Startseite > Markt > Nicht nur eine punktuelle Aufgabe

AI Act und ISO 42001

Nicht nur eine punktuelle Aufgabe

18. September 2024, 13:00 Uhr | Interview: Diana Künstler

Künstliche Intelligenz verändert unsere Welt. Der AI Act der EU verspricht klare Regeln und Schutz vor Missbrauch. Doch wie weit gehen die Einschränkungen? Und was bedeutet das für Unternehmen? Klaus Kilvinger, Geschäftsführer von Opexa Advisory, gibt Antworten im Interview mit connect professional.

Am 1. August 2024 ist die KI-Verordnung (KI-VO) in Kraft getreten¹. Binnen sechs Monaten ab Inkrafttreten der Verordnung ist dann die Nutzung der verbotenen Systeme einzustellen. Die übrigen Regeln greifen zwei Jahre nach Inkrafttreten, mit Ausnahme derer für Hochrisiko-KI-Systeme, die drei Jahre nach dem Inkrafttreten gelten.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Der AI Act generell

connect professional: Herr Kilvinger, was ist der AI Act und wie definiert er „KI“?

Klaus Kilvinger: Der AI Act ist eine Verordnung, die unmittelbar in der EU gilt und alle Entwickler und Anwender von KI-Lösungen betrifft. Die Verordnung soll die Nutzung von KI in einem Rechtsrahmen auf Basis von Risikobewertungen regulieren und den Missbrauch verhindern. Die KI wird dabei als maschinengestütztes System betrachtet, das in wechselndem Masse für einen autonomen Betrieb ausgelegt ist und auch nach seiner Einführung anpassungsfähig sein kann. Es muss aus Eingaben Ergebnisse hervorbringen, welche die physische oder virtuelle Umgebung beeinflussen können müssen. KI-Systeme werden je nach Risiko in vier verschiedene Kategorien eingeteilt und davon werden Pflichten und Regeln abgeleitet (Anm.d.Red.: siehe dazu auch folgenden Beitrag).

connect professional: Wie schätzen Sie die Definition ein? Bietet sie klare Vorgaben oder lässt sie noch viele Fragen offen?

Kilvinger: Die Definition ist relativ allgemein gehalten, sie muss ja für viele Situationen über Jahre hinweg einsetzbar sein, sie bietet eine breite Grundlage und umfasst viele Arten von KI-Technologien. Das könnte in der Praxis aufgrund des Interpretationsspielraums zu Unsicherheiten führen. Allerdings sehe ich wenig andere Möglichkeiten, das Gesetz soll ja anwendbar sein und muss von Landesgrenzen und Situationen unabhängig anwendbar sein. Hätte man je Lösung – die sich bei technischem Fortschritt ja täglich ändern können – ein eigenes Gesetz machen sollen? Das wäre auch schwer zu handhaben. Wie bei jeder Regulierung müssen sich Auslegung und Rechtsprechung in der Praxis nachschärfen.

connect professional: Welche Punkte der KI-Verordnung sind für Unternehmen wichtig zu wissen?

Kilvinger: Da gibt es die Organisation, die zu schaffen ist, um über die Laufzeit hinweg die Vorgaben zu erfüllen. Und Unternehmen müssen wissen, was der AI Act zu unakzeptablen sowie risikobasierten Anforderungen für KI-Systeme vorschreibt. Für hochriskante KI-Anwendungen müssen strenge Vorgaben eingehalten werden, wie Transparenz, Datenmanagement und Sicherheitsmechanismen. Unternehmen müssen Compliance sicherstellen und ihre Systeme entsprechend kennzeichnen. Unakzeptable Lösungen sind nach sechs Monaten verboten. Man sollte schnell Klarheit schaffen, ob man darunter fällt und muss bei „unakzeptablen“ Lösungen gegebenenfalls rasch handeln. Aber bei allen anderen Kategorien hat man Zeit für die Umsetzungen.

Die Norm ISO 42001

connect professional: Wie hilft die ISO 42001 dabei, die Einhaltung des EU AI Acts sicherzustellen?

