EU AI Act: Informatica, Netapp, Noerr, Pegasystems

Auch von Informatica, einem führenden Unternehmen im Bereich Enterprise Cloud Data Management, gibt es ein aus seiner besonderen Warte formuliertes Statement zum EU AI Act. Ausgangspunkt der Überlegungen von Christian Geckeis, General Manager DACH bei Informatica, ist die Vorschrift im EU AI Act, dass Unternehmen künftig nachweisen müssen, welche Daten für das Training von KI-Modellen verwendet wurden. Stichwort „Data lineage“. Auch sei im Rahmen des EU AI Act geplant die Trainingsdaten inhaltlich zu bewerten, um eine Konformität hinsichtlich vereinbarter EU-Grundwerte wie Gleichbehandlung sicher zu stellen.

Daraus zieht er den Schluss: „Der kürzlich verabschiedete EU AI Act wird professionelles KI-Datenmanagement zur Pflicht machen.“ Das hält Geckeis schon deshalb für sinnvoll, weil ein intelligentes Datenmanagement unerlässlich sei, um das volle Potenzial von KI auszuschöpfen. „Es stellt sicher, dass KI-Modelle auf qualitativ hochwertigen Daten basieren und gleichzeitig Fragen der Datenherkunft, Datenschutz und Datenintegrität beantwortet werden. Gleichzeitig kann KI helfen, Datenmanagementpraktiken zu automatisieren und zu skalieren, was zu einer gesteigerten betrieblichen Effizienz und schnelleren Innovationen führt.“ Ohne ein solides Datenmanagement bestehe die Gefahr, dass KI zu einer „Black Box“ werde und unerwünschte negative Auswirkungen habe.

Künstliche Intelligenz ist für Geckeis ein Gamechanger, der das Datenmanagement in eine neue Ära führt – und Datenmanagement wiederum eine Grundvoraussetzung, damit aus dem Einsatz von KI überhaupt sinnvolle Resultate entstehen können. KI und Datenmanagement seien zwei Seiten einer Medaille. Das Resümee von Geckeis lautet: „Insgesamt zeigt sich, dass KI und Datenmanagement voneinander abhängig sind und sich gegenseitig verstärken. Ein intelligentes Datenmanagement ist entscheidend, um das volle Potenzial von KI-Technologien auszuschöpfen und ihre Einsatzmöglichkeiten in Unternehmen zu erweitern.“

NetApp bezeichnet sich als Partner für intelligente Dateninfrastruktur mit Unified Storage, integrierten Data Services und CloudOps-Lösungen. Bei dem vom EU-Parlament kürzlich beschlossenen EU AI Act macht Johannes Pape, Director of AI Architects bei NetApp, Hoffnung und Verwirrung gleichermaßen aus. Sein beruhigendes Urteil lautet: „Sorgen, dass die neuen Regelungen die Innovation im Bereich von KI-Entwicklungen beeinträchtigen können, sind größtenteils unberechtigt. Stattdessen ist die Führungsrolle der EU bei der Erarbeitung von Rechtsvorschriften für den KI-Einsatz zu begrüßen.“ Immerhin stelle sie sich als erste staatliche Institution weltweit dieser wichtigen Aufgabe.

Auch in der Entscheidung, den allgemeinen Schwerpunkt auf einen risikobasierten Ansatz zu legen, sieht Pape den richtigen Weg: „[Er] wird die Industrie langfristig gesehen bei der Implementierung von KI in Unternehmensprozesse unterstützen, anstatt sie – wie viele Sorge tragen – zu behindern.“

Unter bestimmten Voraussetzungen könnten nach Ansicht Papes die Regulierungsinitiativen der EU und der Mitgliedstaaten zu einer echten Chance für den europäischen Wirtschaftsraum werden und Unternehmen dabei helfen, ihre Daten proaktiv und intelligent zu managen und zu schützen. Die Vorschriften, die die Innovation und die technologische Entwicklung einschränken könnten, müssten dafür aber an ein angemessenes Risikoniveau geknüpft sein, und die Kosten und Komplexität, die mit der Vorbereitung auf eine völlig neue Regulierungsarchitektur einhergehen, müssten so gestaltet sein, dass sie die aufstrebenden Tech-Talentschmieden unter den Mittelständlern nicht abschrecken. Wenn es EU und Unternehmen gemeinsam gelinge, ein Gleichgewicht zwischen wirtschaftlicher Innovation und dem Schutz für die Bürger herzustellen, werde „der AI Act zur Grundlage für ein wettbewerbsfähiges Ökosystem mittelständischer Innovatoren.“

