Im Interview mit »manage it« gibt Jason Albert wertvolle Einblicke in die wichtigsten Aspekte des EU-KI-Gesetzes und deren Auswirkungen auf multinationale Unternehmen.
Was sind die wichtigsten Aspekte des EU-KI-Gesetzes?
Das EU-KI-Gesetz ist die erste umfassende KI-Verordnung der Welt. Es gilt für KI-Systeme, die in der EU auf den Markt gebracht werden, und soll potenzielle Risiken angehen, die sich aus der zunehmenden Integration von KI in unser tägliches Leben ergeben. Das Gesetz befasst sich mit drei Schlüsselbereichen. Erstens verbietet sie bestimmte Anwendungen von KI, die als inakzeptable Risiken angesehen werden, wie zum Beispiel die biometrische Identifizierung in Echtzeit durch Strafverfolgungsbehörden in öffentlichen Bereichen.
Zweitens wird ein Regulierungssystem für so genannte Hochrisikofälle eingeführt, das heißt für Fälle, in denen der Einsatz von KI die Rechte oder wesentlichen Möglichkeiten des Einzelnen beeinträchtigen könnte. Für diese Anwendungsfälle legt das Gesetz einen durchgängigen Governance-Prozess fest, den die Entwickler umsetzen müssen. Dazu gehören Elemente wie Risikomanagement, die Verwendung hochwertiger Daten, die Einführung menschlicher Aufsicht und die Überwachung nach der Markteinführung.
Drittens werden für grundlegende Modelle wie große Sprachmodelle Transparenzverpflichtungen auferlegt, damit die Nutzer mehr Informationen darüber erhalten, wie diese Modelle entwickelt werden.
Jason Albert,
Global Chief Privacy Officer bei ADP
Inwieweit müssen multinationale Unternehmen ihre Geschäftsstrategien anpassen, um die EU-Rechtsvorschriften zur künstlichen Intelligenz zu erfüllen? Welche spezifischen Herausforderungen könnten sich für solche Unternehmen ergeben?
Aus geschäftsstrategischer Sicht müssen Unternehmen ganzheitlich darüber nachdenken, wie sie die KI-Governance in ihre Entwicklungs- und Compliance-Prozesse einbeziehen. Bei der Entwicklung von KI-Systemen, die auf den Markt gebracht werden sollen, müssen die Unternehmen prüfen, ob sie in den Geltungsbereich des Gesetzes fallen, und Prozesse einrichten, um die Einhaltung der darin enthaltenen Verpflichtungen zu gewährleisten. Wenn ein Unternehmen KI-Systeme einsetzt, die von anderen entwickelt wurden und unter das Gesetz fallen, muss es diese Systeme gemäß den Anweisungen des Systementwicklers verwenden und die Verwendung aller Systemergebnisse durch Menschen überwachen.
In vielerlei Hinsicht ähnelt dies den Compliance-Verpflichtungen in anderen Bereichen. Für die Unternehmen wird es jedoch wichtig sein, die einzigartigen Aspekte der KI zu berücksichtigen – einschließlich neuer Risiken, die von anderen Rechtsrahmen nicht abgedeckt werden – und das Know-how zu entwickeln, das für einen verantwortungsvollen Umgang mit ihnen erforderlich ist.
Wie können Unternehmen sicherstellen, dass ihr globaler Ansatz für die Ethik in der KI-Entwicklung und -Nutzung mit den Anforderungen des EU-Rechts in Einklang steht?
Glücklicherweise gibt es eine starke Übereinstimmung zwischen guter KI-Governance und den Anforderungen des EU-KI-Gesetzes. Bei jeder KI-Entwicklung ist es wichtig, einen Prozess zur Identifizierung, Bewertung und Verwaltung von Risiken zu haben. Um gute Ergebnisse zu erzielen, müssen Unternehmen qualitativ hochwertige Daten verwenden. Es ist wichtig, die Leistung des KI-Modells zu überwachen, um ein Abdriften zu vermeiden und mögliche Verzerrungen abzuschwächen. Und jede KI, die Empfehlungen ausspricht, sollte einer menschlichen Aufsicht unterliegen.
Der Aufbau eines starken KI-Governance-Programms wird die Unternehmen also ein gutes Stück weiterbringen. Sie müssen dann immer noch sicherstellen, dass sie die Besonderheiten des EU-KI-Gesetzes berücksichtigen, zum Beispiel in Bezug auf das Inverkehrbringen von Produkten, die Konformitätsbewertung und dergleichen. Aber wie bei einem starken Datenschutzprogramm sind dies Anpassungen, die auf einem starken Fundament aufbauen.
