Neues Zeitalter der KI-Regulierung

Interview: Auswirkungen des EU AI Acts ab 1. August 2024

  • Interview
  • 7 Minuten Lesezeit
  • 01 Aug 2024

Ein Interview mit Hendrik Reese, Responsible AI Leader bei PwC Deutschland, über das Inkrafttreten des EU AI Acts. 

Hendrik Reese ist Partner bei PwC Deutschland und Responsible AI Leader. Er unterstützt Unternehmen in der Operationalisierung von KI an der Schnittstelle zwischen Business Transformation, Technologie und Regulatorik. Ebenso arbeitet Hendrik Reese gemeinsam mit führenden nationalen und internationalen Forschungseinrichtungen an Lösungen und Anforderungen rund um Trust in AI − auch in sensiblen Einsatzumgebungen wie Autonomous Driving oder Medizintechnik.

Hendrik Reese ist Partner bei PwC Deutschland und Responsible AI Leader.

Der EU AI Act ist seit dem 1. August in Kraft. Als Experte für Responsible AI, wie denkst Du darüber? 

Hendrik Reese: Es gibt eine lange Historie. Der EU AI Act ist seit über drei Jahren auf dem Weg, wenn wir an den ersten konkreten Gesetzesentwurf denken. Wir haben erstmals regulatorische Sicherheit zu KI und die Kehrseite der Medaille, die Unsicherheit geht schon länger als diese Anlaufzeit. Ich nehme im Gespräch mit Kunden wahr, dass gerade bei Anwendungsfällen im Kern ihrer Wertschöpfung aktuell noch fehlende Trust Nachweise in der KI-Wertschöpfungskette zu Unsicherheiten und Unklarheiten führen. Aber genau in diese Einsatzbereiche von KI müssen wir kommen, um das (wirtschaftliche) Potenzial von KI zu heben. Dafür setzt der EU AI Act einen wichtigen Impuls.

Ein Gesetz für eine Technologie, die immer noch für viele Unternehmen eher neu ist und die in der Tat mit enormen Potenzialen verbunden wird. Welche Regelungen bringt der EU AI Act mit sich?

Reese: Der EU AI Act ist nicht, wie der Name suggerieren könnte, eine Technologieregulierung per se. Er basiert im Kern auf dem Konzept der Risikobewertung für Anwendungsfälle (sog. KI-Systeme im Gesetzestext).

Das heißt, je höher das Risiko, das ein KI-System für die Sicherheit oder die Grundrechte der Menschen darstellt, desto intensiver sind die Anforderungen, die an sie gestellt werden.

Der EU AI Act unterscheidet daher zwischen vier Risikostufen: verbotene, hochriskante, geringriskante und minimalriskante künstliche Intelligenz.

Was bedeuten die vier Risikostufen?

Reese: Verbotene künstliche Intelligenz sind solche, die gegen die Werte und Prinzipien der EU verstoßen, wie zum Beispiel soziale Beeinflussungssysteme (Social Scoring) oder Manipulationstechniken.

Hochriskante KI-Systeme sind solche, die in sensiblen Bereichen wie Gesundheit, Verkehr, Justiz oder Polizei eingesetzt werden und hohe Auswirkungen auf die Menschen haben können. Dazu gehören auch KI-Systeme im HR-Umfeld. Für diese künstliche Intelligenz gelten strenge Auflagen, wie zum Beispiel eine Qualitätsprüfung, eine menschliche Aufsicht, eine Transparenzpflicht und eine Dokumentation.

Geringriskante künstliche Intelligenz sind solche, die in weniger sensiblen Bereichen eingesetzt werden, aber dennoch eine gewisse Transparenz erfordern, wie zum Beispiel Chatbots oder virtuelle Assistenten. Für diese künstliche Intelligenz reicht es aus, dass die Nutzer darüber informiert werden, dass sie mit einer Maschine interagieren.

