Der AI ACT: Die Bedeutung der Einhaltung gesetzlicher Vorschriften - und was für Unternehmen jeder Art und Größe auf dem Spiel steht

Sehen Sie sich das Video Data Leader an 

Hören Sie sich den Podcast an 

Nathalie Beslay ist der CEO und Mitbegründer von Naaia, einem Anbieter von Compliance- und Risikomanagementlösungen für die artificial intelligence-Branche. Nathalie ist seit 2004 als Anwältin tätig und beschäftigt sich mit der Gesundheits- und Schönheitsindustrie. Sie ist hervorragend qualifiziert, um regulatorische Fragen zu erörtern, da sie für das Institut für technologische Zukunftsforschung in Sevilla ein Projekt über die Herausforderungen und Risiken der Einführung neuer Technologien im Gesundheitssektor geleitet hat. Außerdem war sie technische Beraterin des französischen Staatssekretärs für Gesundheit in bioethischen Fragen und Chefsyndikus eines Anbieters von E-Health-Lösungen.

Ob im Gesundheitswesen oder in der KI, die Menschen kämpfen mit den gesetzlichen Auflagen. Der Schlüssel liegt darin, Zwänge in Chancen zu verwandeln. Die Kenntnis des regulatorischen Rahmens für Gesundheitsprodukte hat mir geholfen, den Einsatz und die Risiken des neuen KI-Regulierungsrahmens zu verstehen, denn er ist genau so aufgebaut wie derjenige für Gesundheitsprodukte: Die zugrundeliegenden Ziele sind im Wesentlichen die Sicherheit der Nutzer und Produktbegünstigten.

Das AI-Gesetz ist als eine horizontale Produktregulierung. Das bedeutet, dass sie für jede Art von Unternehmen gilt, unabhängig von seiner Größe, ob privat oder öffentlich. Es gibt Ausnahmen für bestimmte Sektoren, wie z.B. das Militär, aber es handelt sich um eine Produktverordnung, die vom Konzept und von der Art der Verpflichtung her mit anderen Produktverordnungen vergleichbar ist. 

Hinter den 400 Seiten Komplexität des AI-Gesetzes verbirgt sich im Wesentlichen ein Risikomanagementsystem, ein Qualitätssicherungssystem, Dokumentation, technische Unterlagen und Gebrauchsanweisungen. Es ist viel über die regulatorische Schwelle gesagt worden - wenn eine Verordnung so restriktiv ist, dass sie eine Belastung darstellt, anstatt zu günstigen Zielen zu führen. Aber Studien haben gezeigt, dass wenn Unternehmen sehr digital sind, wird die Regulierung ihnen helfen, sich zu entwickeln.

Damit dies geschieht, müssen Unternehmen das KI-Gesetz annehmen und die darin enthaltenen Verpflichtungen in ihre Prozesse integrieren. Der beste Weg ist zu sagen, “Ich werde mich mit wertorientierter Compliance beschäftigen, ich werde mir ansehen, was Compliance meinem Produkt und damit meinen Kunden bringen kann.”

Da es sich bei dem KI-Gesetz um eine Produktverordnung handelt, wird es der artificial intelligence-Lieferkette unterschiedliche Verpflichtungen auferlegen, je nachdem, ob Sie ein Lieferant, Händler oder Anwender sind. Je nachdem, ob Sie selbst herstellen oder von der Stange kaufen, oder ob Sie ein Modell verwenden und es dann in ein KI-System umwandeln, werden verschiedene Stufen nebeneinander liegen. Lieferanten müssen Konformität nachweisen und technische Unterlagen zur Verfügung stellen. Akteure, die Anpassungen vornehmen, müssen nachweisen, dass sie das, was sie von den Lieferanten erhalten haben, respektieren, aber auch, dass jede zusätzliche Ebene konform, unvoreingenommen, respektiert das Urheberrecht, ist qualitativ und verwendet repräsentative data.

Der ursprüngliche Text des KI-Gesetzes hat sich weiterentwickelt, was zum Teil auf die Stimmen derjenigen zurückzuführen ist, die sich lautstark gegen die Regulierung ausgesprochen haben. Heute ist die F&E-Phase eine Atempause für Kontrollen, und Open-Source-Modelle sind ausgenommen, es sei denn, sie stellen ein sogenanntes systemisches Risiko dar, d.h. wenn das Risiko zu hoch ist, um von der Ausnahmeregelung zu profitieren. Ich möchte den Zweiflern sagen, dass europäische KI bedeutet, diese Fragen zu berücksichtigen und diese Regeln in ihre Marketingprozesse zu integrieren. Vor allem möchte ich ihnen sagen, dass Wenn Sie über so viel Kapazität, Macht, Intelligenz und Visionen verfügen wie unsere französischen und europäischen Akteure, dann ist der Aufbau und die Integration von Compliance überhaupt nicht kompliziert.

