Normung für Künstliche Intelligenz: Chancen für KMU durch den AIA#Normung für Künstliche Intelligenz: Chancen für KMU durch den AIA

Nach dem New Legislative Framework (NLF) konkretisieren technische Standards die Anforderungen an KI-Systeme aus dem Artificial Intelligence Act (AIA). Wie genau greifen AIA und Standards ineinander und wie können KMU ihre Interessen einbringen?

Seit dem 01. August 2024 ist der AIA in der europäischen Union in Kraft. Er enthält unter anderem Anforderungen an Hochrisiko-KI-Systeme sowie an KI-Systeme mit allgemeinem Verwendungszweck wie die GPTs (Generative Pretrained Transformer). Diese Anforderungen sind allerdings allgemein gehalten. Der technologieoffene Ansatz soll verhindern, dass der AIA innerhalb verhältnismäßig kurzer Zeit von der dynamischen technischen Entwicklung überholt wird. Nach dem NLF sollen die gesetzlichen Anforderungen durch konkrete technische Standards ergänzt werden. Diese lassen sich flexibler und schneller an die technische Entwicklung anpassen als Gesetze und Verordnungen. Im Folgenden beleuchten wir, wie AIA und Standards zusammengreifen, stellen den zeitlichen Rahmen für die geplanten Normungs-Aktivitäten vor und legen dar, welche Rolle die deutschen Normungsorganisationen sowie KMU in diesem Zusammenhang spielen.

Das New Legislative Framework

Der Name New Legislative Framework bezieht sich auf ein Bündel von im Jahr 2008 erlassenen Vorschriften zur Marktüberwachung, zur Akkreditierung von Konformitätsbewertungsstellen und zur Schaffung eines gemeinsamen Rechtsrahmens für Produkte in der Europäischen Union. Ziel ist die Verbesserung des europäischen Binnenmarktes für Produkte durch gleiche Anforderungen etwa an die Sicherheit. Im Rahmen des NLF beschränkt sich der europäische Gesetzgeber (die Europäische Kommission) in seinen Regelungen auf die Vorgabe grundlegender Anforderungen und Schutzziele für Produkte. In der Folge beauftragt er europäische Normungsorganisationen, diese Anforderungen und Schutzziele durch Standards weiter technisch auszugestalten. Das Befolgen der entsprechenden Normen und Standards erleichtert den Entwicklerinnen und Entwicklern eines Produktes dann, die Konformität des Produktes mit den Anforderungen des Gesetzes nachzuweisen. Die Einhaltung bewirkt in aller Regel eine Vermutung der Konformität. Diese Vermutung für die Konformität kann regelmäßig nur widerlegt werden, indem nachgewiesen wird, dass ihre tatbestandlichen Voraussetzungen nicht vorliegen. Das heißt, dass z. B. entweder der Standard nicht zum Nachweis geeignet ist oder ein geeigneter Standard bei der Entwicklung des Produktes nicht eingehalten wurde. Insofern spielen technische Normen eine entscheidende und zentrale Rolle im NLF und für die Entwicklung von Produkten.

Das New Legislative Framework im AIA

Auch im Rahmen des Artificial Intelligence Act (AIA) greift die Europäische Kommission auf abstrakte, technologieoffene Regelungen in Kombination mit harmonisierten Normen zurück. So werden etwa in den Art. 8 – 15 AIA Anforderungen an Hochrisiko-KI-Systeme formuliert. Hierunter fallen unter anderem Anforderungen an die Implementierung eines Risikomanagementsystems, Vorgaben für Datenqualität und Daten-Governance, die menschliche Aufsicht aber auch Genauigkeit, Robustheit und Cybersicherheit. Wie die Anforderungen aus den Art. 8 – 15 AIA genau umzusetzen sind, dazu hat die Europäische Kommission europäischen Normungsorganisationen einen Normungsauftrag erteilt, namentlich dem Europäischen Komitee für Normung (CEN) sowie dem Europäischen Komitee für elektrotechnische Normung (CENELEC).

Diese sollen nun bis zum 30.04.2025 technische Standards entwickeln und der Europäischen Kommission vorlegen. Neben dem Auftrag, was durch Standards geregelt werden soll (also etwa Robustheit), gibt der AIA grobe materielle (inhaltliche) Zielvorgaben für die Entwicklung der beauftragten Standards vor. Das heißt, dass der AIA vorgibt, welche Werte bei der Erstellung der Standards besonders beachtet werden sollen. Grundsätzlich sollen die Standards

1. das Funktionieren des Binnenmarktes verbessern,
2. die Einführung von KI-Systemen fördern,
3. die Innovation unterstützen und
4. ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und weitere Grundrechte wie Umweltschutz gewährleisten (Art. 40 Abs. 3 AIA i. V. m. Art. 1 AIA).

Liegen die anhand dieser Vorgaben entwickelten Standards vor, werden sie durch die Kommission geprüft und bewertet. Dabei wird zum einen bewertet, ob die Anforderungen des AIA umfassend im Standard umgesetzt sind (also z. B. umfassende Anforderungen an Robustheit) und zum anderen, ob die Zielvorgaben und Werte in ausreichendem Maße umgesetzt wurden. Kommt die Kommission zu dem Ergebnis, dass die Standards dem erteilten Normungsauftrag entsprechen, wird eine Fundstelle des Standards im europäischen Amtsblatt veröffentlicht. In der Folge entfalten die Standards ihre Wirkung. Ab diesem Zeitpunkt gilt dann die eingangs beschriebene Konformitätsvermutung. Die Konformitätsvermutung ist auch speziell für KI-Systeme in der Verordnung festgeschrieben (Art. 40 Abs. 1 AIA). Die Einhaltung der Regelungen des AIA wird ausdrücklich vermutet, soweit das KI-System mit den im Amtsblatt veröffentlichten Standards übereinstimmt und diese Standards tatsächlich die oben genannten Anforderungen des AIA (z. B. umfassende Robustheit) abdecken.

