12. August 2024 von Marina Žagar und Jonas Reinhardt
Vertrauen schaffen, Compliance sichern: KI-Governance als Erfolgsfaktor
Die rasante Entwicklung der Künstlichen Intelligenz (KI) eröffnet Unternehmen neue Chancen, stellt sie aber auch vor regulatorische und ethische Herausforderungen. Unser KI-Governance-Check unterstützt Unternehmen dabei, die komplexen Anforderungen der KI-Verordnung (EU KI-VO) und weiterer Regelwerke, Standards und Verordnungen zu erfüllen, Risiken zu minimieren und das Vertrauen der Stakeholder zu stärken.
EU KI-VO – Was ändert sich jetzt genau (Ziele und Schwerpunkte)?
Die Verordnung über Künstliche Intelligenz (KI-Verordnung, engl. AI-Act) ist eine Verordnung der Europäischen Union (EU), auf deren Grundlage ein erster gemeinsamer regulatorischer und rechtlicher Rahmen für KI in der EU geschaffen wurde. Sie ist am 1. August 2024 in Kraft getreten, wobei die Vorgaben der Verordnung nicht unmittelbar gelten. Stattdessen sind Übergangsfristen zwischen 6 und 36 Monaten vorgesehen.
Die KI-Verordnung umfasst bestimmte Kategorien von KI-Systemen, darunter solche, die in Bereichen wie Biometrie, kritische Infrastrukturen, Bildung, Arbeitswelt, Justizverwaltung und Strafverfolgung sowie Migration und Grenzkontrolle eingesetzt werden. Ausgeschlossen sind KI-Systeme, die ausschließlich für militärische Zwecke, zur Aufrechterhaltung der nationalen Sicherheit, zu Forschungszwecken oder für nicht professionelle Anwendungen genutzt werden. Ziel ist es, die Entwicklung und den Einsatz von KI in der EU zu fördern und gleichzeitig die damit verbundenen Risiken zu minimieren. Die KI-Verordnung stuft die nicht freigestellten KI-Anwendungen nach ihrem Schadensrisiko ein. Es gibt vier Stufen - inakzeptabel, hoch, begrenzt, minimal - sowie eine zusätzliche Kategorie für KI für allgemeine Zwecke.
- Anwendungen mit inakzeptablen Risiken sind verboten. Dazu gehören KI-Systeme, die subliminale Techniken zur Manipulation anwenden, Menschen aufgrund von Schwächen ausnutzen oder soziale Bewertungen vornehmen, die zu Diskriminierung führen können.
- Anwendungen mit hohem Risiko müssen strenge Anforderungen in Bezug auf Sicherheit, Transparenz, Robustheit und Genauigkeit erfüllen und sich Konformitätsbewertungen unterziehen. Dies betrifft unter anderem KI-Systeme, die in kritischen Infrastrukturen, im Bildungswesen, in der Personalverwaltung, bei der Strafverfolgung, in der Migration, beim Grenzmanagement und im Justizwesen eingesetzt werden.
- Anwendungen mit geringem Risiko unterliegen bestimmten Transparenzverpflichtungen. Dazu gehören etwa KI-Systeme, die als Chatbots fungieren oder Emotionserkennung durchführen, wobei Nutzer über die Interaktion mit einer KI informiert werden müssen.
- Anwendungen mit minimalem oder keinem Risiko unterliegen keiner regulatorischen Auflage, werden aber dennoch von der EU-Kommission empfohlen, um freiwillige Standards für vertrauenswürdige KI zu berücksichtigen. Die meisten KI-Anwendungen fallen in diese Kategorie. Anbieter solcher Systeme können sich freiwillig an Verhaltenskodizes orientieren.
Für KI-Systeme, die für sehr allgemeine Zwecke eingesetzt werden oder eine besonders hohe Leistungsfähigkeit aufweisen, sollen zusätzliche und höhere Bewertungsmaßstäbe festgelegt werden.
