Künstliche Intelligenz (KI) hat das Potenzial, tiefgreifende wirtschaftliche und gesellschaftliche Veränderungen anzustoßen, und bietet Unternehmen enorme Möglichkeiten zur Verbesserung ihrer Prozesse und Kundenerlebnisse. Gleichzeitig bestehen ernsthafte Risiken, insbesondere in Bezug auf ethische, rechtliche und operationelle Aspekte, die bei der Integration der KI in Produkte und Dienstleistungen berücksichtigt werden müssen. Während die transformative Kraft von KI in aller Munde ist, fehlt es an einer klaren KI-Governance. Dies hat zu einer intensiven Debatte über die Regulierung von KI geführt, insbesondere in Europa. Derzeit wird ein Gesetzentwurf zur Regelung des KI-Einsatzes vorbereitet, der weitreichende Auswirkungen auf Unternehmen und Softwareanbieter haben wird.
Künstliche Intelligenz prägt schon heute das digitale Zeitalter und verspricht, branchenübergreifend revolutionäre wirtschaftliche und gesellschaftliche Veränderungen zu bewirken. Allerdings ist mit dieser technologischen Revolution auch eine Reihe von neuen Risiken und Herausforderungen, insbesondere hinsichtlich der Vertrauenswürdigkeit von Informationen und der Einhaltung ethischer Standards, verbunden. Dies hat eine dringende Diskussion über die Notwendigkeit von KI-Governance und -Regulierung ausgelöst.
In Europa wurde bereits 2021 mit der ersten Vorlage des "AI Act" ein Gesetzentwurf* vorgestellt (im folgenden KI-Verordnung), der darauf abzielt, einen gemeinsamen gesetzlichen Rahmen für den Einsatz von KI-Systemen in der EU zu schaffen. Dieser Entwurf einer KI-Verordnung soll KI-Systeme vertrauenswürdiger und sicherer machen und hat das Potenzial, die Landschaft der KI-Entwicklung grundlegend zu verändern. Denn die vorgeschlagenen Regelungen erfordern umfangreiche Umsetzungsmaßnahmen und bringen zusätzlichen Verwaltungsaufwand mit sich. Daher ist der risikobasierte Ansatz der KI-Verordnung zu begrüßen, wonach für KI-Systeme mit geringem Risiko weniger gesetzliche Pflichten gefordert werden.
Vor dem Hintergrund dieser risikobasierten Regulierung ist es von zentraler Bedeutung, sich proaktiv mit den spezifischen KI-Risiken und den rechtlichen und ethischen Implikationen auseinanderzusetzen, um nicht nur mit der anstehenden Regulierung konform zu sein, sondern verantwortungsvoll reagieren zu können. Ein gutes Verständnis der gesetzlichen Vorgaben und der daraus resultierenden Handlungsbedarfe hilft, die richtigen Weichen zu stellen und so echte Wettbewerbsvorteile mit der neuen Technologie zu realisieren. Im Folgenden werden die wesentlichen Inhalte der EU-KI-Verordnung und die daraus resultierenden Auswirkungen und Handlungsbedarfe herausgestellt.
EU-Regulierung verschärft Handlungsbedarf für eine KI-Governance
Der EU-Regulierungsvorschlag verfolgt einen risikobasierten Ansatz. KI-Systeme werden demzufolge einer Risikoanalyse unterzogen und in folgende vier Risikoklassen unterteilt, aus denen sich die gesetzlichen Pflichten ergeben:
- "Inakzeptables Risiko": Systeme der künstlichen Intelligenz, die EU-Werte missachten und gesundheitliche Schäden oder Verletzungen von Grundrechten verursachen, gelten als inakzeptabel und sollen verboten werden. Hierzu zählen etwa die Klassifikation von Personen anhand ihres Verhaltens oder sozioökonomischen Status (Social Scoring) sowie biometrische Identifikationssysteme im öffentlichen Raum in Echtzeit. Auch Anwendungen, die Menschen kognitiv manipulieren, oder sprachgesteuerte Spielzeuge für Kinder, die riskantes Verhalten begünstigen, werden dieser Risikoklasse zugeordnet.
