Als weltweit erste Institution möchte die Europäische Union einen Rechtsrahmen für den Einsatz von Künstlicher Intelligenz schaffen. Die neuen Regularien schützen die Grundrechte aller EU-Bürger, werden aber auch Unternehmen maßgeblich betreffen. Das bedeutet Einschränkungen, aber auch eine neue Chance für mehr Vertrauen.
KI ist eine zutiefst transformative Technologie, kann allerdings zunehmend schwer zu verstehen oder zu kontrollieren sein. Ergibt sich aus dem Einsatz von KI eine potenzielle Diskrimierung von Menschen, ist das nicht nur unethisch, sondern verstößt auch gegen Recht auf Nicht-Diskriminierung. Der sogenannte „Artificial Intelligence Act“ der Europäischen Kommission setzt sich das Ziel, die Grundrechte aller EU-Bürger zu schützen und stellt nach Inkrafttreten ganz neue Anforderungen an alle Unternehmen, die innerhalb der EU KI entwickeln oder nutzen.
Vier Risikoklassen, unterschiedliche Regeln
Entscheidende Basis für die Regulierungen ist ein Ansatz, der KI-Anwendungen, Produkte und Dienstleistungen jeweils vor und nach Markteinführung einer von vier Risikoklassen zuordnet. Entsprechend der Risikoklasse gelten dann verschiedene Compliance-Verfahren. Die Faustregel: Je höher das Risiko, desto strenger die Regel.
-
Inakzeptables Risiko: In diese strengste Kategorie fallen alle Praktiken, die als klare Bedrohung identifiziert werden. Dazu zählen beispielsweise Social Scoring, Gesichtserkennung im öffentlichen Raum oder extremes Nudging. Sie werden klar verboten.
-
Hohes Risiko: Anwendungen, die als potenziell bedrohlich eingestuft werden, zählen zur Kategorie “Hohes Risiko”. Hier muss ein klarer Nachweis über die Sicherheit der Anwendung erbracht werden. Betroffen ist der Einsatz von KI vor allem in privaten und öffentlichen Dienstleistungen, wie beispielsweise bei der Bewertung der Kreditwürdigkeit einer Person, der Verkehrsinfrastruktur, im Bildungs- oder Personalwesen sowie bei Grenzkontrollen und in der Justizverwaltung.
-
Begrenztes Risiko: Systeme mit begrenzter Bedrohung, wie z. B. Chatbots, werden einer Transparenzpflicht unterliegen. So soll sichergestellt werden, dass Nutzer eine informierte Entscheidung treffen und beispielsweise von der Nutzung einer Anwendung zurücktreten können.
-
Geringes Risiko: Die meisten KI-Systeme fallen in diese Kategorie und sollen frei genutzt werden können.
Anbieter und Nutzer von KI-Systemen mit geringem Risiko sollen ermutigt werden, nicht rechtsverbindliche Verhaltenskodizes für die Nutzung zu verabschieden. Gerade Anbieter von Anwendungen mit hohem Risiko müssen sich allerdings umfangreichen Prüfungen unterziehen, bevor Produkte oder Dienstleistungen genutzt werden können. Dazu zählen unter anderem die Risikobewertung und Strategien zur Risikominderung.
Risikoklassifizierung als Unternehmensaufgabe?
Wer die Bewertung vornimmt und welche genauen Kriterien dabei als Maßstab gelten werden, ist noch nicht geklärt. Die Verordnung wird voraussichtlich 2022 in Kraft treten, um Standards und Governance-Strukturen zu entwickeln, bevor sie in der zweiten Hälfte des Jahres 2024 vollständig umgesetzt wird. Das geschieht unter der Koordination eines neuen, eigens gegründeten Ausschusses, des sogenannten “Europäischen Ausschuss für Künstliche Intelligenz”. Aktuell scheint es, als würden Unternehmen die Risiken selbst bewerten und der zuständigen nationalen Marktaufsichtsbehörden Berichte für spontane Prüfungen zur Verfügung stellen. Der Vorschlag bietet jedoch auch Anreize für freiwillige Zertifizierungen, Gütesiegel und Verhaltenskodizes für Unternehmen, so dass die Risikobewertung auch von einer dritten Partei unterstützt werden könnte.
Klar ist: Die neuen Regeln werden branchenübergreifend Anpassungen und eine Prüfung der aktuellen und künftigen Lösungen erfordern. Auch wenn die Bewertungsmethoden aktuell noch nicht klar definiert sind, können Unternehmen bereits jetzt versuchen, die ersten Weichen zu stellen und das Risiko ihrer KI-Systeme zu bewerten, um die neuen Regeln einzuhalten. Ein erster Ansatz kann darin liegen, die folgenden Fragen zunächst unternehmensintern zu beantworten:
-
Können wir innerhalb des Unternehmens feststellen, welche Systeme nach dem Artificial Intelligence Act als KI zu bezeichnen wären?
-
Können wir diese Systeme in der Organisation lokalisieren?
-
Können wir feststellen, in welche Risikokategorien diese Systeme fallen?
-
Können wir den Artificial Intelligence Act ab sofort einhalten, indem wir die ermittelten Risiken adressieren und minimieren und diesen Prozess dokumentieren?
Um die neuen Regeln einzuhalten, werden Unternehmen über die Grenzen der von ihnen verwendeten Technologie nachdenken und ihre Modelle besser denn je kennen müssen. In diesem Zuge sollten auch bestehende Governance-Prozesse überprüft und gegebenenfalls angepasst oder zunächst eingeführt werden. Insbesondere mit Blick auf die Zukunft bleibt sicherzustellen, dass die Einhaltung der Regularien die Weiterentwicklung von KI-Lösungen nicht beeinträchtigt oder wichtige Geschäftsprozesse verlangsamt werden.
EU-Artificial Intelligence Act – das sind die Chancen & Risiken für Unternehmen
Bei allen Herausforderungen und offenen Fragen sollte dieser neue Standard innerhalb der EU auch als Chance gesehen werden. Eine starke KI-Governance ist beispielsweise gleichzeitig Voraussetzung und Wegbereiter für eine erfolgreiche und wertschöpfende Skalierung von KI-Projekten und ermöglicht es, Entwicklungs- und Bereitstellungsprozesse effizienter zu gestalten. Zudem führt sie automatisch zu mehr Widerstandsfähigkeit, weniger Silos und einem gestärkten Wachstum. Nicht zuletzt ermöglicht der European Artificial Intelligence Act eine bessere Einschätzung des Risikos bei der Anwendung von Künstlicher Intelligenz sowie mehr Transparenz in den Prozessen. Unternehmensintern wie auch extern kann diese neue Transparenz branchenübergreifend für mehr Vertrauen in KI-Lösungen sorgen und die Akzeptanz der Technologie fördern.