Der Schlüssel zum Verständnis der Aufgabenteilung des KI-Gesetzes
3: KI-GESETZ
Wenn Unternehmen anfangen, KI einzusetzen, geschieht dies oft schrittweise. Zunächst in kleinen, internen Kontexten und später in geschäftskritischeren Prozessen. Irgendwann stellt sich die Frage:
Wer ist verantwortlich, wenn Entscheidungen in der Praxis von einem KI-basierten System getroffen werden?
Die kurze Antwort lautet: Das Unternehmen ist verantwortlich, unabhängig davon, ob die Entscheidung direkt von einem Menschen oder mit Unterstützung der KI getroffen wird. Das KI-Gesetz regelt nicht künstliche Intelligenz als Technologie, sondern die Entscheidung Ihres Unternehmens, KI in Kontexten einzusetzen, in denen Menschen, Rechte und wichtige Entscheidungen betroffen sind. AI Act verlagert den Fokus weg von der Technologie selbst und hin zur Art und Weise, wie Unternehmen den Einsatz von KI verwalten, überwachen und dokumentieren. Hier spielen Governance und DSGVO eine entscheidende Rolle.
KI kann nicht sich selbst überlassen werden
KI-Systeme sind dynamisch. Sie ändern sich, wenn sich Daten ändern, wenn die Nutzung zunimmt und wenn Systeme tiefer in die Organisation integriert werden. Ein System, das heute korrekt und konform funktioniert, kann morgen Probleme verursachen, ohne dass jemand die Funktionalität des Systems selbst aktiv ändert.
Daher verlangt das KI-Gesetz von Ihrem Unternehmen nicht nur, KI zu implementieren, sondern auch eine kontinuierliche Kontrolle darüber zu haben. Governance ist die Struktur, die es ermöglicht. Es stellt sicher, dass Ihr Unternehmen:
- Behalten Sie den Überblick darüber, wo KI im gesamten Unternehmen eingesetzt wird
- Fehler und unbeabsichtigte Auswirkungen der Nutzung erkennen
- Reagieren Sie schnell, wenn etwas schief geht
- Erklären und dokumentieren Sie Entscheidungen gegenüber Benutzern und Behörden
Ohne Governance ist der Einsatz von KI in der Praxis illegal und bei einer Inspektion noch schwieriger zu verteidigen.
Was Governance in der Praxis bedeutet
Bei Governance geht es nicht um lange Dokumente, sondern darum, im Alltag klare Entscheidungen treffen zu können. In der Praxis erwartet AI Act, dass das Unternehmen Fragen beantworten kann wie:
- Wer trägt die Gesamtverantwortung für das KI-System?
- Wer kann das ändern – und wann?
- Wie wird das System im Betrieb überwacht?
- Was passiert, wenn die KI die falsche Entscheidung trifft?
Das KI-Gesetz erfordert keine bestimmten Werkzeuge oder Technologien, sondern die Fähigkeit des Unternehmens, seine Entscheidungen zu erklären und zu dokumentieren. Zwei Unternehmen können daher auf unterschiedliche Weise konform sein, aber niemand kann sich der Verantwortung entziehen. Um diese Frage beantworten zu können, benötigen die meisten Unternehmen:
- Eine klare Eigentumsverhältnisse für jedes KI-System
- Feste Prozesse für Änderungen und neue Nutzungen
- Laufende Überwachung von Produktion und Verhalten
- Klare Verfahren für Fehler, Beschwerden und Abweichungen
Das Risiko hängt von der Anwendung ab
Einer der wichtigsten Grundsätze des KI-Gesetzes ist, dass das Risiko auf der Grundlage von bewertet wird Zweck. Dasselbe KI-Tool kann in einem Kontext unproblematisch und in einem anderen kritisch/illegal sein.
Ein System, das für die interne Forschung eingesetzt wird, stellt selten ein großes Risiko dar. Wird hingegen KI zur Beurteilung von Bewerbern, Kreditwürdigkeit oder Gesundheitsinformationen eingesetzt, ändern sich die Anforderungen erheblich.
Es ist daher nicht die KI-Technologie selbst, die ein hohes Risiko darstellt, sondern die Entscheidung des Unternehmens, sie in bestimmten Kontexten einzusetzen. Daher müssen Unternehmen immer Folgendes bewerten:
- Wen KI beeinflusst
- Wie wichtig Output ist
- Was ist die Konsequenz, wenn das System falsch ist
- Ob die Gefahr einer Diskriminierung besteht
Die Risikobewertung ist die Grundlage für eine korrekte Governance, Dokumentation und Kontrolle.
