Zu Risiken und Nebenwirkungen: Braucht es eine Offenlegung beim KI-Einsatz?

Mensch oder Maschine? Wer da mit wem kommuniziert, einen Service erbringt, das Auto lenkt, ist nicht mehr klar. Müssen Hersteller oder IT-Dienstleister künftig einen KI-Einsatz kennzeichnen? Was sagen Gesetze wie der "AI Act" der EU? Klaus Kilvinger (Hinweis: kein KI-Avatar!) gibt einen Überblick und zeigt Herstellern und IT-Dienstleistern, wie sie auf der sicheren Seite stehen.

Ein Bild, das Menschliches Gesicht, Person, Krawatte, Porträt enthält. Automatisch generierte Beschreibung

Klaus Kilvinger Geschäftsführer der Opexa Advisory GmbH

Die KI-Verordnung der EU, der "AI Act", befasst sich mit der Definition und Herangehensweise von verantwortungsvollen KI-Praktiken, -Richtlinien und -Standards und setzt auch Sanktionen ein. Die Verordnung bildet die Implementierung verantwortungsvoller künstlicher Intelligenz in Organisationen und Produkten in einem Regelwerk ab und schließt Risiken ein.

Dabei kann man sich die Frage stellen, ob Unternehmen gesetzlich verpflichtet werden sollten, den Einsatz von KI in ihren Produkten und Angeboten für Kunden offenzulegen. Manche sind der Meinung, dass Unternehmen mit KI-bezogenen Offenlegungen auch ohne gesetzliche Vorschriften proaktiv umgehen könnten und die Informationen freiwillig zur Verfügung stellen, um das Vertrauen der Verbraucher zu fördern. Es gibt aber den Standpunkt, dass keine gesonderte KI-Information nötig wäre, weil zu Bestandteilen anderer Produkte ebenfalls nicht immer Transparenz gefordert werde.

So oder so: Unternehmen – insbesondere Systemhäuser, Dienstleister, Service Provider und Co. – müssen sich mit dem Thema Offenlegung auseinandersetzen.

Allheilmittel vs. Terminator – Vertrauen in KI und KI-Politik

Unabhängig von der Frage der Offenlegung und deren Gestaltung ist die Wahrnehmung der KI heute sehr verzerrt: von einem euphorischen Lob als "Allheilmittel" bis zur Angst vor der Selbstzerstörung, wie im Film "Terminator" dargestellt, ist alles dabei.

Dabei verdient die Nutzung von KI durchaus einen genaueren Blick. Wer kontrolliert die Konzerne, die auf KI setzen und Milliardengelder investieren? Wer wacht über Daten und deren Kuratierung? Wer sieht die vielen namenlosen Arbeiter in Ländern mit geringen Löhnen und Standards, die für minimale Bezahlung massenhaft Daten und Bilder klassifizieren? Wer wahrt das geistige Eigentum von Urhebern, wenn munter und – weitgehend ohne Unrechtsbewusstsein – aus dem Internet kopierte Inhalte für das "Lernen" von KI-Systemen verwendet werden? Wer achtet auf den Energieverbrauch für eine simple Anfrage nach einem Kurztext für eine Einladung?

Im KI-Hype gehen wichtige Fragen unter. Dazu gehört schon wegen der zunehmenden Nutzung die Frage nach dem Umgang mit der Offenlegung, sprich, der grundsätzlichen Transparenz beim Einsatz von KI bei Dienstleistungen und Produkten.

Pro: KI-Offenlegungen fördern das Vertrauen

In einem Panel des "MIT Sloan Management Review"mit 32 Experten sprachen sich 84 Prozent, also eine überwältigende Mehrheit, für verpflichtende Angaben aus. So stellt Mark Surman von der Mozilla Foundation fest: "Offenlegungen sind die grundlegendste Form der Transparenz", die in allen Facetten des Lebens erforderlich sei. Simon Chesterman von der National University of Singapore stimmt zu, dass der Zweck von Transparenz darin bestehe, "eine fundierte Entscheidungsfindung und Risikobewertung zu ermöglichen".

