Deutsch
English
中文
Türkçe
Français
Português
Español
Künstliche Intelligenz (KI) verändert den Alltag rasant – von automatisierten E-Mails bis hin zur intelligenten Produktionsunterstützung. Doch wie lässt sich die Sicherheit und Vertrauenswürdigkeit dieser Technologien garantieren? Im Rahmen des Projekts „Zertifizierte KI“ arbeitet die Rechtsethikerin Prof. Dr. Dr. Frauke Rostalski der Universität zu Köln an solch einem „KI-TÜV“ made in Germany. Er soll Unternehmen rechtliche Sicherheit und Nutzer*innen eine verlässliche Orientierung bieten. Ein Interview mit Prof. Dr. Dr. Frauke Rostalski über den Nutzen und die Notwendigkeit einer zertifizierten KI.
Warum zertifizierte KI Vertrauen und Sicherheit schafft
Frau Prof. Rostalski, wir lassen uns im Alltag immer häufiger von künstlicher Intelligenz helfen. Sie schreibt E-Mails für uns oder unterstützt Unternehmen im Produktionsprozess. Angenommen, die KI macht einen Fehler: Welche Folgen könnte das haben?
Eine echte Verantwortungsdelegation gibt es nicht. Der Mensch bleibt in der Schuld, weil die KI rechtlich keine Entität ist, die selbst Verantwortung übernehmen kann, zum Beispiel bei einer fehlerhaften Banküberweisung oder einem Produktionsfehler. Die KI-Technologie hat vermeintlich die Kontrolle, aber sie bleibt nur ein Werkzeug, das der Mensch für sich nutzt – wie einen Schraubenzieher. Den stellt bei einem Fehler auch keiner vor Gericht.
Genau deshalb arbeiten Sie im Projekt „Zertifizierte KI“ daran, KI-Systeme sicher und vertrauenswürdig zu gestalten.
Genau. Unser Ziel ist es, dass beide Seiten – also die anbietenden Unternehmen sowie die Nutzerinnen und Nutzer einer Anwendung – sicher sein können, dass diese technisch zuverlässig und verantwortungsvoll zum Einsatz gebracht wird.
Der KI-TÜV: Zertifizierte KI als Maßstab für sichere Anwendungen
Was bedeutet eine solche Zertifizierung konkret für Unternehmen, die künstliche Intelligenz entwickeln – für andere oder den eigenen Einsatz?
Wir entwickeln in dem Projekt allgemeine Standards, um KI-Systeme auf der ganzen Welt nach verschiedenen Kriterien testen zu können. Dazu arbeiten die RWTH Aachen, das DIN-Institut, die Universität zu Köln mit ihren Projektpartnern und viele DAX-30-Konzerne aus der Chemie-, Versicherungs- oder Telekommunikationsbranche gemeinsam an realistischen, praxistauglichen und dennoch ethischen und rechtlichen Maßstäben. Grundlage dafür ist der AI Act der Europäischen Kommission, der im März vorgelegt wurde und noch in diesem Jahr in Kraft treten soll. Die EU-Verordnung regelt, unter welchen Voraussetzungen eine KI in Europa überhaupt an den Start gehen darf, sie legt sozusagen die Rahmenbedingungen fest. Daneben gibt die KI-Zertifizierung den Unternehmen ein brauchbares Tool an die Hand, um sicherzustellen, dass ihre KI dem AI Act entspricht. Dadurch erhalten sie Rechtssicherheit. In einem ersten Schritt haben wir 2023 bereits sechs Kriterien für KI-Prüfungen definiert und wollen bald auch in erste Pilotprüfungen mit Unternehmen einsteigen.
Welche Vorteile ergeben sich daraus für Nutzer*innen?
KI-Systeme bringen eine gewisse Intransparenz mit sich, das liegt in der Natur der Sache. Das fängt im Kleinen bei ChatGPT an und zieht sich durch Anwendungen bis hin zu Naturkatastrophen-Warnsystemen oder etwa Control€xpert, einer Anwendung, die viele Versicherungen bereits nutzen, um Schadensfälle automatisch zu erfassen und zu bewerten. Haben wir eine Zertifizierung, können wir genau solche Systeme strukturiert nach objektiven Kriterien prüfen. Das gibt Nutzerinnen und Nutzern Orientierung hinsichtlich der Qualität und Sicherheit einer Anwendung. Aber auch für die anbietenden Unternehmen ergeben sich Vorteile. So können sie rechtlich relevante Mängel ihrer Systeme identifizieren und beheben.
