Ein neues Gesetz für KI
Author: Joachim Geiger
DEKRA ist seit Kurzem Teil einer Initiative von Unternehmen und Organisationen, die gemeinsam mit der EU-Kommission die Umsetzung des neuen KI-Gesetzes auf den Weg bringen wollen. Aber was hat es mit diesem Regelwerk überhaupt auf sich? Wir haben beim DEKRA Experten Elija Leib nachgefragt.
Bei seinem Engagement für verantwortungsvolle KI-Entwicklung legt DEKRA jetzt noch einmal eine Schippe drauf: In bester Gesellschaft von rund 110 Stakeholdern aus Branchen wie Automobilindustrie, Luftfahrt, IT und Telekommunikation hat die Expertenorganisation am 25. September 2024 in Brüssel den Pakt für Künstliche Intelligenz (KI) unterzeichnet. Hinter dem ‚AI Pact‘ steht eine Initiative der EU-Kommission, die darauf abzielt, für das Anfang August in Kraft getretene KI-Gesetz beizeiten die Weichen für eine bestmögliche Umsetzung in der Union zu stellen. Herzstück der Initiative ist eine Selbstverpflichtung von Unternehmen und Organisationen, die unter anderem die Entwicklung und Umsetzung einer KI-Governance-Strategie vorsieht, um konsequent auf die künftige Einhaltung des KI-Gesetzes hinzuarbeiten.
„Diese Selbstverpflichtung spiegelt das langjährige Engagement von DEKRA wider, eine Zukunft zu gestalten, in der KI zum gesellschaftlichen Fortschritt beiträgt und gleichzeitig Risiken minimiert“, erklärt Elija Leib, der für DEKRA als Senior Policy Manager in Brüssel die Entstehung des neuen KI-Gesetzes aus der Nähe verfolgt hat. Stellt sich natürlich die Frage, warum das neue Regelwerk überhaupt so große Wellen schlagen kann? Was also ist dran am KI-Gesetz, genauer: an der „Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“?
Inakzeptable Risiken – rote Karte für das Social Scoring durch KI-Systeme
„Das KI-Gesetz ist weltweit die erste umfassende Regulierung von KI“ und ein Meilenstein für Europa. Im Prinzip geht es darin um die Frage, welche KI das Potenzial haben, Menschen zu verletzen oder deren Grundrechte zu beeinträchtigen“, bringt Elija Leib den Grundgedanken der Verordnung auf den Punkt. Allerdings packt das Gesetz nicht alle KIs in den gleichen Topf – nur KI-Systeme mit hohem Risiko für die Allgemeinheit sollen strengen Vorschriften unterliegen oder verboten werden. Die meisten aktuellen KI-Systeme fallen also gar nicht in eine dieser beiden Kategorien. Die rote Karte zeigt die Verordnung den KI-Systemen, die Menschen körperlichen oder psychischen Schaden zufügen könnten oder die Schwäche oder Schutzbedürftigkeit einer Personengruppe aufgrund von Alter oder körperlicher- oder geistiger Behinderung ausnutzen. Ebenfalls auf dem Index stehen KI-Systeme zur Bewertung der Vertrauenswürdigkeit von Menschen auf Grundlage des sozialen Verhaltens, persönlicher Eigenschaften oder Persönlichkeitsmerkmalen (Social Scoring). Der zentrale Fokus der KI-Verordnung liegt indes auf den KI-Systemen mit hohem Risiko.
Jenseits der inakzeptablen und mit Hochrisiko behafteten KI kennt die EU-Verordnung weitere KI-Kategorien. Vergleichsweise unproblematisch wären KI in einen Spam-Filter, in einem Videospiel oder in einem System zur vorausschauenden Wartung von Maschinen. Hier wie dort wäre bei der Risikoeinschätzung wohl ein minimales Risiko zu attestieren. Ein begrenztes Risiko liegt dagegen in der Regel bei KI-Systemen vor, die mit Menschen interagieren. Das ist etwa bei Chatbots im Internet der Fall, die bei Service- oder Hilfeanfragen zum Einsatz kommen. Entwickler und Betreiber müssten dann im Rahmen ihrer Transparenzpflichten sicherstellen, dass die Kunden darüber im Bilde sind, dass sie gerade mit einer KI kommunizieren.
„Hochrisiko-KI-Systeme sind enorm komplex und warten daher auch mit schwer vorhersehbaren Risiken auf“, erklärt Elija Leib. Derzeit sind solche Systeme etwa in der Verwaltung und dem Betrieb der kritischen Infrastruktur im Einsatz – dazu gehören der Straßenverkehr, die Versorgung mit Wasser, Gas, Wärme und Strom. Aber auch Personaldienstleister und Banken dürften ihre KI-basierten Systeme künftig in die Risiko-Gruppe einordnen müssen. Bei einem System zur Auswahl von Bewerbern zum Beispiel müsste gewährleistet werden, dass die Trainingsdaten keine gesellschaftlichen Vorurteile widerspiegeln, indem sie Bewerber mit bestimmten Namen oder aus bestimmten Regionen systematisch benachteiligen. Letztlich unterliegen Entwickler und Betreiber von Hochrisiko-KI umfangreichen Auflagen, wobei erstere das schwerere Päckchen zu tragen haben. Das Lastenheft für den KI-Einsatz macht unter anderem umfassende Vorgaben für die technische Dokumentation, das Daten- und Risikomanagement sowie für die Wartung und Überwachung.
