Im aktuellen KI-Hype möchten viele Unternehmen rasch von der neuen Technologie profitieren. Ohne eine solide KI-Governance kann die Einführung von KI aber ungewollt zum (Compliance-) Albtraum werden. Doch was ist KI-Governance eigentlich?

Der Einsatz von Künstlicher Intelligenz im Unternehmen bringt enorme Vorteile; gleichzeitig birgt er aber auch nicht zu unterschätzende Gefahren. Der falsche Umgang mit KI-Anwendungen kann zu Geldbußen, Schadenersatzansprüchen und Unterlassungsklagen führen. Um den rechtssicheren KI-Einsatz im Unternehmen sicherzustellen, braucht es daher robuste KI-Governance-Strukturen. 

 

Was ist KI-Governance?

KI-Governance beschreibt die Gesamtheit der organisationsinternen Rahmenbedingungen und Strukturen, die darauf abzielen, die Entwicklung und Nutzung von KI innerhalb eines Unternehmens zu steuern. Durch die Implementierung von Richtlinien, Standards, Prozessen und Rollen ermöglicht eine KI-Governance damit die Formalisierung von Aktivitäten im Zusammenhang mit KI. Dies hilft, Risiken zu beherrschen, Erfolge messbar zu machen und Verantwortlichkeiten zuzuordnen. 

Die Notwendigkeit einer soliden KI-Governance ergibt sich aus mehreren Gründen:

  • Risikominimierung: Unzureichend überwachte oder schlecht implementierte KI-Anwendungen können zu Fehlern und/oder Compliance-Verstößen führen, die finanzielle Verluste und rechtliche Konsequenzen nach sich ziehen können.
  • Vertrauensaufbau: Eine effektive KI-Governance hilft, das Vertrauen in KI zu stärken, indem klare Richtlinien für den Umgang mit dieser Technologie vorgegeben und hierdurch sichere Rahmenbedingungen geschaffen werden.
  • Wertmaximierung: Durch klare Vorgaben und messbare Parameter lässt sich sicherstellen, dass der KI-Einsatz optimal auf die Ziele des Unternehmens ausgerichtet wird.

 

Wie implementiert man KI-Governance im Unternehmen?

Umfang und Tiefe der erforderlichen KI-Governance-Strukturen hängen maßgeblich von den geplanten Einsatzszenarien von Künstlicher Intelligenz ab – insbesondere, ob es sich dabei um Hochrisiko-Fälle gemäß KI-Verordnung handelt. Ebenso spielt die Unternehmensgröße, -branche und -ausrichtung eine zentrale Rolle. Sollen KI-Anwendungen selbst entwickelt oder bloß fertige Lösungen “von der Stange“ bezogen werden? Soll KI kundenseitig (vielleicht noch in einem sensiblen Bereich wie Gesundheit oder Finanzen) eingesetzt werden oder bloß interne administrative Prozesse unterstützen? Wie engmaschig die Governance-Strukturen ausgestaltet sein müssen, hängt daher letztlich von einer Reihe von Risikofaktoren ab. Einen fertigen „Blueprint“ gibt es nicht. 

Im Gegensatz zur Rolle des:der Datenschutzbeauftragten, die in bestimmten Fällen gemäß DSGVO verpflichtend vorzusehen ist, besteht derzeit keine gesetzliche Pflicht, eine:n KI-Beauftragte:n zu installieren. Aus Governance-Sicht macht es dennoch Sinn, eine zentrale KI-Anlaufstelle (sei es eine Einzelperson oder ein Gremium) zu schaffen, der die Richtlinien- und gegebenenfalls auch Freigabekompetenz im Zusammenhang mit KI zukommt. Andernfalls besteht das Risiko, dass das Thema KI (als klassische Querschnittsmaterie) inhaltlich „filetiert“ und von den zuständigen Fachbereichen uneinheitlich gelöst wird – so könnte z.B. die IT-Abteilung eine KI-Anwendung aus technischen Gesichtspunkten freigeben, während die Datenschutz-Abteilung eine Nutzung derselben aufgrund von Compliance-Bedenken untersagt. Mit unterschiedlichen Aussagen konfrontiert ist der:die Anfragende dann ratlos, was nun gilt. 

