Inwiefern hilft die Errichtung eines Artificial Intelligence Management Systems (AIMS) und dessen Zertifizierung nach ISO 42001 dabei, die Vorgaben des europäischen AI Acts einzuhalten?
Regulierung von künstlicher Intelligenz
Da die Nutzung von künstlicher Intelligenz (KI) weiterhin rapide zunimmt, besteht ein zunehmender Bedarf an Governance-Frameworks, die den verantwortungsvollen und ethischen Einsatz von KI-Systemen gewährleisten.
Während die Implementierung von Governance Frameworks wie der ISO 42001 für Organisationen freiwillig ist, müssen diese die anwendbaren Anforderungen des AI Acts (KI-Verordnung) zwingend beachten.
Was ist die ISO 42001?
Die ISO 42001 ist eine internationale Norm für KI-Managementsysteme (auch bekannt als Artificial Intelligence Management System – AIMS), die Organisationen einen strukturierten Rahmen bietet, um Risiken effektiv zu verwalten, die Transparenz zu verbessern und die verantwortungsvolle Entwicklung und Einsatz von KI-Systemen zu fördern. Die ISO 42001 soll Organisationen dabei helfen, dass ihre KI-Systeme sicher sind und mit den gesetzlichen Anforderungen und Erwartungen der interessierten Parteien in Einklang stehen.
Die ISO 42001 ist nicht auf einen bestimmten Sektor beschränkt, sondern kann durch jede Organisation implementiert werden, die KI-Systeme entwickelt oder einsetzt. Sie soll den gesamten Lebenszyklus von KI-Systemen abdecken, von der Konzeption und Entwicklung bis hin zur Bereitstellung und laufenden Wartung.
Tipp: In unserem ausführlichen Ratgeber lesen Sie mehr über die Norm ISO 42001.
Was schreibt der AI Act vor?
Der AI Act der Europäischen Union ist einer der ersten umfassenden Rechtsrahmen zur sektorübergreifenden Regulierung von KI. Er stuft KI-Systeme in vier Risikokategorien ein: unannehmbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Die Verordnung stellt strenge Anforderungen an KI-Systeme mit hohem Risiko, d.h. an KI-Systeme, die wahrscheinlich erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte haben.
Anbieter von KI-Systemen mit hohem Risiko müssen unter anderem folgende Verpflichtungen einhalten:
- Einrichtung eines Risikomanagementsystems,
- Führung einer umfassenden Dokumentation,
- Einführung solider Data-Governance-Verfahren,
- Schaffung von Transparenz und Bereitstellung von Informationen an relevante Parteien,
- die Protokollierung während der gesamten Lebensdauer des KI-Systems.
Der AI Act hat das Potenzial, die KI-Landschaft in ganz EU und darüber hinaus zu verändern, so dass die Einhaltung der Vorschriften für jedes Unternehmen, das auf dem EU-Markt tätig ist, entscheidend ist. Die Einhaltung des AI Acts kann jedoch komplex sein, insbesondere für Unternehmen ohne ein strukturiertes KI-Governance-Framework.
ISO 42001 als Hilfe bei der Umsetzung des AI Acts
Im Folgenden erklären wir anhand einiger Beispiele, wie ein nach ISO 42001 zertifiziertes AIMS eine entscheidende Rolle zur Einhaltung des AI Acts spielen kann.
Risikomanagement und Risikominderung
Anforderungen des AI Acts
Der AI Act verlangt von Anbietern von KI-Systemen mit hohem Risiko die Einrichtung und kontinuierliche Überprüfung eines Risiko-Managementsystems, wobei unter anderem Bedenken in Bezug auf Sicherheit, Grundrechte, Privatsphäre und Fairness berücksichtigt werden müssen. Der AI Act schreibt laufende Risiko-Managementprozesse während des gesamten Lebenszyklus des KI-Systems vor, einschließlich der Überwachung nach der Markteinführung.
Gemäß Art. 9 AI Act muss für KI-Systeme mit hohem Risiko ein Risikomanagementsystem eingerichtet, umgesetzt, dokumentiert und gepflegt werden. Dieses System sollte alle in diesem Artikel beschriebenen notwendigen Schritte umfassen, um eine wirksame Identifizierung, Bewertung und Minderung der mit solchen Systemen verbundenen Risiken zu gewährleisten.
