Interview mit Alberto Job, Experte in Information Management & Compliance bei KPMG Schweiz

Alberto Job

Alberto Job

Alberto Job, das KI-Gesetz der Europäischen Union ist zurzeit in aller Munde. Welche Unternehmen müssen aktiv werden, um dieser neuen Verordnung zu entsprechen?

Das EU-KI-Gesetz ist eine Verordnung der Europäischen Union über die Regulierung und den Einsatz von künstlicher Intelligenz (KI) in der EU. Es gilt für alle Unternehmen, die an der Inverkehrbringung bzw. am Einsatz von KI-Systemen im EU-Markt beteiligt sind oder deren KI-Systeme Auswirkungen auf Bürgerinnen und Bürger der EU haben. Ziel des Gesetzes ist es, einen ethischen und rechtlichen Rahmen für die Entwicklung, den Einsatz und die Nutzung von KI-Systemen zu schaffen. Es umfasst spezifische Anforderungen – insbesondere in Bezug auf KI-Systeme, von denen ein hohes Risiko ausgeht. Ein Schwerpunkt des Gesetzes liegt auf der Transparenz, der Verantwortung und den ethischen Grundsätzen im Zusammenhang mit dem Einsatz von KI-Systemen. Darüber hinaus wird die Bedeutung der Überwachung und Kontrolle von KI-Systemen hervorgehoben, um ihre Auswirkungen auf die Bürgerinnen und Bürger sowie die Gesellschaft zu minimieren. Letztlich soll das EU-KI-Gesetz das Vertrauen in KI-Technologien stärken und entsprechende Innovationen fördern.

Das KI-Gesetz wird 20 Tage nach der Veröffentlichung im Amtsblatt, voraussichtlich im Mai/Juni 2024, in Kraft treten und zwei Jahre später in vollem Umfang anwendbar sein. Mit einigen Ausnahmen: Verbote treten bereits nach sechs Monaten in Kraft, die Governance-Regeln und Verpflichtungen in Bezug auf KI-Modelle für allgemeine Zwecke nach zwölf Monaten und die Regeln für KI-Systeme, die in regulierten Produkten verwendet werden, nach 36 Monaten.

Wie können betroffene Unternehmen mit den rechtlichen Anforderungen des EU-KI-Gesetzes umgehen?

Die rechtlichen Anforderungen des EU-KI-Gesetzes erscheinen auf den ersten Blick überwältigend. So ist es nicht nur wichtig, sich im Detail mit den einzelnen Vorschriften auseinanderzusetzen, sondern auch, sie in der Praxis effektiv anzuwenden. Die lückenlose Einhaltung des KI-Gesetzes ist ein entscheidender Faktor für den unternehmerischen Erfolg. Diese Komplexität zeigt sich zum Beispiel in Anforderungen wie den Genauigkeitsstandards für «risikoreiche» KI-Systeme. Eine Beratung durch Fachleute ist daher unerlässlich.

Worauf sollten sich Unternehmen bei der Beurteilung der Auswirkungen des EU-KI-Gesetzes auf ihre Geschäftstätigkeit konzentrieren?

Um zu bestimmen, wie sich das EU-KI-Gesetz auf Ihr Geschäft auswirken wird, müssen Sie sich zunächst mit den in der Verordnung definierten Rollen auseinandersetzen. Das EU-KI-Gesetz umfasst vier Schlüsselrollen: Anbieter/Hersteller, Importeur, Händler und Betreiber. Zunächst ist es also wichtig, in Erfahrung zu bringen, welche Rolle für Ihr Unternehmen gilt. Innerhalb eines risikobasierten Rahmens gelten nach dem EU-KI-Gesetz spezifische Verpflichtungen auf der Grundlage verschiedener Risikoklassifikationen. Der nächste entscheidende Schritt ist daher die Bewertung der Risikokategorie Ihres KI-Systems. Die Compliance beinhaltet die Erfüllung der rechtlichen Verpflichtungen der jeweiligen Kategorie. Was diese Verpflichtungen genau beinhalten, hängt sowohl von der Rolle Ihres Unternehmens als auch von der Klassifikation des eingesetzten KI-Systems ab.

Wie lassen sich die Anforderungen des EU-KI-Gesetzes wirksam umsetzen?

Um genauer in Erfahrung zu bringen, wie sich die neuen Compliance-Anforderungen umsetzen lassen, ist es wichtig, sich mit den Anforderungen – zum Beispiel den im EU-KI-Gesetz verankerten Genauigkeitsstandards – detailliert auseinanderzusetzen. Hierfür braucht es einen systematischen Ansatz, der die Modellentwicklung, die Auswahl von Kennzahlen sowie laufende Bewertungen umfasst. Bei der Vorverarbeitung von Daten legen wir den Schwerpunkt auf Qualität, um ein optimales Ergebnis nach dem Prinzip «Garbage in, garbage out» sicherzustellen. Diese Schritte decken sich mit den Anforderungen des EU-KI-Gesetzes an den Umgang mit Daten. Bei der Modellauswahl unterziehen wir die Algorithmen einer strengen Bewertung, um die für die Aufdeckung von Datenmustern am besten geeigneten zu ermitteln. Dies wiederum entspricht den Transparenzanforderungen des EU-KI-Gesetzes.

