AI Act : Diese Arbeit wartet jetzt auf Unternehmen

Eine Online-Suche nach dem „EU AI Act“ im Archiv des Tagesspiegel Backgrounds ergab Mitte Juli 2024 403 Treffer. Diese Zahl ist ein deutliches Indiz dafür, dass sich Organisationen, die KI-Systeme innerhalb der EU einsetzen, Klarheit wünschen. Doch obwohl der EU AI Act endlich verabschiedet wurde, warten wir weiterhin auf verschiedene Meilensteine: Insbesondere darauf, welche konkreten Anforderungen schlussendlich in den einzelnen Märkten in der EU gelten, sowie auf Leitlinien und Verhaltenskodizes, die verdeutlichen, wie Unternehmen die neuen Regeln einhalten können. Doch damit nicht genug: Der EU AI Act, der am Freitag veröffentlicht wurde, ist erst der Startschuss – weltweit werden weitere regulatorische Vorgaben und Verpflichtungen folgen.

Zurücklehnen ist keine Option

Zumindest hat dieser Startschuss Organisationen eine gewisse Sicherheit darüber gegeben, welche KI-Systeme sie einsetzen dürfen, welche nicht und welche Compliance-Aktivitäten sie ergreifen sollten, um bestimmte Systeme einzusetzen. Darüber hinaus sollte der EU AI Act aber vor allem das Nachdenken darüber angeregt haben, wie sich Organisationen verändern müssen, um sicherzustellen, dass sie die neuen Regeln systematisch erfüllen.

Denn kein Akteur, der wirklich urteilsfähig ist und auf einem EU-Markt agiert, sollte sich nach der Verabschiedung des EU AI Acts voreilig zurücklehnen. Was wir Stand heute wissen, ist unvollständig, und es wartet noch viel Arbeit, um sicherzustellen, dass das, was wir jetzt auf diesen 144 Seiten lesen können, auch umgesetzt werden kann.

Und dies war erst der Auftakt: Weltweit schlägt der EU AI Act Wellen. Die Zeiten sind vorbei, in denen Organisationen es sich leisten konnten, maschinelles Lernen ohne Dokumentation, Nachverfolgung oder Erklärung einzusetzen. In dieser Hinsicht dient der EU AI Act als Weckruf und macht Unternehmen klar, dass es jetzt mehr denn je angebracht ist, ihren KI-Ansatz zu klassifizieren und zu strukturieren.

Da kommt noch mehr

Um es ganz klar zu sagen: Viele weitere Gesetze werden in Zukunft folgen und bestimmen, wie KI in Unternehmen weltweit entwickelt und genutzt werden darf. Daher wird ein entscheidender Erfolgsfaktor für Organisationen ihre Fähigkeit sein, nicht nur mit den aktuellen Vorschriften des KI-Gesetzes übereinzustimmen, sondern auch schnell auf zukünftige Regeln reagieren zu können. Um dies zu erreichen, ist es erforderlich, solide Grundlagen für die KI-Governance zu schaffen und flexibel notwendige Anpassungen vornehmen zu können. So verhindern Organisationen, bei jeder neuen Vorschrift ihre Governance-Maßnahmen von Grund auf neu gestalten zu müssen.

KI-Inventur machen

Einige Grundsätze erleichtern es Organisationen, sich bereits jetzt auf diese zukünftigen Vorschriften vorzubereiten, ganz unabhängig davon, wie die Gesetze weltweit in Zukunft genau aussehen werden: Organisationen sollten zunächst einmal wissen, was sie überhaupt besitzen. In aller Kürze geht es dabei um ein zentrales Verständnis für KI-Systeme in der eigenen Organisation. Ähnlich wie früher die Regulierung von Daten in Unternehmen diese dazu veranlasst hat, strukturierte Strategien zu entwickeln, um Daten zuverlässiger und besser teilen zu können, geht die Entwicklung von KI nun in eine ähnliche Richtung. Ohne eine solche Struktur besteht ständig die Gefahr unerwarteter Probleme. Ein solches Verständnis bedeutet auch, die verfügbaren KI-Systeme für jeden einsehbar und verständlich zu machen sowie sicherzustellen, dass bewusst über den Einsatz von KI-Systemen entschieden wird. Kern dieses Grundgedankens ist, über ein zentrales Register aller KI-Systeme auf der Anwendungsfall-/Projekt- und Modellebene zu verfügen.