Die KI-Verordnung droht bei Verstößen auch sehr hohe Bußgelder an - Strafen von bis zu 7 Prozent des weltweiten Vorjahresumsatzes oder 35 Millionen Euro - und damit deutlich mehr als die Bußgelder bei DSGVO-Verstößen. Unternehmen müssen daher sicherstellen, dass ihre KI-Systeme den Anforderungen der Verordnung entsprechen, um hohe Bußgelder zu vermeiden.
Weitere relevante Regulatorik, Verordnungen, Systeme
Die Implementierung von Künstlicher Intelligenz in Unternehmen erfordert neben technologischer Expertise auch die Einhaltung verschiedener regulatorischer und ethischer Standards. KI-Governance kann als eine Reihe von Rahmenbedingungen und Richtlinien definiert werden, die den Einsatz von Künstlicher Intelligenz in verschiedenen Bereichen regeln. Ziel ist es, eine verantwortungsvolle Entwicklung und Anwendung von KI-Systemen sicherzustellen, die ethischen, rechtlichen und gesellschaftlichen Standards entspricht. Neben der EU KI-VO gibt es weitere wichtige Regelungen, Richtlinien, Standards und Tools, die für die Bewertung des Reifegrades von KI relevant sind. Dazu gehören:
- ISO/IEC 42001:2023: Dieser internationale Standard legt die Anforderungen und Leitlinien für ein KI-Managementsystem fest, das die Entwicklung, Bereitstellung und Nutzung vertrauenswürdiger KI-Systeme regelt. Er umfasst Aspekte wie Transparenz, Erklärbarkeit, Fairness und Robustheit.
- VDE SPEC 90012: Diese Spezifikation des Verbands der Elektrotechnik, Elektronik und Informationstechnik e.V. (VDE) bietet eine praktische Anleitung für die Entwicklung vertrauenswürdiger KI-Systeme. Sie enthält konkrete Empfehlungen zu Themen wie Datenschutz, IT-Sicherheit und ethische Prinzipien.
- Microsoft Responsible AI: Microsoft hat einen verpflichtenden Rahmen für verantwortungsvolle KI entwickelt, der sechs Kernprinzipien umfasst: Fairness, Zuverlässigkeit und Sicherheit, Privatsphäre, Inklusion, Transparenz und Verantwortlichkeit. Diese Prinzipien sind Voraussetzung für die Entwicklung und Bereitstellung von KI-Systemen auf Microsoft Azure. Ohne die Einhaltung des Responsible AI Frameworks ist es nicht gestattet, KI-Anwendungen innerhalb des Microsoft-Ökosystems zu entwickeln.
- AIC4 (AI Cloud Services Compliance Criteria Catalogue): Der AIC4-Katalog wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und legt Kriterien für die Sicherheits- und Compliance-Anforderungen von KI-Cloud-Diensten fest. Er umfasst Aspekte wie Datenschutz, IT-Sicherheit, Risikomanagement und Compliance, um sicherzustellen, dass KI-Dienste in der Cloud sicher und vertrauenswürdig betrieben werden können.
- Fraunhofer Prüfkatalog für Künstliche Intelligenz: Der Fraunhofer Prüfkatalog bietet umfassende Leitlinien zur Bewertung und Zertifizierung von KI-Systemen. Hiermit kann die Qualität und Vertrauenswürdigkeit von KI-Anwendungen zu gewährleistet werden. Der Katalog deckt verschiedene Aspekte ab, darunter technische Sicherheit, ethische Anforderungen, rechtliche Konformität sowie die Transparenz und Nachvollziehbarkeit von Entscheidungen.
- Analyse-Tool DORA.KI: ab dem 17. Januar 2025 verpflichtet der Digital Operational Resilience Act (DORA) der EU alle EU-Finanzunternehmen, ihre IT-Resilienz zu stärken. Dazu zählen auch klare Vereinbarungen mit Informations- und Kommunikationstechnologie-Drittdienstleistern und deren Sub-Dienstleistern. Diese müssen bestimmte Standards für Informationssicherheit erfüllen, um einen robusten IT-Betrieb zu gewährleisten. Mit dem neuen Analyse-Tool DORA.KI unterstützt adesso Kunden beim Überprüfen von Verträgen und zugehörigen Dokumenten auf DORA-Compliance.
