KI-Compliance - auf der sicheren Seite

Wie aus Vorgaben echte Mehrwerte entstehen

+++ Europäische KI-Verordnung (AI Act) in Kraft getreten +++

+++ Umsetzungsfristen beachten +++

+++ Konformität für eure AI Use Cases prüfen +++

KI-Compliance umfasst alle Maßnahmen, die der Einhaltung gesetzlicher, regulatorischer sowie sonstiger unternehmensinterner Vorgaben dienen. Zu den Vorgaben es Unternehmens zählen auch ethisch-soziale Erwägungen beim Einsatz von KI. Deren Anwendung ist keine lästige Pflicht.

Wer sich "compliant" aufstellt, schafft beste Voraussetzungen für Achtsamkeit, Sicherheit und Vertrauen im Umgang mit KI – echte Mehrwerte!

Mehr erfahren

Herausforderungen
der Compliance

Es kann herausfordernd sein, die einzelnen Regelwerke inhaltlich zu durchdringen und abzuleiten, wie sich Anforderungen auf KI-Strategie, -Governance und -Risikomanagement auswirken. Je nach Nutzungszweck können Aspekte des Daten- und Geheimnisschutzes, des geistigen Eigentums, der Informationssicherheit oder auch der Vertragsgestaltung betroffen sein.

Lass dich und dein Team unterstützen, diese Komplexität zu bewältigen und lasst euch für die Umsetzung befähigen! 

 

Pflichten aus der KI-VO im Blick

Die europäische KI-Verordnung (AI Act) ist die zentrale Gesetzgebung, gegen deren Anforderungen ihr euren konkreten KI-Anwendungsfall (AI Use Cases) prüfen müsst. Zu diesem Zweck haben wir ein (toolgestütztes) KI-VO-Bewertungsschema (AI Act Assessment) entwickelt, mit dessen Hilfe wir Punkt für Punkt abfragen, welche konkreten Rechte und Pflichten sich für euch aus der Verordnung ableiten lassen und welcher der vierstufigen Risikokategorien der Anwendungsfall unterliegt. Auf diese Weise wird ermittelt, ob euer Unternehmen im Sinne der Verordnung als "Anbieter" oder "Betreiber" einzustufen ist.

In die Zusammenarbeit bringen wir unsere fachliche KI-Expertise zur Auslegung und Intension der KI-VO ebenso mit ein wie vertieftes Wissen zu Datenschutz und Informationssicherheit im Umgang mit KI.

KI-Standards und -Leitfäden für die Praxis

Je nach inhaltlichem Schwerpunkt der organisatorischen wie technischen Ausrichtung eurer KI-Compliance, aber auch für die -Strategie und die -Governance beschreiben Standards und Leitfäden konkrete Maßnahmen zu deren Ausgestaltung. Die Anwendung der Standards und Leitfäden schafft eine solide Grundlage für einen ethisch-vertretbaren, sicheren und rechtskonformen Umgang mit KI.

Unsere Experten helfen euch, sich bei Bedarf an diesen Standards und Leitfäden für den jeweils von euch verfolgten Zweck zu orientieren und die im Zusammenhang stehenden Empfehlungen und Maßnahmen umzusetzen.

Absicherung durch KI-spezifische Zertifikate

Die Zertifizierung von Künstlicher Intelligenz wäre eine Möglichkeit, den Einsatz von KI-Systemen zu fördern. Eine solche Zertifizierung könnte dazu beitragen, das gesellschaftliche Nutzenpotenzial vieler KI-Systeme sicher und zum Wohle der Allgemeinheit zu nutzen. Zudem erhöht eine Zertifizierung die Vergleichbarkeit von KI-Systemen, so dass ein fairer und transparenter Wettbewerb entsteht.

