In den letzten Jahren hat die Bedeutung der Künstlichen Intelligenz (KI) sowohl im Privat- als auch im Berufsleben stark zugenommen. KI hat das Potenzial, zahlreiche Industrien und Bereiche unserer Gesellschaft zu transformieren, indem sie Effizienz und Qualität in verschiedenen Anwendungsfällen verbessert. Allerdings sind auch erhebliche Risiken und Unsicherheiten mit dem Einsatz von KI verbunden, wie algorithmische Fehler, Haftungsrisiken, Diskriminierung und Datenschutzverletzungen. Wenn KI-basierte Systeme nicht nach einheitlichen Sicherheitsstandards entwickelt, betrieben und geprüft werden, können sie die Sicherheit von Produkten und Dienstleistungen beeinträchtigen.
Um diesen Herausforderungen entgegenzuwirken, hat die Europäische Union (EU) im Jahr 2021 einen Gesetzesentwurf für den EU AI Act vorgestellt, der eine Regulierung von KI zum Ziel hat. Im Juni 2023 konnten sich EU-Kommission und EU-Parlament auf einen Vorschlag einigen und verhandeln aktuell die Umsetzung mit den EU-Mitgliedsstaaten. Der AI Act als wichtiger Baustein für KI-Absicherung und -Zertifizierung ist auch von zentraler Bedeutung für den Innovation Park Artificial Intelligence, der das europaweit größte Ökosystem für KI-Entwicklung aufbaut. »In unserem Ipai-Ökosystem möchten wir KI-Anwendungen fördern, die nicht nur innovativ und effizient, sondern auch sicher und ethisch verantwortungsvoll sind. Ein praxisorientiertes Verständnis der EU-Standards aus dem AI Act zur KI-Absicherung hilft uns und unseren Mitgliedsunternehmen, alle notwendigen Vorkehrungen dafür zu treffen«, betont Moritz Gräter, der CEO des Ipai.
In Vorbereitung auf den kommenden EU AI Act haben das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO und das Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA deshalb die Sichtweise von Unternehmen untersucht. So haben die Forschenden den aktuellen Stand der gesetzlichen Regulierungen zur KI-Absicherung aufgenommen. Basierend auf den Ergebnissen aus Interviews mit Expertinnen und Experten- haben sie außerdem Anforderungen seitens Unternehmen, Forschungs- und Bildungseinrichtungen an die Umsetzung von Absicherungs- und Zertifizierungsprozessen von KI-Systemen formuliert.
Fehlende Vorgaben zur KI-Absicherung als Unsicherheitsfaktor für Unternehmen
Nach dem aktuellen Gesetzesentwurf für den EU AI Act ist es vorgesehen, dass KI-Anwendungen in verschiedene Risikostufen eingeteilt werden und je nachdem unterschiedlichen Auflagen unterworfen werden. Betreiber von Hochrisiko-KI-Anwendungen werden verpflichtet, ihre Konformität mit diesen Anforderungen in einem Self-Assessment zu überprüfen und können anschließend das CE-Siegel als Zertifikat verwenden. Verpflichtende Prüfungen durch Dritte sollen nur in besonderen Gebieten, wie z. B. der Medizintechnik, erforderlich sein.
Obwohl diese Anforderungen sehr klar vermitteln, wie ein mit dem EU AI Act konformer KI-Einsatz aussehen soll, ist derzeit noch unklar, wie das erreicht werden kann. Aktuell fehlen konkrete Maßnahmen zur Überprüfung der Auflagen. »Unternehmen haben z. B. Schwierigkeiten, einzuschätzen, unter welchen Umständen ihre KI-Anwendung transparent genug ist oder welche Fehlerrate tolerierbar ist«, erklärt Janika Kutz, Teamleiterin am Forschungs- und Innovationszentrum Kognitive Dienstleistungssysteme KODIS des Fraunhofer IAO. Gleichermaßen besteht die Sorge, dass die Aufwände für eine Zertifizierung insbesondere die Ressourcen von Start-ups und kleineren und mittelständischen Unternehmen übersteigen. Es wird befürchtet, dass juristisches Fachwissen erforderlich ist, um Auflagen vollständig korrekt umzusetzen, und die Einhaltung Entwicklungszeiten und -kosten steigen lässt, sodass europäische Unternehmen nicht mit internationaler Konkurrenz mithalten können.
Unternehmen formulieren klare Anforderungen an KI-Zertifizierung
Ein wichtiges Ergebnis der Interviews mit Expertinnen und Experten ist, dass die Zertifizierung für Unternehmen aller Größen umsetzbar sein muss. Jeden Anwendungsfall absichern und zertifizieren zu lassen ist aufwendig und ressourcenintensiv, daher stellen Unternehmen klare Anforderungen an Regelungen zur KI-Absicherung. Faktoren wie Transparenz und Machbarkeit von Zertifizierungsprozessen, klare Rollen von Behörden und Institutionen sowie die Bewahrung der Innovationsfähigkeit werden als besonders wichtig hervorgehoben. »Die befragten Unternehmen sind sich einig, dass bei der KI-Zertifizierung immer der Mehrwert für die Endnutzer im Vordergrund stehen sollte«, fasst Prof. Dr. Marco Huber, Leiter der Abteilung Cyber Cognitive Intelligence am Fraunhofer IPA, die Ergebnisse der Interviews zusammen.
Externe Unterstützungsangebote für Unternehmen sind gefragt
Basierend auf den Aussagen der Interviewten scheinen die meisten Unternehmen nicht ausreichend auf die kommenden Regulierungen durch den EU AI Act vorbereitet zu sein. So können Unternehmen von Informationsvermittlung, Wissenstransfer sowie Netzwerkbildung profitieren und sind außerdem an individuellen Beratungsangeboten sowie praktischen Methoden und Werkzeugen zur Unterstützung bei der Absicherung und Zertifizierung von KI-basierten Systemen interessiert. Durch den fortlaufenden Austausch zwischen Regulierungsbehörden, Industrie, Forschungseinrichtungen und der breiten Öffentlichkeit kann ein umfassendes Verständnis der Chancen und Herausforderungen der KI-Nutzung entwickelt werden. Dies wird letztendlich zur Entwicklung von KI-Systemen führen, die effektiver, sicherer und praxisorientierter sind.