AI Act: Was Unternehmen beachten müssen

 

 

Die meisten Unternehmen sind laut Gartner nicht darauf vorbereitet, die weitreichenden Vorschriften des AI Act der EU einzuhalten. Nader Henein, VP Analyst bei Gartner, erklärt, wie gut die Unternehmen vorbereitet sind. Und was sie in naher Zukunft tun müssen, um sich vorzubereiten. Zudem gibt er Tipps, womit die Anwender beginnen sollten.

Wie gut sind die Unternehmen auf den EU AI Act vorbereitet?

Nader Henein: Viele Unternehmen glauben, dass sie keine Probleme mit dem AI Act haben, da sie keine KI-Tools und -Services selbst entwickeln. Das ist ein gefährlicher Trugschluss, denn das europäische KI-Gesetz betrifft fast jedes Unternehmen. Denn die Firmen sind nicht nur für die KI-Funktionen verantwortlich, die sie aufbauen, sondern auch für die Funktionen, die sie bereits gekauft haben.

Was sollte ein Unternehmen dann konkret tun?

Nader Henein: Wir raten Unternehmen, ein KI-Governance-Programm einzurichten, um KI-Nutzungsfälle zu katalogisieren und zu kategorisieren. Ferner sollten alle verbotenen Anwendungsfälle so schnell wie möglich beseitigt werden.

Warum sollten die verbotenen Anwendungsfälle schnell beseitigt werden?

Nader Henein: Die Regeln für verbotene KI-Systeme werden sechs Monate nach Inkrafttreten des KI-Gesetzes wirksam. Und es drohen empfindliche Strafen. Die Bußgelder können bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes betragen. Achtzehn Monate später (an der Zwei-Jahres-Marke) tritt zudem der Großteil der Vorschriften in Kraft, die sich mit risikoreichen KI-Systemen befassen. Diese Regeln werden für viele Anwendungsfälle gelten und sie erfordern ein hohes Maß an Sorgfalt.

Was müssen Unternehmen tun, wenn sie die hohen Geldstrafen vermeiden wollen?

Nader Henein: Der erste und wichtigste Schritt besteht darin, die KI-gestützte Funktionen zu entdecken und zu katalogisieren. Dies sollte so detailliert erfolgen, dass anschließend eine Risikobewertung möglich ist.

 

Gartner rät Unternehmen ein KI-Governance-Programm einzurichten.

Foto: Alexander Supertramp – shutterstock.com

Viele Unternehmen haben über Hunderte von KI-gesteuerten Funktionen im Einsatz. Einige davon wurden speziell entwickelt, doch die meisten sind unsichtbar, obwohl sie in viele der täglich genutzten Plattformen integriert sind.

Die Katalogisierung erfordert von Unternehmen, Anbietern und Entwicklern, dass sie jedes KI-fähige System, das im Unternehmen eingesetzt wird, entdecken und auflisten. Dies erleichtert die anschließende Einstufung in eine der vier im Gesetz genannten Risikostufen: KI-Systeme mit geringem Risiko, KI-Systeme mit hohem Risiko, verbotene KI-Systeme und KI-Systeme für allgemeine Zwecke.

Wie sollte dieser Prozess angegangen werden?

Nader Henein: Am besten ist es, jede der KI-Einsatzklassen systematisch zu durchlaufen. Der Grund für diese Vorgehensweise liegt darin, dass das kurzfristige Ziel zwar die Risikoidentifizierung ist. Doch letztendlich geht es auch um eine Risikominimierung. In diesem Punkt hat jede KI-Klasse ihre eigenen Anforderungen.

Welche KI-Klassen gibt es und wie sind diese zu kategorisieren?

Nader Henein: Wir unterscheiden bei Gartner zwischen den vier KI-Einsatzklassen AI In-the-wild, Embedded AI, AI In-house sowie Hybrid AI.

Unter AI In-the-wild verstehen wir generative und andere KI-Tools, die öffentlich verfügbar sind. Mitarbeiter nutzen sie für arbeitsbezogene Zwecke formell und informell – etwa ChatGPT oder Bing. Wie man sie katalogisiert? Dies erfordert eine Schulung der Mitarbeiter und eine Reihe von Umfragen, um schnell eine Liste der verwendeten Systeme erstellen zu können. Parallel dazu kann das IT-Team möglicherweise zusätzliche KI-Tools identifizieren, indem es den Web-Traffic des Unternehmens analysiert.

Embedded AI sind in Standardlösungen integrierte KI-Funktionen und SaaS-Angebote, die Unternehmen nutzen. Service-Provider ergänzen ihre Angebote seit fast zehn Jahren mit KI-Funktionen, von denen viele für das Unternehmen völlig unsichtbar sind. Beispiel hierfür sind Machine Learning oder Spam- oder Malware-Erkennungs-Engines. Um diese zu katalogisieren, sollten Unternehmen ihr Risikomanagement-Programm für Drittanbieter ausbauen sowie detaillierte Informationen von ihren Anbietern einfordern. Schließlich ist die Verwendung eingebetteter KI-Funktionen möglicherweise nicht offensichtlich.

AI In-house definiert KI-Fähigkeiten, die intern trainiert, getestet und entwickelt werden. Dabei sind für die Unternehmen die Daten, die Technologien und die anschließende Anpassung der Modelle transparent. Ebenso haben sie einen Überblick über den Einsatzzweck. Die Katalogisierung sollte hier einfach verlaufen, denn Unternehmen, die ihre eigenen KI-Modelle entwickeln und pflegen, sollten über Datenwissenschaftler und ein Governance-Programm zur Kuratierung der Daten verfügen. Deshalb sollte der Entdeckungsprozess reibungslos verlaufen. Und die für die anschließende Kategorisierung benötigten Daten sind leicht verfügbar.

Hybrid AI bezeichnet unternehmenseigene KI-Fähigkeiten, die intern mit einem oder mehreren generativen oder anderen Standardmodellen aufgebaut werden. Diese werden dann mit Unternehmensdaten ergänzt.

Hier handelt es sich um eine Kombination aus externen, vorab trainierten Modellen und internen Daten. Um dies zu kategorisieren, ist eine Kombination aus Fragen des Anbietermanagements von eingebetteter KI und der internen Metadatenbeschaffung von KI im Unternehmen notwendig. Nur so können die entsprechenden Informationen gesammelt werden, die für die Kategorisierung der einzelnen Anwendungsfälle erforderlich sind.