Der Gedanke: Unternehmen haben eine ethische Verpflichtung, bei der Nutzung von KI transparent zu sein. Die Kunden sollten die mit der Verwendung eines Tools verbundenen Risiken kennen, genau wie die Nebenwirkungen eines Medikaments. Über jede ethische Verpflichtung hinaus tragen aus Sicht der Fachleute Offenlegungen dazu bei, das Vertrauen von Kunden, Investoren und Mitarbeitern zu fördern und zu stärken. Es geht darum, fundierte Entscheidungen zu treffen und die von KI getroffenen Entscheidungen zu verstehen. Das kann bis hin zu Bewerbern gehen, für die solche Transparenz zunehmend ein Schlüsselfaktor bei der Frage sein wird, für welches Unternehmen sie arbeiten wollen.

Contra: Offenlegungen sind nicht ohne Herausforderungen

Solange das ganze Fachgebiet so dynamisch ist, stellen sich Fragen der Definition, was die KI von Software oder anderen Entscheidungssystemen unterscheidet, so dass es schwierig sein kann, zu klären, wann eine Offenlegung erforderlich ist. Die Offenlegungen sollten in jedem Fall benutzerfreundlich und visuell zugänglich sein, um das Verständnis zu gewährleisten. Das aber ist in der Praxis nicht einfach umzusetzen und von Produkt, Service, Umfeld und Wissenstand abhängig.

Wenn das Verständnis fehlt, um die Informationen aus der Offenlegung sinnvoll zu interpretieren, überfordert dies den Verbraucher möglicherweise. Die Verpflichtung zur Offenlegung von KI könnte dann sogar zu einem sinkenden Risikobewusstsein führen, weil die Informationen selten gelesen oder gar ignoriert werden. Die sich schnell weiterentwickelnde KI-Technologie kann zudem zu hohen Compliance-Kosten und rechtlichen Risiken führen, was sich mit Haftungsausschlüssen pragmatisch lösen ließe; was aber wiederum die Ergebnisse als weniger wertig zeigen würde.

Neutrale Haltungen

Neben Befürwortern und Gegnern gibt es die neutralen Betrachter, die abwarten und fallweise eine Bewertung der Offenlegung vornehmen möchten. Ihre Haltung: Da KI heute oft Bestandteil vieler Arbeitsabläufe ist und nicht alle Anwendungen eine Offenlegung erfordern sollten, wird von Fall zu Fall zu prüfen sein, was die angemessene Vorgehensweise ist. KI wird integraler Bestandteil vieler Produkte sein, daher kann eine abwägende Haltung sinnvoll sein.

Die KI-Verordnung der EU: Tücken und Unschärfen

Als erste weltweite Regelung versucht die EU-Verordnung ein Regelwerk aufzustellen. Sie definiert vier verschiedene Kategorien von Anwendungen und verlangt, die Organisation auf die Einhaltung der Verordnung einzustellen. Dafür ist bei Anwendungen mit hohem Risiko ein Risikomanagement zu installieren und bei diesen ist die Dokumentation aller relevanten Informationen über den ganzen Lebenszyklus erforderlich. Manche Anwendung ist verboten, andere müssen beantragt werden oder Transparenzpflichten erfüllen, manche sind frei nutzbar. Die Verordnung hat – wie jede neue Regelung – Tücken und Manches ist noch unscharf. Die praktische Handhabung im Risikomanagement sowie bei Sanktionen wird sich einspielen müssen.

