Mensch und Maschine Hand in Hand – Gesetz zu Künstlicher Intelligenz

Gesetz zu Künstlicher Intelligenz

Hintergrund

| Für das Finanzwesen ist Künstliche Intelligenz kein neues Thema; sie ist Teil vieler Finanzanwendungen, sodass die Branche bereits von der Technologie profitiert.

Mit den vielen neuen Möglichkeiten, die KI-basierte Lösungen bieten, hat sich aber auch das Bewusstsein für damit einhergehende Risiken geschärft, sodass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit ihren Mittelfristzielen Ende 2021 schon einen entsprechenden Aufsichtsschwerpunkt formulierte: „Innovationen“ (wir berichteten). Demnach konzentrierte und konzentriert sich die Aufsichtstätigkeit auch auf den Einsatz Künstlicher Intelligenz und verfolgt dabei das Ziel, den Umgang mit KI-Anwendungen zu fördern, ohne dass neue, technologiegetriebene Risiken die Oberhand gewinnen.

Neu: Ein rechtlicher Rahmen auf EU-Ebene

Im Hinblick auf durch Künstliche Intelligenz entstehende Risiken ist auch der Ruf nach ihrer Regulierung laut geworden, sodass die EU-Kommission im April 2021 eine entsprechende Verordnung vorgeschlagen hatte: das sogenannte „Gesetz über Künstliche Intelligenz“ bzw. den „Artificial Intelligence Act“. Es handelt sich dabei um den weltweit ersten Rechtsrahmen für die Entwicklung und Nutzung Künstlicher Intelligenz – und damit um einen bedeutsamen Schritt in der europäischen Regulierungslandschaft.

Am 14. Juni 2023 wurde die Verordnung vom Europäischen Parlament angenommen, sodass nun ein Gesetzesentwurf vorliegt, dessen Text in abschließenden Verhandlungen noch finalisiert wird.

Relevant wird das Gesetz für alle sein, die ein Produkt oder eine Dienstleistung unter Einbezug von Künstlicher Intelligenz anbieten, wobei der Geltungsbereich extraterritorial und demnach ähnlich zu verstehen ist wie schon bei der EU-Datenschutzgrundverordnung (DSGVO). Das heißt, dass die mit der Verordnung einhergehenden Anforderungen nicht nur für Anbieter und Nutzer mit Sitz innerhalb der EU gelten, sondern für alle, deren KI-Systeme Personen innerhalb der EU betreffen.

Das Angebotsspektrum umfasst solche Anwendungen, die Inhalte, Vorhersagen und Empfehlungen liefern oder Informationen für eine Entscheidungsfindung bereitstellen. Diese Eigenschaften gelten nicht nur für kommerzielle Angebote, sondern weisen auch Anwendungen auf, die dem öffentlichen Bereich zuzuordnen sind (wie z. B. im Rahmen der Strafverfolgung). Umso wichtiger ist eine sorgsame Ausgestaltung des Regulierungsrahmens – das gilt auch gerade für den Einsatz im Finanzsektor.

Exkurs: Künstliche Intelligenz konkret – Beispiele aus der Bankpraxis

Als konkreter Anwendungsfall für die Nutzung intelligenter Technologien wird in der aktuellen Ausgabe der Zeitschrift Interne Revision (ZIR) beispielsweise das sogenannte Process Mining besprochen [vgl. Barenkamp, Marco: Process Mining und künstliche Intelligenz in der Internen Revision eines Unternehmens. Einsatz zur effektiven Analyse von Geschäftsprozessen und Risikominderung. In: Zeitschrift Interne Revision 04/2023, S. 183–189]. Es wird aufgezeigt, dass Process Mining in Verbindung mit Künstlicher Intelligenz bei internen Prüfungsleistungen nutzbringend und vor allem effizienzsteigernd eingesetzt werden kann, weil eine KI in der Lage ist, in nur kurzer Zeit riesige Datenmengen zu verarbeiten. So können Informationen systematisch erfasst, analysiert und einem Prüfungsprozess auf allen drei Ebenen des Process Mining schneller zugänglich gemacht werden: Angefangen bei der basalen Prozesserkennung über die Soll-Ist-abgleichende Konformitätsprüfung bis hin zur zukunftsorientierten Prozesserweiterung.

