Zusammenfassung
Die Akteure der Datenwirtschaft müssen sich mit dem Thema der Normung, Standardisierung, Zertifizierung und Regulierung beschäftigen, da nicht nur der Regulierungsentwurf der Europäischen Union für KI-Anwendungen Konformitätsbewertungsverfahren vorsieht, sondern auch, weil immer mehr freiwillige Zertifizierungsprogramme am Markt entstehen. Der Beitrag gibt einen Überblick zu Normen und Standards sowie freiwilligen oder gesetzlich verpflichtenden Zertifizierungen in der Datenwirtschaft und zeigt, welche Kosten und Nutzen daraus für die Akteure der Datenwirtschaft entstehen können. Ein Beispiel aus dem Gesundheitsbereich zeigt, wie innovative Unternehmen mit regulatorischen Vorgaben umgehen und Entscheidungen zu produktbezogener Zweckbestimmung und Risikoeinschätzung bereits in der Entwicklungsphase getroffen werden müssen. Den Akteuren der Datenwirtschaft wird auf Grundlage dieser Erkenntnisse empfohlen, die Vorteile der Mitarbeit an Normen und Standards (Wissensvorsprung, Verwertungsmöglichkeiten, Networking) mit den Kosten für die Teilnahme abzuwägen. Zertifizierungsprogramme können zu mehr Akzeptanz und Vertrauen am Markt führen, ersetzen jedoch nicht unbedingt die Entwicklung unternehmenseigener Anforderungen an Datenqualität und -sicherheit.
You have full access to this open access chapter, Download chapter PDF
Similar content being viewed by others
1 Einführung
In den Technologieprogrammen Smarte Datenwirtschaft und Innovationswettbewerb Künstliche Intelligenz des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) entwickeln Projektteams innovative Lösungen im Bereich der Datenökonomie und verwenden dabei ein breites Spektrum an Technologien, die von der intelligenten Nutzung von Daten, Machine Learning, Additiver Fertigung bis hin zu Blockchains/Distributed-Ledgers und KI-Anwendungen im Gesundheitsbereich, Verkehr, industrieller Produktion und Smart Living reichen. Diese Technologien finden Anwendung in immer mehr Bereichen, zum Beispiel in alltäglichen Objekten wie intelligenten Lautsprechern und Smart Home Assistants, aber auch in hochspezialisierten Einsatzszenarien wie der medizinischen Diagnostik. Ein technologie- und branchenübergreifendes Problem ist die Akzeptanz neuer technologischer Lösungen bei Verbraucherinnen und Verbrauchern. Zum Beispiel werden die Methoden des Machine Learning in der medizinischen Diagnostik erfolgreich zum Aufdecken von pathologischen Mustern und Auffälligkeiten eingesetzt. Eine Umfrage des TÜV Verbands (2021) zeigt jedoch, dass viele Bürgerinnen und Bürger noch skeptisch gegenüber der neuen Technologie eingestellt sind. Nur 41 Prozent der Befragten haben Vertrauen in die Diagnosefähigkeit einer Künstlichen Intelligenz, während 81 Prozent großes Vertrauen haben, dass eine Ärztin oder ein Arzt die korrekte Diagnose stellt. Unternehmen, Forschende sowie Innovatorinnen und Innovatoren der Datenökonomie stehen deshalb nicht nur vor der Herausforderung, neue technologische Lösungen zu entwickeln, sondern auch die potenziellen Anwenderinnen und Anwender von der Leistungsfähigkeit, Qualität und Sicherheit der neuen Datentechnologien zu überzeugen.
Gesetzlich verbindliche Regulierungen und freiwillige Normen oder Standards sowie auf diesen Regeln aufbauende Zertifizierungssysteme können einen wichtigen Beitrag leisten, um den Qualitäts- und Sicherheitserwartungen gerecht zu werden und Vertrauen aufzubauen. Durch die Eigenschaft von Normen und Standards unter anderem Sicherheits- und Qualitätsanforderungen an Produkte und Dienstleitungen festzulegen, und im Rahmen von darauf aufbauenden Zertifizierungen unabhängigen Dritten die entsprechenden Eigenschaften zu bescheinigen, steigt das Vertrauen der Anwenderinnen und Anwender in neu entwickelte Technologien und beschleunigt ihre breite Adaption (Herrmann et al. 2020).
In diesem Kapitel wird deshalb die Bedeutung von Normen, Standards und Zertifizierungssystemen für Innovatorinnen und Innovatoren der Datenwirtschaft näher beleuchtet. Die Inhalte der Normen oder Standards können von den Unternehmen, Forschenden und Innovatorinnen und Innovatoren selbst bestimmt werden. Damit können die Teilnehmenden ihre regulatorische Umgebung mit beeinflussen. Zudem ist die Normung ein Ort des Lernens. Die Teilnehmenden treffen in Normungsgremien auf Unternehmen andere Stakeholder, die als Quelle für technologisches Wissen genutzt werden können. Dabei können zum Beispiel neue Verwertungsideen oder Allianzen entstehen. Die teilnehmenden Unternehmen, Forschende sowie Innovatorinnen und Innovatoren bekommen durch die Teilnahme in der Normung oder Standardisierung einen Wissensvorsprung gegenüber Nicht-Teilnehmenden. Die aus der Normungsarbeit resultierenden Normen haben gegenüber Standards den Vorteil, dass formale Normen eine höhere Marktakzeptanz haben während schnell zu erstellende Standards in Märkten mit hoher Innovationsgeschwindigkeit eine Möglichkeit bietet, zügig Begriffe zu definieren sowie Qualitäts- und Sicherheitskriterien festzulegen. Die Unternehmen der Datenwirtschaft sollten deshalb die Teilnahme an der Normung oder Standardisierung in einer Kosten-Nutzen-Analyse unterstellen. In der Kosten-Nutzen-Analyse sollten die vielen Vorteile (Mitbestimmung von Inhalten, Wissensvorsprung, Marktakzeptanz) den Kosten (Reisen und Teilnahmegebühren) gegenübergestellt werden.
