Unternehmen müssen sich an die sich rasch entwickelnden KI-Vorschriften halten
Inhaltsverzeichnis:
Künstliche Intelligenz (KI) verändert den IT-Sektor in schwindelerregendem Tempo. KI hat Anwendungen wie Datenanalyse, Kundenservice und sogar Softwareentwicklung verändert. Unternehmen, die KI nur langsam einführen, riskieren enorme Wettbewerbsnachteile. Doch der Einsatz von KI-Technologie ist nicht ohne Risiko.
Zum Beispiel, Fehler in einem KI-System Ein Programm zur Bekämpfung des Betrugs bei Kinderbetreuungsgeldern stürzte in den Niederlanden Familien in finanzielle Schwierigkeiten. Amazon musste ein KI-Rekrutierungstool abschaffen, das eine Voreingenommenheit gegenüber weiblichen Bewerbern zeigte.
Der Einsatz von KI zur Datenerfassung und -analyse wirft auch Datenschutzprobleme auf und birgt das Risiko von Datenschutzverletzungen, insbesondere in sensiblen Wirtschaftssektoren. Zum Beispiel Viele Banken haben ihren Mitarbeitern die Nutzung von Tools wie ChatGPT und anderen virtuellen KI-Assistenten verboten Da Bedenken bestehen, dass durch die Art der Abfragen Informationen über Geschäftsgeheimnisse wie geplante Übernahmen oder Fusionen ans Licht kommen könnten.
Ein aktueller Bericht der Das Centre for Long-Term Resilience (CLTR) forderte, dass Großbritannien ein System zur Protokollierung von KI-Missbrauch oder Fehlfunktionen einrichtet Vorfälle. Der Think Tank argumentiert, dass Probleme mit der KI-Technologie auf die gleiche Weise behandelt werden müssen, wie die Air Accidents Investigation Branch Flugzeugabstürze untersucht.
Ein System zur Meldung von Vorfällen bei KI-Problemen bietet laut CLTR die Möglichkeit, Best Practices in Bereichen wie dem Risikomanagement zu entwickeln, Lehren zu ziehen und Vorschriften zu gestalten.
Regulatorischer Fortschritt
Während die Regulierung des KI-Einsatzes in Unternehmen noch nicht abgeschlossen ist, ist eine abwartende Haltung bei der Einhaltung der Vorschriften alles andere als ratsam.
David Corlette, Vizepräsident für Produktmanagement bei der VIPRE Security Group, erklärte gegenüber ISMS.online, dass sich die KI-Regulierung (fast) parallel zur Technologie selbst weiterentwickelt.
„Obwohl wir noch keinen umfassenden Rahmen für KI haben, werden bereits bemerkenswerte Fortschritte erzielt“, so Corlette. „Es gibt das NIST AI Risk Management Framework (AI RMF) und natürlich die ISO 42001, die einen vielversprechenden Ansatz für die KI-Governance bietet. Die ISO 42001 wird ein gewisses Maß an Konsistenz und Zuverlässigkeit über Grenzen hinweg bringen.“
Ein Fundament legen
Rahmen wie z ISO 42001 kann dabei helfen, eine solide Grundlage zu schaffen und die Belastung durch die Einhaltung von Vorschriften bei der Einführung neuer Vorschriften zu verringern.
ISO 42001 beschreibt, wie Unternehmen einen Rahmen für die Einführung und Aufrechterhaltung eines Managementsystems für künstliche Intelligenz in ihrer Organisation schaffen können. Risikomanagement ist eine der Kernkomponenten des Rahmens.
Glenn Chisholm, Mitbegründer und CEO von Obsidian Security, meint dazu: „Die Norm ISO 42001 legt den Schwerpunkt auf das Risikomanagement und kann auf die mit KI verbundenen Risiken angewendet werden, darunter ethische Überlegungen, Risiko- und Auswirkungsbewertungen, Datenschutz, Voreingenommenheit und kontinuierliche Verbesserung.“
Chisholm fügte hinzu: „Obwohl ISO 42001 nicht automatisch die Einhaltung anderer Standards gewährleistet, hat es viele Gemeinsamkeiten mit Standards wie dem EU AI Act, NIST AI RMF und anderen.“
Peter Wood, technischer Leiter bei Spectrum Search, fügte hinzu: „Durch die Einführung von ISO 42001 können Unternehmen die Einhaltung künftiger Vorschriften durch einen proaktiven statt reaktiven Ansatz vereinfachen. Dies ermöglicht es Unternehmen, sich mühelos an veränderte regulatorische Rahmenbedingungen anzupassen und das Risiko und die möglichen Strafen bei Nichteinhaltung zu minimieren.“
Weltweite Initiativen
Internationale Standards entwickeln sich rasch weiter und zahlreiche Länder, darunter die Vereinigten Staaten, China, Indien und Australien, sind derzeit dabei, ihre eigenen Regelungen festzulegen.
