Künstliche Intelligenz (KI) revolutioniert zunehmend die Art und Weise, wie wir leben und arbeiten. Dabei ist allerdings nicht alles Gold, was glänzt. KI bewegt sich derzeit in einem Spannungsfeld zwischen einer rasanten Weiterentwicklung mit immer interessanteren Anwendungsmöglichkeiten einerseits und teils deutlich überhöhten Erwartungshaltungen andererseits.
Aus Unternehmenssicht treffen hier ungeahnte Chancen und ein daraus resultierender hoher Innovationsdruck auf vielfältige Herausforderungen bei der Entwicklung, der Einführung und dem Betrieb von KI-Systemen.
KI ist mehr als eine rein technische Innovation. Die in den vergangenen Jahren veröffentlichten KI-Systeme haben grundlegende Paradigmenwechsel ausgelöst: von der Art und Weise, wie wir Informationen gewinnen, aufnehmen und verarbeiten, über unsere Entscheidungsfindung bis hin zur Gestaltung, Implementierung und Überwachung von Geschäftsprozessen. In der Konsequenz kommen heute viele vertraute Denkweisen und Methoden an ihre Grenzen.
KI heute – übertriebener Hype oder echter Innovationsmotor?
Momentan ist viel von einem möglichen Platzen der „KI-Blase“ die Rede. Der Investitionswettlauf rund um KI wird heute vermehrt kritisch hinterfragt, und das nicht zuletzt deshalb, weil KI neben viel Licht auch einigen Schatten produziert und sich so manche vollmundige Versprechung als weitgehend haltlos erwiesen hat.
In der Folge weicht der Hype rund um KI immer mehr einer gewissen Ernüchterung. Diese Entwicklung ist grundsätzlich erst einmal positiv zu bewerten. Auch KI ist am Ende Mittel zum Zweck und muss ihren Nutzen genauso beweisen wie jede andere Investition.
Natürlich ist gegenüber KI eine gesunde Skepsis angebracht. Dabei sollte man aber auch nicht vergessen, dass KI bereits heute zahlreichen Unternehmen einen messbaren Wettbewerbsvorteil beziehungsweise einen echten Return on Investment (ROI) bringt, und das über unterschiedlichste Branchen und Anwendungsbereiche hinweg.
Um sich der Frage zu nähern, was eine KI-Investition erfolgreich macht, lohnt sich ein kurzer Blick auf die Faktoren, die immer wieder in Zusammenhang mit unrentablen oder gescheiterten KI-Projekten auftauchen:
- unrealistische Erwartungshaltungen an die Performanz, Zuverlässigkeit oder Ergebnisqualität von KI;
- Einsatz von KI in Bereichen, in denen sie unwirtschaftlich oder schlicht ungeeignet ist;
- mangelhafte Anpassung von KI-Systemen an die jeweiligen Aufgaben, Prioritäten und Anforderungen;
- unreflektiertes Vertrauen in KI auch dort, wo menschliche Kontrolle unerlässlich ist;
- ressourcenbindende Nutzung von KI zur Lösung von Problemen, die wenig oder keine Bedeutung für den Geschäftserfolg haben.
Geht man diese und ähnliche Herausforderungen systematisch an, so lässt sich KI als das nutzen, was sie tatsächlich ist: ein mächtiges Werkzeug, das bei richtiger Anwendung das Potential hat, die Effizienz von Arbeitsabläufen dramatisch zu steigern und am Ende sogar völlig neue Arbeitsweisen zu ermöglichen.
Herausforderungen beim Einsatz von KI
Aus Compliancesicht sind die Beschaffung, die Entwicklung und der Betrieb von KI-Systemen mit einigen Herausforderungen verbunden. Das beginnt bereits bei der Frage, was ein KI-System ist. Unterschiedliche Regulierungen geben hier teils unterschiedliche Antworten, was insbesondere dann zu Schwierigkeiten führt, wenn ein solches System über Ländergrenzen hinweg eingesetzt wird.
Selbst die Frage, welche KI-Systeme bereits im Einsatz sind, ist nicht immer einfach zu beantworten. KI-Technologie kommt in immer mehr Produkten zur Anwendung, was von Seiten der Hersteller beziehungsweise Serviceanbieter nicht immer transparent kommuniziert wird.
Auch der Funktionsumfang und die Zuverlässigkeit von KI-Systemen sind oft schwer einzuschätzen und zu überprüfen. Viele KI-basierte Produkte und Services sind nur unzureichend dokumentiert, was neben den Modellen selbst auch ihre Trainingsdaten, Parameter und Schnittstellen einschließt. In der Folge stellen solche Systeme für Anwender wie auch für Complianceabteilungen ganz oder teilweise eine Art Blackbox dar, deren Funktionsweise nur schwer vorhersagbar ist.
Aus Compliancesicht ist eine weitere wesentliche Frage, wie ein KI-System mit Daten umgeht. Neben typischen Fragen nach Datentransport, Speicherung und Aufbewahrung stellt sich bei KI auch die Frage der Verwendung der Daten durch den Anbieter. Werden beispielsweise die vom Unternehmen bereitgestellten Daten und Eingaben (Prompts) zum Modelltraining verwendet, kann es hier schnell zu Datenverlust beziehungsweise Missbrauch kommen.
