Der TÜV-Verband hat Nachbesserungen am EU-Regulierungsentwurf für Künstliche Intelligenz gefordert. Für alle KI-Anwendungen mit hohem Risiko sollten unabhängige Drittprüfungen verpflichtend sein und auch für andere KI-Anwendungen müssten Mindestanforderungen gelten.
Die EU-Kommission hatte im April ihren Regulierungsentwurf vorgelegt, der jetzt zwischen den Mitgliedsstaaten und im Europäischen Parlament diskutiert wird. Ziel ist es, den weltweit ersten Rechtsrahmen für Künstliche Intelligenz zu schaffen. „Die Europäische Kommission leistet mit ihrem Regulierungsvorschlag Pionierarbeit, bleibt aber hinter dem eigenen Anspruch zurück, in Europa ein ‚Ökosystem des Vertrauens‘ für Künstliche Intelligenz zu schaffen“, sagt Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. Bei der Regulierung müssten die Gesundheit der Menschen und der Schutz ihrer elementaren Grundrechte an erster Stelle stehen.
Richtig sei der Ansatz, Anwendungen und Produkte mit KI abhängig vom Risiko zu regulieren, das von ihnen ausgeht. So sollten für einen intelligenten Spam-Filter geringere Sicherheitsanforderungen gelten als für KI-Systeme, die Röntgenbilder auswerten, über die Vergabe von Krediten entscheiden oder für die Steuerung von Fahrzeugen eingesetzt werden. „Bei der Zuordnung von KI-Systemen in die vier vorgesehenen Risikoklassen von minimal bis unannehmbar und den damit verbundenen Anforderungen an die Sicherheit und deren Überprüfung sind Verbesserungen notwendig“, sagt Bühler. Aus Sicht des TÜV-Verbands sind die folgenden Nachbesserungen notwendig:
Es fehlen eine klare Definition und Herleitung der Risikoklassen, insbesondere nachvollziehbare Kriterien, von welchen KI-Systemen ein besonders hohes Risiko („high-risk“) ausgeht. Immer dann ist ein hohes Risiko gegeben, wenn sie Leib und Leben der Menschen oder deren elementare Grundrechte wie Privatsphäre oder Gleichbehandlung gefährden können.
Alle als besonders risikoreich eingestuften Produkte und Anwendungen sollten von einer unabhängigen Stelle verpflichtend geprüft werden. Der risikobasierte Ansatz ist ein zentraler Eckpfeiler der europäischen Produktregulierung und sollte auch bei KI-Systemen konsequent umgesetzt werden.
Der Regulierungsentwurf sieht unabhängige Prüfungen hochriskanter KI-Systeme fast ausschließlich bei Produkten vor, für die bereits heute eine Drittprüfung vorgesehen ist, zum Beispiel Medizinprodukte oder Aufzüge. Die Integration von KI kann aber in allen möglichen Produkten und Anwendungen deren Risiken signifikant erhöhen. Die Drittprüfungspflicht sollte der Gesetzgeber daher allein von den tatsächlichen Risiken abhängig machen und bereits regulierte Produktbereiche einer KI-risikospezifischen Neubewertung unterziehen.
Die Möglichkeit zur nachträglichen Erweiterung der Liste der Hochrisiko-KI-Systeme (Anhang III) seitens der EU-Kommission sollte nicht rein formal auf bestimmte Anwendungsbereiche beschränkt werden. Alleiniges Merkmal sollte sein, ob von dem KI-System signifikante Risiken für bedeutsame und grundrechtlich geschützte Rechtsgüter ausgehen. Sofern Leib und Leben oder zum Beispiel die Privatsphäre der Menschen gefährdet sind, muss das KI-System als high-risk klassifiziert werden.
Das TÜV AI Lab hat ein Whitepaper mit einem „Vorschlag für die Risikoklassifizierung von KI-Systemen“ vorgelegt. Es diskutiert systematische Ansätze, wie auch Grundrechte und ethische Prinzipien bei der Risikobewertung von KI-Systemen adäquat berücksichtigt werden können.