Nicht nur die EU, sondern auch die Unternehmen nimmt Pape in die Pflicht. Für Unternehmen gelte es nun, ihren Umgang mit Daten noch einmal auf die Probe zu stellen, bevor die neue Regulierung verbindlich werde. Denn Daten und deren Speicherung sowie ihr Einsatz würden aus guten Gründen eine herausragende Stellung im AI Act einnehmen. Der risikobasierte Ansatz der EU klassifiziere KI-Systeme auf der Grundlage, wie diese angewendet werden. „Damit sind die Unternehmen in der Pflicht, dafür zu sorgen, dass alle Daten ordnungsgemäß kategorisiert und nur wie erlaubt verwendet werden.“ Dies zu bewältigen, sei allerdings gerade für mittelständische Firmen ein äußerst komplexes Unterfangen, so Pape.

Für Unternehmen sind Daten sowohl ein Produkt als auch ein Vermögenswert. Mit dem rasanten Aufstieg von KI wird der Status von Daten in den Unternehmen noch weiter an Bedeutung gewinnen. Daraus folgert Pape: „Um die Interessen des Gesetzgebers, der Bürger und der Wirtschaft zu vereinen, ist es deshalb nun mehr denn je von essenzieller Bedeutung, die richtigen Schutzmaßnahmen zu ergreifen, um das Beste aus der KI herauszuholen und dabei die Compliance zu wahren. Nur Unternehmen, die Data Governance ins Zentrum ihrer Datenstrategie stellen, werden in der Lage sein, die Vorteile dieser neuen Technologie gesetzeskonform zu nutzen.“

Für Unternehmen, die noch keine richtige KI-Strategie aufgestellt haben, aber in Zukunft darauf setzen wollen, empfiehlt Pape Ideation-Workshops etwa von Netapp. Dort würden die Verantwortlichen lernen, wie sie ihre Dateninfrastruktur KI-fähig machen und das Potenzial von KI in ihrem Unternehmen ausschöpfen können.

Das Fazit von Johannes Pape zum EU AI Act lautet: „Der EU AI Act bietet die Chance, sinnvolle Regularien für den Umgang mit und den Einsatz von KI zu etablieren. Diese wiederum bilden die Grundlage für eine innnovationskräftige und gleichzeitig faire Wirtschaft, die die Risiken nicht allein auf den Bürger abwälzt.“

Im Gegenzug müssten die neuen Regelungen jedoch darauf abgestimmt sein, die Unternehmen bei Innovationen nicht zu sehr einzuschränken. Zudem gelte es, Kosten etwa durch zu viel Bürokratie zu vermeiden. „Die Unternehmen und Institutionen auf der anderen Seite stehen in der Pflicht, ihre Dateninfrastruktur robust und KI-fähig zu machen. Hier spielen Stichworte wie Data Governance, Sovereignty und Privacy eine essenzielle Rolle. Nur so gelingt es, KI gewinnbringend in die unternehmenseigenen Prozesse einzubinden, die Compliance zu wahren und gleichzeitig einen fairen, ethischen und nachhaltigen Umgang mit Künstlicher Intelligenz zu etablieren.“

Gesetzeswerke werfen per se sehr oft juristische Streitfragen auf und solche komplexen Regelwerke wie der EU AI Act erst recht. Interessant ist deshalb die Einschätzung von Anwälten wie Marieke Merkle von der auf Wirtschaftsrecht spezialisierten Kanzlei Noerr aus München. Sie zieht aus dem EU AI Act den Schluss: „Die vorläufige politische Einigung zu Basismodellen (Foundation Models) macht deutlich: die Einführung eines AI Compliance Systems wird zukünftig immer mehr Unternehmen treffen. Der Ansatz enthält eine teilweise Verlagerung der Compliance-Verpflichtung entlang der KI-Lieferkette.“

Merkle weist aber nachdrücklich darauf hin, dass die Einigung zwischen Parlament und Rat nur zu einem kurzen Aufatmen der Parlamentarier des EU-Parlaments führen wird. Denn: „Die entscheidende Detailarbeit auf technischer Ebene steht erst jetzt an. Die Ausgestaltung der Vorschriften ist von herausragender Bedeutung für den Wirtschaftsstandort Europa: Es bedarf klarer Vorgaben, die Unternehmen weitestgehende Rechtssicherheit gewähren, um Innovationen nicht im Keim zu ersticken.“ Dies gelte insbesondere vor dem Hintergrund der im AI Act vorgesehenen Bußgelder.

