12. August 2024 von Marina Žagar und Jonas Reinhardt
Vertrauen schaffen, Compliance sichern: KI-Governance als Erfolgsfaktor
Die rasante Entwicklung von Künstlicher Intelligenz (KI) eröffnet Unternehmen neue Chancen, stellt sie aber auch vor regulatorische und ethische Herausforderungen. Unser KI-Governance-Check unterstützt Unternehmen dabei, die komplexen Anforderungen der KI-Verordnung (EU KI-VO) und anderer Standards zu erfüllen, Risiken zu minimieren und das Vertrauen der Stakeholder zu stärken.
EU KI-VO – Was ändert sich jetzt genau (Ziele und Schwerpunkte)?
Die Verordnung über Künstliche Intelligenz (KI-Verordnung) ist eine Verordnung der Europäischen Union. Sie schafft einen ersten gemeinsamen regulatorischen und rechtlichen Rahmen für KI in der Europäischen Union (EU). Sie tritt am 1. August 2024 in Kraft, wobei die Bestimmungen in den folgenden 6 bis 36 Monaten schrittweise in Kraft treten. Die KI-Verordnung deckt alle Arten von KI in einer Vielzahl von Sektoren ab, mit Ausnahmen für KI-Systeme, die ausschließlich für militärische Zwecke, Zwecke der nationalen Sicherheit, Forschungszwecke und nichtgewerbliche Zwecke eingesetzt werden. Ziel ist es, die Entwicklung und Nutzung von KI in der EU zu fördern und gleichzeitig die damit verbundenen Risiken zu minimieren. Die KI-Verordnung stuft die nicht freigestellten KI-Anwendungen nach ihrem Schadensrisiko ein. Es gibt vier Stufen - inakzeptabel, hoch, begrenzt, minimal - sowie eine zusätzliche Kategorie für KI für allgemeine Zwecke.
- Anwendungen mit inakzeptablen Risiken sind verboten. Dazu gehören beispielsweise KI-Systeme, die Menschen manipulieren oder ausnutzen können.
- Anwendungen mit hohem Risiko müssen Sicherheits-, Transparenz- und Qualitätsanforderungen erfüllen und sich Konformitätsbewertungen unterziehen. Dies betrifft unter anderem KI-Systeme, die in kritischen Infrastrukturen, in der Bildung oder im Personalwesen eingesetzt werden.
- Für Anwendungen mit geringem Risiko gelten nur Transparenzverpflichtungen. Hierzu zählen etwa Chatbots oder Emotionserkennungssysteme.
- Anwendungen mit geringem oder keinem Risiko sind nicht geregelt. Dazu gehören beispielsweise KI-gestützte Videospiele oder Spamfilter.
Für KI-Systeme, die für sehr allgemeine Zwecke eingesetzt werden oder eine besonders hohe Leistungsfähigkeit aufweisen, sind zusätzliche und höhere Bewertungsmaßstäbe festzulegen. Dabei handelt es sich um KI-Systeme, die für eine Vielzahl von Anwendungen eingesetzt werden können, wie z.B. Sprachmodelle oder Bildgeneratoren. Auch die KI-Verordnung droht bei Verstößen mit sehr hohen Bußgeldern - Strafen von bis zu 7 Prozent des weltweiten Vorjahresumsatzes oder 35 Millionen Euro - und damit deutlich mehr als die Bußgelder bei DSGVO-Verstößen. Unternehmen müssen daher sicherstellen, dass ihre KI-Systeme den Anforderungen der Verordnung entsprechen, um hohe Bußgelder zu vermeiden.
Weitere relevante Regulatorik, Verordnungen, Systeme
Die Implementierung von KI in Unternehmen erfordert neben technologischer Expertise auch die Einhaltung verschiedener regulatorischer und ethischer Standards. KI-Governance kann als eine Reihe von Rahmenbedingungen und Richtlinien definiert werden, die den Einsatz von KI in verschiedenen Bereichen regeln. Ziel ist es, eine verantwortungsvolle Entwicklung und Anwendung von KI-Systemen sicherzustellen, die ethischen, rechtlichen und gesellschaftlichen Standards entspricht. Neben der EU KI-VO gibt es weitere wichtige Regelungen, Richtlinien, Standards und Tools, die für die Bewertung des Reifegrades von KI relevant sind. Dazu gehören:
- ISO/IEC 42001:2023: Dieser internationale Standard legt Anforderungen und Leitlinien für die Entwicklung, Bereitstellung und Verwendung vertrauenswürdiger KI-Systeme fest. Er deckt Aspekte wie Transparenz, Erklärbarkeit, Fairness und Robustheit ab.