Aus einem etwas allgemeineren Blickwinkel betrachtet ein Beitrag in der Mai-Ausgabe von die bank das Thema [vgl. Größer, Rainer: Spezialisten stärken – KI beflügelt den Finanzsektor. In: die bank 05/2023, S. 66–65]. Deutlich wird, dass sich in der Bankpraxis auf drei Ebenen von KI-basierten Lösungen profitieren lässt:

  1. Im Hintergrund: für die effiziente Gestaltung von Prozessen, z. B. im Zuge einer Fotoüberweisung über Mobile-Banking-Apps
  2. Bei der IT-Sicherheit: zur Unterstützung bestimmter Prüfschritte oder zur Ergänzung von Tools, beispielsweise solcher zur Betrugsprävention
  3. Im Rahmen von Kundenservice und -kommunikation: z. B. als virtuelle Assistenz bei Fragen aufseiten der Bankkundinnen und -kunden oder als digitale Assistenz für die Kundenberatung, die Informationen zuliefern kann und so die Auskunftsfähigkeit der Beraterinnen und Berater verbessert

Künstliche Intelligenz als solchermaßen assistierende Systeme zu nutzen, gilt als wichtiges übergeordnetes Ziel. Eine KI soll Spezialist:innen besser machen, sie aber nicht ersetzen.

Nutzen und Grenzen intelligenter Systeme

Damit gerät auch einer der Vorbehalte in den Blick, die gegenüber der Nutzung KI-basierter Lösungen bestehen. Demnach drohe der Einsatz Künstlicher Intelligenz, Arbeitsplätze zu gefährden, bilde ohnehin ein Datenschutzrisiko und sei zu fehleranfällig. Insbesondere seit ChatGPT wird verstärkt auch grundlegend vor den potenziellen Gefahren Künstlicher Intelligenz gewarnt wie z. B. einem Vertrauens- oder Kontrollverlust. Umso eindrücklicher ist daher das Wunschbild, der Mensch möge mit der intelligenten Maschine Hand in Hand arbeiten, ohne sich von ihr ‚regieren‘ zu lassen.

Damit dies möglich ist, sollten KI-Lösungen leicht handhabbar sein und den Menschen dazu befähigen, schneller – oder zumindest auf eine effizientere Weise – fundierte Entscheidungen zu treffen. Damit Entscheidungen fundiert sind, muss die Zuarbeit einer KI wiederum nachvollziehbar sein; Künstliche Intelligenz darf also keine Black Box sein. So stellt die Nachvollziehbarkeit auch einen wichtigen Punkt in der KI-Verordnung dar. Darüber hinaus gilt es sicherzustellen, dass die in der EU eingesetzten KI-Systeme sicher und transparent sowie umweltfreundlich und nicht diskriminierend sind.

Inhalte der KI-Verordnung

Ein grundlegendes Ziel der KI-Verordnung ist es, eine technologieneutrale und einheitliche Definition Künstlicher Intelligenz vorzulegen, die künftig als hilfreicher Bezugspunkt dienen und auf neue intelligente Systeme angewandt werden kann. Hier besteht die Herausforderung darin, sich auf eine hinreichend differenzierte Definition zu einigen, die verhindert, dass jegliche Software als künstlich intelligent gelte.

Insgesamt umfasst die Verordnung fünf Teilabschnitte, die sich folgenden Aspekten widmen:

  1. Vorschriften für Inverkehrbringen, Inbetriebnahme und Verwendung von KI-Systemen
  2. Verbotene KI-Praktiken
  3. Anforderungen und Verpflichtungen bei Hochrisiko-KI-Systemen
  4. Transparenzvorschriften für spezielle KI-Systeme (solchen zur Interaktion mit natürlichen Personen, zur Emotionserkennung und biometrischen Kategorisierung sowie zum Erzeugen oder Manipulieren von Bild-, Ton- oder Videoinhalten)
  5. Vorschriften für Marktbeobachtung und Marktüberwachung

Hinsichtlich der Vorschriften liegt der Verordnung ein risikoorientierter Ansatz zugrunde: KI-Systeme werden vor dem Hintergrund ihrer jeweiligen Anwendungszwecke analysiert und auf Basis des identifizierten Risikos klassifiziert. Demnach unterscheidet die Verordnung zwischen „unacceptable risk“, „high risk“, „medium risk“ und „low“ beziehungsweise „no risk“. An diesen Risikoklassen bemessen sich sodann die regulatorischen Vorgaben.

Wichtig ist, dass jedes KI-System bewertet werden muss, auch wenn es nur – und das wird diverse Anwendungsfälle Künstlicher Intelligenz betreffen – mit einem minimalen Risiko einhergeht.

