Die vier Risiken des EU-Gesetzes zur künstlichen Intelligenz: Ist Ihr Unternehmen bereit?

Das Gesetz unterteilt KI-Systeme in vier Risikokategorien, die von minimal bis inakzeptabel reichen. Die Kenntnis der Unterschiede ist für die Compliance von entscheidender Bedeutung.

Seit seinem öffentlichen Debüt im November steht ChatGPT aus guten und schlechten Gründen in den Schlagzeilen. Als Paradebeispiel für generative KI handelt es sich um ein hochentwickeltes Tool, das Algorithmen nutzt, um Langtext zu generieren. Aber ein anderer Aspekt von ChatGPT ist noch nicht so weit fortgeschritten: Wie andere KI-Systeme birgt es immer noch inhärente und unbeabsichtigte Risiken, darunter die Erzeugung verzerrter Ergebnisse. ¹

Voreingenommenheit innerhalb der generativen KI ist ein seit langem bestehendes und ernstes Problem, das zu verzerrten Ergebnissen mit realen Konsequenzen für das Leben der Menschenführen kann. KI-Algorithmen können beispielsweise Bewerber aufgrund ihres Alters ausschließen oder anhand von Rassenprofilen vorhersagen, wer eine Straftat begehen könnte. ^{2, 3} Obwohl politische Entscheidungsträger und die Wirtschaft Schritte unternehmen, um das Problemanzugehen, stellen die Regulierungsbehörden fest, wie schwierig es ist, in einem sich so schnellentwickelnden Markt ein bewegliches Ziel zu erreichen. ⁴

Das EU-Gesetz über künstliche Intelligenz („KI-Gesetz“) ist ein Versuch, einen gemeinsamen Regulierungs- und Rechtsrahmen für KI einzuführen. Das erstmals im April 2021 vorgeschlagene KI-Gesetz, das sich noch im Entwurfsstadium befindet und sich weiterentwickelt, da die Industrieweiterhin Kommentare abgibt, würde jedes Unternehmen, das KI nutzt, dazu verpflichten, seine Vorschriften einzuhalten. In Kombination mit der Datenschutz-Grundverordnung der EU sowie dem Gesetz über digitale Dienste und dem Gesetz über digitale Märkte ⁵ soll das KI-Gesetz das Vertrauen der Öffentlichkeit und in die Technologie im Allgemeinen stärken. ⁶

Kennen Sie Ihre Risiken

Eine Möglichkeit, mit dem KI-Gesetz das Risiko zu mindern, besteht darin, die Wahrscheinlichkeit zu verringern, dass sich menschliche Vorurteile in KI-Systeme einschleichen. Das ist eine große Herausforderung: Um die Anforderungen einzuhalten, müssen Unternehmen die codierten algorithmischen Modelle, aus denen ihre KI-Systeme bestehen, sowie die Daten, die in die Systeme eingespeist werden, genau kennen. Selbst dann kann die Kontrolle schwierig sein. Die Einführung eines KI-Systems in einer neuen Umgebung – beispielsweise in der Öffentlichkeit –kann später zu unvorhergesehenen Problemen führen. Die KI-Voreingenommenheit in den Griff zu bekommen, ist im Wesentlichen eine technische Aufgabe für Unternehmen, aber es ist eine Aufgabe, die in der Regel über technische Experten oder Rechts- und Compliance-Abteilungen hinausgeht. Ein funktionsübergreifendes Team, dass sich auf die Identifizierung von Vorurteilen sowohl im menschlichen als auch im maschinellen Bereich spezialisiert hat, ist bestens gerüstet, um die Herausforderung ganzheitlich anzugehen.

Die gute Nachricht ist, dass das KI-Gesetz anerkennt, dass das Risiko einer Verzerrung nicht bei allen KI-Anwendungen oder -Einsätzen gleich ist. Einige Anwendungen stellen ein wesentlich höheres Risiko dar als andere. Um Unternehmen bei der Suche nach Abhilfemaßnahmen zu unterstützen, kategorisiert der AI Act potenzielle Risiken in vier Kategorien. ⁷ Zum Zeitpunkt des Schreibens waren dies:

Inakzeptabel: Anwendungen, die unterschwellige Techniken, ausbeuterische Systeme oder von Behörden verwendete soziale Bewertungssysteme umfassen, sind strengstens verboten. Ebenfalls verboten sind biometrische Echtzeit-Fernidentifizierungssysteme, die von Strafverfolgungsbehörden in öffentlich zugänglichen Räumen eingesetzt werden.

