Foto: PeopleImages.com - Yuri A - shutterstock.com
Im Unternehmenseinsatz ist KI den Kinderschuhen entwachsen. Inzwischen werden branchenreife Lösungen implementiert, die einen echten Geschäftswert liefern - sowohl bei Herstellern als auch bei so manchen Distributoren. Was aber zur Professionalisierung zwangsläufig dazugehört, ist die Sicherstellung eines verantwortungsvollen Umgangs mit der KI. Kritiker haben vielfach darauf hingewiesen, dass der Einsatz solcher Systeme ohne Regulation schwerwiegende Folgen haben könnte, während Befürworter der Innovation vehement darauf verweisen, dass eine zu strenge Regulation den Fortschritt behindern würde.
In diesem Spannungsfeld ist eine komplexe Regulierungslandschaft entstanden. Am 1. August 2024 trat der EU-AI-Act in Kraft - ein risikobasierter Ansatz für die Regulierung von KI-Systemen, der gleichermaßen Grundrechte schützen und Innovationen fördern soll. Eine Haftungsrichtlinie, die derzeit ausgearbeitet wird, soll die bisher ungeklärte Haftungsfrage regeln.
Für Unternehmen, die KI bereits getestet haben oder eine Einführung planen, ist jetzt der richtige Zeitpunkt, eine dynamische und maßgeschneiderte Compliance-Lösung zu erarbeiten. Durch die Einbindung der KI-Prozesse in die Business Intelligence muss dem Management die Möglichkeit geschaffen werden, den Einsatz von KI in den unterschiedlichsten Unternehmensbereichen zentral zu überwachen und zu steuern, um die Risiken in den Griff zu bekommen. Am wichtigsten ist ein "Compliance-by-Design"-Ansatz. Klingt komplex? Ist es auch. Um diese Mammutaufgabe lückenlos zu erfüllen, empfiehlt sich ein strukturiertes Vorgehen.
Schritt 1: Eine Frage der Prinzipien
Damit die Compliance-Lösung zum Unternehmen passt, müssen klar definierte Leitprinzipien zugrunde liegen. Diese Grundsätze basieren auf ethischen Standards, Zielen und Visionen des Unternehmens. Für eine umfassende Reihe an Leitprinzipien ist eine Mischung aus "harten" und "weichen" Prinzipien anzuraten. Harte Leitprinzipien ergeben sich aus regulatorischen Anforderungen, weiche Prinzipien sind nicht in Rechtsvorschriften verankert und spiegeln ethische und allgemeine organisatorische Werte wider.
Schritt 2: Das entscheidende Gremium
Compliance-Prozesse und -aktivitäten müssen lückenlos beaufsichtigt und verwaltet werden. Hierfür empfiehlt sich die Einrichtung eines KI-Governance-Gremiums.
Dieses Gremium sollte sich aus funktionsübergreifenden Vertretenden verschiedener Abteilungen und Disziplinen zusammensetzen. Eine seiner Hauptaufgaben ist die Entwicklung und Umsetzung von Richtlinien und Verfahren, die mit den definierten Leitprinzipien übereinstimmen. Weiterhin muss das Gremium Rollen und Verantwortlichkeiten klar zuweisen und erforderliche Berichtstrukturen einrichten. Eine Abstimmung mit der nationalen Aufsichtsbehörde muss stets gewährleistet sein. Für den Erfolg des Gremiums ist die Unterstützung der obersten Führungsebene vorausgesetzt.
Schritt 3: Der Status Quo
Nun erfolgt eine Bewertung des Ist-Zustands. Geprüft werden Bereitschaft zur Einhaltung sowie Reife und Qualität der KI-Systeme und bisherigen Praktiken. Hierfür ist die Erstellung eines KI-Inventars, die Durchführung einer Analyse der Stärken, Schwächen und Risiken und eine gründliche Lückenidentifizierung nötig.