Für welche Unternehmen wird das Thema Zertifizierung in den nächsten Jahren relevant?
Eine Zertifizierung hilft allen, wird aber nur für bestimmte Einsatzszenarien verpflichtend. Das sind solche, bei denen der Gesetzgeber ein besonders hohes Risiko für den Menschen sieht, etwa wenn es um Systeme zur Gesichtserkennung geht oder solche, die für kritische Infrastrukturen zum Einsatz kommen, beispielsweise im Energie- oder Verkehrssektor. Diese Unternehmen müssen sich auf jeden Fall zertifizieren lassen, und zwar nach hohen Auflagen. Das kann man sich wie einen KI-TÜV vorstellen, dessen Prüfstandards wir hier in Köln entwickeln.
Anbieterinnen und Anbieter, die weniger riskante Systeme haben und nicht der Auflage unterliegen, können sich zudem freiwillig von Zertifizierungsstellen prüfen lassen. Auch hierfür entwickeln wir Standards. Sie erhalten dann ein Zertifikat, das ihrem System ein gewisses Maß an Sicherheit und Qualität bescheinigt. Es kann dann, vergleichbar mit einem „Bio-Siegel“, für die Vermarktung genutzt werden und schafft Rechtssicherheit in der Anwendung.
Zertifizierte KI: Ein globaler Maßstab für Rechtssicherheit und Transparenz
Der Einsatz von KI durchdringt alle Branchen. Wie gelingt es da, einheitliche Zertifizierungsverfahren zu entwickeln?
Es gibt immer wieder Parallelen, gerade bei den Grundfragen der rechtskonformen Anwendung. Die EU hat zudem ein Gremium beauftragt, um zu definieren, was eine KI schon in der frühesten Entwicklungsphase berücksichtigen muss. Dazu gehören zum Beispiel Nichtdiskriminierung, die Achtung der menschlichen Autonomie, Schutz der Privatsphäre und die Transparenz der Systeme. Im Rahmen einer Zertifizierung kann genau das überprüft werden. Wahrt die KI die Privatsphäre? Oder: Wie transparent ist sie? Daraus lassen sich dann die Standards entwickeln. Ähnlich wie beim Auto, wo der TÜV prüft, ob Licht und Hupe so funktionieren, wie es der Gesetzgeber vorsieht.
Solche Vorgaben können sehr kleinteilig werden. Wie groß ist die Gefahr der Überregulierung?
Im besten Fall bremst der AI Act Innovationen nicht aus, sondern sorgt für einen Interessenausgleich. Die Angst vor Überregulierung ist nachvollziehbar, das Sicherheitsbedürfnis der Nutzerinnen und Nutzer aber auch. Die Regulierung sollte die anbietenden Unternehmen nur so weit einschränken, wie es zum Schutz der Nutzerinnen und Nutzer erforderlich ist. Außerdem darf die Rechtssicherheit nicht vergessen werden, die die Regulierung bietet. EU-Maßnahmen, das haben Beispiele wie die Datenschutzgrundverordnung in der Vergangenheit gezeigt, haben eine Ausstrahlungswirkung. In der Politikwissenschaft wird dies als „Brüssel-Effekt“ bezeichnet, der hauptsächlich auf der Qualität der rechtlichen Regelung und ihrer Umsetzung beruht. Oft dauert es nicht lange, bis auch Nicht-EU-Staaten dem Beispiel folgen. Da unser Projekt auf der Regulierung basiert, könnte es also länderübergreifend Maßstäbe setzen – made in Germany.
Zur Person
Prof. Dr. Dr. Frauke Rostalski ist Inhaberin des Lehrstuhls für Strafrecht, Strafprozessrecht, Rechtsphilosophie und Rechtsvergleichung an der Universität zu Köln. Seit Januar 2019 leitet sie das von der Landesregierung NRW geförderte Zertifizierungsprojekt KI.NRW.