Alle Akteure der Datenwirtschaft müssen sich mit dem Thema Zertifizierung auseinandersetzen, insbesondere da der Regulierungsentwurf der EU für KI-Anwendungen mit hohem Risiko (zum Beispiel im Gesundheitsbereich) verpflichtende Prüfungen durch unabhängige Dritte vorsieht. Parallel dazu entstehen freiwillige Zertifizierungsprogramme für KI-Anwendungen, die darauf abzielen, Akzeptanz und Vertrauen am Markt zu verbessern, gleichzeitig aber auch Kosten für Vorbereitung der Überprüfung, Implementierung von geforderten Maßnahmen verursachen. Die Unternehmen, Forschende sowie Innovatorinnen und Innovatoren der Datenwirtschaft sollten deshalb bei freiwilligen Programmen Kosten und Nutzen der Zertifizierung vorsichtig abwiegen. Bei verpflichtenden Maßnahmen, wie der CE-Kennzeichnung für Medizinprodukte, sollte bereits in der frühen Entwicklungsphase des Produkts Entscheidungen über die Zweckbestimmung und Risikoeinschätzung getroffen werden. Mit der Entscheidung werden die Rahmenbedingungen für den Entwicklungs- und Produktionsplan festgelegt, was zu Kosteneinsparungen und höheren Erfolgsaussichten führt.
Nach einem einleitenden Überblick über Normen, Standards und Zertifizierungen werden im Folgenden Normungs- und Standardisierungsaktivitäten sowie Zertifizierungsschemes für die Datenwirtschaft betrachtet. Das Kapitel schließt mit einem Praxisbeispiel für den Zertifizierungsprozess aus dem Gesundheitswesen.
2 Überblick: Normen, Standards, Zertifizierungen
Formale Normen werden von informellen Standards unterschieden und von interessierten Kreisen in offiziellen Normungsorganisationen im Konsens erstellt. Zu den interessierten Kreisen zählen neben den zumeist initiierenden Unternehmen beispielsweise auch Umwelt- oder Verbraucherverbände, Think Tanks und andere interessierte zivilgesellschaftliche Organisationen. Zu den Normungsorganisationen gehören in Deutschland das Deutsches Institut für Normung e. V. (DIN) und die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE (DKE). Auf der europäischen Ebene erstellen das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (CENELEC) Normen für die Europäische Union und den Europäischen Wirtschaftsraum (EWR). Auf internationaler Ebene erstellen unter anderem die Internationale Organisation für Normung (ISO) sowie die Internationale Elektrotechnische Kommission (IEC) Normen zur weltweiten Anwendung (Blind und Heß 2020).
Informelle Standards können von einer oder mehreren Organisationen in temporären Konsortien entwickelt werden. Eine Notwendigkeit zum Konsens besteht in der informellen Standardisierung nicht. Standards können deshalb auch innerhalb weniger Monate in kleinen Gruppen erarbeitet werden. Auch formale oder offizielle Normungsorganisationen bieten Prozesse zur Erstellung von Standards an. Im Deutschen Institut für Normung werden diese – in einem Workshop-Verfahren erarbeiteten – Standards DIN SPEC genannt und haben den Status einer öffentlich verfügbaren Spezifikation (sogenannte Publicly Available Specification/PAS). Wird für diese neuen Produkte und Dienstleistungen eine Definition von zentralen Begriffen oder Anforderungen für Sicherheit, Qualität oder Kompatibilität benötigt, kann eine DIN SPEC aufgrund ihrer zügigen Erarbeitung das Mittel der Wahl sein (Abdelkafi et al. 2016). Aufgrund der zügigen Erarbeitungszeit eignen sich DIN SPECs für Technologien und Sektoren mit hoher Innovationsgeschwindigkeit und häufigem Auftreten von neuen Produkten und Dienstleistungen.
Der Nutzen von Normen und Standards geht dabei über Sicherheits- und Qualitätsaspekte hinaus. Sie stellen unter anderem den Austausch zwischen Anwendungsebenen her – zum Beispiel zwischen Hard- und Softwareebene – und ermöglichen den Datentransfer zu anderen kompatiblen Anwendungen. Die Applikation von Normen schafft Rechtssicherheit und ist häufig Voraussetzung für den Marktzutritt, insbesondere auf dem Europäischen Binnenmarkt. Normen und Standards liefern Information über die Eigenschaften von Produkten und Dienstleistungen und vereinfachen deshalb den internationalen Handel. Sie sind ein wichtiger Teil der Wirtschaftsordnung insgesamt und durch ihre Adaptionswirkung ein essentieller Bestandteil des Nationalen Innovationssystems (Blind und Mangelsdorf 2016a).
Zertifizierungen sind Prozesse zum Nachweis der Einhaltung von festgelegten Anforderungen. Die Anforderungen können sich aus gesetzlichen Bestimmungen (zum Beispiel bei Medizinprodukten der Risikoklasse II oder höher) oder freiwilligen Normen oder Standards ergeben. Die Einhaltung der Anforderungen aus Normen oder Standards werden dabei durch freiwillige Zertifizierungen nachgewiesen (Blind und Mangelsdorf 2016b).