Hochrisiko-KI – DEKRA ist für die Konformitätsbewertung bestens aufgestellt
Bevor ein KI-System in Verkehr gebracht oder in Betrieb genommen werden darf, steht eine wichtige Formalie auf dem Plan: Das KI-Gesetz sieht die Konformitätsbewertung durch eine notifizierte Stelle vor, um ein hohes Maß an Vertrauenswürdigkeit zu gewährleisten. „Für diese Aufgabe ist DEKRA im Hinblick auf Unabhängigkeit, Kompetenz und Cybersicherheit bestens aufgestellt“, sagt Elija Leib. Allerdings dürfte es noch einige Zeit dauern, bis die KI-Experten der Prüforganisation durchstarten können. Die Mitgliedsstaaten der Union müssen jetzt bis zum August 2025 klären, wer in ihren Ländern für die Notifizierung der Prüfstellen zuständig ist. „Der Zeitplan ist ziemlich knapp, weil schon im August 2026 die Regeln für die Hochrisikosysteme gelten“, berichtet Elija Leib.
Und was sagt das neue Gesetz zu populären KI-Sprachmodellen (Large Language Models/LLMs) wie ChatGT (OpenAI) und Gemini (Google), die Audio- und Textdaten verarbeiten sowie Texte und Bilder generieren können? „Die Verordnung klassifiziert solche Systeme als KI-Modelle mit allgemeinem Verwendungszweck (General Purpose Artificial Intelligence/GPAI)“, erklärt Elija Leib. Diese vergleichsweise neue Technologie spiele im Gesetz eine Sonderrolle, weil sie zu einem Zeitpunkt in der KI-Landschaft aufgetaucht sei, als die Arbeiten für das KI-Gesetz schon in vollem Gange waren. Die Risiken der generativen KI-Modelle hält der Gesetzgeber offenbar für überschaubar – selbst dann, wenn es sich um besonders leistungsstarke Modelle mit systemischem Risiko handelt. Die Entwickler können daher allein mit einer entsprechenden Selbstkontrolle den gesetzlichen Vorschriften genügen.
KI-Sprachmodelle – der Gesetzgeber verzichtet auf Prüfpflicht durch Dritte
Bei den meisten aktuellen GPAI wäre das zum Beispiel eine Aufstellung über die Verwendung urheberrechtlich geschützter Trainingsdaten sowie die Kennzeichnung generierter Inhalte. Im Fall eines systemischen Risikos kämen unter anderem noch Pflichten in Bezug auf die Überwachung schwerwiegender Vorfälle sowie eine Modellbewertung hinzu. Mit dieser Regelung ist DEKRA Experte Elija Leib nicht ganz glücklich. Er kritisiert, dass die Prüforganisationen bei der Prüfung der GPAI vollständig außen vor bleiben. Durch diesen Verzicht auf Kontrolle könne zumindest in dieser KI-Kategorie ein neues Risiko ins Spiel kommen – der Anreiz nämlich, in relevanten Fragen schnell mal drei gerade sein zu lassen. „Hier hätten wir uns eine weitergehende Involvierung der Prüforganisationen gewünscht“, sagt Elija Leib.
Welche Herausforderungen kommen mit dem KI-Gesetz auf die Unternehmen zu?
Für die meisten Unternehmen, die KI benutzen, dürften die Anpassungen relativ klein ausfallen. Das Wichtigste für Unternehmen wäre es jetzt, sich rechtzeitig Klarheit zu schaffen – fällt man mit dem eigenen System unter das KI-Gesetz oder nicht? Gerade für Unternehmen, die mit Hochrisiko-KI zugange sind, wird die Umsetzung der Verordnung kein Zuckerschlecken. Hier kommen weit reichende Anforderungen ins Spiel.
Welche Rolle spielt KI mit Blick auf die Sicherheit von Produkten?
Das KI-Gesetz besagt, dass künftig alle KI-Systeme, die Sicherheitsbauteile von prüfpflichtigen Produkten sind, selbst einer Prüfung zu unterziehen sind. Tatsächlich ist die KI-Verordnung der Sphäre der Produktsicherheit zugeordnet – hier gibt es eine Reihe von Anbindungen zu den einschlägigen Verordnungen. Nehmen wir zum Beispiel die Maschinenverordnung, die in industriellen Anwendungen für Sicherheit sorgen soll: Eine KI, die einen Hochgeschwindigkeitsaufzug steuert, wäre dann ebenso ein Fall für die Prüfer wie der Aufzug selbst.
Wie hält es die KI-Verordnung mit Haftungsfragen? Was raten Sie Unternehmen?
Die EU-Kommission hat die Haftungsrichtlinien an die neuen Technologien angepasst. Im Fokus stehen vor allem die Entwickler der KI-Systeme. Gerade für kleine und mittlere Unternehmen kann es daher sinnvoll sein, bei der Anpassung des Geschäfts an die neuen Regularien über die gesetzlichen Anforderungen hinaus zu gehen – um in schwierigen Fällen eine entsprechende Haftung zu vermeiden. Eine gute Maßnahme wäre es in jedem Fall, sich rechtzeitig durch eine unabhängige Prüforganisation auch zu Haftungsfragen beraten zu lassen.