06.09.2024 / Beiträge

Checklisten für den EU AI Act

Lesedauer 4 Minuten

In diesem Beitrag geht es um Checklisten für den EU AI Act. Die Inhalte sind als Rubrik über die Hauptnavigation erreichbar. Die Themenbereich enthält zu wichtigen Aspekten des EU AI Acts Checklisten unterschiedlicher Detailtiefe. Den Checklisten ist eine Zielgruppenempfehlung beigefügt.

Die Rolle von Checklisten

Regulierungsthemen sind in der operativen KI-Praxis ohne Checklisten nur schwer zu bewältigen. Aus diesem Grund ist auf CAIR4 ist die Rubrik „Checklisten“ eingeführt worden, die sich ausschließlich mit diesem Thema befaßt.

Im Hinblick auf Checklisten ist zwischen zwei Varianten zu unterscheiden:

  1. den neuen CAIR4-Checklisten für den EU AI Act
  2. der Anpassung etablierter Checklisten im Kontext des EU AI Acts

1. Neue CAIR4-Checklisten

Der EU AI Act hat viele neue Fragen aufgeworfen, für die es bislang noch keine Checklisten geben konnte. Darunter zählen u.a. Checklisten für die Rolle von Open Source von KI-Systemen oder die Differenzierung von Anbieter und Betreiber sowie die Hochrisiko-Klassifikation jeweils i.S.d. EU AI Acts.

Die neuen CAIR4-Checklisten werden nach und nach erweitert.

1.1 Zielgruppen

Die Umsetzung des EU AI Acts ist u.a. deshalb so anspruchsvoll, weil verschiedene Abteilungen zu ein und dem gleichen Themen involviert sein müssen, darunter:

  • Fachbereiche
  • Rechtsabteilung, Ethik und Compliance
  • Produkt- bzw. Projektmanagement
  • Software-Entwicklung
  • Datenschutz
  • IT-Security
  • Marketing und Kommunikation
  • mitunter ist auch die Geschäftsführung mit erforderlich

Doch nicht jedes KI-Thema erfordert auch die Beteiligung aller Abteilungen. Insofern sind viele dieser Inhalte zielgruppenabhängig. Dies verdeutlicht die nachfolgende exemplarische Übersicht:

Die unterschiedlichen Zielgruppen werden auf den Übersichtsseiten zu der jeweiligen Checkliste mit angegeben. Die Zielgruppenhinweise sind als Empfehlung zu verstehen.

1.2 Laufende Aktualisierung

Da der EU AI Act noch neu ist und kaum Praxiserfahrungen bestehen, beruhen die ersten Versionen der neuen CAIR4-Checklisten primär auf der Analyse des EU AI Acts und der Auswertung entsprechender Fachbeiträge. Die Checklisten werden versioniert und an neue Erkenntnisse zum jeweiligen Thema angepaßt.

1.3 Link zur Rubrik „Checklisten für den EU AI Act“

Die Rubrik „Checklisten für den EU AI Act“ kann über diesen Link aufgerufen werden:

Checklisten für den EU AI Act

2. Anpassung etablierter Checklisten

Der EU AI Act legt spezifische Anforderungen und Regelungen für die Entwicklung, den Einsatz und die Überwachung von KI-Systemen fest, insbesondere in Bezug auf Transparenz, Sicherheit, Ethik und Menschenrechte. Einige der etablierten KI-Checklisten, die auf bereits bekannte Themen abzielen, müssten künftig angepasst werden, um den spezifischen Anforderungen des EU AI Acts gerecht zu werden.