Hohes Risiko: Dazu gehören unter anderem Anwendungen im Zusammenhang mit Verkehr, Bildung, Beschäftigung und Sozialfürsorge. Bevor Unternehmen ein Hochrisiko-KI-System in der EU auf den Markt bringen oder in Betrieb nehmen, müssen sie eine vorherige „Konformitätsbewertung“ durchführen und eine lange Liste von Anforderungen erfüllen, um die Sicherheit des Systems zu gewährleisten. Als pragmatische Maßnahme fordert die Verordnung außerdem, dass die Europäische Kommission eine öffentlich zugängliche Datenbank erstellt und verwaltet, in der Anbieter verpflichtet werden, Informationen über ihre Hochrisiko-KI-Systeme bereitzustellen, um Transparenz für alle Beteiligten zu gewährleisten.

Begrenztes Risiko: Hierbei handelt es sich um KI-Systeme, die bestimmte Transparenzpflichtenerfüllen. Beispielsweise muss eine Person, die mit einem Chatbot interagiert, darüber informiert werden, dass sie mit einer Maschine interagiert, damit sie entscheiden kann, ob sie fortfahren möchte (oder stattdessen ein Gespräch mit einem Menschen anfordern möchte).

Minimales Risiko: Diese Anwendungen sind bereits weit verbreitet und machen den Großteil der KI-Systeme aus, mit denen wir heute interagieren. Beispiele hierfür sind Spamfilter, KI-gestützte Videospiele und Bestandsverwaltungssysteme. Die Hauptverantwortung wird bei den „Anbietern“ von KI-Systemen liegen; Bestimmte Verantwortlichkeiten werden jedoch auch Händlern, Importeuren, Benutzern und anderen Dritten zugewiesen, was sich auf das gesamte KI-Ökosystem auswirkt.

Den Vorschriften einen Schritt voraus sein

Da in der EU möglicherweise bereits in zwei Jahren strenge Regeln in Kraft treten, müssen Organisationen, die KI-Systeme entwickeln und einsetzen, sicherstellen, dass sie über robuste Governance-Strukturen und Managementsysteme verfügen, um Risiken zu mindern. Hier sind vier Möglichkeiten, wie Unternehmen dies tun können:

Führen Sie ein KI-Risikobewertungs-Framework ein: Dieses sollte das Bias-Risiko in jeder Phase eines Projekts berücksichtigen, vom Entwurf bis zur Stilllegung. Es bedeutet, die intrinsischen Eigenschaften der Daten zu verstehen und zu dokumentieren, sorgfältig über das Ziel des Algorithmus zu entscheiden, geeignete Informationen zum Trainieren der KI zu verwenden und alle Modellparameter und Leistungsmetriken in einem Modellregister zu erfassen.

Richten Sie eine Governance-Infrastruktur ein: Die meisten Unternehmen sollten mit der Erstellung von KI-Systemen vertraut sein, die den bestehenden Vorschriften entsprechen, sodass die vorgeschlagenen Vorschriften keine Überraschung darstellen sollten. Erwartet wird die Einrichtung eines Risikomanagementsystems und die Einhaltung bewährter Verfahren in den Bereichen technische Robustheit, Tests, Datenschulung, Datenverwaltung und Cybersicherheit.Die menschliche Aufsicht über den gesamten Lebenszyklus des Systems wird obligatorisch sein und es muss Transparenz eingebaut werden, damit Benutzer die Ausgabe des Systems interpretieren (und bei Bedarf hinterfragen) können.