Es ist wichtig, daran zu denken, dass die amerikanische und chinesische KI-Gesetzgebung ebenfalls in der Entwicklung ist und dass alle haben das gleiche Ziel: das menschliche Element bei der Nutzung dieser neuen Technologien zu erhalten und neu zu fokussieren - oder versuchen Sie zumindest, dies so gut wie möglich zu tun.

Die beste Antwort ist, den Zeitplan zu überprüfen. Über das KI-Gesetz wird am 22. April offiziell abgestimmt im Europäischen Parlament. Im Mai wird das Gesetz im Amtsblatt veröffentlicht werden, und dann beginnt der Zeitplan. Innerhalb von sechs Monaten muss die verbotene KI von den Plattformen entfernt oder in Übereinstimmung gebracht werden. In einem Jahr müssen die Herausgeber von artificial intelligence-Modellen für allgemeine Zwecke die Vorschriften erfüllen. In zwei Jahren müssen alle anderen KI-Systeme alle Verpflichtungen erfüllen, wobei die Fristen für KI-Systeme, deren Einhaltung komplexer ist, etwas länger sind. Mit anderen Worten: Jedes Mal, wenn eine KI ein Produkt oder eine Anlage betrifft, das/die selbst einer Regulierung unterliegt - zum Beispiel medizinische Geräte, Gastransport, bestimmte Werkzeugmaschinen - gibt der Gesetzgeber 36 Monate Zeit, um die Vorschriften zu erfüllen, da diese Vorschriften kumuliert und geordnet werden müssen.

Also, die erste Priorität besteht darin, verbotene KI zu kartieren, zu identifizieren und zu überprüfen, um sie aus dem Verkehr zu ziehen oder sie in den Einklang mit den Vorschriften zu bringen. Das Ziel ist es, Compliance durch Werte zu erreichen, indem wir uns fragen, wozu Compliance gut ist, indem wir Qualitätsprodukte herstellen, die sicher, verständlich und erklärbar sind, die einem Zweck dienen und die so wenig Energie wie möglich verbrauchen.

Das KI-Gesetz verfolgt einen risikobasierten Ansatz. Bestimmte KI-Systeme wurden als “inakzeptables” Risiko eingestuft, so dass der Gesetzgeber diese als verboten auflistete. Es gibt acht von ihnen, eines davon sind artificial intelligence-Systeme, die eine unterschwellige Manipulation ermöglichen könnten. Die Liste umfasst auch verallgemeinerte soziale Bewertungssysteme, d.h. die Qualifizierung und Kategorisierung von Personen nach wirtschaftlichem Niveau oder sozialer Stellung, allerdings in großem Maßstab. Emotionale Erkennungssysteme, die auf biometrischen Daten basieren, sind auch am Arbeitsplatz und im Bildungswesen verboten, außer aus Sicherheitsgründen. In Produktionsanlagen kann es beispielsweise notwendig sein, den emotionalen Zustand von Menschen zu messen, um ihre Sicherheit am Fließband zu gewährleisten oder um sie vor möglichen Eindringlingen zu schützen. Ein weiteres verbotenes AIS sind Gesichtserkennungssysteme, die zur Verbrechensbekämpfung eingesetzt werden. Diese Art der Videoüberwachung ist bestimmten Behörden und für bestimmte Straftaten vorbehalten. Wenn sie für private Organisationen erlaubt ist, dann nur für bestimmte Straftaten, die als sehr schwerwiegend eingestuft werden, wie Terrorismus, Verbrechen, Körperverletzung und Vergewaltigung, und zwar so spezifisch wie im AI-Gesetz.

In diesem Fall müssten die Leute aufhören, es zu benutzen, und OpenAI müsste eine erhebliche Strafe zahlen. Aber ich glaube nicht an dieses Szenario. Ich denke, die Spieler werden sich an die Vorschriften halten. Es wird nicht einfach sein - es wird kostspielig sein und eine Menge Planung erfordern. Compliance bedeutet, dass Sie ein Budget für die Erfüllung der Anforderungen bereitstellen, sich auf den neuesten Stand bringen, Experten mobilisieren, Teams schulen und die Compliance in den Fahrplan des Unternehmens aufnehmen müssen. Das ist nicht einfach, aber es ist machbar, und angesichts der Risiken, die damit verbunden sind, muss es getan werden.

Wenn wir die Regeln anwenden, schauen wir auf das Ausmaß, in dem die Regel dem Produkt dienen kann. Wenn Sie beispielsweise eine Verpflichtung zur Rückverfolgbarkeit, zur Erklärbarkeit in der gesamten Kette haben und Subunternehmer einsetzen, kann die Inanspruchnahme dieser Subunternehmer in Bezug auf die Qualität bedeuten, dass Sie die Kosten erhöhen oder Standards einführen, und das kommt natürlich dem Produkt zugute. Wie verwandeln wir also diese Einschränkung in eine Chance? Wir sehen uns an, inwieweit die Regel die notwendige Reaktion in Bezug auf Qualität und Sicherheit hervorrufen wird.

