Geplante EU-Regeln für KI: Was Unternehmen schon heute tun können

Der Einsatz von Künstlicher Intelligenz soll in der EU künftig durch ein KI-Gesetz geregelt werden. Dieses stuft KI-Systeme in Risikokategorien ein, für die unterschiedliche Vorschriften gelten. Systeme, die für Menschen eine Gefahr sind, weil sie zum Beispiel deren Verhalten manipulieren, Menschen auf Basis ihrer sozialen Merkmale klassifizieren und benachteiligen oder aus der Ferne in Echtzeit biometrisch identifizieren, werden komplett verboten. Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte von Menschen darstellen, unterliegen hingegen strengen Auflagen. Diese Kategorie umfasst unter anderem KI-Systeme, die in Produkten zum Einsatz kommen, für die die Produktsicherheitsvorschriften der EU gelten oder die in einen von acht definierten Bereichen fallen und deshalb in einer EU-weiten Datenbank registriert werden müssen. Dazu zählen unter anderem Systeme für den Betrieb kritischer Infrastrukturen oder in der Personalverwaltung. Für Systeme, die generative KI einsetzen, müssen zusätzlich besondere Transparenzauflagen erfüllt werden und muss beispielsweise offengelegt werden, dass Inhalte von einer KI erzeugt wurden.

Durch den extraterritorialen Anwendungsbereich des KI-Gesetzes sind nicht nur europäische Unternehmen betroffen, sondern alle, deren KI-Systeme Auswirkungen innerhalb der EU haben. Sie müssen sicherstellen, dass ihre KI-Werkzeuge und Anwendungen mit KI-Unterstützung den Regelungen entsprechen und sicher, fair, transparent sowie nachvollziehbar arbeiten. Noch ist das KI-Gesetz zwar nicht verabschiedet, dennoch sollten sich Unternehmen schon heute darauf vorbereiten, da an den grundlegenden Regeln keine entscheidenden Änderungen mehr zu erwarten sind. Pegasystems, Anbieter einer Low-Code-Plattform, die die Agilität weltweit führender Unternehmen steigert, nennt die wichtigsten Maßnahmen:

1. Aufbau eines Frameworks für KI-Governance: Um den Verpflichtungen aus dem KI-Gesetz nachkommen zu können, benötigen Unternehmen ein Framework mit Richtlinien und Vorschriften für die Entwicklung, Bereitstellung und Nutzung von KI. Zu diesem muss unbedingt auch ein Risikomanagementsystem gehören. Dieses hilft, KI-Systeme nicht nur einmalig, sondern über ihren gesamten Lebenszyklus hinweg hinsichtlich möglicher Risiken zu überwachen und zu bewerten.
2. Anpassung von Organisationsstrukturen: Mit den Regelungen für KI-Systeme gehen neue Rollen und Verantwortlichkeiten einher. Unternehmen müssen deshalb neue Stellen und Organisationseinheiten in den Bereichen Risikomanagement und Compliance schaffen. Zudem ist es notwendig, das aktuelle Betriebsmodell anzupassen, damit die neuen Stellen und Einheiten reibungslos mit den bestehenden zusammenarbeiten und Werte für das Unternehmen generieren können.
3. Überprüfung von Werkzeugen und Technologien: Alle aktuell und künftig eingesetzten Tools bedürfen einer Überprüfung, ob sie KI nutzen und in welche Kategorie diese KI fällt. Eine gute technische Dokumentation der Tools erleichtert die Prüfungen und eine Sammlung von Protokolleinträgen die Kontrolle der Prüfaktivitäten und -ergebnisse. Transparente Hinweise klären Anwender über den KI-Einsatz in den von ihnen genutzten Tools auf.
4. Sicherstellen der KI-Modell-Governance: Unternehmen müssen sicherstellen, dass die in ihrem Governance-Framework festgelegten Praktiken, Richtlinien und Rahmenbedingungen zur Verwaltung und Überwachung der KI-Entwicklung, -Bereitstellung und -Wartung den Anforderungen des KI-Gesetzes entsprechen. Sie müssen aber auch dafür Sorge tragen, dass die für das Training, die Validierung und den Test von KI-Systemen verwendeten Datensätze zuverlässig sind, sprich: relevant, repräsentativ, fehlerfrei und vollständig. Das geht nur mit menschlicher Aufsicht – dementsprechend werden erfahrene Mitarbeiter gebraucht, die die KI-Systeme überwachen und gegebenenfalls intervenieren, wenn sie Verstöße gegen die KI-Governance feststellen.
5. Sicherstellen der Daten-Governance: Neben dem KI-Modell selbst unterliegen auch die Trainingsdaten verschiedenen Gesetzen und Richtlinien, etwa der DSGVO. Für Unternehmen geht es also nicht nur darum, ihre KI-Systeme mit korrekten und unvoreingenommen Daten zu füttern, sondern auch darum, diese Daten mit ordnungsgemäßer Zustimmung der Betroffenen zu erheben und konform zu allen relevanten Vorschriften zu speichern und zu verarbeiten.

Mit dem KI-Gesetz steckt die EU die Leitplanken für den Einsatz von KI-Systemen sehr eng. Auf Unternehmen kommen damit neue Pflichten zu, mit denen sie sich möglichst jetzt befassen sollten. Die benötigten Strukturen für KI-Governance können sie bereits aufbauen und nutzen, um zu verhindern, dass sie KI-Systeme entwickeln oder einsetzen, die künftig nicht mehr zugelassen sind oder mit hohen Kosten angepasst werden müssen.

"Foto oben: Florian Lauck-Wunderlich, Senior Project Delivery Leader bei Pegasystems"