Ein Überblick aktueller KI-Regulierung

Die gesetzliche Regulierung technischer Systeme, z. B. in empfindlichen Anwendungsbereichen wie der Medizin, ist nicht neu. Lernende KI-Systeme verstärken jedoch die Automatisierung zahlreicher Lebensbereiche und bringen dabei neue Herausforderungen mit sich, da ihr Verhalten nicht direkt durch ihre Algorithmen vorgegeben und somit nicht vollständig vorhersagbar ist. Der mit dieser potenziellen Autonomie einhergehende Kontrollverlust bei KI-Systemen soll deswegen durch Regulierungen ausgeglichen werden. Indem die Algorithmen, Datenbasis und Geschäftsmodelle der KI-Systeme vorgegebene Kriterien erfüllen, soll ihr Einsatz zur Erreichung gesellschaftspolitischer Ziele gewährleistet und der durch sie initiierte Wandel demokratisch gestaltet werden.

Die wichtigste Regulierungs-Forderung nach der Transparenz von KI-Systemen begründet sich wiederrum auf die eingeschränkte Kontrollierbarkeit lernender KI-Systeme. Die Frage, warum ein lernendes KI-System bei bestimmten Eingangswerten (z. B. Daten zu einer Person) ein bestimmtes Ergebnis (z. b. eine konkrete Empfehlung) ausgibt, kann oft nur pauschal beantwortet werden: Weil es aus den Beispieldaten so gelernt wurde. Diese Daten – und nicht der Algorithmus – sind somit die erste Quelle zur Beantwortung obiger Frage. Die spezifischere Antwort basierend auf vom Algorithmus gelernten Modellparameter, z. B. die Assoziationsgewichte in einem künstlichen neuronalen Netz, ist selten hilfreich, da sie für Menschen – ob Expertin oder Laie – nicht direkt nachvollzieh bar ist. Das Ausmaß des Problems, Ergebnisse und Fehler nachvollziehen, interpretieren und erklären zu können , ist jedoch abhängig vom verwendeten Lernalgorithmus. Um das Ausmaß der benötigten Transparenz für unterschiedliche Zielgruppen einzuordnen, und dadurch passende Algorithmen auszuwählen, können bspw. Kritikalitätsmodelle, wie von der Datenethikkommission [1] vorgeschlagen, unterstützen. Hierbei wird ein risikoadaptierter Regulierungsansatz empfohlen, der abhängig vom Schädigungspotenzial, das sich aus der Wahrscheinlichkeit eines Schadenseintritts und der Schwere des zu befürchtenden Schadens ergibt, fünf Kritikalitätsstufen unterscheidet.

Auch ein Überblick [2] zu internationalen Bestrebungen zur Spezifikation von Wertekatalogen für ethische KI dreht sich letztlich um das Thema Transparenz, da weitere Werte, wie Vertrauen, Fairness, und Verantwortlichkeit darauf aufbauen. Die Nachvollziehbarkeit der Ergebnisse von KI-Systemen ermöglicht auch die Transparenz ihres Einsatzes, ihrer Zielsetzung und ihrer (möglichen) Auswirkungen. Das wird v.a. bei Systemen der automatisierten Entscheidungsfindung ADM, die Selbstbestimmung und Teilhabe von Bürger:innen beeinflussen könnten, gefordert. Zivilgesellschaftliche Akteure wie Algorithmwatch fordern deswegen ein Algorithmenregister zu in der öffentlichen Verwaltung eingesetzten ADM, wie es bspw. in Amsterdam [3] bereits umgesetzt ist.

Auch die ethischen Richtlinien der High-Level Expert Group on AI [4] der EU betonen den Stellenwert der Transparenz, und versucht durch die Forderung nach human agency die Gefahr des Kontrollverlusts über autonome KI-Systeme zu betonen. Aufbauend auf diesen Richtlinien gibt das Weißbuch KI [5] der EU-Kommission die Leitplanken für die Entwicklung und den Einsatz von KI-Systemen in der EU vor, z. B. indem es die Schaffung von KI-Testzentren empfiehlt. Hier wird auch der Bedarf weiterer Regulierung eingeschätzt: Bestehende Gesetze zum Datenschutz (die DSGVO fordert bspw. die Erklärbarkeit automatisierter Entscheidungsfindung), zur Produktsicherheit und –haftung, inklusive aktueller Entwicklungen zur Regulierung digitaler Dienste und Plattformen, sind zwar bereits anwendbar; die Schaffung expliziter Regelungen zur Transparenz, Nachvollziehbarkeit und Kontrollierbarkeit (human oversight) von KI-Systemen wird jedoch empfohlen, um größere Rechtssicherheit herzustellen. Es kann davon ausgegangen werden, dass die geplante KI-Gesetzinitiative [6] der EU diese Aspekte aufgreifen wird. Die geplante Einrichtung einer EU-weit einheitlichen digitalen Vernetzungsinfrastruktur, insbesondere die Datenplattform GAIA-X und EUHubs4Data sowie das KI-Ökosystem AI4EU , aber auch tlw. bereits umgesetzte Regelungen wie eIDAS und SSI zur Abbildung digitaler Identitäten der Bürger:innen, fügen sich in das Gesamtbild einer europäischen data governance für einen gemeinsamen Datenraum, wie sie auch in der EU-Datenstrategie [7] und dem International Data Space [8] vorgesehen ist.