Der Einsatz solcher Anwendungen soll durch die KI-Verordnung untersagt werden. Bei Zuwiderhandlung sind Bußgelder von bis zu 30 Mio. Euro oder bis zu sechs Prozent des weltweiten Jahresumsatzes vorgesehen. - "Hohes Risiko": In die Klasse der Hochrisikosysteme fallen KI-Systeme, die potenziell negative Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte von Menschen haben können. Dies betrifft zum einen sicherheitskritische Komponenten in Produkten wie medizinischen Geräten, Spielzeugen, Maschinen, Kraftfahrzeugen, Schiffen und Aufzügen sowie bestimmte Anwendungsfälle im Bereich kritischer Infrastrukturen oder Systeme, die für den Zugang zu öffentlichen und privaten Leistungen wesentlich sind. Hierunter fallen z. B. Scoring-Systeme, die zur Kreditwürdigkeitsprüfung von Banken verwendet werden, und Systeme, die im Rahmen der Betrugsbekämpfung/Geldwäsche oder des Personalmanagements (Jobauswahl, Beförderung etc.) eingesetzt werden.
Für die als Hochrisiko-KI-Systeme klassifizierten Anwendungen gelten neben Transparenz- und Informationspflichten strenge technische und organisatorische Anforderungen. Anbieter solcher Systeme müssen ein Qualitäts- und Risikomanagementsystem etablieren und ausführliche technische Dokumentationen erstellen, die als Voraussetzung für eine obligatorische Konformitätsbewertung und Zertifizierung dienen.
Da der Datenhaushalt für KI-Systeme maßgebliche Auswirkung auf die gesamte Funktionsweise hat, werden strenge Vorgaben und Standards für die Data Governance und Datenqualität der Trainings-, Validierungs- und Testdaten gefordert.
Hochrisiko-KI-Systeme müssen auch nach der Markteinführung, d. h. während des Betriebs, überwacht, regelmäßig validiert und bewertet werden. - "Geringes Risiko": Anwendungen mit geringem Risiko unterliegen bestimmten Transparenz- und Informationspflichten wie etwa Vorschriften zur Kennzeichnung und Erstellung von Gebrauchsanweisungen für die Anwender.
- "Minimales Risiko": KI-Systeme mit minimalem Risiko fallen nicht in den Anwendungsbereich der KI-Verordnung.
Für KI-Systeme mit geringem oder minimalem Risiko werden Anbieter jedoch aufgefordert, freiwillig ethische Standards einzuhalten. Für alle KI-Systeme gelten weiterhin die allgemeinen gesetzlichen Bestimmungen, insbesondere die Datenschutzgrundverordnung (DSGVO).
Handlungsbedarf umfasst den gesamten KI-Lebenszyklus
Die regulatorischen Anforderungen betreffen den gesamte Lebenszyklus eines KI-Systems von der Konzeption über die Entwicklung bis zu der Einführung und dem laufenden Betrieb. Das folgende Schaubild ordnet die Anforderungen fünf Handlungsfeldern zu und zeigt den Umfang des Handlungsbedarfs auf.
![Abb. 01: Die Anforderungen der KI-Verordnung wirken auf den gesamten KI-Lebenszyklus und erfordern ein dediziertes Governance-Rahmenwerk [Quelle: Sopra Steria]](/fileadmin/_processed_/a/f/csm_Abb-01_KI-Verordnung_Sopra-Steria_adacf92cb5.jpg "Abb. 01: Die Anforderungen der KI-Verordnung wirken auf den gesamten KI-Lebenszyklus und erfordern ein dediziertes Governance-Rahmenwerk [Quelle: Sopra Steria]")
Abb. 01: Die Anforderungen der KI-Verordnung wirken auf den gesamten KI-Lebenszyklus und erfordern ein dediziertes Governance-Rahmenwerk [Quelle: Sopra Steria]
Für eine effiziente und unternehmensweit konsistente Umsetzung dieser Handlungsfelder braucht es klare Richtlinien und Vorschriften – nicht nur für die Entwicklung und den Betrieb vertrauenswürdiger und ethischer KI-Systeme, sondern auch für das Risikomanagement vor und während des laufenden Betriebs.
Gute Regulierung muss ein vernünftiges Verhältnis zwischen tolerierbarem Risiko und gesetzlichen Vorgaben schaffen
Die diskutierten Anforderungen der neuen Regulierung können zu erheblichen Aufwänden bei Systemanbietern führen und werden den Einsatz von KI-Systemen voraussichtlich verteuern, im schlimmsten Fall verhindern. Auf der anderen Seite bestehen Chancen: Wenn die Regulierung hilft, die Risiken von KI-Systemen effektiv zu reduzieren und dadurch das Vertrauen in die KI-Systeme zu verbessern, kann sich der zusätzliche Aufwand auszahlen. Eine gute Regulierung sollte jedoch genügend Freiraum für Innovationen lassen und keine Wettbewerbsnachteile für kleinere Unternehmen schaffen. Ob die KI-Verordnung diesem Anspruch gerecht wird, muss sich erst noch zeigen. Denn der Gesetzesvorschlag wird weiterhin kontrovers diskutiert und voraussichtlich erst nächstes Jahr finalisiert sein.