Hier ist eine Empfehlung, welche KI-Checklisten angepasst werden müssten und warum:

2.1 Ethical AI and Responsible AI Checklisten

  • Warum Anpassung notwendig?
    • Der EU AI Act enthält klare Bestimmungen zur Ethik, die speziell auf die Einhaltung der europäischen Werte wie Grundrechte, Demokratie und Datenschutz abzielen. Diese ethischen Anforderungen sind umfassender und spezifischer als viele globale oder nationale Richtlinien. Daher müssen bestehende ethische Checklisten möglicherweise aktualisiert werden, um sicherzustellen, dass sie mit den expliziten Anforderungen des EU AI Acts, insbesondere in Bezug auf menschenzentrierte KI und den Schutz von Grundrechten, übereinstimmen.
  • Anpassungen:
    • Integration der spezifischen Anforderungen des EU AI Acts bezüglich Diskriminierungsvermeidung und Transparenz.
    • Berücksichtigung der Anforderungen an menschenzentrierte Ansätze, wie sie in Artikel 1 und Artikel 3 EU AI Act festgelegt sind.

Eine exemplarische Checkliste für ethische KI der USID (US Agentur für International Development) findet man hier (PDF).

2.2 Bias and Fairness in AI (z.B. AI Fairness Checkliste)

  • Warum Anpassung notwendig?
    • Der EU AI Act betont die Notwendigkeit, systemische Diskriminierung zu vermeiden und fordert von KI-Systemen, insbesondere von Hochrisiko-KI, dass sie fairness-orientiert entwickelt und überwacht werden. Bestehende Checklisten zur Fairness und Voreingenommenheit müssen diese Anforderungen stärker berücksichtigen.
  • Anpassungen:
    • Ergänzung spezifischer Methoden und Kriterien zur Identifizierung und Minderung von Diskriminierungsrisiken gemäß den Anforderungen des EU AI Acts.
    • Implementierung von Audits und Berichtspflichten, die speziell für Hochrisiko-KI-Systeme vorgeschrieben sind.

Eine Version der AI Fairness Checkliste findet man u.a. auf den Seiten von Microsoft (PDF Stand 2020)

2.3 AI Model Development (z.B. Google Responsible AI Toolkit)

  • Warum Anpassung notwendig?
    • Der EU AI Act fordert detaillierte technische Dokumentationen, Risikomanagement und Konformitätsbewertungen für KI-Modelle, insbesondere bei der Verwendung im Rahmen von Hochrisiko-KI. Viele bestehende Entwicklungspraktiken sind auf allgemeine Prinzipien fokussiert und berücksichtigen die spezifischen regulatorischen Anforderungen nicht ausreichend.
  • Anpassungen:
    • Integration von Anforderungen des EU AI Acts, wie z.B. technische Dokumentationen und Risikomanagementsysteme für KI-Modelle innerhalb von Hochrisiko-KI und bei GPAI-Modellen.
    • Sicherstellung der Konformität mit den EU-Vorgaben zur kontinuierlichen Überwachung und Anpassung von KI-Modellen während ihres gesamten Lebenszyklus.

Das Google Responsible AI Framework ist nicht im engeren Sinne eine KI-Checkliste, sondern ein umfassenderes Toolkit und hier abrufbar.

2.4 Data Privacy and DSGVO Compliance (z.B. ICO DSGVO Checklisten)

  • Warum Anpassung notwendig?
    • Während der EU AI Act in vielen Bereichen mit der GDPR kompatibel ist, gibt es spezifische Anforderungen, insbesondere in Bezug auf die Verwendung von Daten für das Training von KI-Systemen, die über die Datenschutzanforderungen der GDPR hinausgehen. Dies erfordert eine Anpassung der Datenschutz-Checklisten, um auch die spezifischen Anforderungen des EU AI Acts abzudecken.
  • Anpassungen:
    • Einbeziehung der spezifischen Anforderungen an die Datenverarbeitung und den Datenschutz gemäß dem EU AI Act, einschließlich der Transparenzpflichten und der Anforderungen an die Nachvollziehbarkeit von Entscheidungen.
    • Erweiterung der Datenschutzbewertungen, um die Anforderungen des EU AI Acts für Hochrisiko-KI-Systeme zu integrieren.

Die ICO-Checkliste inkl. Erläuterungen findet man hier (Website).