Wie können multinationale Unternehmen sicherstellen, dass ihre KI-Systeme und -Anwendungen den verschiedenen regulatorischen Anforderungen in den einzelnen Ländern entsprechen?
Auch wenn es noch früh ist, sehen wir eine gewisse Angleichung zwischen den Ländern in Bezug auf die Regulierung von KI, und das wird sich hoffentlich fortsetzen. Im Bereich des Datenschutzes ist, wie bereits erwähnt, für viele Unternehmen der Ausgangspunkt ein umfassendes Programm auf der Grundlage der DSGVO. Dieses Programm wird dann auf andere Länder übertragen, um festzustellen, wo die Gesetze andere Anforderungen stellen, und die notwendigen Anpassungen in diesen Ländern vorzunehmen. Bei KI wird es ähnlich sein. Unternehmen sollten ein starkes Governance- und Risikomanagementprogramm aufbauen, das ihren Bedürfnissen entspricht, und dieses dann an den spezifischen Anforderungen in verschiedenen Ländern messen und bei Bedarf Anpassungen in diesen Regionen vornehmen.
Welche Rolle spielen Risikomanagementprogramme bei der Umsetzung der KI-Gesetzgebung der EU, insbesondere im Hinblick auf potenzielle Haftungsfragen und rechtliche Risiken?
Das Risikomanagement ist das Herzstück des EU-KI-Gesetzes in Bezug auf risikoreiche Anwendungsfälle. Unternehmen, die KI-Systeme entwickeln, die in diesen Bereich fallen, müssen ein Risikomanagementprogramm einrichten. Es ist wichtig, dass solche Programme die Risiken identifizieren, die von den Systemen ausgehen, die in der EU auf dem Markt angeboten werden, und zwar sowohl die Risiken, die durch die bestehende Gesetzgebung abgedeckt sind, wie beispielsweise die im Zusammenhang mit Befangenheit und Datenschutz, als auch neue ethische oder gesellschaftliche Risiken, die von der KI ausgehen.
Welche Best Practices empfehlen Sie multinationalen Unternehmen, um ein effektives Risikomanagementprogramm für ihre KI-Initiativen umzusetzen?
Zunächst sollten Unternehmen festlegen, wer die Gesamtverantwortung für das Risikomanagement trägt – der Chief Data Officer, der Chief Privacy Officer oder ein neuer KI-Governance-Chef. Dann sollte diese Person mit einem funktionsübergreifenden Team zusammenarbeiten, das sich aus Vertretern der Rechtsabteilung, des Datenschutzes, der Sicherheit und des Unternehmens zusammensetzt, um zu ermitteln, welche KI-Systeme das Unternehmen entwickelt oder einsetzt, und für jedes dieser Systeme die potenziellen Risiken zu bewerten, die von diesen Systemen ausgehen. Sobald diese Risiken identifiziert sind, sollten Schritte festgelegt werden, um sie anzugehen oder abzumildern, und dann sollte es Kontrollbesuche geben, um sicherzustellen, dass diese Schritte unternommen worden sind.
Welche Ressourcen und Instrumente stehen den Unternehmen zur Verfügung, um sie bei der Umsetzung eines globalen KI- und Ethikkonzepts zu unterstützen, das den EU-Anforderungen entspricht?
Es gibt eine Reihe von Ressourcen und Instrumenten. Viele Unternehmen haben Aspekte ihrer Ethikprogramme online veröffentlicht. Diese zeigen, wie andere Unternehmen solche Programme konzipiert und umgesetzt haben. Es gibt auch Webinare, die sich mit den Ausgangspunkten der KI-Governance befassen, sowie verschiedene White Papers. Das U.S. National Institute for Standards and Technology hat ein KI-Risikomanagement-Rahmenwerk und unterstützende Materialien veröffentlicht, die Unternehmen bei der Identifizierung, Kartierung, Messung und Überwachung von Risiken helfen. Auch die EU hat eine hochrangige Expertengruppe für KI eingerichtet, die ethische Richtlinien für vertrauenswürdige KI herausgegeben hat, die auf der Website der Europäischen Kommission abrufbar sind. Schließlich bieten Risikomanagementprogramme aus anderen Compliance-Bereichen, wie etwa dem Datenschutz, eine hilfreiche Vorlage für die Gestaltung eines Programms für KI-Systeme.