Normung im Bereich der künstlichen Intelligenz (KI)
Internationale und europäische Normen definieren wichtige Prozesse, Klassifizierungsmethoden und technische Eigenschaften von KI-Systemen. Viele davon haben Einfluss auf die Sicherheit von Produkten, in denen diese Systeme implementiert sind. Der Artikel beschreibt, auf welchen Ebenen Normung im KI-Bereich stattfindet und wo Einflussmöglichkeiten bestehen.
Mit der Veröffentlichung der EU-Verordnung über künstliche Intelligenz im Sommer 2024 existiert nun ein einheitlicher europäischer Rechtsrahmen für KI-Systeme.[1] Die KI-Verordnung steht in der Tradition einer EU-Gesetzgebungspraxis für Produktsicherheit des sogenannten neuen Rechtsrahmens. Entsprechende Rechtsakte enthalten generelle Schutzziele. Wie eine mögliche konkrete Umsetzung dieser Schutzziele aussehen kann, ist in freiwillig anzuwendenden harmonisierten europäischen Normen (hEN) beschrieben. Auch einige der allgemein gehaltenen Anforderungen der KI-Verordnung sollen durch hENs technisch konkretisiert werden. Dabei ist es wichtig zu beachten, dass die Verordnung genau festlegt, zu welchen Artikeln harmonisierte Normen erarbeitet werden sollen. Es ist keineswegs so, dass alle Anforderungen des Rechtstextes durch hENs adressiert werden sollen. Da die Erarbeitung solcher Normen zeitintensiv ist, hat die EU-Kommission bereits 2023 einen Normungsauftrag mit zehn Punkten an das European Committee for Standardization (CEN) und an das European Committee for Electrotechnical Standardization (CENELEC) gegeben.[2] CEN und CENELEC sind zwei der drei europäischen Normungsorganisationen, das zuständige Normungsgremium CEN-CENELEC JTC 21 „Artificial Intelligence“ ist ein gemeines Komitee der beiden Organisationen.[3] Dort werden alle Dokumente erarbeitet, die von der EU-Kommission in dem Normungsauftrag beauftragt wurden. Das JTC 21 kann entscheiden, wie genau die Punkte des Normungsauftrags adressiert werden, dabei kann eine Norm mehrere Punkte adressieren oder verschiedene Aspekte eines Punkts können in verschiedenen Normen behandelt werden. Der Normungsauftrag wird in vielen Fällen durch die Übernahme internationaler Normen aus einem gemeinsamen Gremium von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) zur künstlichen Intelligenz beantwortet. Auf diese Weise ist die Anschlussfähigkeit an internationale Märkte gewährleistet.
Für die spezifisch europäischen Aspekte, die in der KI-Verordnung festgelegt sind, werden im JTC 21 rein europäische Normen entwickelt. Hier sind die Dokumente zum Rahmenwerk für Vertrauenswürdigkeit von KI, zum Risikomanagement, zum Rahmenwerk für Konformitätsbewertung und zum Qualitätsmanagement zu nennen. Insbesondere die zukünftigen europäischen Normen zum KI-Risikomanagement und zur Vertrauenswürdigkeit sind für den Arbeitsschutz besonders interessant. Die KI-Verordnung ist ein horizontaler Rechtsakt, der für viele Sektoren gilt, unter anderem den Maschinensektor, den Medizinproduktebereich oder den Sektor für persönliche Schutzausrüstung. In vielen dieser Bereiche existieren bereits etablierte harmonisierte Normen, die mit den nun in Erarbeitung befindlichen Dokumenten kompatibel sein sollen. Dies spielt insbesondere bei Themen eine Rolle, die alle Sektoren betreffen, wie etwa die Risikobewertung. Für den Arbeitsschutz ist es besonders wichtig, dass das später harmonisierte KI-Risikomanagementdokument produkt- beziehungsweise systemspezifische Risiken betrachtet und nicht die Risiken von Organisationen behandelt, wie es in vielen Managementsystemnormen von ISO üblich ist.
Die zukünftige Norm zur Vertrauenswürdigkeit von KI-Systemen adressiert viele für den Arbeitsschutz relevante Punkte des Normungsauftrags, etwa zur Datenqualität, zur Genauigkeit und zur menschlichen Aufsicht. Die 5. Edition des „Artificial Intelligence Standardization Inclusiveness Newsletter“ enthält eine entsprechende Auflistung.[4] Dieser allgemein zugängliche Newsletter beinhaltet eine Tabelle, die die Projekte des europäischen Normungsgremiums zu KI zu diesem Zeitpunkt auflistet. Zusätzlich findet sich dort eine thematische Zuordnung der Projekte zu den Punkten des Normungsauftrags. Es ist nicht so, dass jede zugeordnete Norm in Zukunft im Amtsblatt der EU gelistet und damit harmonisiert wird, es ist jedoch ein guter Indikator.
