adesso Blog

Künstliche Intelligenz hat bereits an vielen Stellen in unserem beruflichen, aber auch privaten Umfeld Einzug gehalten. Die technischen Lösungen verlassen auch zunehmend die Nische beziehungsweise die Trainingsumgebung und übernehmen immer mehr alltägliche Aufgaben. Ob dabei grundlegende Modelle wie das bekannte große Sprachmodell von OpenAI zum Einsatz kommen oder welche Technologie die Leistung erbringt, erschließt sich nicht mehr immer auf den ersten Blick. Dies liegt unter anderem daran, dass Anbieter ihre Dienste oder Ergebnisse nicht eindeutig als „von einer KI erzeugt“ klassifizieren, aber auch an der immer besseren Integration in bekannte Software-Werkzeuge wie PowerPoint und schließlich auch daran, dass Autorinnen und Autoren nicht immer konsequent auf externe Quellen verweisen.

Abgesehen von der offensichtlichen Frage des Urheberrechts an Dokumenten und Schriftstücken muss insbesondere bei KI-Modellen der Grundlage besondere Aufmerksamkeit geschenkt werden. Und genau hier entsteht ein Rahmen, der das Angebot von KI-basierten Lösungen in den Vordergrund stellt: Die EU-KI-Verordnung, auch EU AI Act genannt.

Ein kurzer Rückblick zur Entstehung der EU-KI-Verordnung

Vor dem Hintergrund, dass sich vor allem US-amerikanische Technologieunternehmen wie Alphabet Inc. (Google-Konzern) oder Meta (dazu gehören beispielsweise Facebook, WhatsApp oder Threads) in der Vergangenheit faktisch die Hoheit über persönliche Daten gesichert haben, wollten die Expertinnen und Experten der EU bei der Schlüsseltechnologie KI nicht untätig bleiben. Bereits 2018 entstand ein Strategiepapier, das neben anderen wichtigen digitalen und technologischen Richtungsentscheidungen auch eine konsequente Regulierung von KI fordert. Weitere drei Jahre, bis 2021, wurde diese Digitalstrategie in verschiedenen Fachkommissionen verfeinert.

Nachdem die EU ihren Wunsch bekräftigt hatte und eine Vielzahl von Änderungsanträgen aus den Mitgliedsländern eingearbeitet wurden, konnte das Europäische Parlament im Oktober 2022 in einer ersten Plenarsitzung den aktuellen Stand ausgiebig diskutieren. Mit den Beiträgen aus den Diskussionen, aus verschiedenen Parlamentsausschüssen und wiederum aus den Mitgliedsländern veröffentlichte der Rat der EU dann im Dezember eine entschärfte Version, die nun am 14.06.2023 als endgültiger Vorschlag vom Parlament angenommen werden konnte.

Eine Einigung über die letzten strittigen Punkte wird noch in diesem Jahr erwartet. Dabei ist mit kleineren Anpassungen zu rechnen, zum Beispiel ob nationale Behörden den öffentlichen Raum mit biometrischer Gesichtserkennung überwachen dürfen oder ob für diesen Anwendungsfall keine explizite Ausnahme zugelassen wird. Danach haben die Unternehmen eine Frist von 15 Monaten, um die Anforderungen zu erfüllen. Diese Frist wird auch als „Grace Period“ bezeichnet und endet mit dem für alle Mitgliedstaaten rechtsverbindlichen Inkrafttreten der Verordnung, ohne dass es einer nationalen Ratifizierung bedarf. Wer bis zu diesem Stichtag die Anforderungen nicht erfüllt, muss mit Sanktionen rechnen, die über die bekannten Maßnahmen der DSGVO hinausgehen sollen.

EU-KI-Verordnung, was verbirgt sich dahinter?

Der Vorschlag für die EU-KI-VO beginnt mit der Definition von KI und subsumiert darunter neben Konzepten des maschinellen Lernens auch statistische Ansätze sowie logik- und wissensbasierte Konzepte. Damit weitet sich der Anwendungsbereich schnell auch auf klassische Recommendation Engines oder Chatbots aus, die keine „neuen“ KI-Technologien verwenden.

Neben der Definition steht vor allem die Risikoklassifizierung im Vordergrund. Die Verordnung unterscheidet zwischen

  • KI-Systeme mit geringem Risiko,
  • KI-Systeme mit hohem Risiko (definiert in Artikel 6) und
  • verbotenen KI-Systemen (definiert in Artikel 5).