Die Norm für KI-Managementsysteme: ISO 42001

Mit der zunehmenden Nutzung von Künstlicher Intelligenz und ihrem Potenzial sowie Risiken wird ein zuverlässiges Managementsystem immer wichtiger, um die Nutzung handhabbar zu gestalten. Die Norm ISO 42001 ist 2023 erschienen und hilft dabei, die Vorteile von Künstlicher Intelligenz zu maximieren und regulatorische Anforderungen der KI-Verordnung einzuhalten. Die Norm vereint Anforderungen an die Qualität und Sicherheit der Informationen mit Organisationshilfen, was die Zulassung von Anwendungen sowohl prozessual als auch mit Dokumentation unterstützt. Angesichts des Bedarfs an einer soliden KI-Governance bietet sie einen Rahmen und enthält Anforderungen und Leitlinien für die Einführung, Umsetzung, Aufrechterhaltung und Verbesserung von KI-Managementsystemen.

Die Norm unterstützt bei drei Aufgaben und hilft nebenbei beim Thema Offenlegung:

Zunächst kann mit ihrer Hilfe die interne Organisation für die KI aufgebaut werden und die Erfüllung des AI-Act ist leichter nachweisbar.
Auf dieser Basis lässt sich die Offenlegung vereinfacht darstellen, da schon alle nötigen Informationen im System hinterlegt sind.
Last but not least wird die Norm im Laufe der kommenden Monate „zertifizierbar” sein. Analog zur ISO 9001 und ISO27001 gibt es dann ein Prüfschema, auf dessen Basis akkreditierte Prüfer mit Fachwissen und Prüforganisationen (etwa TÜV, DEKRA) als unabhängige Dritte das KI-Managementsystem untersuchen und bei Erfüllung der Anforderung ein Zertifikat erteilen.

Dann wäre als Maximum folgendes möglich und nach außen im Rahmen der Offenlegung kommunizierbar:

Die KI-Lösung genügt den Anforderungen des AI-Act
Sie wird im Rahmen eines KI-Managementsystem (KIMS) nach ISO 42001 betrieben
Das KIMS ist durch einen unabhängigen Dritten zertifiziert

Mehr geht nicht!

Ein integriertes Managementsystem unterstützt

Helfen können integrierte Managementsysteme. Denn qualitativ hochwertige Informationssicherheits-Managementsysteme (ISMS) decken bereits heute die wichtigen Normen ISO 9001 sowie ISO 27001 bzw. TISAX ab und werden fortlaufend erweitert. Die Integration der neuen globalen Norm unterstützt Unternehmen somit bei der verantwortungsvollen Entwicklung oder Nutzung von KI-Systemen und senkt den Aufwand und erhöht die Geschwindigkeit bei der Umsetzung der Anforderungen.

Fazit

Das Vordringen der KI führt bei vielen Aspekten zu Regelungsbedarf, ganz unabhängig von differenzierten Möglichkeiten, dies im Rahmen der Offenlegung zu bewerten. Dazu gehört die Festlegung klarer interner Richtlinien, die regeln, wie die KI genutzt wird und wann Angaben dazu erforderlich sind. Die KI-Verordnung aber lässt keine freien Entscheidungen zu, sie regelt je nach Anwendungstyp, wie KI in der EU eingesetzt werden darf und ob eine Offenlegung erfolgen sollte oder verboten ist, ganz im Sinne einer "informierten Einwilligung" der DSGVO.

Unternehmen haben zudem eine ethische Verantwortung und müssen – auch aus kommerziellen Gründen – das Vertrauen bei Kunden, Investoren und Mitarbeitern sichern, obwohl es in vielen Fällen oder Ländern nicht gesetzlich vorgeschrieben ist, die Nutzung von KI anzugeben. Die neue KI-Verordnung hilft hier weiter und schafft eine regulatorische Basis. Die Nutzung der Norm ISO 42001 im Rahmen eines integrierten Managementsystems unterstützt dann entscheidend, die KI erfolgreich und rechtskonform einzusetzen.

Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Opexa bewegt sich im Umfeld der ISO 27001, TISAX und NIS2 sowie DORA. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter ist er seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause.