Mit dem AI Act ist das erste Gesetz für KI abgesegnet und gibt Herstellern von KI-Anwendungen zwischen sechs Monaten und drei Jahren Zeit, sich den neuen Regeln anzupassen. Wer KI in sensiblen Bereichen einsetzen will, wird die KI-Daten und ihre Qualität streng kontrollieren und Transparenz schaffen müssen – klassische Kerndisziplinen aus dem Datenmanagement.
Die EU hat Pionierarbeit geleistet und mit dem AI-Act den aktuell dynamischsten und bedeutendsten Zweig der Datenindustrie reglementiert, so wie sie es mit der DSGVO im April 2016 und dem Digital Operational Resilience (DORA) im Januar dieses Jahres tat. Viele der neuen Aufgaben aus dem AI Act dürften Datenschutzbeauftragten und jedem Compliance-Officer aus der DSGVO bekannt vorkommen. Das Gesetz legt eine Definition für KI fest und definiert mit minimal, hoch und inakzeptabel drei Sicherheitsstufen.- KI-Anwendungen, die Firmen im Gesundheitswesen, Bildungsbereich und kritischen Infrastrukturen einsetzen wollen, fallen unter die höchste Sicherheitskategorie „hochriskant“. Diejenigen in der Kategorie „inakzeptabel“ werden verboten, weil sie beispielsweise die Sicherheit, den Lebensunterhalt und die Rechte der Menschen bedrohen könnten.
Risiko bewerten
Diese KI-Systeme müssen per Definition vertrauenswürdig, transparent und rechenschaftspflichtig sein. Die Betreiber müssen Risikobewertungen durchführen, qualitativ hochwertige Daten verwenden sowie ihre technischen und ethischen Entscheidungen dokumentieren. Zudem müssen sie aufzeichnen, wie die Leistung ihrer Systeme sich entwickelt und die Benutzer über die Art und den Zweck ihrer Systeme informieren. Außerdem sollen die KI-Systeme von Menschen beaufsichtigt werden und Eingriffe ermöglichen. Sie müssen hochrobust arbeiten und ein hohes Niveau bei der Cybersicherheit erreichen.
Firmen brauchen jetzt klare Orientierung. Denn sie wollen das große Potenzial dieser Technik nutzen und zugleich zukunftssicher aufgestellt sein, um die kommenden Details der Verordnung umsetzen zu können. Es gibt fünf klare Empfehlungen, wie Firmen dies angehen können, ohne rechtliche Risiken zu verursachen und trotzdem den Usern nicht im Weg zu stehen. Und zugleich so aufgestellt zu sein, dass man den AI Act voll umsetzen kann, ohne die IT auf den Kopf zu stellen:
- KI vertrauensvoll agieren lassen: Wer das erreichen will, muss die KI vollständig zähmen. Der einzige Weg dahin ist, die Daten und Datenströme in die KI und aus der KI heraus genau zu kontrollieren. Diese enge Kontrolle ist ähnlich mit den Vorgaben aus der DSGVO für personenbezogene Daten. Diese Compliance sollten Firmen immer mitdenken, wenn sie KI einsetzen und selbst entwickeln. Wer KI DSGVO und AI Act-konform einsetzen will, sollte vor Einführung den Rat eines Datenschutzexperten einholen.
- Daten genau kennen: Ein Großteil des Gesetzes konzentriert sich auf die Berichterstattung über Inhalte, die zum Trainieren der KI verwendet werden, also auf die Datensätze, die ihr das Wissen für ihre Leistung verliehen haben. Unternehmen und ihre Mitarbeiter müssen genau wissen, mit welchen Daten sie die KI füttern und welchen Wert diese Daten für die Firma besitzen. Einige KI -Anbieter übertragen diese Entscheidung bewusst an die Daten-Owner, weil sie die Daten am besten kennen. Diese müssen die KI verantwortungsbewusst trainieren, Außerdem sollte der Datenzugriff nur für autorisierte Personen aktiviert sein.
- Die Frage der Copyrights: Frühere Modelle der KI haben verfügbare Internet- und Bücher-Crawler genutzt, um ihre KI zu trainieren. Dabei handelte es sich um Inhalte, die geschützte Elemente enthielten – einer der Bereiche, die der AI Act bereinigen will. Wenn Firmen solche Datensätze verwendet haben, ohne diese genau gekennzeichnet zu haben, müssen sie möglicherweise noch einmal von vorne beginnen.