Die Umsetzung dieser Standards in den Unternehmensalltag erfordert eine umfassende und detaillierte Analyse der bestehenden Prozesse und Systeme. Die Identifikation und Bewertung von Risiken spielt dabei eine zentrale Rolle. Unternehmen müssen sicherstellen, dass sie nicht nur die regulatorischen Anforderungen erfüllen, sondern auch ethische Überlegungen in ihre Entscheidungsprozesse integrieren. Ein zentrales Anliegen bei der Umsetzung von KI-Regulierung ist die Sicherstellung von Transparenz und Nachvollziehbarkeit. Unternehmen stehen vor der Herausforderung, komplexe KI-Algorithmen verständlich zu erklären und deren Entscheidungen nachvollziehbar zu machen. Dies erfordert nicht nur technisches Know-how, sondern auch die interdisziplinäre Zusammenarbeit von Technikern, Juristen und Ethikern. Die Zukunft der KI wird maßgeblich von der Fähigkeit der Unternehmen abhängen, sich den dynamischen regulatorischen Anforderungen und ethischen Standards anzupassen. Die Kombination aus technischer Expertise und einem tiefen Verständnis der regulatorischen Landschaft ermöglicht es Unternehmen, nicht nur compliant zu sein, sondern auch verantwortungsvoll und nachhaltig zu handeln. Durch die Implementierung unseres umfassenden KI-Governance-Checks können Unternehmen die Voraussetzungen schaffen, um das Vertrauen ihrer Stakeholder zu gewinnen und ihre KI-Initiativen erfolgreich voranzutreiben.
Umsetzung des KI-Governance-Check gemeinsam mit adesso
Wie funktioniert der Einsatz des KI-Governance-Checks?
Unser Ansatz beginnt mit einer gründlichen Analyse der KI-Nutzung unserer Kundinnen und Kunden. In einem gemeinsamen Workshop erarbeiten wir uns ein umfassendes Verständnis der aktuellen Praktiken und Herausforderungen. Diese Erkenntnisse bilden die Grundlage für unseren KI-Governance-Check, der wichtige Aspekte wie Risikobewertung, Compliance und ethische Richtlinien abdeckt. Unsere Methodik verbindet technisches Know-how mit branchenspezifischer Expertise. Die Ergebnisse unseres KI-Governance-Checks interpretieren wir im Kontext der individuellen Unternehmensstruktur und -kultur unserer Kundinnen und Kunden. So identifizieren wir präzise die Stärken und Optimierungspotenziale ihrer KI-Strategie und erarbeiten geschäftsfeldorientierte Handlungsempfehlungen. Unser KI-Governance-Check unterstützt aktiv dabei, mögliche Herausforderungen in Bereichen wie Datenschutz, Algorithm Bias oder Intransparenz aufzudecken. Vor dem Hintergrund steigender regulatorischer Anforderungen, insbesondere der EU KI-VO, beraten wir unsere Kundinnen und Kunden bei der Risikominimierung und unterstützen sie bei der Sicherstellung der Compliance ihrer KI-Software.
Die Durchführung unseres KI-Governance-Checks ermöglicht es, die Governance-Strukturen des Unternehmens im Hinblick auf die Entwicklung und den Einsatz von KI zu betrachten und zu optimieren. Wir identifizieren Verbesserungspotenziale in den organisatorischen Abläufen und geben konkrete Empfehlungen zur Stärkung der KI-Governance. Dies kann die Einrichtung von KI-spezifischen Gremien, beispielsweise für Ethik und Gleichstellung, oder die Implementierung robuster Qualitätssicherungsprozesse für KI-Systeme umfassen. Die Analyse und Bewertung des Ist-Zustandes bildet die Grundlage für die zukünftige Einhaltung relevanter Standards und Richtlinien. Mit Hilfe unseres KI-Governance-Checks können wir konkrete und spezifische Anforderungen an KI-Anwendungen aufzeigen und herausarbeiten, wie diese effektiv erfüllt werden können. Dies schafft Rechtssicherheit und stärkt das Vertrauen der Stakeholder in die KI-Aktivitäten des Unternehmens. Ein zentraler Bestandteil unseres KI-Governance-Checks ist die Bewertung der Datenqualität und -integrität.