Während KI-Systeme mit geringem Risiko nur in sehr geringem Umfang von Änderungen durch die Verordnung betroffen sind, wie beispielsweise einer Kennzeichnungspflicht, werden die beiden anderen Risikoklassen deutlich stärker tangiert.

Zu den verbotenen KI-Systemen gehören:

  • Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person,
  • Systeme, die die Schwäche oder Verletzlichkeit einer bestimmten Personengruppe aufgrund ihres Alters oder einer körperlichen oder geistigen Behinderung ausnutzen,
  • Systeme, die dazu bestimmt sind, die Vertrauenswürdigkeit natürlicher Personen über einen bestimmten Zeitraum hinweg auf der Grundlage ihres sozialen Verhaltens oder bekannter oder vorhergesagter persönlicher Eigenschaften oder Persönlichkeitsmerkmale zu bewerten oder zu klassifizieren, und
  • die Verwendung von biometrischen Echtzeit-Fernidentifizierungssystemen in öffentlich zugänglichen Bereichen für Zwecke der Strafverfolgung.

Der Schutz von Verbraucherinnen und Verbrauchern und natürlichen Personen steht hier also eindeutig im Vordergrund.

Als Hochrisikosysteme gelten alle in den Anhängen II und III der Verordnung genannten Systeme aus den (Anwendungs-)Bereichen:

  • Biometrische Identifikation und Kategorisierung natürlicher Personen,
  • Verwaltung und Betrieb kritischer Infrastrukturen (KRITIS),
  • Allgemeine und berufliche Bildung,
  • Beschäftigung, Personalverwaltung und Zugang zu selbständiger Erwerbstätigkeit oder
  • Rechtspflege und demokratische Prozesse.

Für diese Anwendungsfälle sind eine Vielzahl von Schutzmaßnahmen zu ergreifen, um die Intention der EU-KI-Verordnung, nämlich den Schutz der EU-Bürgerinnen und Bürgern, zu gewährleisten. Diese Maßnahmen umfassen die klassische Absicherung von Software und Technologie, aber auch KI-spezifische Aspekte wie Nachvollziehbarkeit und (Cyber-)Sicherheit.

Ab hier beginnt die Zukunft

Die KI-Verordnung der EU ist noch nicht endgültig. Dennoch sollten wir, da KI, aber auch Daten und deren Verarbeitung in unseren Projekten eine wichtige Rolle spielen, beginnen, uns mit dem Werk zu beschäftigen, es zu verinnerlichen. Wir müssen uns bewusst sein, dass wir mit unserem Verständnis eine Vorreiterrolle in der Nutzung dieser Technologien einnehmen, da die Mehrheit der Menschen heute noch keinen Zugang dazu hat. Es ist auch noch nicht absehbar in welchem Jahr mit einer vollständigen Durchdringung der Technologie, also der Verbreitung in der Bevölkerung, zu rechnen ist. Und wir müssen uns bewusst sein, dass wir heute schon an morgen denken müssen, in unseren Projekten und Vorhaben die Weichen stellen und einen Rahmen schaffen müssen, der es uns erlaubt, das Ergebnis auch in den nächsten Jahren noch legal nutzen zu können.

Fazit

Die Regulierung der KI, bei der die EU wie bei der Datenschutzgrundverordnung eine Vorreiterrolle einnimmt, ist eine Chance für uns alle. Wir sollten dies nicht als Bremse, sondern als Chancengleichheit sehen. Der Brüssel-Effekt, dass gute Initiativen weltweit Nachahmer finden, ist auch in diesem Fall zu erwarten, erste Ansätze gerade aus den USA sind bereits sichtbar.

Bild Christian Hammer

Autor Christian Hammer

Christian Hammer hat nach seinem Studium der Wirtschaftsinformatik mit Schwerpunkt E-Commerce an der Fachhochschule Würzburg eine Stationen- und Technologie-übergreifende Karriere in der Entwicklung von Data Analytics Lösungen durchlaufen. Im Laufe der Jahre übernahm er immer mehr Verantwortung, zunächst als Lead Developer, später als Architekt und Projektleiter - unter anderem beim Merger von E-Plus und O2. Mittlerweile übernimmt er fast ausschließlich Beratungsaufträge in der Strategieberatung oder als Projekt- und Programmleiter. Fachlich fokussiert sich Christian auf den Bereich Business Analytics im Kontext von Datenintegration, Datenplattformen, Big Data und Artificial Intelligence.

Diese Seite speichern. Diese Seite entfernen.