Ein finales Urteil über den EU AI Act gibt es von Marieke Merkle denn derzeit auch noch nicht. Sie resümiert vielmehr: „Es bleibt abzuwarten, ob die vereinbarten Ausnahmen für kleine und mittlere Unternehmen (KMUs) sowie Open-Source-Modelle ausreichend sind, um innerhalb des europäischen Binnenmarktes KI-Innovationen gedeihen zu lassen.“

Ihr Kollege Dr. Johannes Stuve klingt zumindest grundsätzlich optimistisch. Er schrieb vor der EU-Ratsentscheidung: „Jenseits des politischen Tauziehens vor der Verabschiedung der europäischen KI-Verordnung stellt die finale Textfassung einen Kompromiss dar, der in der Praxis für Unternehmen und öffentliche Einrichtungen gut handhabbar ist. Die Pflichten beschränken sich im Wesentlichen auf die Regulierung von hoch riskanten KI-Systemen. Dies dürfte nur einen Bruchteil der tatsächlichen Anwendungsfälle betreffen.“

Die größten regulatorischen Hürden für Künstliche Intelligenz sieht Stuve denn auch nicht im EU AI Act, sondern „weiterhin im europäischen Datenschutzrecht und in der Cybersicherheit.“

Pegasystems ist nach eigenen Angaben Marktführer bei Cloud-Software für Kundenbindung und operative Exzellenz und als solcher natürlich auch sehr engagiert beim Thema Künstliche Intelligenz. Peter van der Putten, Director AI Lab bei Pegasystems, begrüßt denn auch ausdrücklich, dass der AI Act der EU nach jahrelangen Verhandlungen nun unter Dach und Fach ist. Was noch aussteht, sind für ihn lediglich Feinabstimmungen am Gesetzestext, zentrale Streitpunkte rund um Themen wie Generative AI, Biometrie und KI in der Strafverfolgung seien dagegen geklärt.

Puttens Urteil über das Gesetz fällt ausgesprochen positiv aus: „Der umfassende AI Act ist ein historischer Schritt, um den vertrauenswürdigen Einsatz der Technologie zu fördern und sicherzustellen, dass sowohl Unternehmen und öffentliche Einrichtungen als auch Kunden und Bürger von ihr profitieren.“

Positiv findet er, dass im Laufe des Gesetzgebungsverfahrens der Vorschlag im April 2021 sich auf die Regulierung dedizierter KI-Systeme und nicht auf die Technologie im Allgemeinen fokussierte. Sein Argument: „Rückblickend war dies ein sinnvoller Schritt, da es für Kunden und Bürger doch weniger wichtig ist, welche Art von KI-Technologie genau zu einer Entscheidung führt – beispielsweise ob Maschinelles Lernen oder statistisch basierte prädiktive Analysen zur Ablehnung von Krediten oder Sozialleistungen führen.“

Für Putten ist entscheidend: „Die EU-Gesetzgebung soll den sinnvollen Einsatz von KI fördern und ist darauf ausgelegt, Innovationen im Bereich der vertrauenswürdigen KI zu unterstützen, anstatt sie einzuschränken. Ohne die jetzt beschlossenen Regelungen kann es schlicht keine gleichen Wettbewerbsbedingungen geben und letztlich keine nachhaltige Zukunft für die KI.

Putten findet es spannend zu beobachten, wie sich der „Brüsseler Effekt“ auf das Thema Künstliche Intelligenz auswirken wird. Optimistisch gestimmt spricht er dem AI Act sogar eine internationale Strahlkraft zu, wenn er schreibt: „Ich gehe davon aus, dass die Global Player die Kernideen als De-facto-Standard übernehmen werden, da sie diese ohnehin anwenden müssen, wenn sie mit Kunden und Bürgern in der EU zusammenarbeiten.“

Organisationen seien nun gesetzlich verpflichtet, sich ernsthaft mit dem verantwortungsvollen Einsatz von KI auseinanderzusetzen. „Der KI-Gesetzesentwurf wird die notwendige Struktur und Orientierung bieten, um KI für die richtigen Zwecke und auf die richtige Art und Weise einzusetzen,“ postuliert Putten.

Als Schlussstein der KI-Regulierung sieht Putten den AI Act aber nicht. „Der AI Act ist ein wichtiger erster Schritt, der sowohl auf Rechtssicherheit als auch auf mehr Transparenz im Umgang mit der KI-Technologie abzielt. Die weitere Entwicklung bleibt auch vor dem Hintergrund der sich schnell verändernden Möglichkeiten und Anwendungsfälle von KI-Lösungen spannend zu beobachten. Für den Moment hat die EU aber die dringend benötigten Richtlinien auf den Weg gebracht.“