Die Anwendungsbereiche der Zertifizierungen (sogenannte Scopes) sind vielfältig. Sie umfassen beispielsweise das klassische Qualitätsmanagement, dessen Anforderungen in der internationalen Normenreihe ISO 9000 festgelegt sind, aber auch Entwicklungen für die Datenwirtschaft, z. B. Cloud-Service-Zertifizierung oder Ergebnisse neuer, speziell auf die Künstliche Intelligenz bezogener Initiativen. Zu letzteren zählt beispielsweise das Gemeinschaftsprojekt Zertifizierte KI des Fraunhofer IAIS, der Universitäten Bonn und Köln, der RWTH Aachen, des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des DIN (Poretschkin et al. 2021).
3 Normungs- und Standardisierungsaktivitäten für die Datenwirtschaft
Nach dem Überblick zu Normen, Standards und Zertifizierungen werden im Folgenden derzeit laufende Aktivitäten in diesen Bereichen mit Bezug zur Datenwirtschaft dargestellt. Die Inhalte von Normen und Standards können im Gegensatz zu hoheitlich verordneten Regulierungen von den interessierten Kreisen in Normungs- und Standardisierungsgremien selbst bestimmt werden. Unternehmen, Forschende sowie Innovatorinnen und Innovatoren können direkt Einfluss auf die inhaltliche Ausgestaltung nehmen.
Die Motive zur Teilnahme an der Normung oder Standardisierung sind vielfältig. Werden Normen als Konkretisierung allgemein formulierter Europäischer Richtlinien herangezogen, können an der Normung teilnehmende Unternehmen direkt Einfluss auf die konkrete Umsetzung der Richtlinien nehmen und beispielsweise ausgehend von ihrer Markt- und Technologieexpertise Sicherheitsanforderungen definieren. Teilnehmende Unternehmen haben dann gegenüber nicht-teilnehmenden Unternehmen einen Wissensvorsprung und können diesen gewinnbringend nutzen. Die Teilnahme in Normungs- oder Standardisierungsgremien kann somit neben eigenen Forschungs- und Entwicklungstätigkeiten als zusätzliche Quelle für technisches Wissen dienen. Unternehmen treffen in Gremien auf andere Marktteilnehmende, sowohl Wettbewerber als auch andere Unternehmen in Upstream oder Downstream Märkten (d. h. Zulieferende oder Abnehmende). In der Diskussion offenbaren Unternehmen einen Teil ihres technologischen Wissens gegenüber anderen teilnehmenden Stakeholdern, was wiederum einen Wissensvorsprung gegenüber Nicht-Teilnehmenden begründet. Die Normungsteilnahme kann durch das Aufeinandertreffen verschiedener Marktteilnehmender auch zu neuen Verwertungsideen führen. Schließlich können die teilnehmenden Personen auch Normen oder Standards verhindern, die nicht ihren Interessen entsprechen und zum Beispiel zu höheren Kosten führen würden (Blind und Mangelsdorf 2016a).
Die Qualität der Normen profitiert zudem von der Teilnahme von Forschenden. Insbesondere in hochinnovativen Feldern wie der Datenwirtschaft mit noch wenigen Standardisierungsaktivitäten und einem hohen Anteil impliziten Wissens können Forschende in der Normung sicherstellen, dass der Inhalt der Norm dem aktuellen Forschungsstand ent-spricht.
Die Teilnahme in der Normung oder Standardisierung bringt jedoch auch Kosten mit sich. Die Zeitspanne von der Idee bis zur Veröffentlichung einer Norm kann in einigen Fällen mehrere Jahre dauern und benötigt neben Ausdauer auch Kosten für Personal, Reisen und Teilnahmegebühren. Besonders für kleine Unternehmen und Start-ups ohne eigene Standardisierungsabteilung entstehen zudem Opportunitätskosten, da aufgrund der insgesamt beschränkten Ressourcen des Unternehmens unter Umständen andere produktive Tätigkeiten nicht durchgeführt werden können. Auch wenn Normungsorganisationen vermehrt Online-Formate für Gremiensitzungen einsetzen, können zeitintensive Sitzungen abschreckend wirken. Weniger zeitintensiv ist dagegen die Erstellung von Standards, die keine Konsensentscheidung der beteiligten Stakeholder benötigt.
In Deutschland findet ein signifikanter Teil der Normungsarbeiten im Bereich der Datenwirtschaft und KI im DIN-Normenausschuss Informationstechnik und Anwendungen (NIA), Fachbereich Grundnormen der Informationstechnik, Arbeitsausschuss Künstliche Intelligenz (NA 043-01-42 AA) statt. Auf der europäischen Ebene agiert das – aus der CEN/CENELEC Focus Group on Artificial Intelligence hervorgegangene – CEN/CENELEC JTC 21 Artificial Intelligence und auf der internationalen Ebene das ISO/IEC JTC 1/SC 42 Artificial Intelligence. Zu den Aufgaben des DIN-Normenausschusses gehört auch die Rolle als sogenanntes Spiegelkommittee für die europäischen und die internationalen Gremien, das heißt die Ermittlung von nationalen Standpunkten zu den Normungsarbeiten auf der europäischen und internationalen Ebene. Die Mitarbeit in den Gremien nationaler Normungsorganisationen beeinflusst auch die supranationale Normungsarbeit.
