Mit dem EU AI Act hat die Europäische Union das weltweit erste KI-Gesetz verabschiedet. Dieses reguliert die Entwicklung und Anwendung von künstlicher Intelligenz (KI). Was genau dahinter steckt und welche Rolle in diesem Zusammenhang die KI-Norm ISO/IEC 42001 spielt, darüber haben wir mit Ibrahim Halfaoui, KI-Experte für ISO/IEC 42001-Audits bei TÜV SÜD, gesprochen.
👤 Der EU AI Act schafft zunächst den gesetzlichen Rahmen für den Praxiseinsatz von künstlicher Intelligenz in all ihren Facetten. Dafür benennt das Gesetz vier Risikoklassen (unannehmbares Risiko, hohes Risiko, begrenztes Risiko, geringes Risiko) und definiert für Hochrisiko-KI zehn grundlegende Risikofaktoren. Es geht beim EU AI Act also letztlich um die Sicherheit und Vertrauenswürdigkeit sämtlicher Produkte, in denen KI zum Einsatz kommt.
Für Unternehmen ergeben sich daraus zwei zentrale Aufgaben:
1. Überprüfen, welches dieser vier Risikoniveaus ein KI-System erfüllt
2. Umsetzen der entsprechenden Vorgaben
👤Letztlich sind alle Unternehmen betroffen, die Produkte vertreiben, in denen KI zum Einsatz kommt oder mit der Entwicklung, Bereitstellung und Nutzung von KI-Systemen zu tun haben. Das können sein:
► Banken, die ihren Kundinnen und Kunden neue Apps zur Verwaltung ihres Haushaltseinkommen anbieten und in denen KI zum Einsatz kommt
► Maschinenbauunternehmen, die KI bei der Kontrolle von Produktqualität einsetzen
► HR-Software, die Personalverantwortliche bei der Vorauswahl von Bewerberinnen und Bewerbern unterstützt
Das Spektrum ist hier sehr weit, ebenso weit wie die Anwendungsbereiche von KI. Wichtig dabei: Es gilt das Marktortprinzip. Das bedeutet, dass auch Unternehmen aus Drittstaaten unter den AI Act fallen, wenn sie KI auf dem europäischen Markt anbieten, betreiben und sogar auch, wenn von der KI Erstelltes hier verwendet wird.
👤Nur 10 bis 15 Prozent der KI-Anwendungen fallen nach Schätzungen in die Klasse „hohes Risiko“. Und nur in diesem Bereich sind die Anforderungen beziehungsweise Einschränkungen wirklich herausfordernd. Hier geht es dann darum, beispielsweise Funktionen wie Social Scoring oder demokratiegefährdende Algorithmen zu unterbinden, also um durchaus sinnvolle Ziele. Und auch Anwendungen, die dazu dienen, kritische Infrastruktur zu managen, oder medizinische Diagnose-Tools gelten natürlich als sogenannte High-Risk Applications.
👤 Die ISO/IEC 42001 ist eine internationale Qualitätsmanagement-Norm, die speziell für das Management von Systemen der künstlichen Intelligenz entwickelt wurde. Sie definiert die Anforderungen für die Einrichtung, Umsetzung, Pflege und kontinuierliche Verbesserung eines KI-Managementsystems, eines AIMS. Dieses soll dafür Sorge tragen, dass KI-Systeme ethisch einwandfrei, transparent und zuverlässig sind.
👤 Die EU-Kommission hat sich beim EU AI Act in Teilen an der Norm ISO/IEC 42001 orientiert, aber auch zusätzliche Aspekte integriert.
Letztlich verfolgen das Gesetz und die Norm gemeinsame Ziele: Sichere und vertrauenswürdige KI-Systeme durch Transparenz und Rechenschaftspflichten – von der Entwicklung bis zum Betrieb –, und beide haben einen risikobasierten Ansatz für die KI-Governance. Sie unterscheiden sich jedoch in ihrer Natur und ihrem Anwendungsbereich.
| Merkmal | EU AI Act | ISO/IEC 42001 |
| Art | Rechtsverordnung | Internationaler Standard |
| Verbindlichkeit | Marktortprinzip: verbindlich bei Tätigkeit innerhalb der EU | Freiwillige Anwendung |
| Anwendungsbereich | Inverkehrbringen, Inbetriebnahme, Verwendung von KI in der EU | Betrieb von KI-Managementsystemen in Organisationen weltweit |
| Risikobasierter Ansatz | Ja, differenzierte Anforderungen je nach Risikoklasse | Ja, Risikomanagement als zentraler Bestandteil |
| Ethische Grundsätze | Starker Fokus auf Transparenz, Fairness, Verantwortlichkeit | Wie beim EU AI Act |
| Ziel | Sicherheit und Grundrechte bei KI-Nutzung gewährleisten | Verantwortungsvolles KI-Management fördern |
| Detaillierungsgrad | Eher High-Level | Rahmen für Managementsysteme, organisationsspezifische Anpassung |
| Konformitätsbewertung | Nur für High-Risk-KI | Zertifizierung durch unabhängige Stellen |
| Fokus | Produkt/Technologie | Organisation/Prozess |
✓ Risikobasierter Ansatz: Beide legen Wert auf einen risikobasierten Ansatz, bei dem die Anforderungen an KI-Systeme je nach ihrem potenziellen Risiko variieren. Sowohl der AI Act als auch die ISO/IEC 42001 fordert von Organisationen, dass sie Risikobewertungen durchführen und geeignete Maßnahmen zur Risikominderung ergreifen.
