Regulierung von Künstlicher Intelligenz in der EU

Künstliche Intelligenz (KI) etabliert sich zunehmend sowohl in der Privatwirtschaft als auch im öffentlichen Dienst. Der Trend zu einem verstärkten Einsatz dieser Technologien setzt sich rasant fort. So wuchs der weltweite Markt für künstliche Intelligenz bis 2024 auf über 184 Mrd. US-Dollar, ein Sprung von fast 50 Mrd. gegenüber dem Vorjahr. Bis 2030 wird ein weiterer Anstieg auf über 826 Mrd. US-Dollar erwartet. Besonders bemerkenswert ist das Wachstum im Bereich der generativen KI, deren Marktvolumen sich im Jahr 2023 im Vergleich zu 2022 auf knapp 45 Mrd. US-Doller verdoppelte.

In diesem Kapitel erfolgt eine fundierte Einführung in die zentralen Aspekte der KI-Sicherheit. Ziel ist es, Leserinnen und Lesern ohne Vorkenntnisse zur Regulierung von künstlicher Intelligenz eine fundierte Basis zu vermitteln, um die weiterführenden Inhalte des Buches zu verstehen. Das Kapitel erörtert umfassend die Begrifflichkeiten und regulatorischen Rahmenbedingungen im Bereich der künstlichen Intelligenz. Es folgt eine kurze und prägnante Einführung in die Taxonomie der KI sowie Arten und Eigenschaften von Machine Learning Algorithmen. Es legt einen klaren Geltungsbereich fest, der sowohl systemische als auch organisatorische Aspekte der KI-Vertrauenswürdigkeit berücksichtigt. Dies ist essenziell, um Risiken effektiv zu identifizieren und adäquate Maßnahmen zu entwickeln. Das Kapitel bietet eine solide Grundlage in Bezug auf den formalen Aufbau und die Einsatzumgebungen von KI-Anwendungen. Es erklärt die Bedeutung der Vertrauenswürdigkeit von KI, diskutiert regionale Unterschiede und vergleicht diese mit dem europäischen Ansatz. Darüber hinaus werden die unterschiedlichen Sicherheitseigenschaften von KI im Vergleich zu Operational Technology (OT) und Informationstechnologie (IT) beleuchtet. Es wird eine Differenzierung zwischen klassischer und generativer KI aus einer Sicherheitsperspektive vorgenommen, um ein tiefgreifendes Verständnis für die jeweiligen Risiken und Schutzmaßnahmen zu fördern. Das Kapitel schließt mit einem Überblick verschiedener Governance-Modelle entlang des Three-Lines-of-Defence-Modell.

In diesem Kapitel werden folge Punkte behandelt:

In diesem Kapitel werden KI-Regulierungsinitiativen vorgestellt, mit dem Ziel, dem Leser ein übergeordnetes Verständnis für die von verschiedenen politischen und wirtschaftlichen Interessen getriebenen Regulierungsinitiativen zu geben. Es erfolgt ein Vergleich der europäischen Ansätze mit den Regulierungsinitiativen der USA.

Dieses Kapitel gibt einen Überblick über die Gesetzte in der EU, die verschiedene oder auch alle Phasen des Lebenszyklus einer KI-Anwendung betreffen. Schwerpunkt dieses Kapitels stellen die Ausführungen zu dem EU AI Act dar. Folgende Gesetze werden im weiteren Verlauf untersucht und hinsichtlich ihrer Bedeutung für KI bewertet:weitere Gesetze wie Autonomous Vehicles Approval and Operation Regulation (AFGBV) und Medical Device Regulation (MDR).

Zentrale Leitfrage ist, welche Standards zur Compliance mit gesetzlichen Vorgaben wie dem EU AI Act berücksichtigt werden sollten. Die wesentliche Herausforderung bei der Auswahl und Umsetzung von KI-Standards ist ihre Inhomogenität. Beispielsweise decken Standards unterschiedliche Geltungsbereiche (international, europäisch, national) ab, beziehen sich auf eine oder auch mehreren Phasen entlang des KI-Lebenszyklus, beschränken sich auf bestimme Dimensionen und betrachten organisatorische oder systemische Aspekte gleichzeitig respektive getrennt voneinander. Aber auch die hohe Entwicklungsdynamik am Markt hat einen Einfluss auf die Auswahl von Standards. Beispielsweise sind Standards mit einem Veröffentlichungsdatum vor dem Hype rund um ChatGPT Ende 2022 meist auf Risiken klassischer KI eingegangen. Wie bereits in Kap. 3 aufgezeigt, sind Begrifflichkeiten in Standards nicht einheitlich definiert und es fehlt global an einem gemeinsamen Verständnis, was vertrauenswürdige KI ist (siehe Abschn. 4.​4). Daraus resultiert, dass beispielsweise eine international agierende Firma, die global KI-Anforderungen in ihrer Governance definiert und ggf. Zertifizierung vorzuweisen hat, vor der Herausforderung steht, welche Standards zur Compliance umzusetzen sind und wo ggf. sogar Doppelarbeit vermieden werden kann. Eine weitere Herausforderung besteht darin, diejenigen Standards zu identifizieren, mit deren Hilfe die highlevel Vorgaben eines Gesetzes in technisch konkrete Vorgaben übersetzen kann und somit die Compliance sichergestellt ist. Neben der hohen Marktdynamik der KI-Technologie selbst hat die Regulierung selbst eine hohe Dynamik. Es existiert bereits eine Vielzahl an Frameworks und es werden fortlaufend Neue entwickelt. Somit gibt es die Wahl zwischen verschiedenen Ansätzen, Vor- und Nachteile lassen sich jedoch nicht quantifizieren.

In diesem Kapitel wird der Zusammenhang zwischen IT-Sicherheit und KI aus verschiedenen Perspektiven betrachtet. Im Wesentlichen lassen sich drei Hauptkategorien unterscheiden:

In diesem Kapitel wird ein klar strukturierter Leitfaden vorgestellt, der eine schrittweise Anleitung zur Umsetzung vertrauenswürdiger KI bietet. Dabei werden alle drei Ebenen der KI-Governance über den gesamten Lebenszyklus berücksichtigt, wie in Abschn 2.​4 beschrieben. Die Ausgestaltung der KI-Governance variiert je nach Unternehmenskontext, Zielsetzung und Risikobereitschaft. Dennoch existieren grundlegende Fragestellungen, die bei der Einführung von KI allgemein relevant sind und in diesem Kapitel ausführlich behandelt werden. Der Fokus liegt auf der Regulatorik, wie sie in der EU anzufinden ist. Die KI-Governance ist integraler Bestandteil bestehender Prozesse und den drei LoD. Das AIMS fungiert als operatives Werkzeug, das innerhalb des Rahmens der KI-Governance arbeitet. Die KI-Governance als Ganzes wird in den folgenden Unterkapiteln wie folgt beleuchtet:

Die Mitgliedsstaaten sind durch den EU AI Act verpflichtet, bis August 2025 nationale Behörden ernannt zu haben, die die Umsetzung der in der KI-VO genannten Anforderungen beaufsichtigen. Die Aufgaben der nationalen KI-Aufsicht umfassen im Wesentlichen drei zentrale Bereiche:

Eine sektorspezifische Betrachtung der Sicherheit und Vertrauenswürdigkeit von KI ergibt aus mehreren Gründen Sinn:

In diesem Kapitel werden die wesentlichen Punkte des Buches zusammengefasst und eine abschließende Bewertung der eigens entwickelten Systematik vorgenommen. Darüber hinaus wird der Bedarf für weiterführende Arbeiten aufgezeigt.