Inzwischen gibt es bereits einige Beispiele für Normen in der Datenwirtschaft. Zum Beispiel definiert die Normenreihe ISO/IEC AWI 5259 für Analytik und Datenqualität im Maschine Learning Begriffe (Teil 1), zeigt Maßnahmen zur Verbesserung der Datenqualität (Teil 2), definiert Anforderungen und Richtlinien für das Datenqualitätsmanagement (Teil 3) und gibt einen Rahmen vor, wie der Prozess zur Verbesserung der Datenqualität organisiert werden kann (Teil 4) (ISO 2021). Im DIN sind zudem im Rahmen des Standardisierungsverfahrens mehrere DIN SPEC für Blockchain entstanden. DIN SPEC 16597:2018-02 definiert wichtige Terminologien für die Blockchain-Technologie (DIN 2018) und DIN SPEC 4997:2020-04 entwickelt ein standardisiertes Verfahren für die Verarbeitung personenbezogener Daten mittels Blockchain-Technologie (DIN 2020).
In der Datenwirtschaft gibt es jedoch weiteren Bedarf an Normen und Standards. Entsprechend versucht die Normungsroadmap Künstliche Intelligenz die Herausforderungen sowie Normungs- und Standardisierungsbedarfe zu ermitteln. Dabei zeigt sich, dass aktuell insbesondere in den Sektoren industrielle Automation, Mobilität, Logistik und Gesundheit der Bedarf nach weiteren Normen und Standards hoch ist. Sektorenübergreifende Normen und Standards fehlen für Terminologie, Qualitätsaspekte, IT-Sicherheit und Zertifizierung. Außerdem empfehlen Expertinnen und Experten unter anderem die Schaffung eines nationalen Programms zur Entwicklung eines standardisierten Zertifizierungsschemes mit dessen Hilfe Aussagen über die Vertrauenswürdigkeit von KI-Systemen getroffen werden können (Wahlster und Winterhalter 2020).
Zusammenfassend lässt sich feststellen, dass die Normung und Standardisierung für Unternehmen und Forschende der Datenwirtschaft viele Einflussmöglichkeiten eröffnet. Die Inhalte von Normen und Standards können von den interessierten Kreisen selbst bestimmt werden. Die Teilnahme an der Normung und Standardisierung bringt viele Vorteile mit sich (Wissensvorsprung, Verwertungsmöglichkeiten, Networking), führt aber auch zu Kosten, zum Beispiel durch Reise- und Teilnahmegebühren. Unternehmen sollten die Vorteile der Teilnahme intensiv recherchieren und gegen die Kosten abwägen. Die informelle Standardisierung hat in Bereichen mit hoher Innovationsgeschwindigkeit Vorteile gegenüber der formalen Normung, bei welcher der Konsens aller Teilnehmenden notwendig ist. Die formale Normung ist vorteilhaft, wenn Unternehmen Bedarf an weiteren Akteuren (zum Beispiel Umwelt- oder Verbraucherverbänden, Think Tanks) haben oder nach hoher Akzeptanz am Markt suchen.
4 Zertifizierungsschemes in der Datenwirtschaft
Immer mehr Organisationen versuchen, wie von der Normungsroadmap gefordert, ein standardisiertes Zertifizierungsprogramm zu entwickeln und umzusetzen. Objektiv betrachtet handelt es sich dabei jedoch nicht um ein Umsetzungsprogramm als vielmehr um parallele Versuche. Zertifizierungsprogramme, mit dem Ziel das Vertrauen in Services der Datenwirtschaft und KI zu verbessern, werden derzeit unter anderem vom Bundesministerium der Justiz (BMJ), dem Hessischen Ministerium für Digitale Strategie und Entwicklung und dem Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen entwickelt.
Das Bundesministerium der Justiz (BMJ) fördert das Projekt „Zentrum für vertrauenswürdige KI“ und zielt darauf ab, durch die Entwicklung von Standards, Verbraucherinnen und Verbrauchern Informationen zu Transparenz und Vertrauen von KI-Systemen zu liefern. Die Standards sollen anschließend die Grundlage für ein Zertifizierungsschema für vertrauenswürdige KI bilden. Das Vorhaben steht beginnt im November 2021 und wird bis 2023 vom BMJ gefördert (BMJ 2021).
Auf der Ebene der Bundesländer setzt sich das Hessische Ministerium für Digitale Strategie und Entwicklung für einen sektorenübergreifenden Ansatz bei der Prüfung von KI-Systemen ein. Im Projekt AI Quality & Testing Hub kooperiert die Deutschen Kommission Elektrotechnik, Elektronik, Informationstechnik (DKE) mit dem VDE Prüf- und Zertifizierungsinstitut. Im Pilotprojekt werden die Fachlichen Grundlagen für die Auditierbarkeit und für Konformitätsbewertungen erforscht und angewendet. Die Ergebnisse fließen in die Normungsarbeit auf nationaler, europäischer und internationaler Ebene ein (VDE 2021).
