Künstliche Intelligenz: Risikoklassen per Klick bestimmen

Mit dem Inkrafttreten der EU-Verordnung 2024/1689 müssen Unternehmen künftig prüfen, in welche Risikoklasse ihre KI-gestützten Anwendungen beziehungsweise Produkte fallen. Eine falsche Klassifizierung kann gravierende Folgen haben – von Projektverzögerungen bis zu Marktzugangsbeschränkungen. Gleichzeitig fehlt vielen Unternehmen das Know-how, um diese gesetzlichen Vorgaben systematisch und frühzeitig in Entwicklungsprozesse zu integrieren. TÜV Hessen hat mit dem AI Act Risk Navigator ein Tool entwickeln lassen, das die systematische Einordnung von KI-Systemen in die Risikoklassen in kürzester Zeit ermöglicht. 

AI Act soll künstliche Intelligenz regulieren

Die EU hat als erste Regulierungsbehörde weltweit eine umfassende Verordnung erlassen, um den Einsatz künstlicher Intelligenz (KI) zu regulieren: die „Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz” (AI Act). Damit soll sichergestellt werden, dass die in der EU eingesetzten KI-Systeme sicher, transparent und nachvollziehbar sind und keine Diskriminierung stattfindet. Der AI Act wird die Entwicklung von KI in der EU maßgeblich beeinflussen. Das EU-Parlament hat die Verordnung verabschiedet, am 1. August 2024 trat sie in Kraft. Rund 140 Seiten umfasst die deutschsprachige Fassung. Die vorgesehenen Regulierungen werden schrittweise verpflichtend und greifen spätestens zwei Jahre nach dem Inkrafttreten. 

Der AI Act betrifft Unternehmen, Behörden oder Entwickler, die KI-Systeme in der EU entwickeln, vertreiben oder nutzen, auch wenn sie außerhalb der EU ihren Unternehmenssitz haben. Er teilt KI-Anwendungen in vier Risikostufen ein: verbotene, hochriskante, begrenzt riskante und minimale Risiken. Verboten wurden KI-Systeme mit einem inakzeptablen Risiko, zu denen unter anderem Social Scoring gehört. Auch sind Systeme verboten, die Fotos und Videos auslesen, auf Emotionen am Arbeitsplatz oder in Bildungseinrichtungen schließen und Menschen auf der Grundlage ihrer biometrischen Daten kategorisieren. Hochrisiko-KI, etwa in Medizin, Bildung oder Justiz, unterliegt strengen Auflagen zu Datenqualität, Dokumentation, Aufsicht und Transparenz. Für generative KI-Modelle gelten besondere Anforderungen zur Offenlegung von Trainingsdaten und Urheberrechtskonformität. Hier soll verzerrten Ergebnissen vorgebeugt werden, die auf unvollständigen oder voreingenommenen Daten basieren. Die EU legt mit der Verordnung den Fokus darauf, dass KI gewisse Qualitätsstandards erfüllen muss. Es geht weniger darum, Produkte schnell auf den Markt zu werfen. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden.

Künstliche Intelligenz in Unternehmen etabliert

Nun setzen immer mehr Unternehmen in ihren Geschäftsprozessen und Produkten KI ein – selbst entwickelt, in Form von angepassten Standard-Lösungen oder komplett von der Stange. Die Anwendungsfälle sind so vielfältig wie die Geschäftsmodelle der anwendenden Unternehmen. Für Verantwortliche stellt sich nun die Frage, ob der Einsatz der KI gesetzeskonform ist: Denn Unternehmen, die eine KI in Europa auf den Markt bringen wollen, müssen den AI Act einhalten. Für sie besteht die größte Herausforderung darin, zu wissen, welche rechtlichen Anforderungen für ihre Anwendung gelten. Zwar gibt die KI-Verordnung dazu Hinweise, diese sind aber nicht immer ohne Weiteres zu verstehen.