Minimalriskante künstliche Intelligenz sind solche, die in Bereichen eingesetzt werden, die keine oder nur geringe Auswirkungen auf die Menschen haben, wie zum Beispiel Videospiele oder Spamfilter. Für diese künstliche Intelligenz gelten keine besonderen Regeln, sondern nur die allgemeinen Gesetze der EU. Im Gesetzgebungsverfahren wurde außerdem noch auf Generative KI reagiert und Regeln für so genannte „General Purpose AI“ eingeführt.

Es gibt ja Übergangsfristen – Unternehmen müssen also nicht sofort alle Anforderungen erfüllen. Welche Fristen gilt es denn einzuhalten und wo können Unternehmen erstmal beobachten?

Reese: Für verbotene KI-Systeme beträgt die Übergangsfrist sechs Monate. Für Hochrisikosysteme sind es 24 Monate, in bestimmten Produktbereichen 36 Monate. Das mag lang klingen. Doch wenn man berücksichtigt, dass die Implementierungsstandards erst noch in Entwicklung sind und Risikoeigenschaften sowie Maßnahmen für KI neue Anforderungen stellen, ist die Zeit de facto eher kurz bemessen. Und wie häufig gilt: „Better safe than sorry“ – denn bei Non-Compliance drohen deftige Strafen, die leicht in die Millionen gehen können. Außerdem sind Ressourcen nicht breit gesät und werden es in den kommenden drei Jahren auch nicht sein.

Wir sehen gerade, dass viele Unternehmen sich auf den Weg machen und den Impuls nutzen, sich über die nächste Stufe ihrer Regelungen für KI-Entwicklung und Nutzung zu setzen. Ebenso erkennen viele Unternehmen gerade den Wert von AI Governance für sich – und das nicht nur aus regulatorischer bzw. Compliance Perspektive.

Sie haben Fragen?

Kontaktieren Sie unseren Experten

Welche (unvorhergesehenen) Herausforderungen kommen nun auf Unternehmen zu?

Reese: Die aktuell größte Herausforderung für Unternehmen liegt darin zu verstehen, welche Risikostufe ihre KI-Systeme haben und welche Anforderungen sie demnach erfüllen müssen. Das hängt auch mit den Umsetzungsfristen zusammen: Wenn Unternehmen die absolute Sicherheit haben wollen, dass sie keine verbotenen KI-Systeme einsetzen, müssen sie den Ist-Stand in den nächsten sechs Monaten erfassen und eventuell Maßnahmen ergreifen. Das ist aber natürlich keine Einmalübung, sondern es muss ein nachhaltiger Use Cases Management Prozess im AI Lifecycle etabliert werden. Ebenso wichtig ist es, ein effizientes Arbeitsprogramm mit einem zielgerichteten Governance Design aufzusetzen. Dann lässt sich vieles der Implementierung in Slices packen, die sich in bestehende Prozess-, Organisations- oder Systemprojekte eingliedern – und in jedem Fall können Hauruck-Aktionen zum Ende der Übergangsfristen vermieden werden. Ich nehme im Marktumfeld wahr, dass ein guter Plan für die stufenweise Umsetzung aktuell sehr nachgefragt ist.

Viele Unternehmen fragen sich also jetzt, wie sie den AI Act praktisch umsetzen können. Wie lässt sich AI Governance in die Organisation integrieren?

Reese: Um die Anforderungen des EU AI Act zu erfüllen, empfiehlt es sich, eine effektive und integrierte AI Governance aufzubauen. Wir sprechen in dem Zusammenhang oftmals von einer horizontalen Integration in bestehende Managementsystemstrukturen und Prozesse aus verschiedenen Unternehmensbereichen.

In meiner Praxis stelle ich immer wieder fest, dass oftmals zuerst einzelne Unternehmensfunktionen auf die Implementierung des EU AI Acts zulaufen, der Wert eines übergreifenden Koordinationsmodells aber schnell erkannt wird. Am Ende geht es darum, das Bestehende zu nutzen und AI-Governance-Elemente dort hineinzubringen.

