Die EU will künstliche Intelligenz regulieren: ein erster Blick auf die neuen Anforderungen
Obwohl leistungsstarke KI-Tools bereits in unserem Alltag präsent sind, steckt künstliche Intelligenz quasi noch in den Kinderschuhen.
Laut Recherchen von PWC könnte sie 2030 bis zu 15,7 Billionen US-Dollar zur Weltwirtschaft beisteuern, und es überrascht nicht, dass die Regulierung in diesem hochdynamischen Feld dem Markt hinterherhinkt. Als Reaktion auf das zunehmende Wissen um die möglichen Gefahren dieser Technologie hat die EU-Kommission den weltweit ersten Vorschlag zur Regulierung von KI vorgelegt.
Der vorgeschlagene Rechtsrahmen, das Konzept für vertrauenswürdige künstliche Intelligenz (KI), ist ein wichtiger Schritt zur Beschränkung potenziell negativer Auswirkungen von KI auf das Individuum und die Gesellschaft. KI umfasst einige der spannendsten und umstrittensten Technologien unserer Zeit, etwa autonomes Fahren, Gesichtserkennung und Algorithmen für Online-Marketing. Negative Auswirkungen will die EU durch das Gesetz ähnlich beschränken wie schon bei ihrer Produktsicherheitsregulierung, die Licht auf die Produktionsprozesse wirft und die Transparenz für betroffene Personen erhöht.
Das Konzept umfasst sowohl wichtige Pflichten rund um Transparenz und Risikomanagement als auch Data Governance und wird voraussichtlich für KI-Anbieter wie FRISS sowie FRISS-Kunden als Benutzer unserer KI gelten. Wie bei der Datenschutz-Grundverordnung (DSGVO), einem Rechtsrahmen für den Schutz personenbezogener Daten in der EU, sind die Strafen, die Behörden verhängen können, nach Schweregrad gestaffelt. Eine Strafe nach höchstem Schweregrad übertrifft hier jedoch die unter der DSGVO: 30 Millionen Euro oder 6 % des weltweiten Umsatzes, je nachdem, welche Summe höher ist.
Wie nähert sich der Kommissionsvorschlag KI?
Die Kommission folgt einer weiten Auslegung von KI, zweifellos um Geltung und Wirksamkeit der Gesetzgebung zu maximieren.
KI wird unter Artikel 3 des Vorschlags allgemein definiert als:
„Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist …
Die aufgeführten Konzepte sind solche des maschinellen Lernens, logik- und wissensgestützte Konzepte und/oder statistische Ansätze.
„… und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren.“
Die Vorgehensweise der Kommission besteht in der Trennung von KI und den jeweiligen Anforderungen nach Risikostufen. Das beginnt bei „verbotenen KI-Praktiken“, die laut Kommission ein „unannehmbares Risiko“ darstellen. Darunter fällt, was viele von uns als „geht zu weit“ auffassen würden, etwa biometrische Gesichtserkennung im öffentlichen Raum oder Social Scoring durch Behörden.
Bei Anwendungen von KI, für die die Kommission ein „geringes oder minimales Risiko“ sieht, müssen lediglich grundlegende Transparenzpflichten erfüllt werden, um dem Vorschlag zu entsprechen. Dazu gehören etwa Chatbots, Spamfilter oder Videospiele, die anhand von KI realistisches menschliches Spielverhalten nachahmen.
Das Hauptaugenmerk des Vorschlags liegt auf „Hochrisiko-KI-Systemen“, die, wie im Anhang III aufgeführt, in folgende Bereiche fallen:
- biometrische Identifizierung und Kategorisierung natürlicher Personen;
- Verwaltung und Betrieb kritischer Infrastrukturen; allgemeine und berufliche Bildung;
- Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit;
- Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen;
- Strafverfolgung; Migration, Asyl und Grenzkontrolle;
- Rechtspflege und demokratische Prozesse.
Abhängig davon, wie weitere Leitlinien den Anhang III definieren, ist es möglich, dass Anhang III 5. b) auch bestimmte InsurTech-Produkte einschließt. Ebenso ist festzuhalten, dass die Liste nicht endgültig ist, sondern von der Kommission aktualisiert werden kann, damit künftige oder neu identifizierte Hochrisiko-KI-Systeme erfasst werden. FRISS wird daher kontinuierlich die Entwicklungen verfolgen.
Welche Anforderungen bestehen?