✓ Fokus auf ethische Grundsätze: Beide betonen die Bedeutung ethischer Grundsätze wie Transparenz, Fairness und Verantwortlichkeit bei der Entwicklung und Nutzung von KI. Sie zielen darauf ab sicherzustellen, dass KI-Systeme die Grundrechte und die Sicherheit der Menschen respektieren.
✓ Förderung von Vertrauen: Sowohl der AI Act als auch die ISO/IEC 42001 tragen dazu bei, das Vertrauen in KI-Technologien zu stärken, indem sie klare
Anforderungen und Richtlinien für deren verantwortungsvollen Einsatz festlegen.
≠ Rechtliche Natur: Der EU AI Act ist eine Verordnung, also ein verbindlicher Rechtsakt, der in allen EU-Mitgliedstaaten unmittelbar gilt. Die ISO/IEC 42001 ist ein internationaler Standard, den Organisationen freiwillig anwenden können.
≠ Anwendungsbereich: Der EU AI Act konzentriert sich hauptsächlich auf das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der EU. Die ISO/IEC 42001 ist ein weltweit gültiger Standard, der Organisationen bei der Implementierung eines umfassenden KI-Managementsystems unterstützt.
≠ Detaillierungsgrad: Der EU AI Act legt detaillierte rechtliche Anforderungen für bestimmte KI-Systeme fest, insbesondere für Hochrisiko-KI-Systeme. Die ISO/IEC 42001 bietet einen Rahmen für die Implementierung von Managementsystemen, lässt jedoch Raum für organisationsspezifische Anpassungen.
≠ Zertifizierung: Der AI Act sieht Konformitätsbewertungsverfahren vor, um die Einhaltung der gesetzlichen Anforderungen zu überprüfen. Die ISO/IEC 42001 ermöglicht Organisationen die Zertifizierung ihres KI-Managementsystems durch unabhängige Prüfstellen.
👤 Nein, davon ist nicht auszugehen. Das hat damit zu tun, dass die ISO-Norm zwar als eine Grundlage für die mit dem Qualitätsaspekt befasste harmonisierte Norm im Rahmen des EU AI ACTs dient, das EU-Gesetz aber signifikant darüber hinaus geht – zum Beispiel gibt es produktbezogene Anforderungen, und speziell Hochrisiko-Systeme müssen besonders geprüft werden. Insofern ist die ISO/IEC 42001 zwar relevant und für Unternehmen sehr hilfreich, weil sie in die richtige Richtung weist und die Themen Governance, Risikomanagement und kontinuierliche Verbesserung abdeckt, eine Zertifizierung sorgt aber nicht automatisch für Compliance mit dem EU AI Act.
Kurz zusammengefasst: Eine ISO/IEC 42001-Zertifizierung ist ein starker Indikator für Compliance mit dem EU AI Act, aber sie ersetzt keine detaillierte Prüfung der regulatorischen Vorgaben – und speziell bei Hochrisiko-KI sind ohnehin weitere Anforderungen einzuhalten.
👤 KI wird den Arbeitsalltag massiv verändern und bietet vielfältige Chancen. Für alle Unternehmen, die mit KI hantieren, die Lösungen entwickelt haben, ver- und betreiben, die mittendrin sind oder sich mit dem Gedanken tragen, gilt:
► Sie müssen sich intensiv mit dem EU AI Act auseinandersetzen. Denn das Gesetz gilt bereits, verfolgt jedoch einen stufenweisen Ansatz mit unterschiedlichen Umsetzungsfristen, damit Unternehmen ihre KI-Systeme gesetzeskonform gestalten können.
► Sie sollten auf alle Fälle einen Blick auf die ISO/IEC 42001 werfen. Denn Unternehmen, die bemüht sind, transparente und erklärbare KI-Systeme zu entwickeln, kämpfen oftmals mit der Komplexität der Technologie. Sind KI-Systeme wirklich unvoreingenommen und fair – Stichwort: Bias? Ist nachvollziehbar, wie eine KI ihre Entscheidung trifft? Sind Sicherheit und Schutz der Privatsphäre in den riesigen KI-Trainings-Datensätzen gewährleistet? Und woher kommen sie überhaupt? Hier sind strenge Maßnahmen bei Planung, Umsetzung und Integration in bestehende Systeme und Prozesse nötig.
Mit der ISO-Norm lässt sich zertifizieren, dass ein Managementsystem für den verantwortungsvollen Einsatz von KI implementiert ist, Risiken bewertet und geeignete, dokumentierte Prozesse etabliert wurden. Das Zertifikat belegt öffentlichkeitswirksam das Bekenntnis zu Ethik, Transparenz und verantwortungsvoller KI.
Erfahren Sie mehr zur ISO/IEC 42001 im verlinkten Artikel.
Schützen Sie Ihr Unternehmen mit unabhängigen Audits für verantwortungsvolles KI-Management.
Erfahren Sie mehr
Erfolgreiche KI-Projekte durch Qualitätsmanagement – mehr Qualität und Erfolg für KI-Projekte sicherstellen mit den Services von TÜV SÜD.
Erfahren Sie mehr