Bestimmte Branchen haben das verstanden, wie zum Beispiel die Lebensmittelindustrie. Der Nutri-Score ist eine Regel, die Produkten hilft, die das Spiel mitspielen. Sie stärkt das Vertrauen der Verbraucher. Natürlich war der Nutri-Score eine Einschränkung in der Wertschöpfungskette, aber wer kann sich heute darüber beschweren? Jeder ist mit dieser Art von Regel einverstanden. Die Luftfahrtindustrie ist eine weitere Branche, die weiß, dass Compliance und Regeln gut für ihre Produkte sind. In Branchen, in denen Sicherheit von entscheidender Bedeutung ist, haben sie Einschränkungen in einen Vertrauensvorschuss verwandelt, eine Gelegenheit, Loyalität, Verständnis und eine Bindung zu ihren Kunden aufzubauen. Das Gleiche gilt für artificial intelligence: Es ist gut, dass es diese Vorschriften gibt... und vielleicht sogar eine Gelegenheit zu hinterfragen, ob wir eine bestimmte KI wirklich brauchen, wenn der Aufwand im Verhältnis zum Nutzen zu hoch ist.

General MacArthur sagte bekanntlich: “Verlorene Schlachten lassen sich in zwei Worten zusammenfassen: zu spät.” Es könnte zu spät sein, weil der europäische Gesetzgeber ein Zwangssystem mit Behörden und Sanktionen eingerichtet hat. Abgesehen von der Angst vor rechtlichen Konsequenzen kann es in der Marktzugangskette zu spät sein. In Bezug auf KI gibt es heute nur noch wenige Akteure, die nicht von “Vertrauen” oder “verantwortungsvoller KI” oder “abgestimmter KI” sprechen, als ob dies untrennbar damit verbunden wäre. Ohne Vertrauen kann man keine KI machen, also wird es zwangsläufig einen Unterschied auf dem Markt machen. Wenn Sie nicht von Anfang an einen Prozess zur Einhaltung der Vorschriften haben, werden Sie mit Sicherheit die gesamte Wertschöpfungskette verlieren. 

Naaia hilft Unternehmen, sich auf ihr Kerngeschäft, auf Innovation und auf ihre Teams zu konzentrieren. Unser Tool liefert den Schlüssel, um die Compliance so schnell und effektiv wie möglich zu erreichen. Es umfasst einen Qualifizierungsalgorithmus, der ein Repository innerhalb des Unternehmens erstellt, um alle artificial intelligence-Systeme zu identifizieren und zu qualifizieren, und dann einen Aktionsplan erstellt. Dieser Aktionsplan wird im Rahmen der einzelnen AIS erstellt, bündelt aber auch die Bemühungen über alle Vorschriften hinweg, um den Unternehmen dabei zu helfen, die Einhaltung der Vorschriften schnell und effektiv zu erreichen, indem sie ihnen Listen konkreter Maßnahmen mit Vorlagen für die Dokumentation und Schulungstools für die Teams an die Hand geben. Wir tun dies, indem wir Zwänge und Kosten begrenzen, indem wir den Einsatz von Experten, die den Teams und den Produkten nicht nahe genug stehen, einschränken und indem wir versuchen, diese Funktion zu verinnerlichen, um sie zu verdauen und zu verstoffwechseln. Das richtige Wort für Compliance ist “verstoffwechseln”, so dass wir, wenn wir das Produkt auf den Markt bringen, so unbesorgt und ungehindert wie möglich sind.

Heute sind es vor allem Early Adopters und Massive Adopters von KI, C40-Gruppen, die über eine große Pipe verfügen und bereits eine Menge KI einsetzen. Und spezialisiertere Akteure, deren Kerngeschäft KI ist, die unbedingt sofort Compliance-Praktiken einführen müssen, weil es um Leben und Tod geht: Sie können nicht auf den Markt gehen, wenn sie nicht compliant sind. Später werden wir nach und nach auch kleinere Unternehmen einbeziehen. Sie haben weniger Ressourcen, um sich mit Compliance-Fragen zu befassen, aber sie werden in Zukunft auch weniger Möglichkeiten haben. Genauso wie es ein CRM zur Verwaltung der Kundenbeziehungen, ein ERP zur Verwaltung der Produktion und ein HRIS zur Verwaltung des Personalwesens gibt, glauben wir, dass wir ein Tool zur zentralen Verwaltung von KI benötigen., und jedem dabei zu helfen, KI richtig zu nutzen und Verantwortung zu übernehmen. In dieser Hinsicht ist Naaia ein AIMS, ein Artificial Intelligence Management System, das zu einem Gebrauchsgegenstand wird - das ist unsere Vision für morgen.