Blogbeitrag von
Michael Riedel, Cassini Consulting
Michael Riedel
Management Consultant
Sebastian Trautwein, Consultant, Cassini Consulting AG
Sebastian Trautwein
Senior Consultant
Europaflagge
EU-AI-Act

Mit Sicherheit in die Zukunft

Das europäische Gesetz über künstliche Intelligenz (EU-AI-Act) stellt auch deutsche Verwaltungen vor neue Aufgaben. Mit der Implementierung einer interdisziplinären Stabsstelle und einer anpassungsfähigen Roadmap können Behörden mit Sicherheitsaufgaben proaktiv handeln, anstatt lediglich auf die aktuelle Lage zu reagieren.

Die Umsetzung des EU-AI-Acts gelingt nur mit einer organisatorischen Neuausrichtung

Der Artificial Intelligence Act (EU-AI-Act) ist als horizontales Leitplankengesetz zu verstehen und wirft seine Schatten auf die zukünftige Nutzung von Künstlicher Intelligenz (KI) in den Behörden. Ein erheblicher Teil der Operationalisierung des EU-AI-Act ist von den jeweiligen Organisationen vorzunehmen, dafür ist die Einrichtung einer interdisziplinären Stabsstelle zu empfehlen. Um EU-AI-Act konform arbeiten zu dürfen, müssen viele unterschiedliche gesetzliche und fachliche Regelungen beachtet werden.

Die Einführung von KI ist eine strategische Führungsaufgabe der Behörde. Beispielsweise müssen die Ermächtigungsgrundlagen zum Einsatz von KI für die Fachbereiche aufbereitet werden. Dies ist insbesondere für Sicherheitsbehörden wie z.B. den Polizeien wichtig, da die mit KI-Unterstützung erarbeiteten Ermittlungsergebnisse vor Gerichten Verwendung finden und somit u.a. den Anforderungen an Nachprüfbarkeit und Erklärbarkeit genügen müssen.

EU-AI-Act

Der Rat der 27 EU-Mitgliedstaaten hat am 21. Mai 2024 den Artificial AI Act und damit einen einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union verabschiedet. Die KI-Verordnung ist das weltweilt erste umfassende Regelwerk für KI. Mit dem AI Act hat die EU nun ein starkes Fundament für die Regulierung von Künstlicher Intelligenz, das Vertrauen und Akzeptanz in die Technologie schafft und Innovationen „made in Europe“ ermöglicht.[1]

Aufgaben, Funktion und Umfang einer KI-Stabsstelle


Die Regeln des EU-AI-Acts gelten ab dem Frühjahr 2026. In manchen Fällen gelten sie schon früher. Deshalb ist es wichtig, dass die Behörden einen Zeitplan erstellen und umsetzen, um sich an die Anforderungen des EU-AI-Acts vorzubereiten.

Knapper Zeitrahmen, flexible Strategie, sicher im Amt

Je größer das potenzielle Risiko von Anwendungen für Menschenrechts­verlet­zungen ist, desto anspruchsvoller sind die Anforderungen an die Organisation und ihre KI-Systeme. Es ist anzunehmen, dass der Einsatz von KI in Sicherheits­behörden ebenfalls in die Kategorie „hohes Risiko“ fällt. Gleichzeitig sind im EU-AI-Act verschiedene Ausnahmen festgelegt, unter denen europäische Sicherheitsbehörden dennoch Hochrisiko-KI-Systeme einsetzen dürfen.

Es ist vorgesehen, dass die Stabsstelle die Abteilungen einer Behörde bei der Kategorisierung von KI-Systemen gemäß den vorgesehenen Risikostufen im EU-AI-Act unterstützt:

Risikostufen gemäß EU-AI-ACT

Die Einführung und Nutzung von KI-Systemen bei Sicherheitsbehörden variieren bereits in der gegenwärtigen Situation.

Unterschiedliche Ausganglagen entlang des KI-Reifegrads

Die Stabsstellen stehen vor verschiedenen Herausforderungen. Die Umsetzung des EU-AI-Acts wird von zahlreichen offenen Fragen und sich verändernden Rahmenbedingungen begleitet. Es ist jedoch unerlässlich, die behördlichen Organisationsstrukturen rechtzeitig an diese neuen Bedingungen anzupassen. Ein frühzeitiger Beginn der Anpassung an die neuen Vorgaben ermöglicht eine gründliche Planung und Umsetzung, was letztlich die Erfolgsaussichten verbessert.