Wie können Unternehmen die Genauigkeit ihres KI-Modells bewerten?

Bei inhomogenen Datensätzen bieten herkömmliche Genauigkeitskennzahlen unter Umständen nicht ausreichend Aufschluss über die Effizienz eines KI-Modells, insbesondere bei Aufgaben wie der Erkennung von Betrugsfällen oder seltenen Erkrankungen. Für eine umfassende Bewertung braucht es geeignete Leistungskennzahlen, die auf die spezifischen Ziele der jeweiligen Anwendung abgestimmt sind. Kennzahlen können unterschiedliche Kategorien abdecken, wie etwa Klassifikation, Regression und verschiedene andere Arten des überwachten Lernens, des nicht überwachten Lernens und des bestärkenden Lernens. Bei Klassifikationsproblemen bieten Genauigkeit und Vollständigkeit tiefere Einblicke in die Modellzuverlässigkeit, da sie den Konflikt zwischen falsch-positiven und falsch-negativen Ergebnissen berücksichtigen, während bei der Regression meist Kennzahlen wie die mittlere quadratische Abweichung (mean squared error, MSE) und die mittlere absolute Abweichung (mean absolute error, MAE) zur Quantifizierung der Vorhersagegenauigkeit herangezogen werden.

Wie können eine kontinuierliche Bewertung und Anpassung gewährleistet werden?

Um die Einhaltung der Genauigkeitsanforderungen nach dem EU-KI-Gesetz zu gewährleisten, verfolgen wir einen disziplinierten Ansatz zur kontinuierlichen Bewertung und Anpassung der KI-Modelle über ihren gesamten Lebenszyklus hinweg. Auf diese Weise können wir die in Artikel 15 des EU-KI-Gesetzes geforderte konsistente Leistung und Kommunikation der Genauigkeitskennzahlen erfüllen. Dies umfasst auch die Nutzung automatischer Retraining-Programme wie Azure Machine Learning, um die Modelle regelmässig mit neuen Daten zu aktualisieren. Dadurch wird sichergestellt, dass sich die KI-Modelle analog zu den Datentrends weiterentwickeln, was ihre Verwaltung vereinfacht und die Modellleistung verbessert. Darüber hinaus legen wir grossen Wert auf die Leistungsüberwachung und die Erkennung von Datendrift. Durch die kontinuierliche Überwachung der Modellleistung und die Erkennung von Verschiebungen in der Datenverteilung können wir schnell eingreifen, um die Genauigkeit aufrechtzuerhalten. Die Überwachungsergebnisse werden zusammen mit unseren Protokollen gespeichert, ganz im Einklang mit den Anforderungen des EU-KI-Gesetzes bezüglich der automatischen Protokollierung.

Inwieweit wirkt sich das EU-KI-Gesetz auf die Schweizer Regulierungsmassnahmen aus?

Der Bundesrat hat an seiner Sitzung am 22. November 2023 beschlossen, dass er das Potenzial von KI nutzen und gleichzeitig die mit KI verbundenen Risiken für die Gesellschaft minimieren will. Entsprechend wurde das UVEK mit der Erstellung einer bis Ende 2024 zu präsentierenden Übersicht über mögliche Regulierungsansätze im Bereich der KI beauftragt. Wie der Bundesrat weiter ausführte, soll die Analyse auf bestehendem Schweizer Recht aufbauen und mögliche Regulierungsansätze für die Schweiz aufzeigen, die mit dem EU-KI-Gesetz und der KI-Konvention des Europarats vereinbar sind. Beide internationalen Regelwerke sind für die Schweiz relevant; sie werden voraussichtlich im Frühling 2024 fertiggestellt sein und verbindliche horizontale Bestimmungen zum Thema KI enthalten. Im Rahmen der Analyse werden die rechtlichen Anforderungen – mit besonderem Schwerpunkt auf der Wahrung der Grundrechte – untersucht. Auch die technischen Standards sowie die finanziellen und institutionellen Auswirkungen der verschiedenen Regulierungsansätze werden dabei berücksichtigt.

Die Schweiz wird daher nicht mit einer eigenen Gesetzgebung vorpreschen. Sie verfolgt jedoch aufmerksam die verschiedenen Entwicklungen im internationalen Regulierungsumfeld, auch in technischer Hinsicht. Auf dieser Grundlage wird dann zu gegebener Zeit entschieden, ob die bestehende Gesetzgebung erweitert werden muss oder ob sogar neue Gesetze erforderlich sind.