Künstliche Intelligenz verändert weltweit Geschäftsmodelle, Prozesse und Entscheidungsfindungen – und das in einem beispiellosen Tempo. Hier allein technisch Schritt zu halten, ist anspruchsvoll genug. Zeitgleich steigen aber auch die Anforderungen, die aus Regulierung und Verantwortung folgen. Fach- und Führungskräfte stellt das vor die Herausforderung, KI nicht nur von der methodischen Seite her zu begreifen und strategische Potenziale zu identifizieren, sondern sich gleichermaßen mit den rechtlichen und ethischen Aspekten zu befassen.
Für anspruchsvolle Vorgaben sorgt insbesondere die Verordnung über künstliche Intelligenz (auch EU AI Act, KI-Verordnung oder EU AI Regulation genannt). Auf dieser Seite beantworten wir die häufigsten Fragen, die uns im Zusammenhang mit der KI-Verordnung und dem KI-Risikomanagement gestellt werden.
Was ist unter der KI-Verordnung zu verstehen und wen betrifft diese?
Der AI Act ist eine EU-Verordnung zur Regulierung von Anwendungen künstlicher Intelligenz, welche alle betrifft, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen. Auch Unternehmen außerhalb der EU können betroffen sein, sofern ihre KI innerhalb der EU wirkt.
Die Verordnung verfolgt das Ziel, einheitliche Standards für KI in Europa zu schaffen und – ohne das Behindern von Innovation – durch mehr Sicherheit und Transparenz einerseits Risiken für Bürger und Unternehmen zu minimieren und andererseits entsprechend Vertrauen in KI-Systeme aufzubauen.
Es wird unterschieden zwischen geringen, hohen und inakzeptablen Risiken bei der Nutzung von KI. Als inakzeptables Risiko gelten bestimmte KI-Anwendungen, welche die Grundrechte bedrohen. Social Scoring wird daher beispielsweise ebenso verboten wie automatisierte Erkennung von Gesichtern und Emotionen.
Zum Bereich Hochrisiko zählen unter anderem KI-Systeme, die im Gesundheits- oder Personalwesen, der Kredit- oder Studienplatzvergabe sowie der Strafverfolgung zum Einsatz kommen, biometrische Daten verarbeiten oder zur kritischen Infrastruktur gehören. Sie alle unterliegen strengen Anforderungen und müssen vorgegebene Standards erfüllen.
Für KI-Anwendungen mit geringem Risiko gelten weniger strenge Vorschriften, doch es gibt trotzdem Transparenzpflichten wie beispielsweise die Kennzeichnungspflicht für künstlich erzeugte Inhalte.
Ab wann gilt der EU AI Act verbindlich?
Die Verordnung trat offiziell zum 01. August 2024 in Kraft. Allerdings gelten die enthaltenen Regelungen mehrheitlich erst ab dem 02. August 2026. Unternehmen sollten bereits jetzt Compliance-Maßnahmen vorbereiten.
Was passiert bei Verstößen gegen den AI Act?
Wird der AI Act nicht eingehalten, drohen erhebliche Strafen. Ähnlich wie bei der Datenschutz-Grundverordnung (DSGVO) drohen schlimmstenfalls Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes eines Unternehmens.
Geahndet werden unter anderem Verstöße gegen das Verbot bestimmter AI-Praktiken sowie die Verletzung der Pflichten der autorisierten Vertreter, der Importeure, der Händler und der Anwender. Damit ist die gesamte Wertschöpfungskette von KI-Systemen abgedeckt.
Benötigen wir in unserem Unternehmen künftig eigene KI-Richtlinien?
Jedes Unternehmen ist anders – auch bei KI. Das betrifft die Art der Daten, die Werkzeuge und die Workflows. Standardregeln sind deshalb nicht ausreichend. Die Frage nach eigenen KI-Richtlinien ist somit eindeutig mit Ja zu beantworten. Diese sollten individuell auf das Unternehmen, die Prozesse und Teams abgestimmt sein und Aspekte wie Transparenz- und Verantwortlichkeitsfragen sowie Datenverwendung und Qualitätssicherung abdecken.
Idealerweise trägt man dieser Notwendigkeit schon bei der schrittweisen Einführung von KI innerhalb einer Organisation oder eines Unternehmens Rechnung. Eine mögliche Vorgehensweise gliedert sich in folgende Phasen:
- Awareness und Schulung der Schlüsselpersonen
- Identifikation von Potenzialfeldern
- Aufbau von Governance-Strukturen
- Durchführung eines Pilotprojekts
- Entwicklung eines KI-Rahmenwerks
Wie lassen sich KI-Risiken systematisch managen?
Mithilfe eines KI-Risikomanagementprozesses, welcher potenzielle ethische, technische, rechtliche und operationelle Risiken identifiziert, bewertet, mitigiert und überwacht. KI-Risikomanagement beinhaltet als Teilbereich der KI-Governance das systematische Aufspüren, Bewerten und Reduzieren aller Risiken, die mit dem Einsatz von KI-Systemen verbunden sind. Beispiele hierfür sind Datenschutzverletzungen, Sicherheitslücken und Vulnerabilität gegenüber Cyberangriffen sowie Konsequenzen aus Voreingenommenheit (Bias) in Algorithmen, wozu Diskriminierung zählen kann.
Wie unterscheidet sich KI-Governance von IT-Governance?
KI-Governance dient genau wie IT-Governance der Minimierung von betrieblichen Sicherheits- und Compliance-Risiken. Beide Steuerungsansätze überschneiden sich, indem sie grundsätzlich auf Stabilität, Effizienz und Wertschöpfung ausgerichtet sind. Unterschiede gibt es hinsichtlich der genauen Anwendungsbereiche sowie der eingesetzten Methoden und spezifischen Herausforderungen.
KI-Governance prägt vor allen Dingen der verantwortungsvolle Umgang mit KI und die Schaffung organisatorischer Rahmenbedingungen in Bezug auf Richtlinien, Rollen, Prozesse und das Risikomanagement – im Einklang mit gesellschaftlichen Werten wie Fairness und Transparenz. Im Vordergrund stehen ethische, soziale und rechtliche Fragestellungen, die sich aus der autonomen Entscheidungsfähigkeit von KI-Systemen ergeben.
Bildhinweis:
Unser Titelbild entstand unter Zuhilfenahme von künstlicher Intelligenz.
