AI Act als Basis eines globalen Leitmarkts für sichere KI „Made in Europe“

[datensicherheit.de, 31.07.2024] Der TÜV-Verband e.V. geht in seiner aktuellen Stellungnahme auf den mit gestaffelten Übergangsfristen in Kraft tretenden Europäischen „AI Act“ ein – der TÜV-Verband begrüßt demnach diese Regelung und fordert eine rasche Klärung offener Umsetzungsfragen. Das „TÜV AI.Lab“ entwickele zudem ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen und -Modellen – den „AI Act Risk Navigator“.

Abbildung: TÜV AI.Lab

AI Act Risk Navigator: „Classify your Risk according to the EU AI Act“

AI Act kodifiziert erstmals Regeln für KI

Der TÜV-Verband unterstützt nach eigenen Angaben das Inkrafttreten des europäischen „AI Act“, womit erstmals Regeln für Künstliche Intelligenz (KI) festlegt würden. Damit werde nun ein global führender Rechtsrahmen für sichere und vertrauenswürdige KI geschaffen.

„Der ,AI Act’ bietet die Chance, vor negativen Auswirkungen von Künstlicher Intelligenz zu schützen und gleichzeitig Innovationen zu fördern. Er kann dazu beitragen, einen globalen Leitmarkt für sichere ‚KI Made in Europe‘ zu etablieren“, kommentiert Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands.

Dr. Bühler betont: „Es ist jetzt wichtig, die Umsetzung effizient und unbürokratisch zu gestalten. Unabhängige Stellen spielen dabei eine wesentliche Rolle, nicht nur im Hinblick auf die verbindlichen Anforderungen, sondern auch im freiwilligen KI-Prüfmarkt.“

Gestaffelte Übergangsfristen für KI-Systeme bis 2027

Der „EU AI Act“ soll am 1. August 2024 mit gestaffelten Übergangsfristen in Kraft treten. Sechs Monate nach Inkrafttreten, das heißt ab Anfang 2025, sollten zunächst KI-Systeme verboten werden, die unter anderem manipulative oder täuschende Techniken einsetzen.

Ab dem 1. August 2025 werden dann Verhaltenskodizes für bestimmte Allzweck-KI-Modelle in Kraft treten. Zudem müssten die EU-Mitgliedstaaten nationale Behörden für die Marktüberwachung benennen. Verpflichtende Prüfungen für sogenannte Hochrisiko-KI in Bereichen wie Kreditvergabe, Personalwesen oder Strafverfolgung werden ab August 2026 erforderlich sein – und nicht nur KI-Entwickler betreffen, sondern auch KI-Anbieter, und Betreiber risikoreicher KI.

Ab 2027 sollen dann die Anforderungen an KI in „drittprüfpflichtigen Produkten“ in Kraft treten. Dr. Bühler führt hierzu aus: „Prüfungen von KI-Systemen schaffen Vertrauen und sind schon heute ein Wettbewerbsvorteil. Unternehmen sind gut beraten, sich jetzt mit den Anforderungen vertraut zu machen, insbesondere im Hinblick auf die Übergangsfristen. Es ist wichtig, abzuschätzen, wie und wo der ,AI Act’ ihre Aktivitäten betrifft.“

Herausforderungen der Umsetzung: KI-Risiken sowie Entwicklung systemischer Risiken besonders leistungsfähiger Allzweck-KI-Modellen im Blick behalten

„Eine einheitliche Interpretation und konsequente Anwendung des risikobasierten Ansatzes sind entscheidend, damit der ,AI Act’ in der Praxis wirksam wird – hier sind die Mitgliedsstaaten gefordert“, betont Dr. Bühler. Aus Sicht des TÜV-Verbands sollte besonderes Augenmerk auf eine effiziente und unbürokratische Umsetzung gelegt werden.

Klare Zuständigkeiten und „verantwortliche Stellen“ seien notwendig, um die Regelungen praktisch umzusetzen. So sollten Umsetzungsleitfäden für die Einstufung von Hochrisiko-KI-Systemen vom AI Office (Europäisches KI-Büro) schnellstmöglich veröffentlicht werden, um insbesondere kleinen und mittleren Unternehmen (KMU) Rechtssicherheit zu geben.

Darüber hinaus seien neue KI-Risiken sowie die Entwicklung systemischer Risiken von besonders leistungsfähigen Allzweck-KI-Modellen im Blick zu behalten und der Aufbau einer systematischen KI-Schadensberichterstattung voranzutreiben.

TÜV AI.Lab Risk Navigator zeigt soll helfen, Klarheit über Auswirkungen der KI-Verordnung zu schaffen

Das 2023 als Joint Venture der TÜV-Unternehmen gegründete „TÜV AI.Lab“ soll regulatorische Anforderungen an KI in die Prüfpraxis übersetzen und quantifizierbare Konformitätskriterien sowie geeignete Prüfmethoden für KI entwickeln.

Zum Inkrafttreten des „AI Act“ veröffentlicht das „TÜV AI.Lab“ den „AI Act Risk Navigator“ – ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen. „Mit dem ,AI Act Risk Navigator’ des ,TÜV AI.Lab’ bieten wir eine nutzerfreundliche Anwendung, mit der Unternehmen verstehen können, ob und wie sie vom AI Act betroffen sind“, erläutert Franziska Weindauer, Geschäftsführerin des „TÜV AI.Lab“.