Kilvinger: Die ISO/IEC 42001:2023 ist die internationale Norm für KI-Managementsysteme (KIMS). Sie kann Organisationen maßgeblich helfen, systematische Prozesse für den Umgang mit KI-Risiken und -Anforderungen zu etablieren. Durch die Implementierung dieser Norm wird es einfacher, die Einhaltung der technischen und rechtlichen Anforderungen der KI-VO zu gewährleisten. Denn das ist keine punktuelle Aufgabe, das muss für Jahre betrieben werden!

connect professional: Welchen Zeit- und Kostenaufwand sollte man für die ISO 42001-Einführung einplanen?

Kilvinger: Der Zeit- und Kostenaufwand hängt stark von der Unternehmensgröße und bereits vorhandenen Systemen (zum Beispiel für Qualitätsmanagement oder Informationssicherheit) ab. In der Regel wird die Einführung mit einer passende Softwarelösung mindestens drei Monate dauern, ohne diese können leicht sechs Monate vergehen, da manches zu entwickeln ist, das in den Softwarelösungen enthalten ist. Man denke zum Beispiel an Richtlinien und Risikomanagementprozesse. Die Kosten variieren je nach externen Beratungsleistungen, Zertifizierungen, Software und internen Anpassungen. Kosten könnten im Rahmen einer Gap-Analyse konkretisiert werden, da erst dann Transparenz über Situation und Handlungsbedarf besteht.

connect professional: Welche Vorteile bietet die Integration der ISO 42001 in ein bestehendes Managementsystem, das bereits nach ISO 27001 und ISO 9001 zertifiziert ist?

Kilvinger: Eine Integration bietet Synergien, da die Normen schon bei der Entwicklung eine „harmonisierte Struktur“ genutzt haben, so ist die grundlegende Logik ähnlich. Viele Prozesse (wie Risikomanagement, Dokumentation und Audits) sind daher ebenso ähnlich. Dies reduziert den Implementierungsaufwand und sorgt für eine harmonisierte Verwaltung von IT-Sicherheit, Qualität und KI-Regulierungen, was effizienter und kostensparender ist. Ein Mitarbeiter, der sich in einem System zurechtfindet, kommt auch schnell mit den anderen klar.

connect professional: Welche Herausforderungen könnten bei der Implementierung der ISO 42001 auftreten und wie lassen sich diese gegebenenfalls überwinden?

Kilvinger: Herausforderungen sind vielfältig. Neben Änderungen der Organisation, Anpassung der Kultur könnten sie auch im Verständnis der spezifischen KI-Risiken und der Auslegung ethischer Anforderungen liegen. Auch in der Entwicklung von Lösungen mit KI muss bereits im Rahmen des SDLC darauf geachtet werden, KI – Regularien sind zu berücksichtigen (Anm.d.Red.: SDLC = Softare Development Life Cycle/Softwareentwicklungszyklus). Im Betrieb ist auf Änderungen durch „Lernen“ anhand neuer Trainingsdaten zu achten. Lücken und Unklarheiten lassen sich durch Best Practices, Schulungen, spezialisierte Beratungen und eine engere Zusammenarbeit mit Compliance-Experten oder Zertifizierungsorganisationen oder im Branchenkreis (IHK, VDA und so weiter) bewältigen.

connect professional: Wie kann die ISO 42001 dazu beitragen, ethische Bedenken im Zusammenhang mit der Nutzung von KI zu adressieren?

Kilvinger: Ich bin davon überzeugt, dass die ISO 42001 den Unternehmen helfen kann. Denn sie vereinfacht die Organisation, spart Kosten durch Standardisierung und trägt dazu bei, ethische Grundsätze wie Qualität, Testen, Transparenz und Datenschutz systematisch in ihre KI-Systeme zu integrieren. Sie stellt sicher, dass ethische Fragen von Anfang an in den Entwicklungsprozess von KI-Lösungen eingebunden werden. Und durch eine Zertifizierung des KIMS als ganzes System kann das Vertrauen in das Unternehmen wesentlich aufgebaut werden. Die positive Hilfe der ISO 42001 unterstützt übrigens auch die Anforderungen im Betrieb, die Weiterentwicklung von Lösungen auf Basis von Trainingsdaten und die Sicherung der Mindeststandards für Importe! Es ist zu erwarten, dass in der Zukunft auf dem Markt keine Software mit KI-Teilen mehr verkauft werden kann, die nicht gemäß KI-Verordnung im Rahmen eines zertifizierten KIMS gemäß ISO 42001 entwickelt wurde.

