Die ISO/IEC 42001:2023-12 ist die erste Managementsystemnorm für KI-Systeme, die von der International Organization für Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wurde. Ziel dieser Norm ist es, sicherzustellen, dass KI-Systeme verantwortungsbewusst entwickelt und genutzt werden. Sie fördert die transparente Entwicklung, das Risikomanagement und die Rechenschaftspflicht von KI-Systemen.
Und die neue EU-KI-Verordnung (AI-Act) ist der weltweit erste umfassende Rechtsrahmen für KI. Ziel der neuen Vorschriften ist es, vertrauenswürdige KI in Europa und darüber hinaus zu fördern, indem sichergestellt wird, dass KI-Systeme die Grundrechte, die Sicherheit und die ethischen Grundsätze achten und die Risiken sehr leistungsfähiger und wirkungsvoller KI-Modelle angehen. Wichtig ist, dass es sich bei der KI-Verordnung um eine Produktregulierung handelt, die sich nicht auf Forschungs- und Entwicklungsaktivitäten bezieht.
Für die operative Umsetzung in den Ländern wird sicher noch etwas Zeit benötigt, insbesondere für die Ausgestaltung und zügige Durchführung des Zulassungsverfahrens, es herrscht noch Regelungsbedarf.
Ein Ökosystem rund um den AI-Act wird sich auch noch herausbilden müssen. So hat der TÜV-Süd „AI Procured“ gegründet und wird mit der dynamischen Plattform die Beschaffungsteams in Unternehmen unterstützen, KI-Lösungen effizient zu beschaffen, einzusetzen und gleichzeitig die operativen Risiken zu minimieren. Mittels intelligenter Bewertungsmethodik, umfassenden Datentests und weiterer Dienste soll der gesamte Prozess der KI-Einführung optimiert werden.
Die Regulatorik des AI-Act
In dem AI-Act werden u.a. harmonisierte Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der Union festgelegt, zudem Anforderungen, harmonisierte Transparenzvorschriften für bestimmte KI-Systeme sowie Vorschriften für die Marktüberwachung, dessen Governance und Durchsetzung definiert. Insbesondere wird ein Rahmen für das Risikomanagement geschaffen.
Die Gesetzgebung verfolgt einen risikobasierten Ansatz mit 4 Stufen, die Folgen aus der Einstufung reichen von der Freien Nutzung bis zum Verbot, hier ein Überblick:
Unakzeptable Systeme
Unakzeptabel und daher verboten sind alle KI-Systeme, die als eindeutige Bedrohung für die Sicherheit, den Lebensunterhalt und die Rechte von Menschen angesehen werden.
Hochrisiko-Systeme
Diese Systeme umfassen KI-Technologie, die z. B. in kritischen Infrastrukturen (z. B. Verkehr), eingesetzt wird, die das Leben und die Gesundheit der Bürger gefährden könnten. Sie unterliegen strengen Verpflichtungen, bevor sie auf den Markt gebracht werden können. Dabei muss unter anderem auf angemessenes Risikomanagement geachtet werden, eine hohe Qualität der Datensätze ist nötig, um das System zu versorgen, um Risiken und diskriminierende Ergebnisse zu minimieren. Eine Protokollierung der Tätigkeiten zur Gewährleistung der Rückverfolgbarkeit der Ergebnisse ist ebenso nötig wie ausführliche Unterlagen, die alle erforderlichen Informationen über das System und seinen Zweck enthalten, damit die Behörden ihre Einhaltung bewerten können. Es sind angemessene menschliche Aufsichtsmaßnahmen zur Minimierung des Risikos erforderlich, eine hohe Robustheit, Sicherheit und Genauigkeit ist erforderlich. Diese Nutzungen unterliegen der Genehmigung durch eine gerichtliche oder andere unabhängige Stelle.
Systeme mit begrenzten Risiken
Diese Systeme haben Risiken, die mit mangelnder Transparenz bei der KI-Nutzung verbunden sind. Das KI-Gesetz führt spezifische Transparenzverpflichtungen ein, um sicherzustellen, dass Menschen informiert werden. Die Nutzer sollen einschätzen können, ob sie mit einer KI zu tun haben oder nicht.
Systeme mit geringem Risiko
Diese bergen keine wesentlichen Gefahren und können frei verwendet werden.