Das bereits erwähnte Projekt Zertifizierte KI des Fraunhofer IAIS, wird vom Land Nordrhein-Westfalen gefördert und entwickelt standardisierte Prüfkriterien für KI-Systeme. Ein Prüfkatalog mit detaillierten messbaren Zielvorgaben sowie Maßnahmen, um die Ziele zu erreichen, wurde bereits veröffentlicht. Der Prüfkatalog orientiert sich an den Dokumentationspflichten, die laut dem im April 2020 veröffentlichten Gesetzesentwurf der EU (EU AI Act) für KI-Systeme mit hohem Risiko gelten sollen, und enthält die Kriterien Fairness, Autonomie sowie Kontrolle, Transparenz, Verlässlichkeit, Sicherheit und Datenschutz (s. Abschn. 9.4). Unter der Dimension Fairness wird gefordert, dass Trainingsdaten frei von Fehlern sind, die zu diskriminierenden Ergebnissen führen könnten. Unternehmen müssen Trainingsdaten so dokumentieren, dass Prüfende die Entstehung sowie die nachträgliche Aufbereitung nachvollziehen können. Bei der Dimension Verlässlichkeit soll sichergestellt werden, dass das KI-System gegenüber manipulierten Eingaben robust ist. Dafür müssen die Unternehmen nachweisen, welche Performanz-Metrik sie einsetzen. Die Prüfenden müssen einsehen können, welche Fehler gefunden und behoben wurden. Im Rahmen der Dimension Sicherheit werden potenzielle Personen-, Sach- sowie finanzielle Schäden betrachtet. Dabei können die Entwicklerinnen und Entwickler des Zertifizierungsschemes im Gegensatz zu den meisten anderen Dimensionen auf Elemente existierender Normen zurückgreifen, zum Beispiel auf die internationale Norm DIN EN ISO 10218 Industrieroboter – Sicherheitsanforderungen. Im Rahmen der Dimension Datenschutz sollen sensible, personenbezogene Daten oder aber auch Geschäftsgeheimnisse der Unternehmen sicher sein. Dafür müssen Unternehmen die Datenquellen nachweisen und den Prüfenden Beispieldaten zur Verfügung stellen. Für personalisierte Daten müssen die Unternehmen nachweisen, welche Verfahren zur Anonymisierung (s. Kap. 14.) sie verwendet haben (Poretschkin et al. 2021).
Die Regulierung, Normung und Standardisierung sowie Entwicklung von Prüfkriterien für Zertifizierungsschemes steht noch am Anfang. Insbesondere bei der Entwicklung von zertifizierbaren Prüfkriterien bleibt unklar, welche Pflichten auf die Unternehmen in den jeweiligen Zertifizierungsprogrammen zukommen. Der Prüfkatalog des Projekts Zertifizierte KI beschreibt zwar konkrete Prüfkriterien, über die Kosten der Zertifizierung, die Dauer des Audits oder die Länge der Gültigkeit eines Zertifikats können dagegen noch keine Aussagen getroffen werden. Ebenso ist unklar, ob es den unabhängigen Prüfunternehmen bei bestehendem Fachkräftemangel gelingt, ausreichend Fachpersonal mit KI-Kompetenz als Auditorinnen und Auditoren zu gewinnen. Zudem sind die genannten Projekte in Hessen, Nordrhein-Westfalen und des Bundesministeriums der Justiz einige nationale Beispiele neben sehr vielen internationalen Initiativen. In den Jahren 2015 bis 2020 haben über einhundert Organisationen Regeln für den Umgang mit KI entworfen (ScienceBusiness 2021). Hier wird in naher Zukunft mehr Klarheit von Seiten des Gesetzgebers auf nationaler und vor allem europäischer Ebene benötigt, um Unternehmen nicht allein mit der Herausforderung zu lassen, zu entscheiden, ob beziehungsweise nach welchem Zertifizierungsprogramm sie sich zertifizieren lassen. Wollen Unternehmen mit ihren Angeboten mehrere (internationale) Märkte bedienen, sind kostspielige multiple Zertifizierungen zu befürchten. Für Verbraucherinnen und Verbraucher kann eine Vielzahl von Zertifizierungsprogrammen verwirrend wirken, statt das Vertrauen in neue Technologien zu verbessern. Erste warnende Stimmen weisen darauf hin, dass die Zertifizierungslandschaft in der Datenwirtschaft – insbesondere im Bereich der Künstlichen Intelligenz – zunehmend der Situation im Nachhaltigkeitssektor ähnelt, wo Unternehmen häufig gleichzeitig mehre kostspielige Zertifizierungen erwerben müssen, Zertifizierungsprogramme eher den Anschein der Nachhaltigkeit erwecken („greenwashing“) und Verbraucherinnen und Verbraucher kaum umweltfreundliche von weniger umweltfreundlichen Zertifizierungsprogrammen unterscheiden können (Matus und Veale 2022).
5 Praxisbeispiel Gesundheitswirtschaft
Im Folgenden wird der Zertifizierungsprozess für ein Datenprodukt anhand eines Fallbeispiels aus der Gesundheitswirtschaft dargestellt. Das Pilotprojekt Telemed5000 (2019) aus dem Technologieprogramm Smarte Datenwirtschaft des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) veranschaulicht die Herausforderungen, die für Entwicklerinnen und Entwickler im Rahmen des Zertifizierungsprozesses auftreten können (Köhler 2021). Das Projekt fokussiert Patientinnen und Patienten mit chronischer Herzinsuffizienz, die mittels einer Tablet-App und damit verbundenen Sensoren und Geräten Vitalparameter erfassen und an ein Telemedizinzentrum (TMZ) zur Überwachung senden. Die Daten werden an eine datenschutzkonforme elektronische Gesundheitsakte übermittelt und KI-gestützt durch ein Entscheidungsunterstützungssystem voranalysiert. Die Anwendung verbessert die medizinische Betreuung durch die telemedizinische Begleitung, da eine beginnende Verschlechterung des Krankheitszustands frühzeitig erkannt werden kann. Krankenhausaufenthalte und Behandlungskosten werden reduziert und Patientinnen und Patienten können auch in ländlichen Regionen besser versorgt werden. Das KI-System unterstützt dabei das Fachpersonal.
Die Notwendigkeit zur Zertifizierung entsteht durch die Vorgaben des streng regulierten Gesundheitsmarktes. Die Verordnung (EU) 2017/745 über Medizinprodukte fordert, dass Herstellende ihre Produkte mit einer CE-Kennzeichnung versehen müssen, bevor sie in der EU auf den Markt gebracht werden. Je nach Risikoklasse muss eine zuständige Behörde in die Überprüfung der Anforderung miteinbezogen werden.