Konkret empfiehlt sich folgendes Vorgehen:
• Bewertung von Unterlagen und Dokumenten über Infrastruktur, Plattformen und Anwendungen
• Interviews mit wichtigen Akteuren zum aktuellen Stand der KI-Anwendungsfälle
• Bewertung der KI-Fähigkeiten (z. B. Datenqualität und Modellgenauigkeit)
Die Ergebnisse der Bewertung liefern Grundlage und Maßstab für Gestaltung und Umsetzung der KI-Compliance-Prozesse.
Schritt 4: Schritt für Schritt zur Risikoklassifizierung
In der Kartierung wird sichergestellt, dass die KI-Systeme und -Praktiken mit den regulatorischen Bestimmungen, Industriestandards und bewährten Verfahren übereinstimmen. Hierfür muss identifiziert werden, welche rechtlichen Anforderungen (verpflichtend und freiwillig) für die genutzten KI-Systeme gelten. Hier lohnt sich ein schrittweises Vorgehen:
• Bewertung, ob KI-Verordnung anwendbar ist
• Bewertung des Bedarfs an zusätzlichen Richtlinien und freiwilligen Verhaltenskodizes unter Berücksichtigung relevanter interner Regeln
• Risikoklassifizierung: inakzeptabel, hoch oder systemisch riskant
• Bestimmung der spezifischen Rolle (Anbieter, Verteiler oder Bereitsteller)
• Implementierung von Dokumentations-, Zertifizierungs- und Prüfmechanismen
Foto: CORE SE
Schritt 5: Alle Lücken schließen
Der nächste wichtige Schritt ist die Durchführung einer gründlichen Lückenanalyse. Ausnahmslos alle Lücken, bei denen die KI-Compliance noch nicht vollends sichergestellt ist, sind zu identifizieren - so klein und unbedeutend sie auch scheinen.
Zur Durchführung empfiehlt sich die Bildung eines funktionsübergreifenden Projektteams mit Mitgliedern aus verschiedenen Abteilungen. Diesem Projektteam sollten alle relevanten Unterlagen als Grundlage für den Vergleich mit gesetzlichen Anforderungen bereitgestellt werden.
Die Analyse besteht aus zwei wesentlichen Teilen:
• Vergleich der spezifischen rechtlichen Anforderungen mit den bestehenden Richtlinien und strategischen Führungsstrukturen des Unternehmens
• Prüfung der Übereinstimmung der operativen Abläufe und tatsächlichen KI-Nutzung mit regulatorischen Anforderungen und unternehmenseigenen Richtlinien
Zuletzt werden umsetzbare Maßnahmen zur Lückenschließung definiert und in einer Roadmap festgehalten.
Schritt 6: Aus Theorie wird Praxis
Die letzte Phase ist die Umsetzung. Hier werden notwendige Änderungen für das Erreichen des gewünschten Zielzustandes implementiert und erforderliche Strukturen für eine kontinuierliche Einhaltung eingerichtet. Dieser Schritt erfordert Zeit - je nach Ergebnis der Lückenanalyse.
Ein wesentlicher Aspekt ist der Nachweis der Konformität. Nötig hierfür sind Dokumentations- und Nachweis-Mechanismen, ebenso müssen Prozesse für die Meldung von Vorfällen und Verstößen vorhanden sein.
Wichtig für den kontinuierlichen Erfolg des Prozesses ist eine Verfolgung der Fortschritte. Sobald sich Vorschriften ändern, muss auch das Compliance-Programm angepasst werden.
Dieses sechsstufige, strukturierte Vorgehen hat sich bereits bei vielen Unternehmen trotz seiner Komplexität bewährt. Kaum ein Unternehmen kann ein Compliance-by-Design Programm ad hoc etablieren - es ist ratsam, sich professionell beratende Unterstützung zu suchen. Nur mit regelkonformem Einsatz kann die KI ihr ganzes Potenzial dauerhaft und mit geringem Risiko entfalten.
Mehr zum Thema KI findet Ihr hier:
Cyberrisiken durch KI-Drittanbieter managen
"KI kann die Qualität der Software verbessern“
Europas beste KI-Dienstleister
Mitarbeiter brauchen feste Regeln für die Nutzung der KI