Die Norm
Die ISO/IEC 42001 kann in der Praxis als Grundlage für die Umsetzung der Regulatorik im Managementsystem dienen, insbesondere für die Abbildung des Risikomanagements. So können Organisationen diese Norm nutzen, um ihre KI-Systeme verantwortungsbewusst zu entwickeln und gleichzeitig die Anforderungen der EU-KI-Verordnung zu erfüllen. Zudem kann diese in einem integrierten Managementsystem eingegliedert werden, um die Effizienz und Handhabung des Gesamtsystems zu fördern.
Voraussichtlich wird auch eine Zertifizierung gem. ISO/IEC 42001 möglich sein, diese ist noch im „Werden“, aber es steht zu erwarten, dass es nur eine Frage der Zeit ist, bis diese veröffentlicht wird und eine Zertifzierung möglich ist.
Die Dauer der Einführung der ISO/IEC 42001 hängt von der jeweiligen Organisation ab. Es ist ratsam, dass Unternehmen, die KI-Systeme entwickeln oder nutzen, die Norm so bald wie möglich implementieren und die Grundlagen für eine Zertifizierung schaffen und damit auch den AI-Act unterstützen. Denn die KI-Entwicklung geht so schnell, dass hier nicht abgewartet werden kann.
Zusammenhang Norm und AI-Act
Hier einige Beispiele, die kurz den Zusammenhang zwischen der Norm und der EU-KI-Verordnung verdeutlichen:
1. Transparenz und Rechenschaftspflicht
Beispiel: Ein Gesundheitsdienstleister verwendet KI zur Diagnose von Krankheiten. Die Bewertung des Risikos erfolgt u.a. auf Basis der EU-Regulatorik. Die EU-KI-Verordnung verlangt, dass Anbieter von KI-Systemen mit hohem Risiko (Gesundheitsrisiken!) transparente Informationen über die Funktionsweise ihrer Systeme bereitstellen. Die ISO/IEC 42001 kann als Grundlage für das Risikomanagement und die Erstellung von Richtlinien zur Transparenz dienen.
Empfehlung: Der Gesundheitsdienstleister sollte klare Erklärungen darüber abgeben, wie das KI-System Diagnosen trifft und welche Daten es verwendet sowie in welchen Fällen additiv Prüfungen der Entscheidungen durch einen Experten erfolgen müssen.
2. Ethische Standards
Beispiel: Ein Hersteller integriert KI in seine HR-Prozesse. Die ISO/IEC 42001 kann dazu beitragen, Qualitätskontrollverfahren zu etablieren, um sicherzustellen, dass das KI-System zuverlässig und sicher funktioniert. Die Bewertung des Risikos erfolgt u. a. auf Basis der EU-Regulatorik.
Empfehlung: Der Hersteller sollte ethische Richtlinien für das KI-System festlegen, um sicherzustellen, dass es keine diskriminierenden Entscheidungen trifft.
Fazit
Die Unternehmen streben danach, aus der KI den größtmöglichen Nutzen zu ziehen und den Stakeholdern Gewissheit zu geben, dass die KI-Instrumente sorgfältig und verantwortungsvoll gehandhabt werden. Hier helfen sowohl die Norm als auch die Regulatorik.
Denn ähnlich wie die ISO 9001 für das QM und ISO/IEC 27001 für die Informationssicherheit bietet die ISO/IEC 42001 bewährte Verfahren, Regeln, Definitionen und Leitlinien für das Management von Risiken und betrieblichen Aspekten der KI. Organisationen können damit Risiken minimieren und rechtliche und regulatorische Anforderungen auf Basis der EU-KI-Verordnung besser erfüllen.
Der AI-Act setzt den Rahmen für die Regulatorik. Vereinfacht kann konstatiert werden, dass aus dem AI-Act die meisten Verpflichtungen die Anbieter von risikoreichen KI-Systemen treffen, während die Regeln für verbotene Systeme und Systeme mit begrenzten Risiken bzw. geringen Risiken vergleichsweise einfach handhabbar sind. Der kontrollierte Einsatz von KI kann damit gefördert werden.
Insgesamt schaffen die beiden Regelwerke in Kombination einen Rahmen, der die verantwortungsvolle Entwicklung und Nutzung von KI-Systemen unterstützt, gleichzeitig das Vertrauen der Gesellschaft in diese Technologie stärkt und die Akzeptanz von KI-Technologien auf breiter Front erst möglich macht.