News | Digitalisierung | Favoriten der Redaktion | Künstliche Intelligenz | Tipps

Neue Anforderungen durch den AI Act: Fünf Handlungsempfehlungen

foto freepik

Das erste Gesetz für KI ist seit gestern abgesegnet und gibt Herstellern von KI-Anwendungen zwischen sechs Monaten und drei Jahren Zeit, sich den neuen Regeln anzupassen. Wer KI in sensiblen Bereichen einsetzen will, wird die KI-Daten und ihre Qualität streng kontrollieren und Transparenz schaffen müssen – klassische Kerndisziplinen aus dem Datenmanagement.

 

Die EU hat Pionierarbeit geleistet und mit dem AI-Act den aktuell dynamischsten und bedeutendsten Zweig der Datenindustrie reglementiert, so wie sie es mit der DSGVO im April 2016 und dem Digital Operational Resilience (DORA) im Januar dieses Jahres tat. Viele der neuen Aufgaben aus dem AI Act dürften Datenschutzbeauftragten und jedem Compliance-Officer aus der DSGVO bekannt vorkommen.

Das Gesetz legt eine Definition für KI fest und definiert mit minimal, hoch und inakzeptabel drei Sicherheitsstufen. KI-Anwendungen, die Firmen im Gesundheitswesen, Bildungsbereich und kritischen Infrastrukturen einsetzen wollen, fallen unter die höchste Sicherheitskategorie »hochriskant«. Diejenigen in der Kategorie »inakzeptabel« werden verboten, weil sie beispielsweise die Sicherheit, den Lebensunterhalt und die Rechte der Menschen bedrohen könnten.

Diese KI-Systeme müssen per Definition vertrauenswürdig, transparent und rechenschaftspflichtig sein. Die Betreiber müssen Risikobewertungen durchführen, qualitativ hochwertige Daten verwenden sowie ihre technischen und ethischen Entscheidungen dokumentieren. Zudem müssen sie aufzeichnen, wie die Leistung ihrer Systeme sich entwickelt und die Benutzer über die Art und den Zweck ihrer Systeme informieren. Außerdem sollen die KI-Systeme von Menschen beaufsichtigt werden und Eingriffe ermöglichen. Sie müssen hochrobust arbeiten und ein hohes Niveau bei der Cybersicherheit erreichen.

Firmen brauchen jetzt klare Orientierung. Denn sie wollen das große Potenzial dieser Technik nutzen und zugleich zukunftssicher aufgestellt sein, um die kommenden Details der Verordnung umsetzen zu können. Es gibt fünf klare Empfehlungen, wie Firmen dies angehen können, ohne rechtliche Risiken zu verursachen und trotzdem den Usern nicht im Weg zu stehen. Und zugleich so aufgestellt zu sein, dass man den AI Act voll umsetzen kann, ohne die IT auf den Kopf zu stellen:

 