- VDE SPEC 90012: Diese Spezifikation des Verbands der Elektrotechnik, Elektronik und Informationstechnik e.V. (VDE) bietet eine praktische Anleitung für die Entwicklung vertrauenswürdiger KI-Systeme. Sie enthält konkrete Empfehlungen zu Themen wie Datenschutz, IT-Sicherheit und ethische Prinzipien.
- Microsoft Responsible AI: Microsoft hat einen eigenen Rahmen für verantwortungsvolle KI entwickelt, der sechs Kernprinzipien umfasst: Fairness, Zuverlässigkeit und Sicherheit, Privatsphäre und Sicherheit, Inklusion, Transparenz und Verantwortlichkeit. Dieser Rahmen soll Unternehmen dabei unterstützen, vertrauenswürdige KI-Systeme zu entwickeln und einzusetzen.
- AIC4 (AI Cloud Services Compliance Criteria Catalogue): Der AIC4-Katalog wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und legt Kriterien für die Sicherheits- und Compliance-Anforderungen von KI-Cloud-Diensten fest. Er umfasst Aspekte wie Datenschutz, IT-Sicherheit, Risikomanagement und Compliance, um sicherzustellen, dass KI-Dienste in der Cloud sicher und vertrauenswürdig betrieben werden können.
- Fraunhofer Prüfkatalog für Künstliche Intelligenz: Der Fraunhofer Prüfkatalog bietet umfassende Leitlinien zur Bewertung und Zertifizierung von KI-Systemen. Hiermit kann die Qualität und Vertrauenswürdigkeit von KI-Anwendungen zu gewährleistet werden. Der Katalog deckt verschiedene Aspekte ab, darunter technische Sicherheit, ethische Anforderungen, rechtliche Konformität sowie die Transparenz und Nachvollziehbarkeit von Entscheidungen.
- Analyse-Tool DORA.KI: ab dem 17. Januar 2025 verpflichtet der Digital Operational Resilience Act (DORA) der EU alle EU-Finanzunternehmen, ihre IT-Resilienz zu stärken. Dazu zählen auch klare Vereinbarungen mit Informations- und Kommunikationstechnologie-Drittdienstleistern und deren Sub-Dienstleistern. Diese müssen bestimmte Standards für Informationssicherheit erfüllen, um einen robusten IT-Betrieb zu gewährleisten. Mit dem neuen Analyse-Tool DORA.KI unterstützt adesso Kunden beim Überprüfen von Verträgen und zugehörigen Dokumenten auf DORA-Compliance.
Die Umsetzung dieser Standards in den Unternehmensalltag erfordert eine umfassende und detaillierte Analyse der bestehenden Prozesse und Systeme. Die Identifikation und Bewertung von Risiken spielt dabei eine zentrale Rolle. Unternehmen müssen sicherstellen, dass sie nicht nur die regulatorischen Anforderungen erfüllen, sondern auch ethische Überlegungen in ihre Entscheidungsprozesse integrieren. Ein zentrales Anliegen bei der Umsetzung von KI-Regulierung ist die Sicherstellung von Transparenz und Nachvollziehbarkeit. Unternehmen stehen vor der Herausforderung, komplexe KI-Algorithmen verständlich zu erklären und deren Entscheidungen nachvollziehbar zu machen. Dies erfordert nicht nur technisches Know-how, sondern auch die interdisziplinäre Zusammenarbeit von Technikern, Juristen und Ethikern. Die Zukunft der KI wird maßgeblich von der Fähigkeit der Unternehmen abhängen, sich den dynamischen regulatorischen Anforderungen und ethischen Standards anzupassen. Die Kombination aus technischer Expertise und einem tiefen Verständnis der regulatorischen Landschaft ermöglicht es Unternehmen, nicht nur compliant zu sein, sondern auch verantwortungsvoll und nachhaltig zu handeln. Durch die Implementierung unseres umfassenden KI-Governance-Checks können Unternehmen die Voraussetzungen schaffen, um das Vertrauen ihrer Stakeholder zu gewinnen und ihre KI-Initiativen erfolgreich voranzutreiben.
Umsetzung des KI-Governance Check gemeinsam mit adesso
Wie funktioniert der Einsatz des KI-Governance Checks?
Unser Ansatz beginnt mit einer gründlichen Analyse der KI-Nutzung unserer Kundinnen und Kunden. In einem gemeinsamen Workshop erarbeiten wir uns ein umfassendes Verständnis der aktuellen Praktiken und Herausforderungen. Diese Erkenntnisse bilden die Grundlage für unseren KI-Governance-Check, der wichtige Aspekte wie Risikobewertung, Compliance und ethische Richtlinien abdeckt. Unsere Methodik verbindet technisches Know-how mit branchenspezifischer Expertise. Die Ergebnisse unseres KI-Governance-Checks interpretieren wir im Kontext der individuellen Unternehmensstruktur und -kultur unserer Kundinnen und Kunden. So identifizieren wir präzise die Stärken und Optimierungspotenziale ihrer KI-Strategie und erarbeiten geschäftsfeldorientierte Handlungsempfehlungen. Unser KI-Governance-Check unterstützt aktiv dabei, mögliche Herausforderungen in Bereichen wie Datenschutz, Algorithm Bias oder Intransparenz aufzudecken. Vor dem Hintergrund steigender regulatorischer Anforderungen, insbesondere der EU KI-VO, unterstützen wir unsere Kundinnen und Kunden dabei, Risiken zu minimieren und die Compliance ihrer KI-Software sicherzustellen.
