Verantwortungsvolle und vertrauenswürdige Nutzung von KI
Mit dem AI Act hat die EU den Rahmen für eine vertrauenswürdige KI-Nutzung definiert. Jetzt müssen Unternehmen und Behörden in die Umsetzung gehen. Acht Maßnahmen können dabei helfen.
Künstliche Intelligenz birgt enormes Potenzial für Unternehmen und Behörden. Sei es die digitale Vorgangsbearbeitung, autonomes Fahren, Smart Cities, sich selbst überwachende Versorgungssysteme, automatische Software-Entwicklung und Pflegeroboter – sie alle haben eins gemeinsam: Mit KI werden sie erheblich effizienter. Und dasselbe gilt für viele weitere Innovationen, die das Leben einer wachsenden Weltbevölkerung auf einem Planeten mit beschränkten Ressourcen sichern. KI prägt bereits aktuell die Lebensbedingungen der Welt von morgen. Dass sie die Werte und Normen einer humanen Ethik einhält, ist die Aufgabe aller, die sie entwickeln, betreiben und nutzen. Dr. Markus König, Partner bei der Infora GmbH, bringt es auf den Punkt:
„Der AI Act der EU ist ein wegweisender Schritt in Richtung einer lebenswerten, nachhaltigen und ethisch verantwortlichen Zukunft mit und dank KI. Viele weitere Schritte werden folgen. Jede Organisation muss ab jetzt ihren Weg für den verantwortlichen Umgang mit KI finden – und gehen.“
Die folgenden Maßnahmen helfen dabei.
Compliance-Maßnahmen entwickeln und implementieren
Compliance bedeutet Einhaltung, Beachtung, Übereinstimmung oder Erfüllung. Damit stellt sich als erstes die Frage: Welche Vorgaben macht der AI Act der EU für die Nutzung von KI? Welche Ziele und Auswirkungen sind damit verbunden? Und was bedeutet dies für die eigene Organisation?
„Compliance-Anforderungen des AI Act zu erfüllen, bedeutet zunächst, diesen als Produktsicherheitsvorschrift zu verstehen. Die EU möchte hier die Nutzung von vertrauenswürdigen KI-Systemen fördern und die Gesellschaft gleichzeitig vor Risiken schützen. Wir als Materna-Gruppe unterstützen Unternehmen und Behörden in der praktischen Umsetzung. Aus unserer Sicht ist der AI Act ein zentraler Rahmen für die verantwortungsvolle und vertrauenswürde Nutzung von KI“,
so Dr. König.
Grundwerte als Maßstab für Risikoklassen
Transparenz, Fairness, Datenschutz und die Vermeidung von Diskriminierung – KI-Anwendungen müssen eine ganze Reihe von Kriterien erfüllen, die sich aus der Grundrechtecharta der EU ableiten. Was das konkret für die eigene Organisation bedeutet, hängt von vielen Faktoren ab, vor allem von der Art der Anwendung und der damit verbundenen Risiken. Der AI Act unterscheidet vier Risiko-Klassen bei KI-Systemen:
- Minimales Risiko
- Geringes Risiko
- Hochrisiko
- Inakzeptables Risiko (verbotene KI-Praktiken).
Beim Einsatz von Generativer KI in Unternehmen und Behörden geht es um Systeme mit minimalem bis hohem Risiko.
Funktionsspezifische Rollen und Verantwortungen beachten
Die genauen Anforderungen an die Organisation resultieren aus ihren Rolle in Bezug auf den KI-Einsatz sowie der Art der Daten, die bei Training und Anwendung der KI verarbeitet werden. Generell gilt: Betreiber und Anbieter müssen sicherstellen, dass ihr Personal, das sich mit dem Betrieb und der Nutzung der KI-Systeme befasst, über ausreichende KI-Kompetenzen verfügt. Vereinfacht ausgedrückt: Wer KI nutzen will, braucht Profis, die sich damit auskennen. Unternehmen und Behörden gleichermaßen sind gefordert.
Technische Kompetenz entwickeln
Der AI Act schreibt vor, dass Organisationen Personal mit einem hinreichenden Maß an KI-Kompetenz ausstatten, sollten sie KI nutzen. Der rasante technologische Fortschritt macht dies zu einer echten Herausforderung bei den handelnden Personen - egal ob sie Anwendungen entwickeln, testen oder in bestehende IT-Landschaften integrieren. Im Kompetenzaufbau helfen vertrauenswürdige Partner, die nicht nur „KI können“, sondern auch die bestehenden Fachverfahren oder Unternehmensanwendungen verstehen.
Schulungen für alle
Neben technischer ist auch fachliche Kompetenz ein Schlüssel zum erfolgreichen KI-Einsatz. Unternehmen und Behörden sollten das Thema KI und Ethik transparent machen und die Grundlagen von KI erläutern, damit die Mitarbeitenden KI rechtskonform einsetzen können. Das angemessene Verständnis für KI-Compliance-Anforderungen in der gesamten Belegschaft zu etablieren, wird zu einer zentralen Herausforderung für die Personalentwicklung. Das Ziel: Ängste nehmen, Vertrauen stärken und gemeinsam mit KI mehr erreichen. Zudem kommen Unternehmen durch das Durchführen und Nachhalten der Schulungen ihrer Nachweispflicht nach.
