KI-Compliance - auf der sicheren Seite
Wie aus Vorgaben echte Mehrwerte entstehen
+++ Umsetzungsfristen beachten +++
+++ Konformität für eure AI Use Cases prüfen +++
KI-Compliance umfasst alle Maßnahmen, die der Einhaltung gesetzlicher, regulatorischer sowie sonstiger unternehmensinterner Vorgaben dienen. Zu den Vorgaben es Unternehmens zählen auch ethisch-soziale Erwägungen beim Einsatz von KI. Deren Anwendung ist keine lästige Pflicht.
Wer sich "compliant" aufstellt, schafft beste Voraussetzungen für Achtsamkeit, Sicherheit und Vertrauen im Umgang mit KI – echte Mehrwerte!
Herausforderungen
der Compliance
Es kann herausfordernd sein, die einzelnen Regelwerke inhaltlich zu durchdringen und abzuleiten, wie sich Anforderungen auf KI-Strategie, -Governance und -Risikomanagement auswirken. Je nach Nutzungszweck können Aspekte des Daten- und Geheimnisschutzes, des geistigen Eigentums, der Informationssicherheit oder auch der Vertragsgestaltung betroffen sein.
Lass dich und dein Team unterstützen, diese Komplexität zu bewältigen und lasst euch für die Umsetzung befähigen!
Die europäische KI-Verordnung (AI Act) ist die zentrale Gesetzgebung, gegen deren Anforderungen ihr euren konkreten KI-Anwendungsfall (AI Use Cases) prüfen müsst. Zu diesem Zweck haben wir ein (toolgestütztes) KI-VO-Bewertungsschema (AI Act Assessment) entwickelt, mit dessen Hilfe wir Punkt für Punkt abfragen, welche konkreten Rechte und Pflichten sich für euch aus der Verordnung ableiten lassen und welcher der vierstufigen Risikokategorien der Anwendungsfall unterliegt. Auf diese Weise wird ermittelt, ob euer Unternehmen im Sinne der Verordnung als "Anbieter" oder "Betreiber" einzustufen ist.
In die Zusammenarbeit bringen wir unsere fachliche KI-Expertise zur Auslegung und Intension der KI-VO ebenso mit ein wie vertieftes Wissen zu Datenschutz und Informationssicherheit im Umgang mit KI.
Je nach inhaltlichem Schwerpunkt der organisatorischen wie technischen Ausrichtung eurer KI-Compliance, aber auch für die -Strategie und die -Governance beschreiben Standards und Leitfäden konkrete Maßnahmen zu deren Ausgestaltung. Die Anwendung der Standards und Leitfäden schafft eine solide Grundlage für einen ethisch-vertretbaren, sicheren und rechtskonformen Umgang mit KI.
Unsere Experten helfen euch, sich bei Bedarf an diesen Standards und Leitfäden für den jeweils von euch verfolgten Zweck zu orientieren und die im Zusammenhang stehenden Empfehlungen und Maßnahmen umzusetzen.
Die Zertifizierung von Künstlicher Intelligenz wäre eine Möglichkeit, den Einsatz von KI-Systemen zu fördern. Eine solche Zertifizierung könnte dazu beitragen, das gesellschaftliche Nutzenpotenzial vieler KI-Systeme sicher und zum Wohle der Allgemeinheit zu nutzen. Zudem erhöht eine Zertifizierung die Vergleichbarkeit von KI-Systemen, so dass ein fairer und transparenter Wettbewerb entsteht.
Es gibt derzeit noch keine Zertifizierung für Künstliche Intelligenz (Stand Juli 2024). Es ist jedoch geplant, den Kriterienkatalog AIC4 des Bundesamts für Sicherheit in der Informationstechnik (BSI) mittelfristig in einer Zertifizierung zu überführen, um die Aussagekraft, die Qualität und die Vergleichbarkeit von Prüfungen weiter zu erhöhen.
Wir begleiten euch auf eurem Weg in die Zertifizierung und unterstützen euch bei der Erfüllung der Compliance-Voraussetzungen.
Für beaufsichtigte Unternehmen wie beispielsweise dem Finanzmarkt oder dem Gesundheitswesen ist perspektivisch eine jeweils branchenspezifische KI-Regulierung zu erwarten. Schon heute hat etwa die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Prinzipienpapieren und anderen Publikationen ihre Perspektive auf die Verwendung von Algorithmen, großer Datenmengen ("big data") und maschinellem Lernen postuliert. Zudem stellen die Mindestanforderungen an das Risikomanagement (MaRisk) seit der siebten Novelle konkrete Vorgaben zum Umgang mit KI-Modellen. Zudem hat die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) ein öffentliches Statement zum Einsatz von KI abgegeben.
Wir helfen euch bei der Auslegung und Anwendung, beispielsweise im Kontext der Ausgestaltung von KI-Strategie, -Governance und -Risikomanagement.
Die KI-Compliance soll sicherstellen, dass KI den geltenden Datenschutzgesetzen und -richtlinien entspricht, indem sie den Schutz personenbezogener Daten und die Einhaltung von Sicherheitsstandards gewährleistet.
Wir evaluieren mit euch Mechanismen zur Datenanonymisierung, -verschlüsselung und -zugriffssteuerung, um die Integrität und Vertraulichkeit der Daten zu überwachen und zu wahren. Außerdem unterstützen wir bei Audits und Risikobewertungen, um potenzielle Datenschutzverletzungen frühzeitig zu erkennen und zu verhindern.