Datenschutzprogramme bewerten und verbessern: Das AI-Gesetz enthält eine Ausnahme, die es Anbietern ermöglicht, ausgewählte Arten personenbezogener Daten zu verarbeiten, wenn Überwachung, Erkennung und Bias-Korrektur erforderlich sind. Vor diesem Hintergrund ist es für Unternehmen von entscheidender Bedeutung, ihre Datenschutzprogramme zu bewerten und zu verbessern, nicht nur um sicherzustellen, dass angemessene Schutzmaßnahmen zur Wahrung der Rechte betroffener Personen vorhanden sind, sondern auch um das Vertrauen der Öffentlichkeit aufrechtzuerhalten.

Werden Sie im gesamten Unternehmen KI-fähig: Der Bedarf an besseren KI-Fähigkeiten ist von größter Bedeutung, nicht nur für Teams, die direkt mit den Systemen arbeiten, sondern auch für diejenigen, die angrenzend an diese arbeiten. Rechtsabteilungen müssen beispielsweise mit der Funktionsweise der KI-Systeme ihrer Organisationen vertraut sein, um sicherzustellen, dass sie die vorgeschlagenen Vorschriften einhalten. Es ist wahrscheinlich, dass das KI-Gesetz im nächsten Jahr umfassend überarbeitet wird. Im Dezember 2022 traf sich der Rat der Europäischen Union, um die Definition der vier Risikokategorien zu überprüfen . ⁸ Während die Änderungsanträge der Dezembersitzung noch vom Europäischen Parlament finalisiert werden müssen, zeigt das Tempo, wie schnell sich das Gesetz weiterentwickelt. Unternehmen, die den Vorschriften immer einen Schritt voraus sein und bereit sein wollen, diese einzuhalten, sollten jetzt darüber nachdenken, Maßnahmen zu ergreifen.

Fußnoten:

1: Matthew Gault. „Konservative geraten wegen KI-Voreingenommenheit in Panik und denken, dass ChatGPT„aufgewacht“ ist.“ Vize. (17. Januar 2023). https://www.vice.com/en/article/93a4qe/conservatives-panicking-about-ai-bias-years-too-late-think-chatgpt-has-gone-woke

2: Agbolade Omowole. „Untersuchungen zeigen, dass KI oft voreingenommen ist. Hier erfahren Sie, wie Sie dafür sorgen,dass Algorithmen für uns alle funktionieren. Weltwirtschaftsforum. (19. Juli 2021).https://www.weforum.org/agenda/2021/07/ai-machine-learning-bias-discrimination/

3: Will Douglas Heaven. „Vorausschauende Polizeialgorithmen sind rassistisch. Sie müssen abgebaut werden.“ MITTechnology Review. (17. Juli 2020). https://www.technologyreview.com/2020/07/17/1005396/predictive-policing-algorithms-racist-dismantled-machine-learning-bias-criminal-justice/

4: Alex Trollip. „Förderung der KI: Wichtige KI-Themenbereiche, die politische Entscheidungsträger berücksichtigensollten.“ Überparteiliches Politikzentrum. (8. März 2021). https://bipartisanpolicy.org/blog/advancing-ai-key-ai-issue-areas-policymakers-should-consider/

5: „Das Digital Services Act-Paket.“ Europäische Kommission. (Zugriff am 12. März 2022). https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package

6: Claudio Calvino et al. „Abschwächung der Verzerrung durch künstliche Intelligenz in Vorbereitung auf die EU-Verordnung.“ FTI-Beratung. (22. November 2022). https://www.fticonsulting.com/insights/articles/mitigating-artificial-intelligence-bias-risk-preparation-eu-regulation

7: „Vorschlag für einen Regulierungsrahmen für künstliche Intelligenz.“ Europäische Kommission. (Zugriff am 12. März2022). https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

8: : Laura De Boel. „Der Rat der EU schlägt eine Änderung des Entwurfs eines KI-Gesetzes vor.“ Wilson Sonsini. (22.Dezember 2022). https://www.wsgr.com/en/insights/council-of-the-eu-proposes-amendments-to-draft-ai-act.html

About The Journal

The FTI Journal publication offers deep and engaging insights to contextualize the issues that matter, and explores topics that will impact the risks your business faces and its reputation.