Im Fall des Pilotprojekts Telemed5000 muss auch die Software und KI-Anwendung mit in Betracht gezogen werden, da neben unkritischen Parametern wie Puls und Gewicht auch die Herzrate als ein kritischer Parameter an das TMZ übermittelt wird. Die Anwendung ist gemäß § 3 des Medizinproduktegesetzes (MPG) daher als Medizinprodukt zu klassifizieren, da die Zweckbestimmung deutlich über eine einfache Dokumentation der Vitalparameter hinausgeht. Das MPG wurde zwar 2021 von der Europäischen Medizinprodukteverordnung (Medical Device Regulation (MDR)) abgelöst, die dort beschriebene Zweckbestimmung für Medizinprodukte gilt aber weiterhin. Verschiedene Behörden haben Leitfäden veröffentlicht, um Entwicklerinnen und Entwickler bei der nicht-trivialen Frage zu unterstützen, in welchen Fällen eine Software als Medizinprodukt definiert wird und somit unter die Verordnungen und Gesetze des Gesundheitsmarkts fällt (Reinsch 2021).
Da die Anwendung des Projekts Telemed5000 unter die Europäische Medizinprodukteverordnung und das Medizinproduktegesetz (MPG) fällt, müssen die Entwicklerinnen und Entwickler eine CE-Kennzeichnung für Medizinprodukte anstoßen. Mit dem CE-Zeichen (CE- Communauté Européenne) versichert der Herstellende, dass das Medizinprodukt den Anforderungen der europäischen Richtlinien entspricht. Die Besonderheit ist hier, dass der Weg zur Kennzeichnung in der Entwicklungsphase beginnt, während bei anderen Zertifizierungssystemen die Prüfung der Anforderungen erst am fertigen Produkt vorgenommen werden.
Abb. 19.1 zeigt anhand des Fallbeispiels der Telemonitoring-Anwendung die Vorphase zur CE-Kennzeichnung.
Die CE-Kennzeichnung für Medizinprodukte beginnt bereits in der Konzeptionsphase. (Eigene Darstellung)
Mit Ausnahme der In-vitro-Diagnostika (das heißt zur Untersuchung von aus dem menschlichen Körper stammenden Proben) werden alle Medizinprodukte einer Risikoklasse zugeordnet. Da die Telemonitoring-Anwendung ein Medizinprodukt zur In-vivo-Diagnostik (das heißt bei lebenden Patienten) verwendet wird und deshalb nicht unter die Ausnahmebedingungen der Medizinprodukterichtlinie fällt, muss auch die Telemonitoring-Anwendung vom Herstellenden entsprechend ihres Gefährdungspotenzials klassifiziert werden. Die Klassifizierung basiert auf der Verletzbarkeit des menschlichen Körpers und der Berücksichtigung potenzieller Risiken, die durch den Betrieb des Medizinproduktes entstehen können. Die Medizinprodukterichtlinie 93/42/EWG unterscheidet im Anhang IX die Risikoklassen I (niedrig), IIa, IIb und III (hoch). Im Anhang IX der Medizinprodukterichtlinie wird detailliert erläutert, welche Eigenschaften für die Risikoklassifikation relevant sind. Die Telemonitoring-Anwendung zur Überwachung der Herzrate ist als Risikoklasse IIb einzustufen (BfArM 2021).
Die Risikoklasse bestimmt die Art des Konformitätsbewertungsverfahrens gemäß Anhang IX bis XI der MDR. Grundlage dieses Bewertungsverfahrens ist das Erstellen der technischen Dokumentation. Darin sind alle relevanten Informationen wie beispielsweise klinische Bewertung, Gebrauchsanweisung, EG-Baumusterbescheinigung, Risikobewertung und -management und der Bericht zur Gebrauchstauglichkeit enthalten. Entsprechend der Vorgaben der MDR an Produkte der Risikoklasse IIb, muss der Herstellende der hier beschriebenen Telemonitoring-Anwendung zusätzlich ein vollständiges Qualitätsmanagementsystem (QM-System) nach DIN EN ISO 13485 einführen und die technische Dokumentation von einer benannten Stelle bewerten lassen. Alternativ könnte der Herstellende der Telemonitoring-Anwendung auch das Verfahren der EG-Baumusterprüfung in Kombination mit einer Produktkonformitätsprüfung, wie in Abb. 19.2 dargestellt, durchführen. Im Idealfall wird die technische Dokumentation während der Konzeptionsphase gemäß des QM-Systems grundlegend erstellt und während der Entwicklungsphase des Produkts kontinuierlich gefüllt. Außerdem muss die Telemonitoring-Anwendung als Software as a Medical Device (SaaMD) die Grundsätze des Softwarelebenszyklus, des Risikomanagements sowie der Informationssicherheit erfüllen. Die klinischen Aspekte der technischen Dokumentation beziehen sich maßgeblich auf die klinische Leistungsfähigkeit und die Annehmbarkeit des Nutzen-/Risiko-Verhältnisses der Telemonitoring-Anwendung. Hier gibt es für Herstellende zwei Möglichkeiten. Entweder die Datenlage in der Literatur belegt eindeutig, dass die Anwendung keine unerwünschten Nebenwirkungen hat und den beabsichtigten Nutzen erfüllt oder es muss, falls es keine belastbaren Literaturdaten gibt, eine klinische Prüfung durchgeführt werden. Im Falle der Telemonitoring-Anwendung ist zumindest der Einsatz bei Patientinnen und Patienten mit chronischer Herzinsuffizienz durch umfangreiche klinische Studien belegt (G-BA 2021).