Ablauf- und Aufbauorganisation anpassen
Die Integration des Microsoft Copilot in die Officeanwendungen zeigt eine allgemeine Entwicklung: KI wird in der gesamten Organisation präsent. Daraus resultieren zahlreiche Fragen für die Prozesse und Struktur der Organisation: Wo werden personenbezogene Daten mit KI verarbeitet? Wer prüft die Ergebnisse von KI-Anwendungen? Reicht das Vier-Augen-Prinzip? Wer beurteilen will, welche Vorschriften im Einzelnen zu beachten sind und wie sie sich möglichst effizient umsetzen lassen, braucht die Kombination aus rechtlicher, technologischer, fachlicher und organisatorischer Kompetenz. Nur so können Organisationen frühzeitig erkennen, wo KI Auswirkungen auf bestehende Prozesse hat. Außerdem ist zu organisieren, wer die neuen Abläufe wie dokumentiert und kommuniziert. Es ist zu klären, welche Positionen und Organisationseinheiten die neuen Compliance-Aufgaben übernehmen sollen. Integratives Change-Management, das die anstehenden Maßnahmen präzise in die Organisation kommuniziert und alle Beteiligten frühzeitig in den Aufbau der KI-Compliance einbezieht, ist eine bewährte Methodik der Materna-Gruppe, um alle rechtlichen, technologischen, fachlichen und organisatorischen Aspekte der Einführung von KI zu meistern.
Ausprobieren und einüben unter Alltagsbedingungen
Wenn es an die Umsetzung ethisch verantwortlicher KI-Lösungen geht, reicht Wissen nicht aus. Dann ist Übung gefragt. Auf Entscheider-Ebene bedeutet das unter anderem: Hinterfragen, wie der Unternehmens- und Behördenalltag mit den KI-Compliance-Vorgaben vereinbar ist. Etwa müssen Mitarbeitende im Marketing lernen, mit welchen Prompts sie am schnellsten erfolgversprechende Inhalte schaffen. In Behörden können Gesetzesentwürfe und finale Gesetzestexte auf Knopfdruck miteinander verglichen werden, politische Reden lassen sich KI-generiert erzeugen. Die Integration von KI wird überall die praktische Nutzung von Software verändern. Und alle Mitarbeitenden müssen im Arbeitsalltag wissen, welche Daten sie in KI-Anwendungen verwenden dürfen – und welche nicht.
Konformitätsbewertung vornehmen
In Artikel 3 Absatz 1, Nr. 20 definiert der AI Act eine „Konformitätsbewertung“ als „das Verfahren, mit dem nachgewiesen wird, dass die in Kapitel III Abschnitt 2 festgelegten Anforderungen an ein AI-System mit hohem Risiko erfüllt sind“. Was kompliziert wirkt, ist es auch. Zu den Anforderungen gehört beispielsweise, dass die Anbieter hochriskanter KI-Systeme während des gesamten Lebenszyklus ein Risikomanagementsystem etablieren und dokumentieren. Ebenso müssen sie Hochrisiko-KI-Systeme vor dem Inverkehrbringen oder der Inbetriebnahme testen, spezielle Maßnahmen zur Daten-Governance treffen und ein Qualitätsmanagementsystem zur Einhaltung der Vorschriften des AI Act einrichten. Die Materna-Gruppe unterstützt Organisationen hierbei individuell: Von der Prüfung, welcher Risikoklasse eine Anwendung angehört, über die Gestaltung von Details des Compliance-, Risiko- und Qualitätsmanagements bis hin zur obligatorischen grundrechtlichen Folgenabschätzung nach Artikel 27 AI Act.
Ausschreibungen rechtssicher gestalten
Besondere Herausforderungen bringt der AI Act für Behörden mit sich: Sie müssen bereits in ihren Ausschreibungen für KI-Projekte die Anforderungen des Regelwerks berücksichtigen. Darüber hinaus ergeben sich möglicherweise Wechselwirkungen mit anderen EU-Vorschriften, wie zum Beispiel dem Data Act, etwa, wenn es um die Innere Sicherheit oder Kritische Infrastrukturen geht. Unsere erfahrenen Experten, die mit den Besonderheiten des Öffentlichen Sektors vertraut sind, helfen Ihnen dabei, die Anforderungen mit möglichst geringem Aufwand zu erfüllen.
Datenmanagement intensivieren
Der AI Act stellt besondere Anforderungen an die Daten Governance. Das bedeutet zum einen, dass die KI-Systeme den hohen Ansprüchen der DSGVO genügen müssen, wenn sie personenbezogene Daten verarbeiten. Zum anderen steigen die Anforderungen an die Datenqualität im gesamten Unternehmen: Beim Prüfen von Trainingsdaten, ob sie für diskriminierungsfreie KI-Empfehlungen geeignet sind, genauso wie beim Kennzeichnen KI-generierter Texte und Bilder. Im Fokus steht der gesamte Lebenszyklus der KI und der Daten, die für die KI genutzt werden. Von der Entwicklung über die Implementierung und den Betrieb bis zur automatisierten Löschung. KI muss Daten also auch vergessen können.