Man sollte allerdings nicht nur wissen, was man besitzt, sondern auch in welchem Zustand eben jener Besitz ist. Ebenso wichtig ist es daher, relevante Informationen über die Systeme zu dokumentieren und offenzulegen. Es besteht auch die Möglichkeit, den Zugriff auf bestimmte Systeme für bestimmte Personen zu limitieren und an Qualifikationen zu knüpfen. Ganz konkret bedeutet dies auch, Risikolevel für KI-Systeme, Modelle und verwendete Datensätze zu verstehen und zu definieren, was aufgrund der festgelegten Kriterien bereits einsatzbereit ist.

Für den dritten Punkt ist ein kurzer Rückblick auf die Kriterien erforderlich, anhand derer KI-Systeme bewertet werden. Seit den frühen Arbeiten der OECD zu diesem Thema neigen verschiedene Regierungen dazu, bestimmte kohärente Prinzipien zu priorisieren. Dazu gehören Dinge wie Transparenz, Rechenschaftspflicht, menschliche Überwachung oder Fairness. Und auch wenn wir auf die explizite Verankerung dieser Prinzipien durch Gesetze vielerorts warten, um exakt zu wissen, wie diese Prinzipien erfüllt oder umgesetzt werden können, können wir in der Zwischenzeit bereits den Grundstein für solche Compliance-Maßnahmen legen.

Und viertens sollten wir uns systematisch damit auseinandersetzen, welchen Beitrag bereits jetzt Governance für KI in den Unternehmen leisten kann. Wenn wir über KI-Governance sprechen, verstehen wir darunter das Abstimmen und Durchsetzen von Regeln, Prozessen und Anforderungen, die KI-Initiativen mit den Zielen der Organisation in Einklang zu bringen. Sobald die Ziele mit den bereits existierenden Prinzipien oder mit zu erwartenden regulatorischen Vorgaben im Einklang stehen, sollten Organisationen daraus Regeln, Prozesse und Anforderungen ableiten – und gerade diesen Schritt nicht auf die lange Bank schieben. Denn es wird nicht mehr lange dauern, bis ganz verschiedene Überprüfungen, Genehmigungen, Dokumentationen, Freigaben oder Audits sowie das Bereitstellen von Informationen auf Anfrage für Organisationen Wirklichkeit werden.

Der EU AI Act markiert den Auftakt zukünftiger Regularien, die darauf abzielen, KI-Initiativen zu reglementieren und gleichzeitig für Unternehmen Nutzen zu ermöglichen. Aber sollten wir erst darauf warten, dass diese Regulierungen in Kraft treten und unsere KI-Strategie im Fall der Fälle komplett neu strukturieren?

Diejenigen, die als Erste erkennen, von welcher Bedeutung es ist, einen grundsätzliches Gerüst für KI in Unternehmen zu implementieren, werden zweifellos die Ersten sein, die das Vertrauen anderer Menschen gewinnen – egal, ob es sich um Kunden, Verbraucher oder Mitarbeitende handelt, die KI verantwortungsbewusst skalieren. Das Rennen hat gerade erst begonnen. Wir sehen uns an der ersten Kurve.

Jacob Beswick ist Director für AI Governance Solutions und Responsible AI bei Dataiku. Davor befasste er sich im britischen Civil Service mit KI, Governance und Regulierung und vertrat das Vereinigte Königreich bei der Europäischen Kommission.

David Talaga ist als Product Marketing Director bei Dataiku tätig und spezialisiert auf MLOps und KI-Governance.