Verboten werden soll, im Sinne einer Chancengleichheit, das sogenannte „Social Scoring“, also solche Techniken, die eingesetzt werden können, um das Verhalten oder die Vertrauenswürdigkeit von Personen zu prognostizieren. Dasselbe gilt für KI-Anwendungen, die Menschen nach ihrem sozialen Status klassifizieren und/oder in der Lage sind, sie auf eine schadhafte Weise zu beeinflussen. Ebenfalls unzulässig sind die flächendeckende Auswertung biometrischer Daten, beispielsweise nach Geschlecht oder Hautfarbe, sowie alle Arten biometrischer Fernidentifizierungssysteme in öffentlich zugänglichen Räumen (Gesichtserkennung). Die Ausnahme wäre ein richterlicher Beschluss bei schweren Straftaten: In einem solchen Fall dürfte nachträglich auf entsprechende Daten zugegriffen werden.

Brisant sind vor allem die Hochrisiko-KI-Systeme, weil sie zu einer Bedrohung für die Gesundheit, die Sicherheit oder die Ausübung menschlicher Grundrechte werden können. Bei ihnen erweist sich der risikoorientierte Ansatz der Verordnung als mehrdimensional, kann sich das jeweilige Risiko doch in zweierlei Hinsicht ergeben: entweder durch die Funktionsweise eines Systems oder aufgrund des Sektors, in dem eine KI eingesetzt wird. Demnach fielen unter die „high risk“-Kategorie z. B. medizinische Komponenten und Sicherheitssysteme, aber auch die intelligenten Techniken, die bei kritischer Infrastruktur (Gas, Wasser, Strom etc.), im Rahmen von Dienstleistungen (auch gerade in der Finanzbrache; Stichwort: Kreditvergabe) oder bei der Strafverfolgung zum Einsatz kommen – sowie im Bereich Bildung, Beschäftigung, Migration, Asyl und Rechtspflege. Anders als die verbotenen Praktiken sind die Hochrisiko-Systeme zwar zulässig, müssen aber einen umfassenden Anforderungskatalog erfüllen.

Ausblick

Die Annahme der KI-Verordnung durch das EU-Parlament bildet einen wichtigen Schritt in umso wichtigeren Regulierungsfragen – dem jedoch ein echter Kraftakt vorausging: 18 Monate haben die zuständigen Ausschüsse um Formulierungsfragen und eine Position zu dem Vorschlag der EU-Kommission gerungen. Das lag sicher an der Komplexität derThematik, aber auch an einem zentralen Charakteristikum Künstlicher Intelligenz: ihrer schnellen Entwicklung. So war es eine besondere Herausforderung, die Diskussionsprozesse nicht vom technologischen Fortschritt überholen zu lassen.

Seit Mitte Juni liegt der Gesetzesentwurf des Parlaments vor, sodass aktuell im sogenannten „Trilog“ verhandelt wird, was bedeutet, dass sich das Parlament mit der EU-Kommission und den Mitgliedstaaten über den endgültigen Laut des KI-Gesetzes abstimmt. Eine Einigung soll bis Ende des Jahres erreicht werden, wonach das Gesetz offiziell in Kraft treten kann.

Nach Verabschiedung des Gesetzes ist noch eine zweijährige Übergangsfrist vorgesehen, deren Zeit intensiv genutzt werden sollte, um eine saubere Anpassung an die neuen regulatorischen Bedingungen vorzubereiten. Das bedeutet aber auch, dass der neue Rechtsrahmen inklusive Übergangsfristen frühestens in zweieinhalb bis drei Jahren greifen wird. Einige halten das für zu spät, sodass es bereits weitere Vorschläge gibt, wie man Künstliche Intelligenz, bestenfalls schon vorher, regulieren könne.

Ein Ansatz wäre vielleicht der freiwillige KI-Verhaltenskodex, über den die USA und die EU bereits sprechen. Ein solcher Kodex böte die Möglichkeit, die Entwickler Künstlicher Intelligenz zu einer freiwilligen Selbstkontrolle anzuhalten, und das in nur kurzer Zeit, womöglich binnen sechs Monaten. Damit könne Zeit gewonnen werden, bis gesetzliche Regeln griffen, sagt EU-Technologiekommissarin Margrethe Vestager.

Veröffentlicht in Allgemein, WirtschaftsprüfungVerschlagwortet mit ,