- Inhalte der Daten verstehen: Das ist eine essenzielle Aufgabe. Damit die Daten-Owner richtig entscheiden können, muss der Wert und Inhalt der Daten klar sein. Im Alltag ist diese Aufgabe gigantisch und die meisten Firmen haben Berge von Informationen angehäuft, von denen sie überhaupt nichts wissen. Auf diesem Gebiet kann KI und Machine Learning massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen nach ihrer eigenen Relevant Record-Strategie automatisiert identifiziert und klassifiziert. Vordefinierte Filter fischen Compliance-relevante Daten wie Kreditkarten, Hypothekendaten, oder Baupläne sofort aus dem Datenteich und markieren sie. Bei dieser Analyse ließen sich auch einige Sicherheitsparameter abklären und beispielsweise ungesicherte Daten aufzuspüren. Sobald diese KI die Firmendaten untersucht, entwickelt sie übrigens eine unternehmensspezifische Sprache, einen Unternehmensdialekt. Und je länger sie arbeitet und je mehr Firmendaten sie untersucht, desto genauer werden ihre Ergebnisse. Der Charme dieser KI-getriebenen Klassifizierung zeigt sich vor allem, wenn neue Vorgaben einzuhalten sind. Was auch immer der AI Act auf lange Sicht neu aufbringt, die ML und KI getriebene Klassifizierung wird diese zusätzlichen Attribute suchen können und der Firma ein Stück Zukunftssicherheit verschaffen.
- Datenflüsse steuern: Sind die Daten mit den richtigen Merkmalen eingestuft und klassifiziert, lassen sich von der darunter liegenden Datenmanagement-Plattform automatisch Regeln durchsetzen, ohne dass der Data Owner eingreifen muss. Dadurch sinken die Chancen für menschliche Fehler und Risiken. So könnte eine Firma durchsetzen, dass bestimmte Daten wie Intellectual Property oder Finanzdaten niemals an andere Speicherorte oder externe KI-Module weitergegeben werden dürfen. Moderne Datenmanagement-Plattformen steuern den Zugriff auf diese Daten, indem sie diese automatisch verschlüsseln und sich Anwender per Access Controls und Multifaktor-Authentifizierung autorisieren müssen.
Der AI Act bekommt Zähne
Die EU hat eine weitere Ähnlichkeit mit der DSGVO und DORA. Einmal in Kraft getreten, werden Sanktionen für Non-Compliance durchgesetzt. Wer gegen wichtige Vorgaben aus dem AI Act verstößt, muss mit Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes rechnen. Und nur zum Vergleich: Die Aufsichtsbehörden haben seit dem Inkrafttreten der DSGVO bis Februar 2024 Bußgelder in Höhe von 4,5 Milliarden Euro ausgesprochen. Das KI-Gesetz wird wahrscheinlich diesen Sommer veröffentlicht und tritt dann 20 Tage nach Veröffentlichung im Amtsblatt der EU in Kraft. Die meisten seiner Bestimmungen gelten nach 24 Monaten. Die Regeln für verbotene KI-Systeme gelten nach sechs Monaten, die Regeln für GPAI nach zwölf und die Regeln für Hochrisiko-KI-Systeme nach 36 Monaten.
Mehr bei Cohesity.com
Über Cohesity Cohesity vereinfacht das Datenmanagement extrem. Die Lösung erleichtert es, Daten zu sichern, zu verwalten und aus ihnen Wert zu schöpfen - über Rechenzentrum, Edge und Cloud hinweg. Wir bieten eine vollständige Suite von Services, die auf einer Multi-Cloud-Datenplattform konsolidiert sind: Datensicherung und Wiederherstellung, Notfallwiederherstellung, Datei- und Objektdienste, Entwicklung/Test sowie Daten-Compliance, Sicherheit und Analysen. Das reduziert die Komplexität und vermeidet die Fragmentierung der Massendaten. Cohesity kann als Service, als selbst verwaltete Lösung sowie über Cohesity-Partner bereitgestellt werden.