Laut Vorschlag haben Anbieter von Hochrisiko-KI-Systemen eine Reihe von Anforderungen zu erfüllen. So müssen sie etwa über ein Risikomanagementsystem verfügen, Data-Governance-Praktiken anwenden, technische Dokumentationen erstellen, Aufzeichnungen führen und gewährleisten, dass Benutzern ihrer Systeme transparente Informationen bereitgestellt werden (Artikel 16). Zusätzlich zu produktbezogenen Anforderungen müssen KI-Anbieter sicherstellen, dass sie ein Qualitätsmanagementsystem anwenden, „Konformitätsbewertungen“ durchführen und automatisch erzeugte Protokolle aufbewahren. Außerdem müssen sie die CE-Kennzeichnung an ihren Hochrisiko-KI-Systemen (oder der Dokumentation) anbringen, um deren Konformität anzuzeigen. Sollte das System die Anforderungen nicht erfüllen, müssen Anbieter die erforderlichen Korrekturmaßnahmen ergreifen und die zuständigen Behörden hierüber informieren.
Die Benutzer von KI-Systemen mit einem hohen Risiko sind verpflichtet, die den KI-Systemen beiliegenden Anweisungen zu befolgen, dafür zu sorgen, dass die Eingabedaten der Zweckbestimmung des Systems entsprechen, den Betrieb des KI-Systems zu überwachen und das System bei Auftreten eines Risikos zu unterbrechen sowie die erzeugten Protokolle über einen angemessenen Zeitraum aufzubewahren. (Artikel 29).
Wie FRISS an die neue Regulierung herangeht
Unser Partner FRISS nimmt Regulierungsstandards ernst, denn zuverlässige Berater sind wir nicht nur auf dem Papier. Wir begrüßen die Nutzung von KI, weil sie nie schläft, schneller ist, weniger Fehler macht und anhand der kollektiven Gehirnleistung einer gesamten Betrugsbekämpfungsabteilung operiert. Bei FRISS wird KI so eingesetzt, dass wir Risiken bei Versicherungsanträgen, Verlängerungen und Schadenfällen in Echtzeit und ganzheitlich betrachten und so die Effizienz für unsere Kunden erhöhen können. Ebenso entscheidend ist für uns jedoch Transparenz.
Während der Kommissionsvorschlag den Beginn eines Gesetzgebungsverfahrens kennzeichnet, müssen bis zur endgültigen Version weitere Schritte erfolgen. Der nächste Schritt ist die Prüfung des Vorschlags durch das Europäische Parlament und den Ministerrat. In der Zwischenzeit werden die FRISS-Teams für Compliance und Daten die Entwicklungen weiter verfolgen, um gegebenenfalls kurzfristig auf geänderte Kernanforderungen zu reagieren.
Von Anfang an hat sich FRISS verpflichtet, wesentliche Prinzipien verantwortungsvoller KI, etwa Reduzierung von Unschärfen, Transparenz und Risikomanagement, wie folgt anzuwenden:
- Reduzierung von Unschärfen: Wir schließen eindeutige Datenpunkte zu Geschlecht, Familienstand, Nationalität, ethnischer Zugehörigkeit usw. in unseren Modellen aus, und unsere Datenanalysten sind darauf trainiert, mögliche Alternativen hierfür zu eruieren.
- Transparenz: Wir wenden erklärbare KI für alle unsere Modelle an, was bedeutet, dass Endbenutzer genau sehen, warum ein bestimmter Schadenfall als risikobehaftet eingestuft wurde.
- Risikomanagement: Wir haben Datenschutz-Folgenabschätzungen (DSFA) in unseren Entwicklungsprozess implementiert und praktizieren einen Privacy-by-Design-Ansatz im Einklang mit der DSGVO.
Unsere Botschaft an Sie
Das Konzept für vertrauenswürdige künstliche Intelligenz ist ein wichtiger Schritt hin zu einer ethischen und verantwortungsvollen Nutzung von KI. Wir loben die verstärkte Ausrichtung der EU auf Transparenz und Risikomanagement, weil auch wir glauben, dass dies ein Marktstandard für KI-basierte Produkte sein sollte. Wir nehmen uns Zeit, um weitere Entwicklungen zu analysieren und zu beobachten, damit wir wissen, was die neuen Anforderungen für unsere Produkte und unsere Kunden weltweit bedeuten. Weil uns klar ist, dass Compliance zur Aufrechterhaltung des Normalbetriebs unerlässlich sein wird, haben wir die Änderungen im Griff. Wir verfolgen weiter, welche regulatorischen Anforderungen sich abzeichnen und unternehmen frühzeitig erforderliche Schritte im Hinblick auf die Einhaltung der Compliance.