Um nur ein Beispiel zu nennen: Das bereits angesprochene Use Case Management kann auch als KI-Portfoliomanagement gesehen werden, was nochmals den potenziellen Wertbeitrag unterstreicht, wenn funktionale oder technische Synergien genutzt werden. Integrieren lässt sich dies typischerweise in (IT) Demand, Asset Management und Procurement-Prozesse.

Viele Unternehmen haben Sorge vor dem Aufwand. Welche Ressourcen werden für AI Governance benötigt?

Reese: Die benötigten Ressourcen können nicht pauschalisiert werden. Eins ist jedoch klar: Wenn wir den angesprochenen Integrationsaspekt noch mal näher beleuchten, zeigt sich, dass auch auf der Ressourcenseite die Latte nicht so hoch liegt wie oftmals angenommen. Zum Beispiel sollten Compliance Manager und KI-Verantwortliche jeweils relevante Aufgaben wie das Nachhalten von Konformitätsnachweisen oder die Einhaltung von Mindestanforderungen bei der Entwicklung von KI-Systemen übernehmen. Die zentrale Koordination muss an einer Stelle gebündelt werden, damit alle Instanzen reibungslos zusammenarbeiten. Ich hatte jüngst eine Diskussion mit einem Konzern, bei dem die erste Schätzung war, dass für den AI Act und Data Act eine hohe zweistellige Zahl neuer Mitarbeitende benötigt wird. Mit der Beleuchtung des Governance- und Organisationsmodells konnten wir das auf einen Bruchteil dessen reduzieren.

Der AI Act stellt in einer kritischen Phase der wirtschaftlichen Transformation neue gesetzliche Anforderungen. Ist der AI Act ein Innovationskiller?

Reese: Nein, das glaube ich nicht. Im Gegenteil – aus meiner Sicht wird der AI Act die Innovation fördern, indem er einen klaren und einheitlichen Rechtsrahmen für künstliche Intelligenz in der EU schafft. Das kann die Rechtssicherheit und das Vertrauen der Unternehmen erhöhen, die künstliche Intelligenz entwickeln oder anwenden wollen. Außerdem sind Innovationen, generell und für Startups, im AI Act berücksichtigt. Beispielsweise sind sogenannte regulatorische Sandboxes ein Instrument, um Innovationsräume zu schaffen, in denen während der Entwicklung die regulatorischen Anforderungen nicht direkt „enforced“ werden. Der AI Act kann aber auch die Wettbewerbsfähigkeit und die Qualität von KI in der EU verbessern, indem er hohe Standards für die ethische und technische Gestaltung von KI-Systemen setzt. Wir haben – mit den richtigen Implementierungsstandards – die Chance, ein neues „made in Europe“ zu prägen. Zudem kann generell die Akzeptanz und das Vertrauen der Nutzer und der Gesellschaft in die künstliche Intelligenz gestärkt werden, indem nachvollziehbar und transparent Digital Trust demonstriert wird.

Zusammengefasst: Wie sehen die nächsten Schritte für Unternehmen aus?

Reese: Als erstes verstehen, welche Risikostufe die eigenen KI-Systeme haben, und dann prüfen, welche Anforderungen sie erfüllen muss. Danach gilt es, eine AI Governance in der Organisation zu etablieren, die Entwicklung und den Einsatz der künstlichen Intelligenz regelt. Dafür gibt es verschiedene Strategien und Maßnahmen, wie zum Beispiel die Erstellung eines AI Governance Frameworks, das sich ‚horizontal‘ in bestehende Prozesse und Managementsysteme integriert. So kann eine effiziente Umsetzung sichergestellt werden und nebenbei wird die KI-Entwicklung und -Koordination nachhaltig verbessert.

Follow us

Contact us

Hendrik Reese

Hendrik Reese

Partner, Responsible AI Lead, PwC Germany

Hide