Es gibt derzeit noch keine Zertifizierung für Künstliche Intelligenz (Stand Juli 2024). Es ist jedoch geplant, den Kriterienkatalog AIC4 des Bundesamts für Sicherheit in der Informationstechnik (BSI) mittelfristig in einer Zertifizierung zu überführen, um die Aussagekraft, die Qualität und die Vergleichbarkeit von Prüfungen weiter zu erhöhen.

Wir begleiten euch auf eurem Weg in die Zertifizierung und unterstützen euch bei der Erfüllung der Compliance-Voraussetzungen.

Berücksichtigung aufsichtlicher Sichtweisen auf KI

Für beaufsichtigte Unternehmen wie beispielsweise dem Finanzmarkt oder dem Gesundheitswesen ist perspektivisch eine jeweils branchenspezifische KI-Regulierung zu erwarten. Schon heute hat etwa die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Prinzipienpapieren und anderen Publikationen ihre Perspektive auf die Verwendung von Algorithmen, großer Datenmengen ("big data") und maschinellem Lernen postuliert. Zudem stellen die Mindestanforderungen an das Risikomanagement (MaRisk) seit der siebten Novelle konkrete Vorgaben zum Umgang mit KI-Modellen. Zudem hat die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) ein öffentliches Statement zum Einsatz von KI abgegeben.
Wir helfen euch bei der Auslegung und Anwendung, beispielsweise im Kontext der Ausgestaltung von KI-Strategie, -Governance und -Risikomanagement.

Datenschutz und -Sicherheit im Umgang mit KI

Die KI-Compliance soll sicherstellen, dass KI den geltenden Datenschutzgesetzen und -richtlinien entspricht, indem sie den Schutz personenbezogener Daten und die Einhaltung von Sicherheitsstandards gewährleistet.

Wir evaluieren mit euch Mechanismen zur Datenanonymisierung, -verschlüsselung und -zugriffssteuerung, um die Integrität und Vertraulichkeit der Daten zu überwachen und zu wahren. Außerdem unterstützen wir bei Audits und Risikobewertungen, um potenzielle Datenschutzverletzungen frühzeitig zu erkennen und zu verhindern.

​KI-Zugriff auf Datenaushalte

Belastbarkeit, Qualität und Vertrauen der erzeugten Entscheidungen und Ergebnisse hängen entscheidend davon ab, auf welche Datenhaushalte das KI-Modell zugreifen darf. Neben den unternehmensinternen kommen auch öffentliche Datenquellen in Betracht. Dabei stehen, datenschutz-, haftungs- und urheberrechtliche Aspekte im Vordergrund.

Wir unterstützen euch bei der Konzeption und Konfiguration der Modelle und entwickeln mit euch Vorgaben für ein regelkonformes Prompting. Dabei gilt es auch zu berücksichtigen, inwiefern vertriebliche "Versprechen" des Anbieters sich auch in seinen Vertragsbestimmungen ("product and legal Terms") wiederfinden. Wenn personenbezogene Daten zur Disposition stehen, kann die Durchführung einer Datenschutzfolge-Abschätzung (DSFA) erforderlich sein, bei der wir euch ebenfalls begleiten.

KI-Benutzerrichtlinien für Akzeptanz und Vertrauen

Im Kontext der KI-Compliance sollten KI-Benutzerrichtlinien (AI User Guidelines) herausgeben werden, um sicherzustellen, dass die Implementierung und Nutzung von KI im Unternehmen transparent, ethisch und rechtlich korrekt erfolgt.

Wir helfen bei der Ausarbeitung dieser Richtlinien, um Missbrauch zu verhindern, Risiken zu minimieren und das Vertrauen der Nutzer in die KI-Technologien zu stärken.

 

Optimale Vorbereitung auf KI-Prüfungen

Ob und inwieweit euer Unternehmen die Auflagen im Umgang mit KI erfüllt, kann Gegenstand einer extern bzw. intern veranlassten Prüfung werden. Neben den spezialgesetzlichen Vorgaben aus der KI-Verordnung (AI Act) kommen dabei auch selbst auferlegte Richtlinien u. ä. in Betracht, deren Umsetzung die zuständigen Aufsichtsbehörden, die internen Revision oder der Abschlussprüfer bewerten könnte.