Für Unternehmen ist eine frühzeitige Risikoklassifizierung ihrer KI gemäß der Verordnung aber elementar. Nur mit einer solchen können sie abschätzen, welche Anforderungen für ihr Produkt gelten. Und davon kann wiederum abhängen, ob das Produkt überhaupt wirtschaftlich ist. Teure Nachbesserungen können zum Beispiel die Rentabilität schnell in Frage stellen: Sollte bekannt werden, dass rechtliche Anforderungen nicht erfüllt wurden, kann sich das auf die Reputation des Herstellers und die Absatzzahlen auswirken. Möglicherweise zeichnet sich auch ab, dass es sinnvoller ist, sich auf den US- oder den chinesischen Markt statt auf den europäischen zu konzentrieren, da sie deutlich weniger reguliert als Europa sind.

Ein Navigator bietet Erstorientierung

Für dieses Dilemma hat die TÜV AI.Lab GmbH den AI Act Navigator (AAN) entwickelt. Das TÜV AI.Lab wurde im Herbst 2023 als eigenständiges Joint Venture der TÜV-Unternehmen gegründet und hat zum Ziel, die regulatorischen Anforderungen an KI in die Praxis zu übersetzen. Das TÜV AI.Lab, an dem auch TÜV Hessen als Mitgesellschafter beteiligt ist, entwickelt quantifizierbare Konformitätskriterien und geeignete Prüfmethoden für KI.

Der TÜV Hessen AI Act Risk Navigator gibt Unternehmen eine schnelle Orientierung und Einschätzung, unter welche Risikoklasse ihre KI-Systeme fallen – minimal, begrenzt, hoch oder verboten. Unternehmen erhalten einen Überblick, mit welchen Anforderungen sie rechnen müssen. Sie erhalten eine Entscheidungsgrundlage, wissen welche Aufgabenstellungen auf sie zukommen werden und können Prioritäten setzen. 

Der AAN verschafft einen Überblick – mit überschaubarem zeitlichem und monetärem Aufwand. Unternehmen erhalten eine unabhängige Bewertung ohne einen Juristen damit beauftragen oder sich selbst durch die Verordnung arbeiten zu müssen. Der AAN ist kostenlos. Er setzt zwar kein tiefes Fachwissen voraus, dennoch bietet es sich an, dass Produktmanager, die das System genau kennen, den Fragekatalog beantworten. 

Die Risikoklassifizierung erfolgt über maximal zwölf Einzelfragen; die Antwortmöglichkeiten sind als Multiple Choice vorgegeben und die Abfrage erfolgt systematisch. Sollte eine Frage nicht beantwortet werden können, besteht die Möglichkeit, die Option „unsicher“ anzuklicken. Im Fragebogen erscheint dann die nächste Frage. Das Ergebnis ist die Einstufung der KI in eine der vier Risikokategorien, eine Zusammenfassung und eine Begründung. Unternehmen haben danach Klarheit über die Einstufung ihrer KI; der AAN gibt außerdem Hinweise, was es nun zu beachten gilt. Unternehmen erhalten die Ergebnisse im PDF-Format.

Fazit: ein hilfreiches Tool

Der AAN kann einfach in bestehende Governance- oder Entwicklungsprozesse, etwa in ein Managementsystem gemäß ISO 42001 eingebunden werden. Er stellt aber kein verbindliches Legal-Assessment dar. Die Ergebnisse können vielmehr als Grundlage für detailliertere Prüfungen dienen. Bei allen tiefergreifenden Fragen – insbesondere auch zur Umsetzung sowie der Zertifizierung – stehen Experten von TÜV Hessen zur Verfügung. Zusätzlich besteht die Möglichkeit, auf das Know-how der Experten der TÜV AI.Lab GmbH zurückzugreifen.

Das Feedback zum AAN war bisher ausschließlich positiv: Der Navigator ist einfach zu bedienen und liefert schnelle Ergebnisse. Sollte die zugrundeliegende Verordnung angepasst werden, stellt TÜV Hessen die Aktualität des Tools sicher. 

Unternehmen, die KI-gestützte Produkte in der EU auf den Markt bringen wollen, müssen gemäß dem AI Act ihre KI einer Risikogruppe zuordnen. Der AI Act Risk Navigator erledigt genau das: Er schafft einen ersten Überblick, erleichtert Unternehmen den Einstieg in die Thematik und legt eine erste Entscheidungsgrundlage, mit der Prioritäten gesetzt werden können.