Neben den privat entwickelten Standards werden die Anforderungen des AIA auch durch die Europäische Kommission selbst weiter konkretisiert werden. Ein Verhaltenskodex für Allzweck-KI-Systeme, soll voraussichtlich bis zum April 2025 durch das ‚Europäische Amt für KI‘ erlassen werden. Der Verhaltenskodex wird voraussichtlich sowohl Transparenzanforderungen, aber auch Regelungen zum Urheberrecht und zum Risikomanagement enthalten. Außerdem plant die Europäische Kommission bis zum 2. Februar 2026 unter anderem Leitlinien zur praktischen Umsetzung der Anforderungen an Hochrisiko-Systeme bereitzustellen.

Die Rolle deutscher Normungsorganisationen und KMU

Dies geschah und geschieht etwa im Rahmen der ersten^[1] und zweiten^[2] Ausgabe der Deutschen Normungsroadmap KI, aber auch im Gemeinschaftsausschuss Künstliche Intelligenz von DIN und DKE. Im Rahmen der Normungsroadmap und im Rahmen der Umsetzung der in den Roadmaps erarbeiteten Bedarfe und Themenschwerpunkte, können alle Interessierten Stakeholder gemeinsam in Workshops und Arbeitsgruppen die Normung gestalten und so ihr Wissen und ihre Interessen zielführend einbringen. Dabei werden viele verschiede Themengebiete behandelt und diskutiert. Unterteilen lassen sich diese Gebiete z. B. in übergeordnete Themen wie Grundlagen, Sicherheit, soziotechnische Systeme oder Prüfung und Zertifizierung. Eine Einteilung wird aber auch anhand von Sektoren vorgenommen etwa: KI in der Medizin, KI in der Mobilität, KI in der industriellen Automation, KI und Finanzdienstleistungen oder Bezüge von KI zu Energie und Umwelt. So besteht die Möglichkeit, genau an den Themenschwerpunkten mitzuarbeiten, die für das eigene Unternehmen von Bedeutung sind.

Gerade die Beteiligung von KMU im Normungsprozess ist sowohl für Unternehmen als auch für die Normungsorganisationen wichtig. Für KMU liegt der Vorteil der Beteiligung darin, dass sich so neben den Positionen großer Unternehmen auch die Interessen von KMU ausreichend in der Normung widerspiegeln. Für die Normungsorganisationen besteht der Vorteil, dass sie durch die Beteiligung das in KMU vorhandene Wissen und die Innovationskraft bündeln und nutzen können. Denn gerade KMU und kleinere Startups besetzen oft technisch innovative Nischen in der Wirtschaft. Daher ist in kleineren Unternehmen oft spezielles und sehr wertvolles Expertenwissen vorhanden. Daneben sollen die Standards später für alle Unternehmen gut umzusetzen sein und den Bedürfnissen der Unternehmen entsprechen. Auch die Bedürfnisse und Interessen von KMU sollten daher in Standards einfließen, selbst wenn kein spezielles auf KI bezogenes Expertenwissen vorliegt. Speziell für KMU und deren Bedürfnisse werden regelmäßig zu verschiedenen Themen spezifische Standards entworfen (vgl. z. B. ISO 50005:2021 Energiemanagementsysteme – Leitfaden für eine phasenweise Umsetzung). Neben den offenen Workshops und Arbeitsgruppen werden daher durch die Normungsorganisationen auch immer wieder Veranstaltungen gerade für den Dialog mit KMU angeboten.

Weiterführende Informationen und Beteiligungsmöglichkeiten für KMU

Sowohl DIN als auch DKE bieten auf ihren Internetseiten ausführliche Informationen sowie Kontaktdaten für Unternehmen, die Normen mitgestalten wollen:

• Mitwirken in der Kommission Mittelstand beim Deutschen Institut für Normung e. V.
• Informationen zur Beteiligungsmöglichkeit im Rahmen des DKE

Zusammenfassung und Fazit

Der Artificial Intelligence Act (AIA) verfolgt einen risikobasierten und technologieoffenen Ansatz zur Regulierung der Risiken von KI-Systemen. Um diesen technologieoffenen Ansatz weiter zu spezifizieren, wird auf technische Normen zurückgegriffen, die unter Mitarbeit aller Mitgliedstaaten in den europäischen Normungsgremien erarbeitet werden. Großer Vorteil dieses Systems ist die technische Flexibilität und die Möglichkeit für Stakeholder, sich direkt zu beteiligen, indem sie in den nationalen Normungsgremien mitarbeiten. Auch KMU können und sollten sich an den Normungsaktivitäten beteiligen und ihre Belange, Bedarfe, Interessen und ihr Wissen neben großen Unternehmen repräsentieren.

Quellen

1. DIN/DKE, Normungsroadmap KI Ausgabe 1, abrufbar unter: https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/aktuelles/aktueller-umsetzungsstand-normungsroadmap-ki-ausgabe-1-1072980 (08.11.2024)
2. DIN/DKE, Normungsroadmap KI Ausgabe 2, abrufbar unter: https://www.dke.de/de/arbeitsfelder/core-safety/normungsroadmap-ki (08.11.2024).

Verwandte Beiträge

• Weiterchatten mit Hubert – neue rechtliche Entwicklungen zu KI-Chatbots
• Prompting perfektionieren: Wie Sie mit der richtigen Fragestellung die besten KI-Ergebnisse erzielen
• Datenschutzkonforme Auswahl und Implementierung von KI
• KI im Onlinemarketing
• Mit Künstlicher Intelligenz Aufträge optimal terminieren