Unternehmen sollten aber nicht auf den Gesetzgeber warten, sondern bereits jetzt aktiv eine KI-Governance etablieren. Denn wenn sich eine "Good Practice" etabliert, kann diese den Impetus der Regulatoren mindern und regulatorische Eingriffe überflüssig machen.
Höchste Zeit, eine unternehmensweite KI-Governance einzurichten
Um die enormen Vorteile von KI-Systemen sicher zu erschließen und gleichzeitig die damit verbundenen Risiken zu adressieren, müssen wir über die bloße Implementierung von Technologie hinausdenken. Es ist essenziell, ethische Grundsätze, die auf Werten wie Fairness basieren, in effektive Governance-Strategien zu integrieren. Daher ist der erste und erfolgskritische Schritt die Einrichtung einer klaren KI-Governance. Eine KI-Governance hilft Unternehmen, KI-Lösungen in Übereinstimmung mit rechtlichen, ethischen und betrieblichen Standards unternehmensweit einzusetzen und Risiken zu reduzieren. Ein etablierter KI-Governance-Rahmen schafft die Voraussetzung, dass KI-Initiativen in einer Weise umgesetzt werden, die sowohl den Unternehmenszielen dient als auch negative Auswirkungen auf Mitarbeiter oder Kunden und die Gesellschaft als Ganzes minimiert.
Trotz des besonderen Stellenwerts der KI-Governance sollte sie als integraler Bestandteil einer ganzheitlichen Governance-Struktur betrachtet und in etablierte Governance-Bereiche wie die Corporate Governance, die IT-Governance und die Data Governance eingebettet werden.
Indem Governance-Prinzipien und Compliance-Checks frühzeitig entlang des Lebenszyklus von KI-Systemen integriert werden, gewährleistet die KI-Governance nicht nur die Erfüllung regulatorischer Anforderungen, sondern auch die Einhaltung ethischer Standards. Dies ermöglicht eine Steuerung der künstlichen Intelligenz, die sowohl ethisch als auch operativ zukunftsfähig ist.
Sind Sie bereit für die KI-Revolution?
Auch wenn voraussichtlich eine mehrjährige Implementierungsfrist gewährt wird, ist vor dem Hintergrund der weitreichenden Auswirkungen der KI-Verordnung eine frühzeitige Vorbereitung angeraten. Machen Sie einen Selbstcheck, um herauszufinden, wo Sie stehen:
- Haben Sie Transparenz über die in Ihrem Unternehmen verwendeten KI-Systeme bzw. KI-Initiativen (Inventar) geschaffen und eine Risikoklassifizierung für diese durchgeführt?
- Haben Sie eine klare Strategie für den Einsatz von KI sowie einen angemessenen Rahmen für die Steuerung von KI etabliert?
- Sind Ihnen die bevorstehenden gesetzlichen Anforderungen klar oder sind Sie unsicher, wie Sie die KI-Verordnung einhalten sollen?
Die Entwicklung von KI-Technologien wird weiterhin rasant fortschreiten. Es liegt in der Verantwortung aller Beteiligten, dafür zu sorgen, dass diese Technologien sicher und im besten Interesse der Gesellschaft eingesetzt werden. Dazu ist eine klare Governance der KI-Systeme unerlässlich, nicht nur um Compliance mit den regulatorischen Anforderungen zu gewährleisten, sondern auch um die Risiken dieser großartigen Technologie im Griff zu behalten.
Autor:
Armin D. Rheinbay ist Experte für Risikomanagement und Regulierung und bei Sopra Steria Next für das Chapter Risikomanagement zuständig. Seit etwa drei Jahrzehnten arbeitet er in der Finanzindustrie als Unternehmer, Berater und Bankenprüfer im Bereich der Entwicklung von Risikomessverfahren und der Implementierung von unternehmensweiten Risikomanagementsystemen.
- EU-Kommission (2021): Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union, COM (2021) 206 final; 2021/0106 (COD), Brüssel, 21.04.2021 [Kommissionsvorschlag] und die überarbeitete Fassung vom Rat der Europäischen Union, Dossier 2021/0106 (COD), Brüssel, November 2022 [Ratsvorschlag].