Wir unterstützen euch in der Vor- und Nachbereitung, stehen aber auch während der laufenden Prüfung selbst an eurer Seite (AI Audit Support). Dabei verfolgen wir einen risikoorientierten Ansatz, der insbesondere auf die Ordnungsmäßigkeit von Entwicklung, Betrieb und Nutzung der KI-Systeme und -Modelle fokussiert.

Icon Paragraph

Compliance als Mehrwert!

So schafft ihr Voraussetzungen für Achtsamkeit, Sicherheit und Vertrauen im Umgang mit KI!

Du willst es genauer wissen...

und Compliance mehrwertbringend einsetzen?

Wir freuen uns auf deine Kontaktaufnahme!
 

Übersicht internationaler Regelwerke im Kontext von KI-Compliance

Weltweit wächst die Zahl geltender Gesetze, Standards und Empfehlungen mit hoher Dynamik, an denen sich Unternehmen mit ihren (inter-)nationalen Geschäftstätigkeiten bei der Nutzung von KI orientieren müssen bzw. können. Dabei sind die inhaltlichen Ausrichtungen und Zielrichtungen in den einzelnen Ländern und Wirtschaftsräumen mitunter sehr verschieden und setzen unterschiedliche Schwerpunkte.

Gerne stellen wir euch auf Anfrage eine erläuternde Übersicht zur Verfügung und geben euch konkrete Empfehlungen zu deren Anwendung in der KI-Praxis.

Worauf es in der KI-Compliance im Wesentlichen ankommt

Die Zielsetzung von KI-Compliance und der mit ihr verbundenen Regelwerke ist vielfältig. Sie strahlt in die unterschiedlichsten Bereiche des Unternehmens: Business und IT als primäre Nutzer der KI und Vertreter der "ersten Verteidigungslinie" sind ebenso wichtige Adressaten wie die Funktionsträger für Datenschutz, Informationssicherheit, Recht etc. aus der "zweiten Verteidigungslinie". Wir versetzen euch in die Lage, diese "Stoßrichtungen" einzunehmen und das gemeinsame Ziel eines regelkonformen Umgangs mit KI zu erreichen.

1. Gesetze einhalten

2. Daten schützen

3. Risiken beherrschen

4. Resilienz sicherstellen

5. Transparenz​

  • KI-Gesetze

    1. Gesetze einhalten

    Für den Umgang mit KI sind aus Sicht der KI-Compliance an erster Stelle die Einhaltung und Umsetzung der Anforderungen aus den europäischen KI- und Datenschutz-Grundverordnungen zwingend.

    Dabei muss jeder KI-Anwendungsfall auf seine Konformität im Verhältnis zu den Verordnungen zu prüfen.

  • Datenschutz

    2. Daten schützen

    KI-Compliance ist für die Implemen­tierung strenger Daten­schutz­rich­tlinien und -Praktiken verant­wort­lich. Durch regelmäßige Über­prüfungen und Audits der KI-Systeme wird die Ein­haltung von Sicher­heits­standards überwacht, um Datenlecks und un­berech­tigte Zugriffe zu ver­hindern.

    Zudem fördert KI-Compliance die Transparenz und Ver­ant­wort­lichkeit bei der Daten­nutzung, was das Risiko von Miss­brauch reduziert.

  • Ki-Risiken und KI-Bedrohungen

    3. Risiken beherrschen​

    Für jeden KI-Anwendungsfall ist eine gründliche Risikobewertung durchführen. Dazu gehört die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Frage, wie sich KI-bezogene Risiken auf die Aufgaben und Ziele des Unternehmens auswirken können. Die KI-Compliance gibt in diesem Zusammenhang Verfahren zur Risikominderung vor, um die identifizierten Risiken anzugehen.

