zur Übersicht

KI-Richtlinie: Compliance für Künstliche Intelligenz sicherstellen

Die neue EU-KI-Verordnung („KI-VO“; engl.: „AI Act“) ist politisch durch und wird noch in den nächsten Monaten in Kraft treten. Die tatsächliche Anwendbarkeit der einzelnen Vorgaben aus der KI-VO ist zeitlich gestaffelt. Während die Verbote von KI-Systemen mit inakzeptablen Risiken bereits sechs Monate nach Inkrafttreten der Verordnung greifen, werden die meisten Normen in zwei Jahren anwendbar sein. Mehr Details über die Hintergründe der KI-VO und den konkreten Zeitrahmen erfahren Sie in den Unterlagen zu unserer diesbezüglichen Veranstaltung, welche Sie hier herunterladen können.

Handlungsbedarf schon jetzt

Diese zwei Jahre sollten von Unternehmen genutzt werden, um möglichst viel aus den Möglichkeiten der KI-Transformation herauszuholen, aber dabei stets compliant zu bleiben.

Ein besonders wichtiges Instrument für das Management von KI-Compliance ist eine unternehmensinterne KI-Richtlinie. Mit einer KI-Richtlinie können Unternehmen eine belastbare Governance-Struktur etablieren und Standards und Strategien für den Einsatz von KI-Systemen festlegen. Somit schafft eine KI-Richtlinie Klarheit und Erwartbarkeit für die Belegschaft und ermutigt Mitarbeiter, innovative Projekte mit Hilfe von KI-Technologie zu verfolgen. Gleichzeitig schützt eine gut gestaltete und erfolgreich implementierte Richtlinie vor den vielfältigen Risiken, die durch den Einsatz von KI in den Bereichen Informationsschutz, Urheberrecht, Datenschutz, Produktsicherheit etc. auftreten können.

Eine KI-Richtlinie muss daher immer mehrere Ziele verfolgen. Dazu gehört insbesondere, die Mitarbeiter zum Einsatz von KI-Systemen zu ermutigen und Innovation im Unternehmen zu fördern. Gleichzeitig müssen die rechtlichen Vorgaben aus KI-VO, DSGVO etc. eingehalten, der Schutz von Betriebsgeheimnissen und weiteren vertraulichen und sensiblen Information des Unternehmens sichergestellt, und der Schutz der Rechtsgüter Dritter (Datenschutz, immaterielle Güter wie Urheberecht und Patente, Auskunftsansprüche) garantiert werden. Da sich hier regelmäßig Spannungsfelder ergeben, muss eine KI-Richtlinie klar definieren, nach welchem Leitbild und Prinzipien KI-Systeme im Unternehmen entwickelt und eingesetzt werden dürfen.

Auf der operativen Ebene muss ein KI-Richtlinie im Unternehmen Klarheit über eingesetzte Systeme, damit verfolgte Zwecke und die damit verbundenen Abhängigkeiten und Beziehungen herstellen sowie Abläufe, Verantwortlichkeiten, Aufgaben und Rollen klarstellen. Für einen erfolgreichen Einsatz muss die KI-Richtlinie Bewusstsein für Risiken und Chancen schaffen und dabei nicht nur diese Risiken eindämmen, sondern auch vermeiden, dass Mitarbeiter aus übergroßer Vorsicht auf den Einsatz von KI-Systemen verzichten. Daher muss die notwendige Wissensvermittlung (KI-Kompetenz) eine Zielstellung der KI-Richtlinie sein. Ergänzt werden muss dies durch zusätzliche Schulungen der Beschäftigten. Gleichzeitig muss die Richtlinie ermöglichen, dass die notwendige Transparenz sowohl intern also auch gegenüber externen Betroffenen wie Kunden, Geschäftspartnern oder Bewerbern gegeben ist.

Notwendige Inhalte

Um diese Ziele zu erreichen, sollte eine KI-Richtlinie zumindest das Folgende regeln:

  • Erfassen und Dokumentieren der eingesetzten KI-Systemen: Hierbei muss auch geklärt werden, wie das Unternehmen damit umgeht, wenn Softwareanbieter ihre Produkte nachträglich mit KI-Technologie anreichern, sowie es Microsoft mit dem Copilot vorgenommen hat.
  • Nutzung frei verfügbarer KI-Angebote
  • Sicherstellung und Bewertung der Zuverlässigkeit des Outputs von KI-Systemen
  • Risikoeinstufunfung von KI-Systemen und Durchführen von Risk Assessments
  • Umgang mit KI-Systemen, die als Hoch-Risiko eingestuft wurden
  • Ablauf für das Entwickeln oder Einführen eines neuen KI-Systems
  • Vorgaben für die Evaluation bestehender KI-Systeme
  • Erkennen und Mitigieren von Risiken für das Unternehmen
  • Erkennen und Mitigieren von Risiken für Dritte
  • Umgang mit Betroffenenrechten und Beschwerdemanagement
  • Vorgaben für Training und Wissensvermittlung
  • Vorgaben für die Sicherstellung der Transparenzverpflichtungen

Das Thema Haftung wird selbstverständlich auch eine wichtige Rolle spielen. Hierzu wird der KI-VO bald eine EU-KI-Haftungsrichtlinie an die Seite gestellt werden. Für diese Richtlinie existiert bisher ein Entwurf der EU-Kommission. Sobald die EU-KI-Haftungsrichtlinie in deutsches Recht umgesetzt wurde, sollte die bisherige interne KI-Governance-Struktur noch einmal überprüft werden.

KI-Systeme werden bereits jetzt umfangreich in allen Unternehmen genutzt und entwickelt. Compliance-Verantwortliche sollten also keine Zeit verlieren, denn bereits heute muss dabei geltendes Recht eingehalten werden. Weitere Informationen zum Thema Künstliche Intelligenz finden Sie auf unserer Übersichtsseite.

Möchten Sie über die neusten Entwicklungen im Datenschutz und KI-Compliance auf dem Laufenden bleiben? Dann abonnieren Sie einfach unseren Newsletter!