Das Konformitätsbewertungsverfahren nach MDR für Produkte der Risikoklasse IIb (Eigene Darstellung)
Nach einer erfolgreichen Konformitätsbewertung stellt die benannte Stelle ein EG-Zertifikat aus, dass für fünf Jahre gültig ist. Danach muss eine Re-Zertifizierung erfolgen. Im Anschluss kennzeichnet der Herstellende die Telemonitoring-Anwendung mit dem CE-Kennzeichen zusammen mit der entsprechenden Kennnummer der benannten Stelle und bringt das Produkt auf den Markt. Solange sich die Anwendung im Markt befindet, muss der Herstellende kontinuierlich Rückmeldungen prüfen, auf Zwischenfälle reagieren und die Risikomanagementakte aktualisieren.
Zunehmend werden Algorithmen der künstlichen Intelligenz (KI) in Medizinprodukten beziehungsweise SaaMD eingesetzt, um etwa Krankheitsverläufe vorherzusagen oder Patientendaten effizient zu analysieren. Nach den grundlegenden Sicherheits- und Leistungsanforderungen der MDR ist eine SaaMD so auszulegen, dass die Wiederholbarkeit, Zuverlässigkeit und Leistung bei ihrer bestimmungsgemäßen Verwendung gewährleistet ist. Das bringt vor allem im Zusammenhang mit KI einige besondere Herausforderungen mit sich. Beispielsweise sind KI-Systeme oft schwer nachvollziehbar. Sowohl für KI-Entwicklerinnen und Entwickler als auch die Anwendenden ist nicht immer klar, aus welchen Gründen eine konkrete Entscheidung getroffen wurde. Derartige Anwendungen werden auch als Black-Box-Systeme bezeichnet. Einen großen Einfluss auf das KI-Modell hat die verwendete Datengrundlage, sodass diese bei einer Zertifizierung ebenfalls genau untersucht werden muss. Besonders herausfordernd ist zudem die Zertifizierung von selbstlernenden Systemen, die in der praktischen Anwendung weiterlernen und sich so kontinuierlich verbessern sollen. Dieser Ansatz birgt großes Potenzial, gleichzeitig muss jedoch auch hier aus regulatorischer Sicht gewährleistet werden, dass die KI weiterhin gute Ergebnisse liefert.
Bislang gibt es noch keine erprobten und allgemein akzeptierten Vorgehensweisen für die Konformitätsbewertung von Medizinprodukten beziehungsweise SaaMD mit KI. Es existieren jedoch Ansätze auf nationaler Ebene, die die beschriebenen Herausforderungen adressieren. Poretschkin et al. (2021) haben für KI-Anwendungen einen Prüfkatalog mit Dokumentationspflichten und Anforderungen entwickelt, um die Wiederholbarkeit, Zuverlässigkeit und Leistung einer KI-Anwendung sicherzustellen. Das Johner-Institut hat zudem einen Leitfaden zum Umgang mit KI bei Medizinprodukten veröffentlicht, der konkrete Prüfkriterien für die Zulassung von KI-Systemen im Medizinbereich beinhaltet (Johner 2021).
Auf Grundlage der darin enthaltenen Checkliste erarbeiteten die benannten Stellen einen entsprechenden Fragenkatalog, der bei der Zertifizierung derzeit eingesetzt wird. Diese Kriterien beziehen sich allerdings nur auf regel-basierte Systeme. In Deutschland ist es deshalb noch nicht möglich, selbstlernende KI-Systeme als Medizinprodukte oder SaaMD zu zertifizieren. In den USA wurden jedoch bereits erste Ansätze von der Food and Drug Administration (FDA) formuliert, an denen sich Herstellende orientieren können (FDA 2021).
Zusammenfassend sind die lassen sich folgende Hinweise für Unternehmen und Forschende der Datenwirtschaft festhalten. Zum einen müssen Zertifizierungsschemes aus regulatorischen Anforderungen von freiwilligen Zertifizierungsprogrammen unterschieden werden. Bei freiwilligen Programmen sollten die Vorteile (Marktzugang, höhere Akzeptanz für Innovationen am Markt, interne Qualitätsverbesserungen) vorsichtig gegenüber den Kosten (Dokumentationen, Vorbereitung der Überprüfung, Implementierung von geforderten Maßnahmen) abgewogen werden.
Zudem stehen Zertifizierungsschemes für die Datenwirtschaft noch am Anfang der Entwicklung. Um Kundinnen und Kunden zu versichern, dass die eigenen Ansprüche an Datenqualität und -sicherheit hoch sind, sollten Innovatorinnen und Innovatoren die eigenen Anforderungen ausarbeiten und den Kundinnen und Kunden zur Verfügung stellen. Überlegungen für die CE-Kennzeichnung von Medizinprodukten sollten bereits vor der Entwicklungsphase des Produkts angestoßen werden. Die Entscheidungen bezüglich Zweckbestimmung und Risikoeinschätzung für das finale Produkt bestimmen maßgeblich die Rahmenbedingungen für dessen Entwicklung und Produktion.
