Skip to main content
Top

01-08-2024 | Risikomanagement | Fragen + Antworten | Article

EU AI Act verlangt neue KI-Governance

Author: Jacob Beswick

7 min reading time

Activate our intelligent search to find suitable subject content or patents.

search-config
print
PRINT
insite
SEARCH
loading …

Der AI Act gilt seit heute EU-weit. Unternehmen werden mit einer Reihe von Fristen konfrontiert, die sich über 24 Monate erstrecken. Noch ist unklar, welche Firmen betroffen sind und wie sie die ersten Compliance-Schritte gehen können. Experte Jacob Beswick bringt Licht ins Dunkel.

Viele Unternehmen fürchten sich vor dem EU AI Act. Müssen sie das?

Der EU AI Act ist nicht nur eine Verordnung, sondern ein Aufruf an die Technologiebranche, verantwortungsbewusste KI-Innovation und -Nutzung voranzutreiben. Er betont sowohl verpflichtende als auch freiwillige Ansätze, die sich auf die Entwicklung, den Einsatz und die Nutzung von KI-Systemen konzentrieren, mit dem Ziel, grundlegende Rechte zu schützen und Transparenz sowie Rechenschaftspflicht sicherzustellen.

Technologieanbieter und Unternehmen sind gleichermaßen besorgt über die möglichen Auswirkungen des Gesetzes und unsicher, wo und wie sie mit der Einhaltung des Gesetzes beginnen sollen. Die neue Verordnung sollte jedoch als Chance gesehen werden: International tätige Unternehmen, die bereits gute Praktiken der KI-Governance etabliert haben, sind wahrscheinlich gut positioniert, um die Anforderungen auf EU-Ebene zu erfüllen. Solche KI-Governance-Praktiken - die sich mit der Organisation und Durchsetzung von Regeln, Prozessen und Anforderungen befassen, die KI-Initiativen mit den Unternehmenszielen in Einklang bringen - umfassen wichtige Maßnahmen, die Transparenz, Kontrollen durch Überprüfungen und Freigaben sowie die Erstellung umfassender Dokumentationen über die Ziele der KI-Systeme, deren Tests und Bewertungen und vieles mehr unterstützen.

Neben der Schaffung von Grundlagen für die zukünftige Einhaltung des EU AI Acts legt die heutige Einführung von Ansätzen zur KI-Governance auch den Grundstein für die Einhaltung zukünftiger globaler Vorschriften. Letztendlich wird der EU AI Act höchstwahrscheinlich als Vorlage dienen.

Welche Unternehmen sind betroffen und was sollten diese tun?

Grundsätzlich alle Organisationen, die mit KI arbeiten. Um mehr Klarheit darüber zu schaffen, wer Anpassungen vornehmen muss und in welchem Umfang, sind zunächst folgende Maßnahmen erforderlich:

Entscheider in Unternehmen sollten den EU AI Act gründliche lesen und die wichtigsten Maßnahmen, einschließlich der Risikoeinstufung, der damit verbundenen Verpflichtungen und Anwendungsfälle, identifizieren. Dann gilt es, eine Person oder ein Team zu finden das für die Einhaltung des EU AI Acts verantwortlich ist und mit ihnen Kontakt aufzunehmen.

Unternehmen müssen die KI-Systeme überprüfen, denn Unkenntnis darüber setzt die Organisation einem Risiko aus.

Die Qualifizierung der KI-Systeme ist unbadingbar. Dazu muss dokumentiert werden, ob sie intern entwickelt oder beschafft wurden, welchen beabsichtigten Zweck sie haben, welche Endnutzer und betroffenen Personen es gibt und wie sie verwendet, überwacht und gewartet werden.

Mit den so gewonnen Informationen lässt sich ein organisatorisches Verständnis dafür entwickeln, wo KI-Systeme in Bezug auf die vier Risikostufen stehen und welche zukünftigen Compliance-Belastungen damit verbunden sind. Für die beiden niedrigsten Risikostufen wird Unternehmen ebenfalls empfohlen, Verhaltenskodizes oder freiwillige Governance-Ansätze zu übernehmen, die sich an den Anforderungen der Hochrisikostufe orientieren, was selbst Zeit zur Entwicklung und Implementierung benötigt.

Welche Unternehmen sollten vorbeugende Maßnahmen ergreifen und wie?

Selbst wenn KI-Systeme keine unmittelbaren regulatorischen Maßnahmen erfordern, ist es sehr ratsam, Governance- und Verantwortlichkeitsmechanismen zu implementieren, um diese Systeme umfassend zu verwalten.

Es gibt bereits einen erhöhten Einsatz von KI in mehreren Schlüsselbereichen wie der Produktion von Maschinen und Industrieausrüstung, Transport und kritischer Infrastruktur, Energiemanagement und -verteilung, Cyber-Sicherheit, Gesundheit und Zugang zu Krediten sowie im Personalmanagement. Dies sind alles Bereiche, in denen der Einsatz von KI basierend auf aktuellen oder zukünftigen Definitionen leicht in die Hochrisikokategorie fallen könnte.

Unternehmen, die Hochrisiko-KI-Systeme einsetzen, haben die größte regulatorische Belastung zu tragen, mit Anforderungen, die sich von der Entwicklungsphase bis zur Nachbereitung erstrecken. Die Implementierung dieser neuen Anforderungen wird strategische und operative Überlegungen darüber erfordern, wie die neuen Verpflichtungen innerhalb der Organisationen umgesetzt werden, um die Einhaltung zu gewährleisten.

Wie verhält es sich mit Large Language Models (LLMs)? 