Zahlreiche Maßnahmen in Deutschland konkretisieren und vervollständigen die EU-Vorgaben. Bereits 2018 hat die Nationale Strategie KI Deutschlands [9] europäische Werte in 12 Handlungsfeldern eingebettet. Die darin anvisierten KI-Forschungskompetenzzentren, KI Trainer in KMU-Kompetenzzentren und die Beteiligungsplattform Civic sind – neben weiteren Maßnahmen, die mit insg. 5 Mrd. € dotiert sind - bereits in Umsetzung. Weitere Empfehlungen finden sich im Abschlussbericht der Enquete-Kommission KI [10] des deutschen Bundestags. Die Unterteilung in Anwendungsbereichen folgt hierbei der Empfehlung einer sektorenspezifischen Regulierung.

Normungen sind ein zentrales Mittel zur Spezifikation von Anforderungen und Regulierungsvorgaben. Auch hier sind erste Umsetzungen der zahlreichen Empfehlungen zu beobachten. Die vom DIN koordinierte Erarbeitung eines Normungsfahrplan [11] konnte dabei auf zahlreichen Standards von Normungsorganisationen, wie ISO, IEEE und ITU aufsetzen, um spezifischen Handlungsbedarf zu weiteren Normierungen aufzuzeigen. Neben übergreifenden Empfehlungen zur Verwendung von Datenreferenzmodellen und einer initialen Kritikalitätsprüfung, werden auch im Normungsfahrplan anwendungsspezifische Anforderungen unterschieden. Erste Pilotprojekte zur Umsetzung der Standards, wie das Projekt „Zertifizierte KI“ [12] der Kompetenzplattform KI.NRW, entwickeln ab 2021 Prüfverfahren für KI-Systeme. Mit der zukünftig zu erwarteten Umsetzung in KI-Systemen, und deren Prüfung bspw. mittels Zertifizierungen, schließt sich der Kreis von Empfehlungen über Regulierungen und Normen zu einem sicheren und gesellschaftlich förderlichen Einsatz von KI-Systemen.

[1] https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/datenethikkommission/arbeitsergebnisse-der-dek/arbeitsergebnisse-der-dek-node.html;jsessionid=05F18ED1E6336C193773F6C4AB8FF50E.1_cid373

[2] https://arxiv.org/ftp/arxiv/papers/1906/1906.11668.pdf

[3] https://algoritmeregister.amsterdam.nl/en/ai-register/

[4] https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=60425

[5] https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_de

[6] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12527-Artificial-intelligence-ethical-and-legal-requirements

[7] https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy

[8] https://www.internationaldataspaces.org/

[9] https://www.ki-strategie-deutschland.de/home.html

[10] https://www.bundestag.de/dokumente/textarchiv/2020/kw44-pa-enquete-ki-abschlussbericht-801192

[11] https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/fahrplan-festlegen

[12] https://www.ki.nrw/zertifizierung/

3 Like

Danke für diese interessante Zusammenstellung der aktuellen Entwicklungen!
Was ich häufig gelesen habe, ist der Ruf nach einem „Algorithmen-TÜV“; bei dieser Forderung / Idee frage ich mich dann, wie sollte das gehen? Entwickeln sich die Systeme nicht weiter, wie auch Software durch Updates. Gibt es überhaupt einen Status-Quo? Kann es nicht nur eine Art Beipackzettel geben? Wie auch von manchen Forscherinnen gefordert.

3 Like

Die Regulierung von Medizinprodukte kann beispielhaft dafür sein. Hier macht sich die FDA und die benannten Stellen in der EU seit einiger Zeit Gedanken (siehe https://meso.vde.com/de/ki-regulatory-affairs/). Die Tendenz: Bei lernenden Systemen kann nicht (ausschließlich) der „status-quo“ zertifiziert werden, sondern auch der Prozess, der bei einer Veränderung des Systems durchgeführt werden muss. Die Zertifizierung von kontinuierlich lernenden Systemen ist dadurch weiterhin schwer möglich, aber diese stellen ja die Ausnahme bei sog. „selbstlernenden“ Systemen dar - unterscheidbare Lernphasen mit festen Ergebnissen sind die Regel

3 Like

Die Parallele zu Medizinprodukten ist natürlich interessant. Ich hatte mich 2017 mit dem Pflegehilfsmittelverzeichnis befasst, insbesondere mit Hausnotrufsystemen in der häuslichen Pflege. Hier zeigte sich, dass bereits mobile Hausnotrufsysteme eingesetzt wurden, was allerdings noch nicht im Verzeichnis vermerkt war. Denn der technische Fortschritt - über den Festnetzanschluss hinaus - war dem Verzeichnis voraus.

1 Like

Die Zertifizierung als Medizinprodukt ist die eine Sache. Die Vergütung (zB. durch Aufnahme ins Pflegehilfsmittelverzeichnis) ist die andere Sache. Das dauert dann nochmal. Wobei: das DVG zeigt mit den DiGAs, dass es auch schneller geht…

2 Like