„Unser Ziel ist es, Klarheit über die Auswirkungen der KI-Verordnung zu schaffen, so dass Unternehmen sich rechtzeitig vorbereiten können. Wenn wir Qualitätsanforderungen an Künstliche Intelligenz von Beginn an mitdenken, kann vertrauenswürdige Künstliche Intelligenz zum europäischen Alleinstellungsmerkmal werden.“ Der „AI Act Risk Navigator“ soll dabei Unterstützung bieten, KI-Systeme gemäß den Risikoklassen des „AI Act“ einzuordnen und Transparenz über die geltenden Anforderungen zu schaffen.

Anforderungen je nach KI-Risikoklassifizierung

Die EU-Regulierung teile KI-Anwendungen in vier Risikoklassen mit jeweils unterschiedlichen Anforderungen ein, welche in den kommenden Monaten schrittweise einzuhalten seien. Systeme mit hohem Risiko, die in Bereichen wie Medizin, Kritische Infrastrukturen oder Personalmanagement eingesetzt werden, unterlägen beispielsweise künftig strengen Auflagen und müssten umfassende Anforderungen an Transparenz, Sicherheit und Aufsicht erfüllen.

Bei Verstößen drohten Bußgelder von bis zu 15 Millionen Euro oder bis zu drei Prozent des weltweiten Jahresumsatzes. „Wir wissen, dass das für Unternehmen Fragen aufwirft. Deshalb wollen wir zu größerer Klarheit über das eigene Risikoprofil und die zu erfüllenden Anforderungen beitragen“, unterstreicht Weindauer.

Systeme mit begrenztem Risiko, wie etwa sogenannte Chatbots, müssten nur Transparenzanforderungen erfüllen, während Systeme mit minimalem Risiko, wie z.B. einfache Videospiele, gar nicht reguliert würden. Die risikobasierte Klassifizierung solle sicherstellen, „dass der Einsatz von KI sicher und vertrauenswürdig ist, damit so die Innovationskraft der Technologie und deren Marktdurchdringung weiter gesteigert werden kann“.

Weitere Informationen zum Thema:

TÜV AI.LAB
AI Act Risk Navigator / Classify your Risk according to the EU AI Act

[datensicherheit.de, 20.07.2022] Laut einer aktuellen Meldung des Digitalcourage e.V. plant dieser, die Deutsche Bahn AG (DB) zu verklagen. Anlass ist demnach der „DB Navigator“ – eine Smartphone-App, welche nach Erkenntnissen eines IT-Sicherheitsforschers „erhebliche Datenschutzprobleme“ aufweisen soll. Dagegen möchte Digitalcourage nun klagen, um die DB dazu zu zwingen, „die Privatsphäre ihrer Fahrgäste zu achten und keine Daten mehr ohne Erlaubnis weiterzugeben“. Gesucht wird hierfür nach Unterstützung, um dieser Klage „mehr Gewicht“ zu verleihen.

Digitalcourage moniert: App macht sich quasi unentbehrlich

„Wer viel Bahn fährt, kennt ihn bestimmt: den ,DB Navigator‘. Denn ohne diese Smartphone-App geht es kaum noch – sie bietet Information über Verspätungen und Anschlusszüge, Ticketkauf an Bord und mehr.“

Viele der Funktionen seien bequem, manche Services auf anderem Wege gar nicht mehr zu bekommen. Diese App mache sich quasi unentbehrlich – „gleichzeitig forscht sie uns aus“.

DB Navigator strotzt laut Digitalcourage nur so vor sogenannten Trackern

Digitalcourage betont indes die Wichtigkeit der DB – mit ihr zu fahren gehöre zur Grundversorgung. Deshalb möchten die Initiatoren der Klage, „dass alle Bahn fahren können – und zwar ohne ausspioniert zu werden“.

Doch leider strotze der „DB Navigator“ nur so vor sogenannten Trackern. Das heißt laut Digitalcourage: „Wenn wir diese App nutzen, fließen im Hintergrund haufenweise Informationen über uns an Adobe, Google und Co. Die DB-App lässt nicht zu, dass wir das abschalten.“

IT-Sicherheitsforscher und auf IT- und Datenschutzrecht spezialisierter Anwalt kooperieren mit Digitalcourage

Der IT-Sicherheitsforscher Mike Kuketz habe den „DB Navigator“ gründlich analysiert und dabei erhebliche Datenschutzprobleme festgestellt. Auch Peter Hense, ein auf IT- und Datenschutzrecht spezialisierter Anwalt, halte diese App für „rechtswidrig“.

Gemeinsam mit diesen Experten hatte Digitalcourage nach eigenen Angaben Ende April 2022 die DB dazu aufgefordert, die Mängel zu entfernen. „Dafür hatten wir der DB eine Frist von zwei Monaten eingeräumt. Doch die Bahn hat in ihrer Antwort klar gemacht, dass sie nicht vorhaben, das Tracking aufs Abstellgleis zu rollen.“

Weitere Informationen zum Thema:

digitalcourage
DB Schnüffel-Navigator / Jetzt unsere Klage gegen die Bahn-App unterstützen!

digitalcourage
DB Schnüffel-Navigator / Unsere Kampagne unterstützen