Die Durchführung unseres KI-Governance-Checks ermöglicht es, die Governance-Strukturen des Unternehmens im Hinblick auf die Entwicklung und den Einsatz von KI zu betrachten und zu optimieren. Wir identifizieren Verbesserungspotenziale in den organisatorischen Abläufen und geben konkrete Empfehlungen zur Stärkung der KI-Governance. Dies kann die Einrichtung von KI-spezifischen Gremien, zum Beispiel für Ethik und Gleichstellung, oder die Implementierung robuster Qualitätssicherungsprozesse für KI-Systeme umfassen. Die Analyse und Bewertung des Ist-Zustandes bildet die Grundlage für die zukünftige Einhaltung relevanter Standards und Richtlinien. Mit Hilfe unseres KI-Governance-Checks können wir konkrete und spezifische Anforderungen an KI-Anwendungen aufzeigen und herausarbeiten, wie diese effektiv erfüllt werden können. Dies schafft Rechtssicherheit und stärkt das Vertrauen der Stakeholder in die KI-Aktivitäten des Unternehmens. Ein weiterer wichtiger Aspekt unseres KI-Governance-Checks ist die Bewertung der Datenqualität und -integrität. Wir untersuchen, wie Unternehmen Daten für das Training und den Einsatz von KI-Modellen sammeln, verarbeiten und schützen. Dabei identifizieren wir potenzielle Schwachstellen und geben Empfehlungen zur Verbesserung der Datenstrategie, um eine faire und unvoreingenommene KI zu gewährleisten.
Wir verstehen die Zusammenarbeit mit unseren Kunden als iterativen Prozess. Nach der initialen Analyse und der Umsetzung erster Empfehlungen führen wir regelmäßige Folgebewertungen durch. So können wir Fortschritte messen, neue Herausforderungen frühzeitig erkennen und die KI-Strategie kontinuierlich an sich ändernde regulatorische und rechtliche Rahmenbedingungen anpassen. Mit unserem KI-Governance-Check unterstützen wir unsere Kunden dabei, Risiken zu minimieren, Compliance-Anforderungen zu erfüllen und das Potenzial ihrer KI-Investitionen auszuschöpfen. So stellen wir sicher, dass unsere Kunden in der sich dynamisch entwickelnden Welt der KI zukunftsfähig aufgestellt sind. Wir begleiten sie auf dem Weg zu einer verantwortungsvollen und nachhaltigen Nutzung von KI, die nicht nur regulatorische Anforderungen erfüllt, sondern auch das Vertrauen der Stakeholder stärkt und den Geschäftserfolg fördert.
Fazit: Zukünftige Entwicklung der KI und Einsatzgebiete
KI ist zwar im Prinzip nichts Neues, aber die jüngsten technologischen und regulatorischen Fortschritte sind bahnbrechend und werden voraussichtlich noch lange rasant bleiben. Diese rasanten Entwicklungen stellen Unternehmen vor die Herausforderung, geeignete Governance-Mechanismen zu finden und gleichzeitig die wachsende Zahl von KI-Vorschriften einzuhalten. Ein umfassender KI-Governance-Check ist entscheidend, um diesen Herausforderungen zu begegnen. Er kombiniert unsere technologische Expertise, regulatorisches Wissen und ethische Überlegungen, um Risiken frühzeitig zu identifizieren und zu minimieren. Dies erhöht die Rechtssicherheit und stärkt das Vertrauen der Stakeholder. Unternehmen, die ihre Governance-Strukturen kontinuierlich verbessern, können die wirtschaftlichen Vorteile von KI voll ausschöpfen und gleichzeitig die hohen Anforderungen an Transparenz, Ethik und Compliance erfüllen. Der KI-Governance-Check unterstützt dabei, nicht nur in der Gegenwart, sondern auch in der Zukunft erfolgreich und nachhaltig aufgestellt zu sein.
Um die Potenziale verantwortungsvoll zu nutzen, müssen Unternehmen jedoch sicherstellen, dass ihre KI-Systeme ethischen, rechtlichen und gesellschaftlichen Standards entsprechen. Der KI-Governance-Check bietet hierfür eine wertvolle Grundlage und unterstützt Unternehmen dabei, auch in Zukunft erfolgreich und nachhaltig mit KI zu arbeiten.