Mit einer adäquaten Reifegradanalyse Stabsstellen optimal aufstellen

Es wird dringend empfohlen, eine interdisziplinäre Stabsstelle für den EU-AI-Act einzurichten, deren Mitarbeitenden über Fachkenntnisse in den Bereichen Polizeiarbeit, Datenschutz, Informationssicherheit sowie Recht und Organisation verfügen oder entsprechende Qualifikationen mitbringen. Dazu ist eine Anpassung der Stellenbeschreibungen erforderlich, die in Abstimmung mit den Personalvertretungen erfolgen sollte. Eine frühzeitige Einbindung in den Haushaltsplan ist notwendig, um dies zu ermöglichen.

Anschließend sollte eine Reifegradanalyse durchgeführt werden, die auf die organisatorischen Anforderungen des EU-AI-Act ausgerichtet ist und folgende sieben Schritte berücksichtigen muss:

  1. Grundlegende Anforderungen des AI-Acts
    Die Analyse erfordert ein gründliches Verständnis der Vorschriften des EU-AI-Acts, einschließlich der Definitionen von KI-Systemen, ihres Anwendungsbereichs, der Pflichten und Verantwortlichkeiten der Beteiligten sowie der Transparenzanforderungen, der Rechenschaftspflicht und ethischen Grundsätze. Es ist wichtig, die spezifischen Anforderungen an Sicherheitsbehörden in Bezug auf Informationssicherheit, Datenschutz und andere mit KI-Systemen verbundene Aspekte zu berücksichtigen.
  2. Bewertung der aktuellen KI-Praktiken
    Im Rahmen einer Evaluierung der gegenwärtigen KI-Praktiken und -Anwendungen innerhalb der Sicherheitsbehörde ist festzustellen, inwieweit sie mit den Vorgaben des EU-AI-Acts konform sind. Dabei sollten bestehende KI-Systeme und deren Verwendungszweck, Datenquellen, Fachverfahren, Algorithmen und potenzielle Auswirkungen betrachtet werden.
  3. Compliance-Lücken identifizieren
    Potenzielle Unstimmigkeiten oder Defizite zwischen den gegenwärtigen KI-Anwendungen der Sicherheitsbehörden und den Vorgaben des AI-Gesetzes sind sodann zu untersuchen. So werden Abweichungen in Bezug auf Transparenz, Fairness, Datenschutz, Diskriminierungsfreiheit oder andere rechtliche und ethische Aspekte erhoben und dokumentiert.
  4. Risikobewertung
    In diesem Schritt werden potenzielle Risiken und Herausforderungen in Bezug auf die Konformität mit dem EU-AI-Act identifiziert. Diese Evaluierung umfasst die Beurteilung von Risiken in Bezug auf Datenschutzverletzungen, unfaire Entscheidungen, Diskriminierung, rechtliche Haftungsfragen und andere Risikofaktoren. Nähere Informationen finden sich in obiger Tabelle „Risikostufen gemäß EU-AI-Act“.
  5. Maßnahmenempfehlungen
    Basierend auf den Analysergebnissen sollten konkrete Handlungsempfehlungen entwickelt werden, um die Einhaltung des EU-AI-Acts zu gewährleisten. Hierzu zählen die Entwicklung von Richtlinien und Verfahren, notwendige Schulungen für Mitarbeitende, technische Maßnahmen zur Verbesserung von Transparenz und Verantwortlichkeiten oder andere organisatorische und technische Maßnahmen.
  6. Implementierung
    Anschließend sollte ein Implementierungsplan erstellt werden, der die Schritte, Zeitpläne und Ressourcen für die Umsetzung der empfohlenen Maßnahmen zur Einhaltung des AI-Acts festlegt.
  7. Umsetzung und Einführung der geplanten Maßnahmen
    Final sollten die geplanten Maßnahmen unter Einhaltung der zur Verfügung stehenden Ressourcen sowie unter stetiger Berücksichtigung von etwaigen neuen Anpassungsbedarfen umgesetzt werden.

Fazit

Zusammenfassend lässt sich festhalten, dass die organisatorische Umsetzung des EU-AI-Acts von einer Menge offener Fragen und volatilen Rahmenbedingungen begleitet wird. Gleichwohl ist es unerlässlich, behördliche Organisationsstrukturen an diese neuen Bedingungen anzupassen. Ein zeitiger Beginn bietet nicht nur mehr Raum für eine gründliche Planung und Umsetzung, sondern erhöht auch die Erfolgsaussichten maßgeblich.

[1] Bundesregierung, Einheitliche Regeln für Künstliche Intelligenz in der EU, 22. Mai 2024, https://www.bundesregierung.de/breg-de/themen/digitalisierung/kuenstliche-intelligenz/ai-act-2285944 (letzter Abruf: 28. Mai 2024)

Seite teilen