  • KI: Angriffe von außen

    4. Resilienz sicherstellen

    Anforderungen der KI-Compliance legen fest, wie sicher und robust KI-Dienste sein müssen, um Angriffen von innen oder außen zu widerstehen und Daten­ver­trau­lich­keit und -integrität sicher­zustellen. Um beispiels­weise die Möglichkeit von Bias inner­halb der KI und deren Auswir­kungen auf die Funktio­nalität (Bedrohun­gen / Einschrän­kungen) zu beurteilen, können Rahmen­werke der KI-Compliance konkrete Handlungs­an­weisungen geben.

  • Schadensabwehr

    5. Schäden abwehren

    Die KI-Compliance trägt zur Schadens­abwehr im Unter­nehmen bei, indem sie sicher­stellt, dass KI-Systeme ethisch und recht­lich korrekt einge­setzt werden, um rechtliche Konse­quenzen und Repu­tations­schäden zu vermeiden. Durch die Imple­men­tierung von Trans­parenz- und Daten­schutz­richt­linien wird das Vertrauen der Nutzer und Kunden gestärkt und das Risiko von Daten­missbrauch minimiert. Zudem hilft KI-Compliance dabei, sys­tema­tische Biases zu erkennen und zu korrigieren, was die Ent­schei­dungs­qualität verbessert und Diskri­mi­nierung vorbeugt.

Auch interessant für dich

Erklärbare KI – ein Buch mit sieben Siegeln?

Die Politik fordert deshalb kategorisch "erklärbare KI", aber die Konzepte dazu stecken noch in den Kinderschuhen. Fachartikel von Claudia Dölker.

Copilot-Einführung: GRC

Clarissa Bent und Sebastian Dosch erklären im Video, worauf du in Sachen GRC bei der Copilot-Einführung achten musst. Jetzt ansehen!

KI-Modelle im Fokus - 7. MaRisk-Novelle

Es war nur eine Frage der Zeit, bis die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KI-Modelle aufgreift. Ein Kommentar.

Deine Expertin für
KI-Compliance

Claudia Dölker 
Enabler und Senior Consultant

Du hast Fragen zur KI-Compliance? Claudia Dölker hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Rechte und Pflichten aus der KI-Verordnung

Auf Grundlage des risikoorientierten Ansatzes, der im AI Act verankert ist, ergeben sich in Abhängigkeit des bewerteten Risikos, das von der jeweiligen AI-Use-Case-Lösung ausgeht, unterschiedliche Rechte, aber vor allem auch Verpflichtungen, denen das Unternehmen, das die in Frage stehende KI-basierte Lösung bzw. das -Modell nutzt, zwingend nachkommen muss.

Rechte und Pflichten von "Anbietern" unterscheiden sich nach dem AI Act von denen, die ein "Betreiber" hat.

Deshalb prüfen wir zunächst, ob euer Unternehmen im vorliegenden Fall als "Anbieter" oder "Betreiber" eines KI-Anwendungsfalls einzustufen ist.

 

×

KI-Standards und -Leitfäden

Aus internationaler Sicht sind an erster Stelle die Standards

  • ISO/IEC 42001 – Artifical intelligence —management system“,
  • ISO/IEC 5259-3 "Artificial intelligence — Data quality for analytics and machine learning (ML)“ sowie
  • ISO/IEC 25059:2023 „Systems and software quality requirements and evaluation (SQuaRE) — quality model for ai systems“

zu nennen.


Aus Perspektive des Risikomanagements ist u.a. das Rahmenwerk

  • NIST „Artifical Intelligence Risk Framework (AI RMF 1.0)

zu nennen.


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den

  • BSI „Kriterienkatalog für KI-Cloud-Dienste (AIC4)“

veröffentlicht.

Orientierung zur Gestaltung kann auf nationaler Ebene auch der Prüfungsstandard des Instituts der Wirtschaftsprüfer

  • IDM PS 861 „Prüfung von KI-Systemen“

geben.