Die Interaktion mit der DSGVO: Wenn KI Menschen behandelt
Wenn KI personenbezogene Daten verarbeitet oder Entscheidungen über Personen trifft, werden wichtige DSGVO-Anforderungen aktiviert. Dabei sind vor allem zwei Bereiche von entscheidender Bedeutung.
Automatische Entscheidungen: Wird KI für Entscheidungen eingesetzt, die erhebliche Auswirkungen auf eine Person haben –, z.B. Ablehnung, Sortierung oder Gewährung von Leistungen, darf das System nicht für sich allein stehen.
Es muss eine echte menschliche Kontrolle über solche Entscheidungen geben. Das bedeutet, dass eine Person in der Lage sein muss:
- die Entscheidungsgrundlagen verstehen
- Angemessenheit beurteilen
- Entscheidung ändern oder rückgängig machen
Eine formelle Genehmigung einer KI-Entscheidung reicht nicht aus. Die Kontrolle muss den Inhalt der Entscheidung tatsächlich beurteilen.
Für Hochrisikoanwendungen a Folgenabschätzung zum Recht personenbezogener Daten (DPIA). Ziel der Analyse ist es zu beurteilen, ob das Risiko, das sich aus der Nutzung eines Systems oder Prozesses für die betroffenen Personen ergibt, auf ein akzeptables Maß reduziert werden kann. Ist dies nicht möglich, darf die KI-Lösung nicht in der Praxis eingesetzt werden.
Somit wird die DPIA nicht nur zu einer gesetzlichen Anforderung, sondern zu einem konkreten Entscheidungsinstrument, das das Unternehmen dazu zwingt, zu entscheiden, ob der Zweck legitim und verhältnismäßig ist und nicht nur, ob die Technologie funktioniert.
Transparenz: Wissen, wann KI auf dem Spiel steht
Das KI-Gesetz legt mehrere allgemeine Anforderungen für alle KI-Systeme und -Tools fest. Menschen dürfen bei der Interaktion mit KI keine Zweifel haben. Das bedeutet, dass Unternehmen offen sein müssen über:
- Verwendung von Chatbots
- KI-generierte Inhalte
- Automatisierte Fallbearbeitung
- Die Rolle der KI in Entscheidungsprozessen
Bei Transparenz geht es nicht darum, Algorithmen im Detail zu erklären, sondern darum, den Einsatz von KI durch das Unternehmen für die Betroffenen verständlich zu machen.
Protokollierung und laufende Überwachung
Wenn KI in der Praxis eingesetzt wird, muss das Unternehmen erklären können, was passiert ist, wenn etwas schief geht. Es erfordert, dass Spuren vorhanden sind. Protokollierung und Überwachung ermöglichen die Dokumentation von:
- als das System verwendet wurde
- welche Ausgabe es lieferte
- über und als Menschen eingriffen
- Wie mit Fehlern umgegangen wurde
Ohne Protokollierung gibt es keine Erklärung. Und ohne Erklärung gibt es keine Rechenschaftspflicht – weder gegenüber Benutzern noch gegenüber Behörden.
Ein klarer Weg nach vorne
Es geht nicht darum, Risiken zu eliminieren, sondern darum, sie managen, erklären und messen zu können. Für die meisten Unternehmen lässt sich die Arbeit mit dem KI-Gesetz in wenigen klaren Schritten zusammenfassen:
- Verschaffen Sie sich einen Überblick darüber, wo KI eingesetzt wird
- Zweck und Risikoniveau klären
- Verantwortlichkeiten und Rollen festlegen
- Stellen Sie bei Bedarf die menschliche Kontrolle sicher
Entscheidungen und Änderungen kontinuierlich dokumentieren Rechenschaftspflicht – weder gegenüber Nutzern noch gegenüber Behörden.
KI-Governance und DSGVO sind keine Beinspanne für die Innovation Ihres Unternehmens.
Sie sind die Voraussetzung für einen verantwortungsvollen und groß angelegten Einsatz von KI. Unternehmen, die die Kontrolle über Governance, Risikobewertung und Dokumentation erhalten, werden feststellen, dass das KI-Gesetz nicht zu einem Hindernis wird, sondern zu einem Rahmen, der Klarheit, Qualität und Vertrauen in die Arbeit mit künstlicher Intelligenz schafft.