Der Verein eCH ist eine Plattform zur Förderung von eGovernment in der Schweiz und erarbeitet und veröffentlicht Standards in diesem Kontext. Die Digitale Gesellschaft hat sich in der öffentlichen Konsultation zum KI-Standard geäussert und konstruktive Kommentare zu zahlreichen Aspekten eingereicht. Insbesondere sollte dieser Standard mit relevanten, internationalen Standards harmonisiert und so ein Schweizerischer Alleingang vermieden werden. Sonst zielen die vorgeschlagenen Änderungen v. a. auf die transparente und faire Nutzung von KI sowie auf ein stringentes Management technischer und gesellschaftlicher Risiken von KI-Systemen ab.
Mitglieder des Vereins eCH sind – laut Website – der Bund, alle Kantone, diverse Gemeinden, rund 120 Unternehmen sowie verschiedene Hochschulen, Verbände und Privatpersonen. Fachgruppen von eCH erarbeiten Standards u.a. in den Bereichen eHealth, digitale Archivierung, politische Rechte und Steuern.
Am 25. Juni 2024 hat der Verein eCH den Entwurf für den Standard eCH-0272 zu Transparenz, Erklärbarkeit und Risiken der KI-Systeme veröffentlicht. Die Digitale Gesellschaft hat sich in der öffentlichen Konsultation, die bis zum 6. August 2024 lief, geäussert und konstruktive Kommentare zu zahlreichen Aspekten eingereicht. Die Kernaussagen unserer Eingabe lassen sich in den folgenden Punkte zusammenfassen:
Kein Schweizerischer Alleingang
Die meisten KI-Systeme werden international eingesetzt, so dass auch entsprechende Standards international kompatibel sein müssen. Die regulatorischen Anforderungen an KI-Systeme werden derzeit auf internationaler Ebene noch vergleichsweise offen diskutiert. Auch die Normen zum EU AI Act, von denen die Schweiz implizit wirtschaftlich abhängig ist, sind noch in der Entwicklung. Es erscheint nicht sinnvoll, bereits jetzt sehr konkrete Anforderungen an KI-Systeme in einem eCH-Standard zu verankern, der als Basisstandard für weitere KI-Standards dienen soll, bevor v. a. die Arbeit der europäischen Normierungsorganisationen (CEN/CLC/JTC 21) weiter fortgeschritten ist.
Deshalb empfiehlt die Fachgruppe ADMS der Digitalen Gesellschaft, zum jetzigen Zeitpunkt vor allem die Prozesse insbesondere zum Risikomanagement im Lebenszyklus von KI-Systemen zu standardisieren. Dieser Standard sollte auf etablierten Normen wie ISO/IEC/IEEE 12207 «Systems and software engineering – Software life cycle processes» oder ISO/IEC JTC1 SC42 beruhen und evtl. Managementstandards wie ISO/IEC 42001 einbeziehen. Konkretere Anforderungen an die KI-Systeme können in späteren Fassungen ergänzt werden.
Standardisiertes Risikomanagement für KI
Der Standard sollte etablierten Risikomanagementmethoden und -standards folgen. Die Risiko- und Folgenabschätzung, die auch von der Rahmenkonvention zu KI des Europarats in Art. 16 gefordert wird, darf nicht nur auf Datenschutzthemen beschränkt sein, sondern ist für den gesamten Einsatz von KI-Systemen generell unverzichtbar. Neben der Risikoklassifizierung auf gesetzlicher Ebene sollte ein Riskomanagement für KI-Systeme beschrieben werden, das etablierten Methoden (z.B. IEC Guide 51) oder neueren ISO/IEC-Normen zu KI-Risikomanagement (z.B. ISO/IEC 23894:2023) entspricht.
Anonymisierung als Standard und Transparenz für betroffene Personen
Für viele Anwendungsfälle ist die Identifikation von Personen nicht notwendig, so dass eine entsprechende KI mit anonymisierten Daten «gefüttert» werden kann. Der eCH-Standard sollte diese Anonymisierung überprüfbar einfordern. Ergänzend ist sicher zu stellen, dass für KI-Modelle mit Personenidentifikation niederschwellige und überprüfbare Opt-Out-Möglichkeiten bestehen. Besonders in Fällen, wenn das KI-System Entscheidungen als Output generiert, ist es wichtig, dass die zur Entscheidungsfindung verwendeten Merkmale/Kriterien auch für die betroffenen Personen transparent sind. Hier braucht es ausserdem eine für Laien verständliche und niederschwellig zugängliche Dokumentation, sowie ebenso niederschwellig zugängliche Widerspruchsmöglichkeiten gegen getroffene Entscheidungen.
Rechtslage bezüglich Urheberrecht unklar
Die Fragen um die Auslegung des Urheberrechts bei KI sind in der Schweiz zum derzeitigen Zeitpunkt unklar. Dies in diesem eCH-Standard zu definieren, greift der Rechtsprechung sowie den Gesetzgeber:innen vor. Es ist unklar, wie weit Informationen für das Training benutzt werden dürfen. Es ist unklar, wie weit/ab wann generierter Output urheberrechtlich relevant ist/wird. Wir empfehlen, das gesamte Kapitel zum Urheberrecht zu streichen und in einer zukünftigen Version mit dann klareren, gesetzlichen Grundlagen, zu ergänzen.
Schlussbemerkung
Der Standard und das internationale Regulierungsumfeld für KI-Systeme erscheinen noch nicht reif. Daher empfiehlt die Digitale Gesellschaft, mit der Genehmigung des Standards zu warten oder die Anforderungen in Einzelbereichen zu einem späteren Zeitpunkt zu ergänzen.
Erarbeitet wurde die Kommentare in der Fachgruppe Automated Decision-Making Systems der Digitalen Gesellschaft.