Gerade die Konkretisierung von Konzepten zur menschlichen Aufsicht über KI-Systeme ist für den Arbeitsschutz besonders relevant. Entsprechend erwarten Fachleute einen öffentlich einsehbaren Normentwurf mit Spannung. Nach Veröffentlichung kann der Normentwurf auf den Internetseiten des Deutschen Instituts für Normung (DIN) kostenlos eingesehen und für einen Zeitraum von mindestens 60 Tagen kommentiert werden. So haben zum Beispiel Akteure aus dem Arbeitsschutz, die nicht aktiv an der Erarbeitung der Norm beteiligt sind, die Möglichkeit, das Dokument im Sinne sicherer und gesunder Produkte zu beeinflussen. Der Normentwurf kann voraussichtlich 2025 kommentiert werden.
Auch bei den übrigen europäischen Normen, die den Normungsauftrag adressieren, sind Normentwürfe im Laufe des Jahres 2025 zu erwarten. Zeitgleich muss damit gerechnet werden, dass einige der Dokumente nicht rechtzeitig zum Inkrafttreten der entsprechenden Kapitel der KI-Verordnung fertig werden. Mit der Anschlussfähigkeit an die internationale Normung sowie an die verschiedenen Sektoren wurden bereits zwei große Herausforderungen genannt. Hinzu kommt, dass neben Sicherheit und Gesundheit die Einhaltung von Grundrechten eines der zentralen Ziele der KI-Verordnung ist. Dies ist ein Novum, es gibt in der europäischen Normung keine etablierten Konzepte dafür, wie technisch konkretisiert werden kann, dass die in der Charta der Grundrechte der Europäischen Union festgehaltenen Grundrechte gewahrt werden. Zumal es Situationen oder Anwendungen gibt, bei denen verschiedene Grundrechte in einem Spannungsverhältnis zueinander stehen. Entsprechende Konzepte zu entwickeln und in den Normungsgremien zu einem Konsens zu bringen, benötigt Zeit.
Internationale Normung
Neben den Dokumenten, die für den Normungsauftrag relevant sind, werden auf europäischer Ebene weitere Normen und Standardisierungsdokumente erarbeitet. Der Fokus liegt jedoch klar auf der Beantwortung des Normungsauftrags. Die internationale Normung ist im Bereich der künstlichen Intelligenz federführend. Für die Maschinensicherheit besonders interessant ist eine Arbeitsgruppe, die das Zusammenspiel des „klassischen“ Konzepts der funktionalen Sicherheit mit KI-Systemen behandelt. Hier ist mit ISO/IEC TR 5469:2024-01 bereits ein erster Leitfaden erschienen, aktuell ist zudem unter der Nummer 22440 eine dreiteilige Reihe an technischen Spezifikationen in Erarbeitung.[5]
Nationale Normung
Die Normungsaktivitäten der europäischen und internationalen Gremien bei CEN/CENELEC und ISO/IEC werden national gespiegelt. Das bedeutet, dass die Projekte dieser Gremien in den nationalen Ausschüssen besprochen werden. Zudem kann zu bestimmten Stadien der Projekte darüber abgestimmt werden. Das nationale Spiegelgremium entsendet die Fachleute auf die europäische und internationale Ebene. Die meisten Gremien werden national im NA 043-01-42 GA „künstliche Intelligenz“ sowie in den darunter angesiedelten Arbeitsausschüssen, in denen die einzelnen Projekte inhaltlich besprochen werden, gespiegelt.[6] Themen der funktionalen Sicherheit sind im DKE/AK 914.0.11 „Funktionale Sicherheit und künstliche Intelligenz“ angesiedelt.[7]
Auf nationaler Ebene gibt es zudem eine zunehmende Zahl sogenannter DIN-SPEC-Dokumente im Bereich der künstlichen Intelligenz. Solche Dokumente werden nicht in klassischen Normungsgremien erarbeitet und unterliegen nur eingeschränkten Konsensregeln. Aus diesem Grund sollten DIN-SPEC-Dokumente keine Anforderungen zu Arbeitsschutzaspekten enthalten.