Beitrag der ISO 42001
Die ISO 42001 legt strukturierte Risiko-Managementprozesse fest, die auf KI-Systeme zugeschnitten sind und Organisationen dabei helfen, die Anforderungen des AI Acts zu erfüllen. Als Teil dieses Rahmens müssen Organisationen die mit ihren KI-Systemen verbundenen Risiken und Chancen identifizieren und bewerten und dabei Faktoren wie den Anwendungskontext und die beabsichtigte Nutzung berücksichtigen.
Darüber hinaus müssen Organisationen Maßnahmen entwickeln und umsetzen, um diesen Risiken und Chancen zu begegnen. Diese Maßnahmen sollten sich nahtlos in die Prozesse des KI-Managementsystems der Organisation einfügen und regelmäßig auf ihre Wirksamkeit hin überprüft werden, um eine kontinuierliche Einhaltung und Verbesserung zu gewährleisten.
Durch die Einhaltung der ISO 42001 entwickeln Organisationen also ein robustes Risikomanagement, das ihnen hilft, auch die Anforderungen des AI Acts hinsichtlich der Risikobewertung und -minderung zu erfüllen.
Daten-Governance
Anforderungen des AI Acts
Der AI Act unterstreicht die Notwendigkeit, für den beabsichtigten Zweck des KI-Systems mit hohem Risiko geeignete Daten-Governance-Verfahren einzuführen.
Gemäß Art. 10 AI Act müssen Trainings-, Validierungs- und Testdatensätze robusten Daten-Governance- und Datenverwaltungsverfahren unterworfen werden. Das Governance-System sollte unter anderem Folgendes umfassen:
- geeignete Verfahren der Datenerhebung und Herkunft der Daten, bei personenbezogenen Daten muss zudem der ursprüngliche Zweck der Datenerhebung berücksichtigt werden;
- Bewertung der Verfügbarkeit und Eignung der benötigten Datensätze;
- Prüfung auf mögliche Verzerrungen (KI-Bias): Untersuchung potenzieller Verzerrungen, die die Gesundheit und Sicherheit von Menschen beeinträchtigen, Grundrechte verletzen oder zu einer verbotenen Diskriminierung führen könnten.
Beitrag der ISO 42001
Die ISO 42001 legt großen Wert auf Daten-Governance und will sicherstellen, dass Organisationen die Qualität und Integrität der in KI-Systemen verwendeten Daten validieren und gewährleisten, dass die Daten repräsentativ und frei von Verzerrungen sind.
Gemäß ISO 42001 sollten Organisationen:
- Robuste Daten-Governance-Prozesse für die Entwicklung von KI-Systemen definieren, dokumentieren und umsetzen. Diese Prozesse sollen die Richtigkeit und Integrität der Daten gewährleisten, die Anforderungen an Transparenz und Erklärbarkeit erfüllen und Bestimmungen zur Datenherkunft Wo Transparenz erforderlich ist, müssen die Prozesse Erklärungen darüber ermöglichen, wie Daten die Ergebnisse des KI-Systems beeinflussen.
- Die Beschaffungs- und Auswahlkriterien für Daten, die in KI-Systemen verwendet werden, spezifizieren und dokumentieren, wobei die Menge der benötigten Daten, die benötigten Datenkategorien und andere relevante Überlegungen zur Unterstützung der Ziele des KI-Systems anzugeben sind.
- Die Anforderungen an die Datenqualität definieren, dokumentieren und sicherstellen, dass die für die Entwicklung und den Betrieb des KI-Systems verwendeten Daten diese Anforderungen erfüllen.
Unternehmen unterliegen strengen Anforderungen an die Qualität und Integrität ihrer Daten. Das in der ISO 42001 festgelegte Daten-Governance-Framework steht in engem Einklang mit diesen Erwartungen und ermöglicht es Organisationen, die strengen Datenstandards des AI Acts zu erfüllen. Durch die Einhaltung der ISO 42001 können Unternehmen das Risiko von Verzerrungen oder Fehlern in risikoreichen KI-Systemen minimieren und so das Vertrauen in ihre KI-Anwendungen stärken.