Anbieter, die allgemeine KI (GPAI) einsetzen, welche auch große Sprachmodelle (LLMs) umfasst, müssen zum Beispiel die technische Dokumentation des Modells auf dem neuesten Stand halten, einschließlich Trainings- und Testverfahren sowie Bewertungsergebnissen. Darüber hinaus sind sie verpflichtet, der Öffentlichkeit ausreichend detaillierte Informationen über die für das GPAI-Training verwendeten Inhalte zur Verfügung zu stellen. Unternehmen müssen auch bei all diesen Punkten mit der EU-Kommission und den nationalen Behörden zusammenarbeiten.

Der EU AI Act soll Unternehmen die Möglichkeit geben, notwendige Änderungen am Status quo zu erkennen und anzunehmen: von der Kartierung der KI-Systeme über deren Qualifizierung bis hin zur Benennung verantwortlicher Personen oder Teams und der Planung oder der Verfeinerung von KI-Governance-Praktiken, die schnell ein integraler Bestandteil ihrer KI-Skalierungsbemühungen werden sollten. Mit dem richtigen Mix aus Menschen, Prozessen und technologischen Fähigkeiten werden nicht nur Risiko und Compliance-Kosten reduziert, sondern diese Strategie wird auch der Schlüssel sein, um die KI-Entwicklung und -Nutzung nachhaltig zu beschleunigen, mit einem risikobasierten Ansatz einerseits und durch den Aufbau von Vertrauen sowohl intern als auch mit Kunden andererseits.

Worauf ist bei der Implementierung zu achten?

Der Weg zur KI-Compliance in Europa wird stark von kontinuierlicher Anpassung abhängen: Die formale Verabschiedung des EU AI Act ist erst der Anfang. Marktteilnehmer müssen mit weiteren Entwicklungen rechnen, die von Anpassungen der Hochrisikostufe bis hin zu neuen Richtlinien und Verhaltenskodizes reichen, die die Einhaltung erleichtern sollen. Aber auch die Regulierung im Bereich KI wird sich in anderer Hinsicht weiterentwickeln, insbesondere die globale KI-Regulierung und die sektorspezifische Regulierung von KI auf globaler Ebene. In den nächsten Jahren sollten Organisationen daher darauf vorbereitet sein, eine Vielzahl sich entwickelnder Anforderungen zu bewältigen und die Compliance in ihre KI-Praktiken zu integrieren.

Es ist jedoch wichtig, von Anfang an die richtigen Grundlagen zu legen, um KI-Anwendungen mit Zuversicht skalieren und compliant bleiben zu können. 

Und wie legen Unternehmen diese Grundlagen für ihre KI-Compliance am besten?

Daten-Governance: KI-Unternehmen müssen die volle Kontrolle über die von ihnen verwendeten Daten und die Prozesse, durch die Daten vorbereitet und genutzt werden, haben. Es ist daher wichtig, die interne Architektur des Unternehmens so zu organisieren, dass eine robuste Bewertung, Verarbeitung und Dokumentation von Daten gewährleistet ist. Plattformlösungen unterstützen solche Strukturen. Sie bieten Tools zur Datenvorbereitung und -bewertung, kritische Genehmigungen und gestufte Bereitstellungen, um sicherzustellen, dass die Anforderungen konsequent und systematisch erfüllt werden. Dies gilt für alle Arten von KI-Anwendungsfällen, einschließlich GenAI.

KI-Governance: Wie bereits erwähnt, befasst sich die KI-Governance mit der Organisation und Durchsetzung von Regeln, Prozessen und Anforderungen, die KI-Initiativen mit den Unternehmenszielen in Einklang bringen. Diese Unternehmensziele können eine Vielzahl von Motivationen widerspiegeln, sei es rechtlicher Natur, risikoorientiert oder basierend auf Werten oder Prinzipien. Der Kern der KI-Governance besteht darin, herauszufinden, wie diese Ziele in relevante Praktiken übersetzt werden können und dann, was wichtig ist, sicherzustellen, dass diese systematisch durchgesetzt und in die Betriebsabläufe integriert werden können. Dies ist keine leichte Aufgabe, aber grundlegend für die Einhaltung des EU AI Acts und darüber hinaus.

Verantwortlichkeit: Die Idee der Verantwortlichkeit ist nicht neu; sie ist jedoch im Kontext der Sicherstellung der Compliance einerseits und der breiteren KI-Governance-Praktiken andererseits von entscheidender Bedeutung. Verantwortlichkeit in der Praxis kann auf verschiedene Weise erreicht werden: Sei es durch die Benennung verantwortlicher Personen für Projekte während der Entwicklungsphase; verantwortliche Personen für Überprüfungen und Genehmigungen im Rahmen der Governance; oder durch die Erstellung von Dashboards, die Projekte und Projektportfolios widerspiegeln und kritische Informationen zu KI-Systemen und deren Governance darstellen. 

Grundsätzlich hängt die Umsetzung von Verantwortlichkeit oft von der organisationsübergreifenden menschlichen Zusammenarbeit und Aufsicht ab. Es kann nicht sein, dass nur eine Person für die Einhaltung des EU-AI-Gesetzes verantwortlich ist, und die Verantwortlichkeiten werden wahrscheinlich verteilt sein. Die Zentralisierung von Informationen wird jedoch entscheidend sein. Alle Beteiligten müssen eine Rolle spielen, von Datenentwicklern und MLOps-Spezialisten bis hin zu CDOs und Risikomanagern.

print
PRINT

Related topics

Background information for this content

Premium Partner