Mit Sicherheit in die Zukunft

Der Artificial Intelligence Act (EU-AI-Act) ist als horizontales Leitplankengesetz zu verstehen und wirft seine Schatten auf die zukünftige Nutzung von Künstlicher Intelligenz (KI) in den Behörden. Ein erheblicher Teil der Operationalisierung des EU-AI-Act ist von den jeweiligen Organisationen vorzunehmen, dafür ist die Einrichtung einer interdisziplinären Stabsstelle zu empfehlen. Um EU-AI-Act konform arbeiten zu dürfen, müssen viele unterschiedliche gesetzliche und fachliche Regelungen beachtet werden.

Die Einführung von KI ist eine strategische Führungsaufgabe der Behörde. Beispielsweise müssen die Ermächtigungsgrundlagen zum Einsatz von KI für die Fachbereiche aufbereitet werden. Dies ist insbesondere für Sicherheitsbehörden wie z.B. den Polizeien wichtig, da die mit KI-Unterstützung erarbeiteten Ermittlungsergebnisse vor Gerichten Verwendung finden und somit u.a. den Anforderungen an Nachprüfbarkeit und Erklärbarkeit genügen müssen.

Je größer das potenzielle Risiko von Anwendungen für Menschenrechts­verlet­zungen ist, desto anspruchsvoller sind die Anforderungen an die Organisation und ihre KI-Systeme. Es ist anzunehmen, dass der Einsatz von KI in Sicherheits­behörden ebenfalls in die Kategorie „hohes Risiko“ fällt. Gleichzeitig sind im EU-AI-Act verschiedene Ausnahmen festgelegt, unter denen europäische Sicherheitsbehörden dennoch Hochrisiko-KI-Systeme einsetzen dürfen.

Es ist vorgesehen, dass die Stabsstelle die Abteilungen einer Behörde bei der Kategorisierung von KI-Systemen gemäß den vorgesehenen Risikostufen im EU-AI-Act unterstützt:

Die Einführung und Nutzung von KI-Systemen bei Sicherheitsbehörden variieren bereits in der gegenwärtigen Situation.

Die Stabsstellen stehen vor verschiedenen Herausforderungen. Die Umsetzung des EU-AI-Acts wird von zahlreichen offenen Fragen und sich verändernden Rahmenbedingungen begleitet. Es ist jedoch unerlässlich, die behördlichen Organisationsstrukturen rechtzeitig an diese neuen Bedingungen anzupassen. Ein frühzeitiger Beginn der Anpassung an die neuen Vorgaben ermöglicht eine gründliche Planung und Umsetzung, was letztlich die Erfolgsaussichten verbessert.

Es wird dringend empfohlen, eine interdisziplinäre Stabsstelle für den EU-AI-Act einzurichten, deren Mitarbeitenden über Fachkenntnisse in den Bereichen Polizeiarbeit, Datenschutz, Informationssicherheit sowie Recht und Organisation verfügen oder entsprechende Qualifikationen mitbringen. Dazu ist eine Anpassung der Stellenbeschreibungen erforderlich, die in Abstimmung mit den Personalvertretungen erfolgen sollte. Eine frühzeitige Einbindung in den Haushaltsplan ist notwendig, um dies zu ermöglichen.

Anschließend sollte eine Reifegradanalyse durchgeführt werden, die auf die organisatorischen Anforderungen des EU-AI-Act ausgerichtet ist und folgende sieben Schritte berücksichtigen muss:

1. Grundlegende Anforderungen des AI-Acts
   Die Analyse erfordert ein gründliches Verständnis der Vorschriften des EU-AI-Acts, einschließlich der Definitionen von KI-Systemen, ihres Anwendungsbereichs, der Pflichten und Verantwortlichkeiten der Beteiligten sowie der Transparenzanforderungen, der Rechenschaftspflicht und ethischen Grundsätze. Es ist wichtig, die spezifischen Anforderungen an Sicherheitsbehörden in Bezug auf Informationssicherheit, Datenschutz und andere mit KI-Systemen verbundene Aspekte zu berücksichtigen.
2. Bewertung der aktuellen KI-Praktiken
   Im Rahmen einer Evaluierung der gegenwärtigen KI-Praktiken und -Anwendungen innerhalb der Sicherheitsbehörde ist festzustellen, inwieweit sie mit den Vorgaben des EU-AI-Acts konform sind. Dabei sollten bestehende KI-Systeme und deren Verwendungszweck, Datenquellen, Fachverfahren, Algorithmen und potenzielle Auswirkungen betrachtet werden.
3. Compliance-Lücken identifizieren
   Potenzielle Unstimmigkeiten oder Defizite zwischen den gegenwärtigen KI-Anwendungen der Sicherheitsbehörden und den Vorgaben des AI-Gesetzes sind sodann zu untersuchen. So werden Abweichungen in Bezug auf Transparenz, Fairness, Datenschutz, Diskriminierungsfreiheit oder andere rechtliche und ethische Aspekte erhoben und dokumentiert.
4. Risikobewertung
   In diesem Schritt werden potenzielle Risiken und Herausforderungen in Bezug auf die Konformität mit dem EU-AI-Act identifiziert. Diese Evaluierung umfasst die Beurteilung von Risiken in Bezug auf Datenschutzverletzungen, unfaire Entscheidungen, Diskriminierung, rechtliche Haftungsfragen und andere Risikofaktoren. Nähere Informationen finden sich in obiger Tabelle „Risikostufen gemäß EU-AI-Act“.
5. Maßnahmenempfehlungen
   Basierend auf den Analysergebnissen sollten konkrete Handlungsempfehlungen entwickelt werden, um die Einhaltung des EU-AI-Acts zu gewährleisten. Hierzu zählen die Entwicklung von Richtlinien und Verfahren, notwendige Schulungen für Mitarbeitende, technische Maßnahmen zur Verbesserung von Transparenz und Verantwortlichkeiten oder andere organisatorische und technische Maßnahmen.
6. Implementierung
   Anschließend sollte ein Implementierungsplan erstellt werden, der die Schritte, Zeitpläne und Ressourcen für die Umsetzung der empfohlenen Maßnahmen zur Einhaltung des AI-Acts festlegt.
7. Umsetzung und Einführung der geplanten Maßnahmen
   Final sollten die geplanten Maßnahmen unter Einhaltung der zur Verfügung stehenden Ressourcen sowie unter stetiger Berücksichtigung von etwaigen neuen Anpassungsbedarfen umgesetzt werden.

Zusammenfassend lässt sich festhalten, dass die organisatorische Umsetzung des EU-AI-Acts von einer Menge offener Fragen und volatilen Rahmenbedingungen begleitet wird. Gleichwohl ist es unerlässlich, behördliche Organisationsstrukturen an diese neuen Bedingungen anzupassen. Ein zeitiger Beginn bietet nicht nur mehr Raum für eine gründliche Planung und Umsetzung, sondern erhöht auch die Erfolgsaussichten maßgeblich.