-Datenintegrität, da diese die Grundlage für die Entwicklung und den Einsatz von KI-Modellen bilden. Wir analysieren, wie Unternehmen ihre Daten sammeln, verarbeiten und schützen, um sicherzustellen, dass die verwendeten Daten den Anforderungen an Genauigkeit, Fairness und Unparteilichkeit entsprechen. Dabei identifizieren wir potenzielle Schwachstellen in der Datenstrategie und geben gezielte Empfehlungen, um die Grundlage für eine faire und vertrauenswürdige KI zu schaffen.
1. Wir verstehen die Zusammenarbeit mit unseren Kunden als iterativen Prozess. Nach der initialen Analyse und der Umsetzung erster Empfehlungen führen wir regelmäßige Folgebewertungen durch. So können wir Fortschritte messen, neue Herausforderungen frühzeitig erkennen und die KI-Strategie kontinuierlich an sich ändernde regulatorische und rechtliche Rahmenbedingungen anpassen. Mit unserem KI-Governance-Check unterstützen wir unsere Kunden dabei, Risiken zu minimieren, Compliance-Anforderungen zu erfüllen und das Potenzial ihrer KI-Investitionen auszuschöpfen. So stellen wir sicher, dass unsere Kunden in der sich dynamisch entwickelnden Welt der KI zukunftsfähig aufgestellt sind. Wir begleiten sie auf dem Weg zu einer verantwortungsvollen und nachhaltigen Nutzung von KI, die nicht nur regulatorische Anforderungen erfüllt, sondern auch das Vertrauen der Stakeholder stärkt und den Geschäftserfolg fördert.
Fazit: Zukünftige Entwicklung der KI und Einsatzgebiete
KI ist zwar im Prinzip nichts Neues, aber die jüngsten technischen und regulatorischen Fortschritte sind bahnbrechend und werden sich voraussichtlich noch lange rasant fortsetzen. Diese raschen Entwicklungen stellen Unternehmen vor die Herausforderung, geeignete Governance-Mechanismen zu finden und gleichzeitig die wachsende Zahl von KI-Vorschriften einzuhalten. Ein umfassender KI-Governance-Check ist entscheidend, um diesen Herausforderungen zu begegnen. Er kombiniert unsere technologische Expertise, regulatorisches Wissen und ethische Überlegungen, um Risiken frühzeitig zu identifizieren und zu minimieren. Dies erhöht die Rechtssicherheit und stärkt das Vertrauen der Stakeholder. Unternehmen, die ihre Governance-Strukturen kontinuierlich verbessern, können die wirtschaftlichen Vorteile von KI voll ausschöpfen und gleichzeitig die hohen Anforderungen an Transparenz, Ethik und Compliance erfüllen. Der KI-Governance-Check unterstützt dabei, nicht nur in der Gegenwart, sondern auch in der Zukunft erfolgreich und nachhaltig aufgestellt zu sein.
Um die Potenziale verantwortungsvoll zu nutzen, müssen Unternehmen jedoch sicherstellen, dass ihre KI-Systeme ethischen, rechtlichen und gesellschaftlichen Standards entsprechen. Der KI-Governance-Check bietet hierfür eine wertvolle Grundlage und unterstützt Unternehmen dabei, auch in Zukunft erfolgreich und nachhaltig mit KI zu arbeiten.
Ihr möchtet gern mehr über spannende Themen aus der adesso-Welt erfahren? Dann werft auch einen Blick in unsere bisher erschienenen Blog-Beiträge.
AI @ adesso
Ihr wollt mehr über KI erfahren und wissen, wie wir euch unterstützen können? Dann werft einen Blick auf unsere Website. Podcasts, Blog-Beiträge, Veranstaltungen, Studien und vieles mehr - wir bieten euch einen kompakten Überblick über alle Themen rund um GenAI.