Gleichzeitig muss sich die Complianceabteilung mit einer Vielzahl von Regulierungen auseinandersetzen, die sich aktuell in unterschiedlichen Stadien der Entwicklung oder Umsetzung befinden. Neben KI-spezifischer Regulierung wie dem EU AI Act spielen hier auch zahlreiche andere Gesetze und Verordnungen eine Rolle, von Antidiskriminierungsregeln über Cybersicherheit und Datenschutz bis hin zum Urheberrecht. Nicht selten kommt es hier zu Konkurrenzen zwischen unterschiedlichen rechtlichen Vorgaben, die entsprechend aufgelöst werden müssen.
Jenseits der Regulierung
Eine rein juristische Betrachtung des Themas KI reicht aus Compliancesicht nicht aus. Der verantwortungsvolle und gewinnbringende Einsatz von KI erfordert angepasste Strategien und Methoden von der Governance bis zum Compliance-Management-System (CMS).
Neben rechtlichen Vorgaben müssen dabei insbesondere die Anforderungen und Erwartungen unterschiedlicher Stakeholder berücksichtigt werden. Diese reichen von ethischen Aspekten wie Fairness, Transparenz und Nachvollziehbarkeit über konkrete Anforderungen an Sicherheit, Datenschutz und Verlässlichkeit bis hin zu ESG-Gesichtspunkten (Environmental, Social, Governance).
Ziel muss es sein, den Lebenszyklus von KI-Anwendungen professionell zu gestalten und zu managen. Compliance spielt hier zweifellos eine Schlüsselrolle. Dadurch wird das Vertrauen von Mitarbeitenden, Partnern, Kunden und nicht zuletzt der Öffentlichkeit gestärkt und potentieller Schaden vom Unternehmen ferngehalten.
Kritische Fragen rund um KI-Compliance
Als erste Orientierung dafür, wo ein Unternehmen in Sachen KI-Compliance steht, können einige einfache Fragen dienen:
- Ist Compliance ein integraler Bestandteil aller relevanten Prozesse zur Einführung und zum Betrieb von KI-Systemen?
- Werden vor dem Einsatz von KI-Systemen deren mögliche Compliancerisiken ermittelt, betrachtet und dokumentiert?
- Wie werden im Unternehmen rechtliche Risiken und Reputationsrisiken rund um KI ermittelt, bewertet und dokumentiert?
- Sind die Verantwortlichkeiten klar definiert und zugewiesen?
- Ist bekannt, welche KI-Systeme im Unternehmen genutzt werden, sich in Planung befinden oder durch Updates bestehender Systeme eingeführt werden?
- Sind alle relevanten technischen Spezifikationen bekannt?
- Sind alle direkt oder indirekt betroffenen Geschäftsprozesse und Unternehmenswerte identifiziert worden?
- Ist bekannt, welche Daten wie verarbeitet werden? Sind vertrauliche Daten dauerhaft angemessen geschützt?
- Sind die KI-Systeme auch aus dem Blickwinkel der Cybersicherheit betrachtet worden, beispielsweise als potentielles Angriffsziel beziehungsweise Angriffsvektor für Cyberkriminelle?
- Welche Strategien, Methoden und Werkzeuge werden genutzt, um die Compliance der KI-Systeme angesichts einer komplexen und sich rapide weiterentwickelnden Regulierung dauerhaft zu gewährleisten?
KI-Compliance richtig managen
KI-Technologie und ihre Nutzung entwickeln sich in rasantem Tempo weiter, dicht gefolgt von den relevanten Standards und Regulierungen. Dazu kommt eine steigende Zahl an Gerichtsurteilen und Entscheidungen von Aufsichtsbehörden, die Rechte und Pflichten rund um den Einsatz von KI immer weiter konkretisieren.
Um in diesem hochgradig volatilen Umfeld KI-basierte Innovationen mit der erforderlichen Geschwindigkeit, Sicherheit und Qualität umsetzen und die damit verbundenen Chancen nutzen zu können, sind klare Strategien sowie effektive und effiziente Managementprozesse unerlässlich.
Anerkannte KI-Standards wie beispielsweise ISO 42001 und das NIST AI Risk Management Framework (NIST AI RMF) geben wertvolle Hilfestellungen bei der Einführung und dem Betrieb eines AI-Management-Systems (AIMS). Dabei werden alle wesentlichen Aspekte von Rechtskonformität über Risikomanagement bis hin zu ethischen Grundsätzen in einem Gesamtsystem integriert, wobei natürlich auch Regulierungen wie der EU AI Act (EU AIA) sowie gegebenenfalls anwendbare branchenspezifische Regulierungen und Standards umgesetzt werden.
Damit wird unter anderem auch die Grundlage geschaffen, KI-Anwendungen mit ihren spezifischen Herausforderungen wirksam in das Compliance-Management-System zu integrieren.
Fazit
Damit KI ihre volle Innovationskraft entfalten kann, braucht es die richtigen Rahmenbedingungen. Die Complianceabteilung kann und muss hier einen entscheidenden Beitrag leisten.
Grundlage dafür ist eine wertebasierte Strategie, die alle wesentlichen Aspekte vereint, von Fairness über Datenschutz und Compliance bis hin zur Nachhaltigkeit. Basierend auf diesen Werten können multidisziplinäre Teams ein KI- und Compliance-Management-System entwickeln und implementieren, das nicht nur die aktuellen Anforderungen an KI-Systeme berücksichtigt, sondern sich laufend weiterentwickelt und somit auch angesichts der rasanten Entwicklungsgeschwindigkeit und der sich laufend verändernden Regulierung dem Unternehmen einen dauerhaften Wettbewerbsvorteil verschafft.