Laut Chisholm „werden viele dieser Standards wahrscheinlich voneinander abgeleitet sein, sodass die Vorteile, die sich aus der Angleichung an einen Standard ergeben, wahrscheinlich auch auf den anderen übergreifen.“
Rechts- und Compliance-Experten sind der Meinung, dass die Einhaltung des kürzlich eingeführten EU-KI-Gesetzes für britische Unternehmen Priorität haben sollte, da diese häufig Geschäfte mit der EU tätigen.
„Viele britische Unternehmen sind in oder mit der EU tätig. Daher stellt die Angleichung an das EU-KI-Gesetz den kontinuierlichen Zugang zu diesem bedeutenden Markt sicher“, sagte Becky White, leitende Rechtsanwältin für Datenschutz und Privatsphäre bei Harper James, gegenüber ISMS.online. „Die Nichteinhaltung könnte zu Markteintrittsbarrieren oder Strafen führen, die den Geschäftsbetrieb und die Wettbewerbsfähigkeit beeinträchtigen.“
Die EU-KI-Gesetz konzentriert sich auf Anwendungen und Datensätze mit hohem Risiko. Seine Kernprinzipien betonen Transparenz und Verantwortlichkeit.
„Das EU-KI-Gesetz ist ein guter Ausgangspunkt, da seine Kernprinzipien Transparenz, Sicherheit und Datenverwaltung wahrscheinlich für jede KI-Regulierung in jeder Region von grundlegender Bedeutung sind“, so Corlette von VIPRE. „Diese Gesetzgebung ist die erste ihrer Art und legt praktisch den Rahmen für eine aufstrebende Branche fest, für die es keine vorab durchsetzbaren Standards gibt.“
Corlette schloss: „Die Geschichte lässt darauf schließen, dass auch in anderen Regionen entwickelte Vorschriften dieser aufkeimenden EU-Gesetzgebung stark ähneln. Ein Beispiel ist die DSGVO der EU.“
Während die Angleichung an das EU-KI-Gesetz reibungslose Geschäftsabläufe über Grenzen hinweg gewährleistet und potenzielle Regulierungskonflikte vermeiden kann, sollten britische Unternehmen die regulatorischen Entwicklungen in ihrem Heimatland aufmerksam verfolgen.
Wood von Spectrum Search rät dazu, „auf Nummer sicher zu gehen, indem man die britischen Vorschriften genau beobachtet und sich die Flexibilität bewahrt, sich sowohl an die britischen als auch an die EU-Anforderungen anzupassen.“
Experten raten britischen Organisationen, sich so zu positionieren, dass sie sich schnell anpassen können, falls es in den verschiedenen Regionen zu Unterschieden zwischen den Regulierungssystemen kommt.
White von Harper James kommentierte: „Die gleichzeitige vollständige Einhaltung mehrerer Regulierungssysteme kann sehr ressourcenintensiv sein. Daher ermöglicht diese Art von ‚Absicherungsstrategie‘ den Unternehmen, ihre Ressourcen effektiv zu verteilen und so ein Gleichgewicht zwischen Konformität, Innovation und Betriebseffizienz herzustellen. Indem sie sich eine gewisse Flexibilität bewahren, können sich die Unternehmen bei Bedarf an Änderungen im britischen und EU-Regulierungsumfeld anpassen.“
Datenschutz und Governance
Governance- und Datenschutzbedenken, die sich aus der Nutzung von KI in Unternehmen ergeben, gehen über Compliance- und Regulierungsfragen hinaus.
„Das Training von Gen-AI-Modellen und -Datenbanken beinhaltet häufig die Verarbeitung riesiger Datensätze, die erhebliche Mengen personenbezogener Daten enthalten, was zu erheblichen Datenschutz- und Governance-Risiken für britische Unternehmen führen kann“, erklärte White von Harper James. „Diese Informationen können manchmal sensible oder spezielle Kategorien von Daten über Einzelpersonen enthalten, deren Verarbeitung unbeabsichtigt Vorurteile aufrechterhalten oder sogar verschärfen kann, was zu unfairen oder diskriminierenden Ergebnissen führen kann. Der Missbrauch der generierten Inhalte könnte Datenschutzrechte verletzen.“
Algorithmische Verzerrungen, bei denen KI-Systeme unbeabsichtigt bereits in den Trainingsdaten vorhandene Verzerrungen wiederholen können, können durch regulierte Prüfungen und vielfältige Datensätze gemildert werden.
Laut White können Unternehmen diese Risiken mindern, indem sie robuste Datenverwaltungspraktiken implementieren und sich darauf konzentrieren, wie ihre Mitarbeiter KI nutzen.
„Dazu gehört der Einsatz von Anonymisierungstechniken, die Einrichtung strenger Zugriffskontrollen, die Durchführung regelmäßiger Voreingenommenheitsüberwachungen und die Gewährleistung, dass die zum Trainieren der KI-Modelle verwendeten Daten genau, vollständig und repräsentativ sind“, riet White.