2.5 Explainable AI (XAI) Checklists (z.B. DARPA XAI Program)

  • Warum Anpassung notwendig?
    • Der EU AI Act betont die Notwendigkeit von Transparenz und damit auch die Erklärbarkeit für KI-Systeme, insbesondere für solche, die in sensiblen Bereichen eingesetzt werden. Viele bestehende XAI-Frameworks konzentrieren sich auf die technische Erklärung von Modellen, berücksichtigen jedoch nicht vollständig die regulatorischen Anforderungen des EU AI Acts.
  • Anpassungen:
    • Anpassung von XAI-Checklisten, um sicherzustellen, dass die Erklärungen nicht nur technisch, sondern auch für Endnutzer und Aufsichtsbehörden verständlich sind.
    • Integration der spezifischen Berichtspflichten und Transparenzanforderungen des EU AI Acts.

2.6 AI Safety and Security Checklisten (z.B. NIST AI Risk Management Framework)

  • Warum Anpassung notwendig?
    • Der EU AI Act enthält spezifische Anforderungen zur Gewährleistung der Sicherheit und Robustheit von KI-Systemen, die über allgemeine Sicherheitsprinzipien hinausgehen. Diese müssen in bestehenden Sicherheits-Checklisten reflektiert werden.
    • Diesbezüglich steht auch die Verabschiedung des Cyber Resilience Act bevor (CRA), der im Hinblick auf Hochrisiko-KI unmittelbar mit dem EU AI Act verbunden ist.
  • Anpassungen:
    • Ergänzung spezifischer Sicherheitsanforderungen und -maßnahmen, die im EU AI Act für Hochrisiko-KI-Systeme vorgeschrieben sind.
    • Implementierung von regelmäßigen Überprüfungen und Audits, um die Einhaltung der Sicherheitsanforderungen während des gesamten Lebenszyklus eines KI-Systems zu gewährleisten.

Auch NIST AI RMF ist eher ein Framework, gleichwohl wären Anpassungen sinnvoll. Es kann hier abgerufen werden (PDF Stand 2023).

3. Fazit und Ausblick

Die neuen CAIR4-Checklisten werden sich vornehmlich solchen Themen widmen, die durch Erlass des EU AI Acts bislang noch kaum in Checklisten behandelt werden und wurden. Das Angebot wird sukzessive erweitert.

Unabhängig davon gilt es, die vielen etablierten KI-Checklisten an den EU AI Act anzupassen. Zwar decken diese durchaus auch Aspekte des EU AI Acts ab, jedoch müssen sie an die spezifischen und oft strengeren Anforderungen des EU AI Acts angepasst werden. Diese Anpassungen betreffen vor allem die Bereiche Ethik, Fairness, Datenschutz, Sicherheit und Erklärbarkeit von KI, um sicherzustellen, dass sie den rechtlichen und regulatorischen Rahmenbedingungen entsprechen, die der EU AI Act vorgibt.
Auf diese Herausforderung kann hier aktuell nur hingewiesen werden.

Über den Autor:

Avatar-Foto

Oliver M. Merx

Oliver M. Merx ist Initiator und Herausgeber von CAIR4. Er arbeitet als Digital Consultant im Großraum München. Als ausgebildeteter Rechtsassessor mit Schwerpunkt Verwaltungsrecht hat er mehrere Jahre als Repetitor in der Erwachsenenbildung und als Leiter eines juristischen Verlags gearbeitet. Ihn interessiert vor allem das Zusammenspiel von normativem Recht und freiwilliger Corporate Digital Responsibility (CDR). Er ist Mitherausgeber des CDR-Magazins, Gründer der 2019 gegründeten CDR-LinkedIn-Gruppe, Autor des CDR-Playbook, Mitgestalter der CDR-Building-Bloxx sowie des internationalen CDR-Manifesto. Bekannt ist er auch als Speaker auf zahlreichen Veranstaltungen. Seine fachlichen Schwerpunkte liegen im Gesundheitswesen, der agilen Gesetzgebung sowie im KI-Kontext.

CategoriesBeiträge

Be First to Comment

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert