Der AI Act der Europäischen Union ist der Inbegriff europäischer Bürokratie. Er steht in der glorreichen Tradition der Staubsauger-Verordnung und der Leuchtmittel-Verordnung. Also nicht dass der Inhalt der Verordnung Blödsinn wäre, nein, da haben sich Experten wirklich Mühe gegeben und viel Gehirnschmalz reingesteckt.

„Sie waren stets bemüht…“

Aber dahinter steckt ein grundlegend falsches Verständnis:

Statt bestehende Regelungen zu prüfen und auf neue technologische Herausforderungen, wie die künstliche Intelligenz, anzupassen, werden neue Regelungen und neue Bürokratie geschaffen. Im aktuellen AI Hype geht es noch unter, aber der AI Act wird uns noch einholen, wie damals die DSGVO.

Meine erste Annäherung

Windholz, Natascha, et al. Praxishandbuch KI-VO: Künstliche Intelligenz rechtskonform im privaten und öffentlichen Bereich einsetzen, München 2024

Leider keine Empfehlung. Extreme Detailtiefe, aber den Blick auf das Wesentliche habe ich nicht gefunden. Sicher alles da, aber ist nicht bei mir angekommen. Obwohl ich mich durchgekämpft habe.

Zweiter Versuch beim Kunden: Deutscher Tech-Konzern hat eine interne Guideline zum Einsatz von AI

Wieder viel Gutes und Richtiges. 80+ Empfehlungen mit Referenzen auf Cybersecurity Policies, aber die Umsetzung stellt noch nicht einmal die Compliance zum AI Act sicher. (Soviel ist dann doch beim Praxishandbuch hängengeblieben.)

Dritter Versuch: Diskussion mit der AI Governance in einem Konzern

Auch wieder etwas Deutsches: Wir brauchen neue Polices und eine Governance für das Thema AI.

Den Fehler des EU AI Act auf Unternehmensebene nachziehen und fortschreiben.
Auch hier wieder vieles Gutes und Richtiges. Aber irgendwie ein Greenfield Approach. Für neue AI Anwendungen. Die gibt es zwar sicher, aber durch die Hintertür, durch die Einbindung von AI-basierten Webservices, wird plötzlich alles zu einer AI-Applikation. Viele Fragen, gute Fragen – aber auf der falschen Ebene. Ein Deep Dive in die genutzten LLM-Modelle, die aber in den meisten Anwendungsszenarien durch SaaS-Lösungen vorgegeben sind und morgen möglicherweise schon wieder durch neue Modelle ausgetauscht werden. Fragen die kein normaler Applikations-Verantwortlich beantworten kann, sondern die einen Cybersecurity-AI -Architekten erfordern. Es fehlt die Sensibilisierung für das Wesentliche:

• Wenn wir AI-Webservices einbinden, geben wir Daten nach draußen – das hat noch nicht einmal mit AI zu tun.
• Und wenn wir die Daten nach draußen geben, dann ist die Frage, ob nur zur Verarbeitung oder ob die Modelle, die womöglich auch von anderen genutzt werden, daraus lernen. In Nischenbereichen kann dann auch schnell die direkte Konkurrenz von uns lernen.
• Ja, es gibt da noch typische AI Risiken, wie Halluzinationen und Biases über die wir die Anwender zumindest aufklären müssen.

Selbsthilfe

Ok, noch einmal zurück auf Start. Warum nicht ChatGPT fragen nach dem AI Act?
Nein ganz so einfach habe ich es mir dann doch nicht gemacht. ChatGPT war nur der Startschuss und dann habe ich aus den gewonnen Erkenntnissen (siehe oben) nachgearbeitet. Ich bin auch kein Jurist – entsprechend unverbindlich sind meine eigenen 5 Cent, auch wenn ich sie hier teile.

Zentral im AI Act ist eine Risikoklassifizierung.

Typisch für die europäische Bürokratie eine neue Risikobetrachtung einzuführen, als gäbe es nicht längst Risikomanagement in Unternehmen. Eine Betrachtung auf Applikationsebene kann schnell überfordern, aber auf Ebene von Use Cases lässt sich die Klassifizierung nach AI Act beantworten und dann bedarf es eben einer Aggregation: der Worst Case greift auf Applikationsebene.

Der AI Act unterscheidet die folgenden Risikokategorien:

Verbotene Anwendungen brauchen keine weitere Betrachtung.

Interessant wird es bei den Hochrisiko-Anwendungsfällen. Was fordert der AI Act hier?

Nun, wieder ChatGPT:

Auch hier gibt es Überschneidungen mit generellen Cybersecurity-Anforderungen, aber immerhin ein komprimierter Ansatz.

Bei „limited risks“ verbleibt nach dieser Logik nur mehr Transparency and Information.

Und bei „minimal risk“, naja, das können wir vernachlässigen.

Was ich trotzdem mitgenommen habe:

• Natürlich müssen wir uns mit der Kritikalität der Daten – Input wie Output beschäftigen (auch wenn das eigentlich gar keine AI-Frage ist).
• Werden die verarbeiteten Daten als Trainingsmaterial verwendet? Dann könnten ja auch andere Nutzer des LLM darauf zurückgreifen.
• Sind wir „nur“ Nutzer oder Betreiber eines Modells? Bei der aktuellen Dynamik werden die Modelle schneller ausgetauscht als wir schauen können. Sind wir selbst Betreiber kommt eine besondere Verantwortung hinzu,

Aus regulatorischer Sicht halte ich das Thema AI weitgehend für überbewertet. Grundsätzliche Anforderungen und Weisheiten, wie Garbage in – Garbage out, gelten weiter. Wirklich neu sind Halluzinationen und Biases. Für die war früher noch der Mensch zuständig…

Aber schauen wir mal, wo die Reise hingeht.

Bei all meiner Skepsis gegenüber dem Einsatz von KI im Projektmanagement habe ich dann doch einen Anwendungsfall für mich entdeckt: Die Bürokratiebefriedigung.

Zumindest im Konzernumfeld kennt das doch jeder. Da gibt es Applikationen, Checklisten & Formulare, die bedient werden müssen – egal ob Projektmanagement, Risikomangement oder bei anderen Fragestellungen. Mittlerweile natürlich alles digital.

All zu oft werden diese Frage-Antwort-Spielchen dann zum Selbstzweck und wir müssen uns Antworten aus den Fingern saugen, versuchen verzweifelt irgendwelche generischen Aussagen abzuleiten und umzubiegen, aber damit ist jetzt Schluss, dank der KI!

Also nicht dass es jetzt weniger unsinnige Tätigkeiten in der Welt gäbe, aber die KI hilft uns bei der kreativen Beantwortung, bei der Bürokratiebefriedigung oder der Bezwingung des Bürokratiemonsters.

Satya Nadella (Microsoft CEO) hat auf dem Weltwirtschaftsgipfel 2023 in Davos ganz in diesem Sinne über die Möglichkeiten von Chat-GPT & Co berichtet:

[…]  I saw was a rural Indian farmer trying to access some government program, so he just expressed a complex thought in speech in one of the local languages that got translated and interpreted by a bot, and a response came back saying go to a portal and here is how you’ll access the program, and he said look, I’m not going to the portal, I want you to do this for me, and it completed it, and the reason why it completed it was because they had a developer building it who had taken GPT and trained it over all of the government of India documents and then scaffolded it with speech recognition software,“ he said.

Satya Nadella (Microsoft CEO)

Aber jetzt ist auch wieder gut mit den KI Themen hier auf schlossBlog. Also nicht, dass KI künftig als Thema ausgeschlossen ist, aber diese kleine Reihe endet hier.

Anmerkung & Quellen:
Das Logo im Beitrag ist „geklaut“ in der englischen Wikipedia und wurde selbst von der KI (Dall-E) kreiert, mehr dazu auf der dazu gehörigen Wiki-Commons-Seite von Wikipedia (inkl. dem zugrundeliegenden Prompt).
Ein erster Beitrag zur KI auf schlossBlog findet sich hier: Jetzt auch noch KI…
Und dann ging es um Belastbarkeit & Grenzen und um Anwendungsfälle, bis hin zur kognitiven Dissonanz der KI.
Zuletzt haben wir dann rechtliche Aspekte beleuchtet, bevor wir uns dem Projektmanagement zugewendet haben.

Ebenfalls in Wolf Lotters Essay über Unabhängigkeit (brandeins 06/2019) findet sich eine sehr treffende Passage über Bürokratie und Verwaltung, die er mit einem Metapher über die Geschichte der Computer-Betriebssysteme einleitet: „ In der Urzeit des Computers gab es keine einheitlichen Betriebssysteme, was dazu führte, dass man meistens gut damit ausgelastet war, das System des Systems wegen aufrechtzuerhalten. Das ist die Grundlage jeder Bürokratie, also einer Herrschaftsform, die zum Selbstzweck geworden ist.“

Bürokratie bleibt dabei nicht nur der (öffentlichen) Verwaltung vorbehalten, sondern ist auch in Unternehmen zu finden, „[dabei besteht die Aufgabe der Verwaltung eigentlich darin,] Freiraum für das Wesentliche zu schaffen, den Menschen. Das ist in Ämtern und Konzernen, bei Start-Ups und Betriebssystemen ganz ähnlich. Verwaltung und Markt sind damit ebenfalls kein Widerspruch.“