Interview: Wie es um die Compliance bei KI steht

Marc Fliehe, Leiter Digitalisierung und Cybersecurity, TÜV-Verband

Ein Interview mit Marc Fliehe, Leiter Digitalisierung und Cybersecurity beim TÜV-Verband, über Künstliche Intelligenz, Datenschutz und ethische Richtlinien.

Warum ist Transparenz bei KI-basierten Anwendungen so wichtig? Kann man den Grund darin sehen, dass KI in zunehmend sensiblen und kritischen Bereichen zur Anwendung kommt?
Marc Fliehe: KI kommt zunehmend auch in sicherheitskritischen Bereichen wie Medizintechnik, Fahrzeugen oder industriellen Anlagen zum Einsatz. Ein KI-System darf in diesen Bereichen keine Blackbox sein. Es muss nachvollziehbar sein, wie die Entscheidungen oder Ergebnisse einer KI-Anwendung zustande kommen. Transparenz ist auch für Verbraucher und professionelle Nutzer wichtig. Sie sollten wissen, in welchen Produkten oder Anwendungen Künstliche Intelligenz steckt.

Sind sich die Unternehmen der Bedeutung von Transparenz und Compliance bei KI bereits bewusst genug?
Es herrscht noch viel Verunsicherung, da es noch keine umfassende Regulierung gibt. Umfragen zeigen, dass Unternehmen auf KI-Entwicklungen verzichten, weil sie beispielsweise Probleme mit dem Datenschutz fürchten. Auf der anderen Seite kommen immer wieder KI-Systeme auf den Markt, die zum Beispiel bestimmte Bevölkerungsgruppen benachteiligen.

Welche Compliance-Forderungen für KI bestehen für deutsche Unternehmen schon oder sind gerade in der Entwicklung?
Es gibt grundlegende rechtliche Vorgaben für digitale Anwendungen, die unabhängig von der verwendeten Technologie gelten, zum Beispiel die Datenschutz-Grundverordnung. Darüber hinaus ist KI in vielen Fällen Teil eines Produkts, zum Beispiel eines Fahrzeugs oder eines Medizinprodukts. Hier gelten innerhalb der EU sektorspezifische Regelungen, um die Sicherheit der jeweiligen Produkte zu gewährleisten. Weitere rechtliche Anforderungen für Künstliche Intelligenz sind in Europa mit dem „AI Act“ gerade in Arbeit.

Compliant zu sein, heißt aber auch, die eigenen Anforderungen oder die Anforderungen der Kunden an ein KI-System zu erfüllen. Das können ethische Anforderungen sein, zum Beispiel, dass eine KI keine Menschen aufgrund ihrer Herkunft, Alter, Geschlecht oder anderer Merkmale benachteiligen darf.

Wie kann ein Unternehmen erkennen, ob eine KI die notwendige Compliance erfüllt?Anbieter von KI-Anwendungen in sicherheitskritischen Bereichen müssen ihre Prozesse auf unterschiedlichen Ebenen im Blick behalten. Das gilt unter anderem für die Entwicklung des KI-Modells, das Datenmanagement oder die Cybersicherheit. Auf allen Stufen braucht es Qualitätskontrollen. Verbrauchern oder Business-Kunden helfen unabhängige Zertifizierungen, wenn sie sich nicht allein auf die Aussagen des Anbieters verlassen wollen.

Gibt es bereits Werkzeuge für Unternehmen, die bei einer Prüfung der Transparenz und Compliance von KI helfen können?Zunächst muss geprüft werden, welche Anforderungen an eine KI-Anwendung überhaupt gelten. Ein Spam-Filter für E-Mails wird auch in Zukunft anders behandelt werden als ein autonom fahrendes Auto. Im nächsten Schritt wird überprüft, ob ein KI-System die Anforderungen einhält. Hier gibt es auch schon einige technische Tools, die bei der Bewertung helfen können.

Welche Rolle spielt hier eine KI-Zertifizierung?
KI-Zertifizierungen durch unabhängige Dritte sind ein gutes Instrument, um die Einhaltung rechtlicher Vorgaben zu überprüfen. Eine Zertifizierung dokumentiert die Prüfung und setzt nach innen und außen ein Zeichen, dass das KI-System bestimmte Anforderungen einhält.

Wo stehen wir aktuell bei der Frage nach KI-Zertifizierung? Wann sind erste KI-Zertifikate zu erwarten?
Die Zertifizierung von KI-Anwendungen ist ein sehr dynamisches Feld. Es gibt bereits die ersten Ansätze und Angebote von Prüforganisationen. Weitere Zertifizierungen werden aktuell entwickelt. Gerade die Anbieter von KI-Anwendungen sollten sich aber schon jetzt damit auseinandersetzen.

Worauf sollten Unternehmen achten, wenn ihnen Compliance-Nachweise für KI zum Beispiel von Service-Providern vorgelegt werden?
Grundsätzlich gilt: Von unabhängigen Prüforganisationen ausgestellte Zertifizierungen oder Compliance-Nachweise sind immer besser als reine Selbsterklärungen der Hersteller. Hier gilt der alte Grundsatz: Vertrauen ist gut, Kontrolle ist besser.


Marc Fliehe

ist Leiter Digitalisierung und Cybersecurity beim TÜV-Verband. Zuvor war der Security-Experte