Kritik an der KI-Verordnung

connect professional: Der Digitalverband Bitkom kritisierte zuletzt², dass das nun beschlossene KI-Gesetz wesentliche Fragen offenlasse. Ob KI in Deutschland und Europa einen Schub erhalte oder vor allem vor neue Hindernisse gestellt werde, hänge entscheidend davon ab, wie dieser Rahmen ausgestaltet werde und die Regelungen in Deutschland umgesetzt würden. Wie sehen Sie das: Droht mit der KI-Verordnung eine Über- oder gar Falschregulierung, wie von vielen moniert?

Kilvinger: Die Kritik ist nur zum Teil berechtigt. Sicher ist kein Gesetz perfekt und hat Lücken oder andere Mängel (es wird ja von Menschen gemacht) und so bringt jede Regulierung erst einmal Umstellungskosten mit sich, zudem muss sich vieles noch einschleifen und das kostet Zeit und Energie. Aber ich bezweifle, dass hier eine Überregulierung vorliegt. Das ganze Thema ist komplex und sehr dynamisch und kann weitreichende Folgen haben. Soll man deshalb die Hände in den Schoß legen und besser den Markt laufen lassen? Ist das die Lösung?

Und jeder Hersteller muss ohnehin seine Qualitätsverpflichtungen einhalten, nur jetzt eben auch für die KI, die ihm aber auch dabei wieder helfen kann. KI-Innovationen können weiter für Forschungszwecke und ohne Vermarktung genutzt und entwickelt werden, ohne Einschränkungen.

Andererseits ist eine Regulierung notwendig, um Vertrauen in KI-Systeme zu schaffen. Der Erfolg von KI und deren Akzeptanz hängt stark von der praktischen Ausgestaltung und Flexibilität bei der Umsetzung ab, hier ist sicherlich Augenmaß gefragt. Wenn die Regulierung zu starr wird, könnte sie tatsächlich Innovationshemmnisse schaffen.

Auch gilt die Regel für Import-Systeme, also muss jeder, der eine Lösung in der EU verkaufen will – immerhin ein großer und wichtiger Markt für viele Anbieter – hier mitmachen. Aufgrund der möglichen Umsätze sehe ich da allenfalls eine Verzögerung und Nischensysteme werden etwas länger brauchen, in die EU zu kommen. Aber die großen Anbieter werden mitspielen, schon aus Eigeninteresse. Und international wird die EU beobachtet, viele Länder werden ihre KI-Regulierung nachziehen, vielfach beobachtbar war das bei der gescholtenen DSGVO. Die Risiken sind zu groß, das ist weltweit bekannt, auch in Washington denkt man über Regeln nach, trotz der wichtigen und großen US- Tech-Branche.

Abschließend vermute ich, daß aktuell die Kritik vielfach an der nicht für alle einfachen politischen und wirtschaftlichen Gesamtsituation und engen Personaldecke der Firmen liegt, nicht so sehr an der KI-Verordnung selbst. In manchen Kreisen muss die EU zudem als Sündenbock herhalten, ob zurecht oder nicht. Und in schwierigen Zeiten versucht jede Branche, die Belastungen zu reduzieren. Aber auch prosperierende Firmen jammern gern, da Kosten den Gewinn schmälern.

In der Situation KI zu regulieren und einen anwendbaren Anwendungs- und Auslegungskompromiss in der Praxis für alle zu finden, wird die anspruchsvollste Aufgabe in der Umsetzung der KI-Verordnung sein! Daher kommt die ISO 42001 wie gerufen, hier mitzuhelfen.

^{1 https://digital-strategy.ec.europa.eu/de/policies/european-approach-artificial-intelligence

2 https://www.bitkom.org/Presse/Presseinformation/Bitkom-zum-Inkrafttreten-des-AI-Acts}