  • KI vertrauensvoll agieren lassen:
    Wer das erreichen will, muss die KI vollständig zähmen. Der einzige Weg dahin ist, die Daten und Datenströme in die KI und aus der KI heraus genau zu kontrollieren. Diese enge Kontrolle ist ähnlich mit den Vorgaben aus der DSGVO für personenbezogene Daten. Diese Compliance sollten Firmen immer mitdenken, wenn sie KI einsetzen und selbst entwickeln. Wer KI DSGVO- und AI-Act-konform einsetzen will, sollte vor Einführung den Rat eines Datenschutzexperten einholen.
  • Daten genau kennen:
    Ein Großteil des Gesetzes konzentriert sich auf die Berichterstattung über Inhalte, die zum Trainieren der KI verwendet werden, also auf die Datensätze, die ihr das Wissen für ihre Leistung verliehen haben. Unternehmen und ihre Mitarbeiter müssen genau wissen, mit welchen Daten sie die KI füttern und welchen Wert diese Daten für die Firma besitzen. Einige KI -Anbieter übertragen diese Entscheidung bewusst an die Daten-Owner, weil sie die Daten am besten kennen. Diese müssen die KI verantwortungsbewusst trainieren, Außerdem sollte der Datenzugriff nur für autorisierte Personen aktiviert sein.
  • Die Frage der Copyrights:
    Frühere Modelle der KI haben verfügbare Internet- und Bücher-Crawler genutzt, um ihre KI zu trainieren. Dabei handelte es sich um Inhalte, die geschützte Elemente enthielten – einer der Bereiche, die der AI Act bereinigen will. Wenn Firmen solche Datensätze verwendet haben, ohne diese genau gekennzeichnet zu haben, müssen sie möglicherweise noch einmal von vorne beginnen.
  • Inhalte der Daten verstehen:
    Das ist eine essenzielle Aufgabe. Damit die Daten-Owner richtig entscheiden können, muss der Wert und Inhalt der Daten klar sein. Im Alltag ist diese Aufgabe gigantisch und die meisten Firmen haben Berge von Informationen angehäuft, von denen sie überhaupt nichts wissen. Auf diesem Gebiet kann KI und Machine Learning massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen nach ihrer eigenen Relevant-Record-Strategie automatisiert identifiziert und klassifiziert. Vordefinierte Filter fischen Compliance-relevante Daten wie Kreditkarten, Hypothekendaten, oder Baupläne sofort aus dem Datenteich und markieren sie. Bei dieser Analyse ließen sich auch einige Sicherheitsparameter abklären und beispielsweise ungesicherte Daten aufzuspüren.
    Sobald diese KI die Firmendaten untersucht, entwickelt sie eine unternehmensspezifische Sprache, einen Unternehmensdialekt. Und je länger sie arbeitet und je mehr Firmendaten sie untersucht, desto genauer werden ihre Ergebnisse. Der Charme dieser KI-getriebenen Klassifizierung zeigt sich vor allem, wenn neue Vorgaben einzuhalten sind. Was auch immer der AI Act auf lange Sicht neu aufbringt, die ML- und KI-getriebene Klassifizierung wird diese zusätzlichen Attribute suchen können und der Firma ein Stück Zukunftssicherheit verschaffen.
  • Datenflüsse steuern:
    Sind die Daten mit den richtigen Merkmalen eingestuft und klassifiziert, lassen sich von der darunter liegenden Datenmanagement-Plattform automatisch Regeln durchsetzen, ohne dass der Data Owner eingreifen muss. Dadurch sinken die Chancen für menschliche Fehler und Risiken. So könnte eine Firma durchsetzen, dass bestimmte Daten wie Intellectual Property oder Finanzdaten niemals an andere Speicherorte oder externe KI-Module weitergegeben werden dürfen. Moderne Datenmanagement-Plattformen steuern den Zugriff auf diese Daten, indem sie diese automatisch verschlüsseln und sich Anwender per Access Controls und Multifaktor-Authentifizierung autorisieren müssen.

 

Auch der AI Act bekommt Zähne

Die EU hat eine weitere Ähnlichkeit mit der DSGVO und DORA. Einmal in Kraft getreten, werden Sanktionen für Non-Compliance durchgesetzt. Wer gegen wichtige Vorgaben aus dem AI Act verstößt, muss mit Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes rechnen. Und nur zum Vergleich: Die Aufsichtsbehörden haben seit dem Inkrafttreten der DSGVO bis Februar 2024 Bußgelder in Höhe von 4,5 Milliarden Euro ausgesprochen.

Das KI-Gesetz wird wahrscheinlich diesen Sommer veröffentlicht und tritt dann 20 Tage nach Veröffentlichung im Amtsblatt der EU in Kraft. Die meisten seiner Bestimmungen gelten nach 24 Monaten. Die Regeln für verbotene KI-Systeme gelten nach sechs Monaten, die Regeln für GPAI nach zwölf und die Regeln für Hochrisiko-KI-Systeme nach 36 Monaten.

»Die EU hat mit dem KI-Gesetz einen großen Schritt gemacht und unterstreicht die Ernsthaftigkeit, mit der sie das große Potenzial der KI und das potenzielle Risiko ausbalancieren will. Verantwortungsvolle KI, gepaart mit vollständiger KI-Governance, ist jetzt der einzig wahre und richtige Weg, KI in Ihr Unternehmen zu bringen. Die großen praktischen Anwendungen von KI unterliegen nun detaillierten Compliance-Anforderungen. Wer sich früh auf den Weg machte und KI bereits nutzt, wird seinen Ansatz und die verwendeten Daten im Detail durchleuchten müssen, um sicherzugehen, nicht gegen die Vorschriften zu verstoßen. Firmen müssen nun handeln und ihr KI-Toolset in Ordnung bringen«, sagt Mark Molyneux, EMEA CTO bei Cohesity.

 

Zur Startseite →

← Zurück