Die folgenden Schritte sollten bei der Implementierung von KI-Governance daher jedenfalls umgesetzt werden:

  1. Etablierung einer KI-Organisationsstruktur: Zunächst ist eine eigene KI-Organisation einzurichten, die jedoch angemessen in den bestehenden Unternehmensstrukturen verankert sein sollte, um einen reibungslosen Ablauf zu ermöglichen. Hierfür sind eigene KI-Funktionen bzw. Rollen zu schaffen. Insbesondere zwei Funktionen sollten vorgesehen werden: Zum einen – wie bereits erwähnt – eine zentrale Anlaufstelle für KI, zum anderen „KI-Use Case Owner“, d.h. zuständige Mitarbeiter:innen in den operativen Fachbereichen, die für den jeweiligen KI-Use Case die Compliance-Verantwortung tragen und üblicherweise auch den Erfolg des Vorhabens verantworten.
  2. Zuordnung von Verantwortlichkeiten: Anknüpfend an die Rollenzuteilung ist eine klare Zuweisung von Verantwortlichkeiten für die Implementierung, Nutzung, Überwachung und Steuerung von KI essenziell. Jeder KI-Stakeholder muss sich seiner Pflichten in Bezug auf KI im Klaren sein. Diese Zuständigkeiten sollten auch klar dokumentiert werden.
  3. Ausgestaltung von Prozessen, Berichts- und Entscheidungswegen: Standardprozesse für KI sind zu definieren sowie Berichts- und Entscheidungswege festzulegen. Diese müssen alle Phasen der KI-Nutzung abdecken – von der Planung und gegebenenfalls Entwicklung über die Implementierung und kontinuierlichen Überwachung bis hin zur Stilllegung. Unternehmen sollten zumindest zwei Standardprozesse im Zusammenhang mit KI definieren: die Einführung neuer KI-Anwendung sowie die laufende Überwachung bestehender (inklusive Meldewege bei Zwischenfällen).
  4. Erarbeitung von Richtlinien und Vorgaben: Die Erarbeitung von spezifischen Richtlinien und Vorgaben für den KI-Einsatz ist unabdingbar, um ethische, rechtliche und betriebliche Anforderungen zu erfüllen. Die erforderlichen Dokumente sollten hierbei hierarchisch aufgebaut und sukzessiv detaillierter ausgestaltet sein (z.B.: Strategie > Richtlinie > Weisung). Als organisatorisches Fundament für den KI-Einsatz empfiehlt es sich, eine übergeordnete KI-Strategie für das Gesamtunternehmen zu erarbeiten. Weiters sollte ein KI-Verzeichnis eingeführt werden, um den notwendigen Überblick in Bezug auf die eingesetzten KI-Anwendungen, die laufenden KI-Use Cases und die internen Verantwortlichkeiten zu schaffen.

 

Fazit

Die erstmalige Implementierung von KI-Governance-Strukturen bedeutet zusätzlichen Aufwand für das Unternehmen. Gleichzeitig stellt eine funktionierende KI-Governance eine unverzichtbare Absicherung gegen viele Risiken, die mit der Nutzung von Künstlicher Intelligenz einhergehen, dar. Hier zu Beginn an der falschen Stelle zu sparen, kann im Nachhinein zu bösen Überraschungen und hohen Kosten führen. Bevor man mit der KI-Nutzung startet, sollte daher bereits die organisatorische Basis dafür gelegt worden sein.

 

Autorin: Daniela Birnbauer, LL.M. MA

Seminartipp! KI rechtssicher nutzen