwendungen, die die Werte der Europäischen Union wie die Grundrechte verletzen würden oder als Bedrohung der Bürger wahrgenommen werden können, wie beispielsweise die Manipulation und Beeinflussung der Bevölkerung. Auch die Bewertung von sozialem Verhalten (Social Scoring) soll darunterfallen. Für die wenigsten Unternehmen sollte dieser Punkt relevant sein. Wer sich aus gesellschafts-kritischer Sicht mit diesen Aspekten näher auseinandersetzen möchte, dem empfehle ich das erste Kapitel aus „21 Lektionen für das 21. Jahrhundert“von Yuval Harari, der diese Dystopie anschaulich formuliert hat.
Worauf muss ich als Unternehmen achten?
Unternehmen brauchen eine gute Basis an KI-Wissen und Datenkompetenz, um das geplante EU-Gesetz korrekt umsetzen zu können. Schwierig wird in jeder Hinsicht die eigene Einordnung von Anwendungen in die richtige Risiko-Kategorie. Hier wird von Seiten der Wirtschaft bereits ein Nachbessern gefordert, um die Unternehmen nicht dem Risiko auszusetzen, sich
- entweder in eine zu niedrige Kategorie einzuordnen, und damit den Dokumentationspflichten evtl. nicht nachzukommen,
- oder sich (vorsichtshalber) in eine zu hohe Kategorie einzuordnen und sich mit unnötigen Bürokratie-Aufwand selbst weniger wettbewerbsfähig zu machen.
Jedes Unternehmen, für das die KI-Technologie in Frage kommt, wird diese Bewertungen intern durchführen wollen, wo das Fachwissen über die jeweilige Anwendung und der Nutzergruppen vorhanden ist. Nur so kann eine effektive Umsetzung gewährleistet werden.
Es vermutlich bis 2025 dauern, bis der Gesetzgebungsprozess abgeschlossen ist. Viele erinnert das Vorhaben und die darin erhaltenen Auflagen für Unternehmen jedoch schon jetzt an die damalige Einführung der DSGVO, die oft erst spät auf der Agenda der Unternehmensführungen landete – das sollte diesmal besser gelingen.
Dieser Artikel wird von uns regelmäßig aktualisiert. Abonnieren Sie hier unseren Newsletter KI-News, um über Neuerungen informiert zu werden.
Bei Fragen oder Anregungen freuen wir uns wie immer über Ihre Nachricht.