AI Act : Die Kraft von Weltmodellen, der AI Act und die Notwendigkeit von KI-Compliance

Künstliche Intelligenz ist schon heute ein wichtiger Bestandteil der digitalen Transformation von Unternehmen aller Größenordnungen – vom Start-Up bis hin zum Großkonzern. Gängige Anwendungsfälle sind unter anderem Sprachübersetzer, Betrugsfallerkennung bei Banken, Sprach- und Einkaufsassistenten großer Shoppingportale und das autonome Fahren. Nicht nur Unternehmen stehen hier vor einem Umbruch, sondern auch Bundes- und Landesbehörden sowie Kommunen, die mit Hilfe von KI-Technologien ihre analogen Verwaltungsprozesse digitalisieren und optimieren.

KI ist nicht nur in der Lage, Muster und Bedeutungen in Daten zu erkennen, sondern kann diese auch selbstständig interpretieren und Schlussfolgerungen daraus ziehen. Eine wichtige Voraussetzung sind ausreichend große Datensätze, um komplexe Strukturen und Abhängigkeiten darin finden und entsprechend in Modellen abbilden zu können. Die Entwicklung komplexer KI-Modelle lehnt sich dabei an die Funktionsweise des menschlichen Gehirns an, wobei künstliche Neuronen mit Daten trainiert werden und diese im Verbund eigenständig lernen.

Neue Möglichkeiten, neue Gefahren

Eine wichtige Entwicklung sind dabei sogenannte KI-Basistechnologien oder Weltmodelle, die nicht nur für einen spezifischen Anwendungsfall funktionieren, sondern eine große Bandbreite an Einsatzmöglichkeiten abdecken. Beispielsweise kann ein sprachbasiertes KI-Weltmodell sowohl im Kundenservice eines Telekommunikationsanbieters als auch zur Formulierung von Textvorschlägen für die Webseite einer Bank genutzt werden. „Mit der neuen Generation der Künstlichen Intelligenz entsteht eine industrielle Revolution im Ausmaß jenseits der Dampfmaschine oder Elektrizität“, sagt Jonas Andrulis, CEO und Gründer von Aleph Alpha.

Doch mit dem enormen Potential von KI sind neue Risiken beim Einsatz verbunden, die wir bisher von traditioneller IT nicht kennen. Beispielsweise sind Entscheidungen von KI-Systemen nicht immer nachvollziehbar, so dass diese häufig mit einer Blackbox verglichen werden. Ein weiteres Risiko liegt im kontinuierlichen und selbständigen Lernen von KI-Systemen. Bei der Verwendung fehlerhafter Daten im Lernprozess kann es zu einem plötzlichen und unvorhergesehenen Leistungsabfall kommen. Dieser kann finanzielle und Reputationsschäden beim KI-Systembetreiber oder -Nutzer zur Folge haben. Gleichzeitig eröffnen sich neue Möglichkeiten für Angreifer, KI-Systeme gezielt zu manipulieren und somit eine Fehlfunktion auszulösen.

Um die Grundrechte der Bürger und Bürgerinnen gegen solche Risken zu schützen, arbeitet die EU am AI Act. Dieser greift sehr stark in den europäischen KI-Markt ein, da branchenunabhängig so gut wie jedes Unternehmen davon betroffen ist. Abhängig vom Risiko eines KI-Systems sind damit umfassende Verpflichtungen verbunden. Diese reichen von der Implementierung eines Risikomanagementsystems über die Anwendung einer geeigneten Daten-Governance bis hin zu umfangreichen technischen Dokumentationsanforderungen und Berichtspflichten an Behörden. Der Handlungsbedarf für Unternehmen in Deutschland ist unglaublich hoch, um die Anforderungen des AI Act zu erfüllen. Doch bisher haben die Wenigsten erkannt, dass sich gerade eine ähnlich hohe regulatorische Welle vor uns auftürmt, wie wir sie bei der Einführung der DSGVO gesehen haben.

Unternehmen müssen proaktiv handeln

Das betrifft auch mögliche Bußgelder. Wer gegen das KI-Gesetz verstößt, dem drohen Bußgelder in Höhe von bis zu 30 Millionen Euro oder sechs Prozent des weltweiten Gesamtjahresumsatz, je nachdem welcher Betrag höher ist. Der Entwurf des AI Acts befindet sich derzeit in einer letzten Überarbeitung und es wird erwartet, dass er bereits in wenigen Monaten in Kraft treten wird.

Um die Einführung eines KI-Unternehmensregelwerk (KI Compliance Managementsystem, CMS) – als Antwort auf den AI Act – wird kaum ein Unternehmen herumkommen. Denn nur darüber lassen sich die unterschiedlichen Maßnahmen und Prozesse, die zur Einhaltung der regulatorischen Anforderungen beitragen, bündeln und effektiv umsetzen. Angefangen beim Aufbau eines einheitlichen Verständnisses von KI bei den Mitarbeitenden eines Unternehmens, der einheitlichen Erfassung aller KI-Systeme, der Ergänzung KI-spezifischer Aspekte im Risikomanagement, der Entwicklung von KI-Leitlinien und oder der Einführung eines Prüfprogramms zur unabhängigen Validierung von KI-Systemen, liegen viele Aufgaben vor den Unternehmen.

Hinzu kommt die Gefahr, dass sich einige der Anforderungen des AI Acts im Nachhinein nicht mehr umsetzen lassen, sodass im schlimmsten Fall KI-Systeme mit Inkrafttreten des Gesetzes zwangsweise abgeschaltet werden müssen. Ein KI-CMS bildet dabei den übergeordneten Rahmen, das den gesetzeskonformen Einsatz von KI sicherstellt.

Daher sollten Unternehmen bereits heute proaktiv handeln, um sich auf die kommenden Anforderungen an KI-Systeme vorzubereiten. Denn neben den vielen Herausforderungen zur Einhaltung des AI Acts bietet dieser vor allem auch eine einmalige Gelegenheit, Europa und seine Unternehmen als Vorreiter für vertrauenswürdige, sichere und faire KI zu etablieren. Nur über ein Gleichgewicht zwischen Regulatorik und Innovationsfähigkeit wird die Wettbewerbsfähigkeit des Wirtschaftsstandortes Deutschlands sowie die europäischen Werte nachhaltig erhalten bleiben.

Christian Schwerdt ist als Senior Manager bei Protiviti Deutschland tätig. Seine Expertisen liegen in den Bereichen Data Science und IT-Security sowie Business Development.

Kentaro Ellert ist als Manager bei Protiviti Deutschland im Bereich Technology Consulting tätig und hat sich auf Compliance für Künstliche Intelligenz spezialisiert.