Menschliche Aufsicht und Rechenschaftspflicht
Anforderungen des AI Acts
Der AI Act schreibt unter anderem vor, dass KI-Systeme mit hohem Risiko menschliche Kontrollmechanismen enthalten müssen, die bei Bedarf menschliche Eingriffe ermöglichen, um Risiken für die Gesundheit, die Sicherheit oder die Grundrechte zu verhindern oder zu minimieren, die beim Einsatz eines KI-Systems mit hohem Risiko entstehen können.
Gemäß Art. 14 AI Act müssen KI-Systeme mit hohem Risiko so konzipiert und entwickelt werden, dass sie während der Dauer ihrer Verwendung von natürlichen Personen wirksam beaufsichtigt werden können.
Beitrag der ISO 42001
Die Controls A6.1.3 und A9.3 befassen sich unter anderem mit dem Thema menschliche Aufsicht in der Entwicklungs- bzw. Nutzungsphase eines KI-Systems. Die Umsetzungshinweise des Annex B geben Organisationen nützliche Empfehlungen an die Hand, wie sich dies effektiv umsetzen lässt.
Dokumentation und technische Transparenz
Anforderungen des AI Acts
Nach AI Act müssen Anbieter von KI-Systemen mit hohem Risiko umfassende technische Dokumentation erstellen und gemäß den Anforderungen der Verordnung aufbewahren.
Gemäß Art. 11 AI Act muss der Anbieter vor dem Inverkehrbringen oder der Inbetriebnahme des KI-Systems technische Dokumentationen erstellen, aus denen hervorgeht, dass das System den Anforderungen des AI Acts entspricht. Gemäß Anhang IV zum AI Act sollen die technischen Unterlagen eine allgemeine Beschreibung des betreffenden KI-Systems und verschiedene Einzelheiten enthalten, wie z.B. den Verwendungszweck, den Namen des Anbieters und die Version des Systems, die das Verhältnis zu früheren Versionen widerspiegelt, die Art und Weise, wie das KI-System mit Hardware oder Software, einschließlich anderen KI-Systemen interagiert usw.
Beitrag der ISO 42001
Die ISO 42001 betont die Notwendigkeit einer technischen Dokumentation des KI-Systems. Gemäß ISO 42001 kann die technische Dokumentation des KI-Systems verschiedene Details enthalten, wie z. B. eine allgemeine Beschreibung des KI-Systems einschließlich seines Verwendungszwecks, Nutzungsanweisungen, technische Annahmen über seine Einrichtung und seinen Betrieb usw.
Transparenz
Anforderungen des AI Acts
Gemäß Art. 50 AI Act müssen Anbieter sicherstellen, dass KI-Systeme, die für die direkte Interaktion mit Personen konzipiert sind, so entwickelt werden, dass Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren. Von dieser Anforderung kann abgesehen werden, wenn dies für eine vernünftig informierte, aufmerksame und umsichtige Person unter Berücksichtigung der Umstände und des Kontexts der Nutzung offensichtlich ist.
Beitrag der ISO 42001
Gemäß ISO 42001 sollten Organisationen die notwendigen Informationen für die Nutzer der KI-Systeme bestimmen und bereitstellen, um sicherzustellen, dass die relevanten interessierten Parteien über die notwendigen Informationen verfügen, um die Risiken und Auswirkungen zu verstehen und zu bewerten.
Fazit
Im Zeitalter zunehmender KI-Regulierung, allem voran der europäische AI Act, sind Unternehmen gut beraten, Best Practices für KI-Governance einzuführen. Die ISO 42001 bietet einen klaren Rahmen dafür. Durch die Zertifizierung nach dieser neuen internationalen Norm können Unternehmen ihre Bemühungen um die Einhaltung der KI-Verordnung erheblich vereinfachen und von Synergien profitieren.
Für Unternehmen, die sich als Vorreiter bezüglich der verantwortungsvollen Entwicklung und Nutzung von KI-Systemen positionieren wollen, wird die ISO 42001 ein wichtiges Instrument sein, das nicht nur ein Gütesiegel darstellt, sondern auch ein Mittel, um sich in der immer komplexer werdenden regulatorischen Landschaft rund um KI zurechtzufinden.
Die Zertifizierung nach ISO 42001 garantiert zwar nicht automatisch die Einhaltung des AI Acts. Für Unternehmen, die ein KI-Managementsystem nach ISO 42001 implementierten, wird es jedoch wesentlich einfacher sein, auch die Anforderungen des AI Acts umzusetzen.