Literatur
Abdelkafi N, Makhotin S, Thuns M, Pohle A, Blind K (2016) To standardize or to patent? Development of a decision making tool and recommendations for young companies. Int J Innov Manag 20. https://doi.org/10.1142/S136391961640020X
BfArM (2021) Zuordnung eines Produktes zu den Medizinprodukten. https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/Abgrenzung-und-Klassifizierung/_node.html. Zugegriffen am 29.10.2021
Blind K, Heß P (2020) Deutsches Normungspanel. Normungsforschung, -politik und -förderung. Indikatorenbericht 2020. Herausgegeben vom DIN e.V. https://www.normungspanel.de/publications/indikatorenbericht-2020-nachhaltigkeitsziele/. Zugegriffen am 30.03.2022
Blind K, Mangelsdorf A (2016a) Motives to standardize: empirical evidence from Germany. Technovation 48–49a:13–24
Blind K, Mangelsdorf A (2016b) Zertifizierung in deutschen Unternehmen – zwischen Wettbewerbsvorteil und Kostenfaktor. In: Friedel R, Spindler E (Hrsg) Zertifizierung als Erfolgsfaktor. Springer Gabler, Wiesbaden. https://doi.org/10.1007/978-3-658-09701-1_3
BMJV (2021) Zentrum für vertrauenswürdige Künstliche Intelligenz (KI) soll Verbraucherinteressen in der digitalen Welt stärken. https://www.bmjv.de/SharedDocs/Pressemitteilungen/DE/2021/1020_Zentrum_KI.html. Zugegriffen am 29.10.2021
DIN (2018) DIN SPEC 16597:2018-02. Terminology for blockchains. https://www.beuth.de/en/technical-rule/din-spec-16597/281677808. Zugegriffen am 29.10.2021
DIN (2020) DIN SPEC 4997:2020-04. Privacy by Blockchain Design: Ein standardisiertes Verfahren für die Verarbeitung personenbezogener Daten mittels Blockchain-Technologie. https://www.beuth.de/de/technische-regel/din-spec-4997/321277504. Zugegriffen am 29.10.2021
FDA (2021) U.S. Food & Drug Administration: Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) Action Plan. https://www.fda.gov/medical-devices/software-medical-device-samd/artificial-intelligence-and-machine-learning-software-medical-device. Zugegriffen am 29.10.2021
G-BA (2021) Richtlinie Methoden vertragsärztliche Versorgung: Telemonitoring bei Herzinsuffizienz. https://www.g-ba.de/beschluesse/4648. Zugegriffen am 29.10.2021
Herrmann P, Blind K, Abdelkafi N, Gruber S, Hoffmann W, Neuhäusler P, Pohle A (2020) Fraunhofer-Gesellschaft Relevanz der Normung und Standardisierung für den Wissens- und Technologietransfer. https://publica.fraunhofer.de/eprints/urn_nbn_de_0011-n-6158572.pdf. Zugegriffen am 29.10.2021
ISO (2021) ISO/IEC AWI 5259. https://www.iso.org/standard/81088.html. Zugegriffen am 29.10.2021.
Johner C (2021) Leitfaden zur KI bei Medizinprodukten. https://github.com/johner-institut/ai-guideline/blob/master/Guideline-AI-Medical-Devices_DE.md. Zugegriffen am 29.10.2021
Köhler F (2021) Entwicklung eines intelligenten Systems zur telemedizinischen Mitbetreuung von großen Kollektiven kardiologischer Risikopatienten (Telemed5000). https://www.telemed5000.de. Zugegriffen am 29.10.2021
Matus KJ, Veale M (2022) Certification systems for machine learning: lessons from sustainability. Regul Govern 16:177–196. https://doi.org/10.1111/rego.12417
Poretschkin M, Schmitz A, Akila M (2021) Leitfaden zur Gestaltung vertrauenswürdiger Künstlicher Intelligenz. www.iais.fraunhofer.de/ki-pruefkatalog. Zugegriffen am 29.10.2021
Projekt Telemed5000 (2019) Projektswebseite Telemed5000. https://www.telemed5000.de/. Zugegriffen am 04.03.2022
Reinsch D (2021) Software als Medizinprodukt – Software as Medical Device. https://www.johner-institut.de/blog/regulatory-affairs/software-als-medizinprodukt-definition. Zugegriffen am 29.10.2021
ScienceBusiness (2021) Time to harmonise artificial intelligence principles, experts say. https://sciencebusiness.net/news/time-harmonise-artificial-intelligence-principles-experts-say. Zugegriffen am 29.10.2021
TÜV Verband (2021) KI-Studie: Verbraucher:innen fordern Prüfzeichen für Künstliche Intelligenz. https://www.tuev-verband.de/pressemitteilungen/ki-verbraucherstudie-2021. Zugegriffen am 29.10.2021
VDE (2021) Hessische Ministerin für Digitale Strategie und Entwicklung und VDE planen Aufbau eines „AI Quality & Testing Hubs“. https://www.vde.com/de/presse/pressemitteilungen/ai-quality-testing-hub. Zugegriffen am 29.10.2021
Wahlster W, Winterhalter C (Hrsg) (2020) Deutsche Normungsroadmap Künstliche Intelligenz. DIN e.V. und Deutsche Kommission Elektrotechnik DKE. https://www.din.de/resource/blob/772438/6b5ac6680543eff9fe372603514be3e6/normungsroadmap-ki-data.pdf. Zugegriffen am 30.04.2022
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Open Access Dieses Kapitel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://creativecommons.org/licenses/by/4.0/deed.de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Kapitel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Copyright information
© 2022 Der/die Autor(en)
About this chapter
Cite this chapter
Mangelsdorf, A., Demirci, S., Besold, T. (2022). Nationale und internationale Standardisierung und Zertifizierung von Datendiensten. In: Rohde, M., Bürger, M., Peneva, K., Mock, J. (eds) Datenwirtschaft und Datentechnologie. Springer Vieweg, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-65232-9_19
Download citation
DOI: https://doi.org/10.1007/978-3-662-65232-9_19
Published:
Publisher Name: Springer Vieweg, Berlin, Heidelberg
Print ISBN: 978-3-662-65231-2
Online ISBN: 978-3-662-65232-9
eBook Packages: Computer Science and Engineering (German Language)