Belastbarkeit, Qualität und Vertrauen der erzeugten Entscheidungen und Ergebnisse hängen entscheidend davon ab, auf welche Datenhaushalte das KI-Modell zugreifen darf. Neben den unternehmensinternen kommen auch öffentliche Datenquellen in Betracht. Dabei stehen, datenschutz-, haftungs- und urheberrechtliche Aspekte im Vordergrund.
Wir unterstützen euch bei der Konzeption und Konfiguration der Modelle und entwickeln mit euch Vorgaben für ein regelkonformes Prompting. Dabei gilt es auch zu berücksichtigen, inwiefern vertriebliche "Versprechen" des Anbieters sich auch in seinen Vertragsbestimmungen ("product and legal Terms") wiederfinden. Wenn personenbezogene Daten zur Disposition stehen, kann die Durchführung einer Datenschutzfolge-Abschätzung (DSFA) erforderlich sein, bei der wir euch ebenfalls begleiten.
Im Kontext der KI-Compliance sollten KI-Benutzerrichtlinien (AI User Guidelines) herausgeben werden, um sicherzustellen, dass die Implementierung und Nutzung von KI im Unternehmen transparent, ethisch und rechtlich korrekt erfolgt.
Wir helfen bei der Ausarbeitung dieser Richtlinien, um Missbrauch zu verhindern, Risiken zu minimieren und das Vertrauen der Nutzer in die KI-Technologien zu stärken.
Ob und inwieweit euer Unternehmen die Auflagen im Umgang mit KI erfüllt, kann Gegenstand einer extern bzw. intern veranlassten Prüfung werden. Neben den spezialgesetzlichen Vorgaben aus der KI-Verordnung (AI Act) kommen dabei auch selbst auferlegte Richtlinien u. ä. in Betracht, deren Umsetzung die zuständigen Aufsichtsbehörden, die internen Revision oder der Abschlussprüfer bewerten könnte.
Wir unterstützen euch in der Vor- und Nachbereitung, stehen aber auch während der laufenden Prüfung selbst an eurer Seite (AI Audit Support). Dabei verfolgen wir einen risikoorientierten Ansatz, der insbesondere auf die Ordnungsmäßigkeit von Entwicklung, Betrieb und Nutzung der KI-Systeme und -Modelle fokussiert.
Compliance als Mehrwert!
So schafft ihr Voraussetzungen für Achtsamkeit, Sicherheit und Vertrauen im Umgang mit KI!
Du willst es genauer wissen...
und Compliance mehrwertbringend einsetzen?
Wir freuen uns auf deine Kontaktaufnahme!
Übersicht internationaler Regelwerke im Kontext von KI-Compliance
Weltweit wächst die Zahl geltender Gesetze, Standards und Empfehlungen mit hoher Dynamik, an denen sich Unternehmen mit ihren (inter-)nationalen Geschäftstätigkeiten bei der Nutzung von KI orientieren müssen bzw. können. Dabei sind die inhaltlichen Ausrichtungen und Zielrichtungen in den einzelnen Ländern und Wirtschaftsräumen mitunter sehr verschieden und setzen unterschiedliche Schwerpunkte.
Gerne stellen wir euch auf Anfrage eine erläuternde Übersicht zur Verfügung und geben euch konkrete Empfehlungen zu deren Anwendung in der KI-Praxis.
Worauf es in der KI-Compliance im Wesentlichen ankommt
Die Zielsetzung von KI-Compliance und der mit ihr verbundenen Regelwerke ist vielfältig. Sie strahlt in die unterschiedlichsten Bereiche des Unternehmens: Business und IT als primäre Nutzer der KI und Vertreter der "ersten Verteidigungslinie" sind ebenso wichtige Adressaten wie die Funktionsträger für Datenschutz, Informationssicherheit, Recht etc. aus der "zweiten Verteidigungslinie". Wir versetzen euch in die Lage, diese "Stoßrichtungen" einzunehmen und das gemeinsame Ziel eines regelkonformen Umgangs mit KI zu erreichen.
-
1. Gesetze einhalten
Für den Umgang mit KI sind aus Sicht der KI-Compliance an erster Stelle die Einhaltung und Umsetzung der Anforderungen aus den europäischen KI- und Datenschutz-Grundverordnungen zwingend.
Dabei muss jeder KI-Anwendungsfall auf seine Konformität im Verhältnis zu den Verordnungen zu prüfen.
-
2. Daten schützen
KI-Compliance ist für die Implementierung strenger Datenschutzrichtlinien und -Praktiken verantwortlich. Durch regelmäßige Überprüfungen und Audits der KI-Systeme wird die Einhaltung von Sicherheitsstandards überwacht, um Datenlecks und unberechtigte Zugriffe zu verhindern.
Zudem fördert KI-Compliance die Transparenz und Verantwortlichkeit bei der Datennutzung, was das Risiko von Missbrauch reduziert.
-
3. Risiken beherrschen
Für jeden KI-Anwendungsfall ist eine gründliche Risikobewertung durchführen. Dazu gehört die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Frage, wie sich KI-bezogene Risiken auf die Aufgaben und Ziele des Unternehmens auswirken können. Die KI-Compliance gibt in diesem Zusammenhang Verfahren zur Risikominderung vor, um die identifizierten Risiken anzugehen.
-
4. Resilienz sicherstellen
Anforderungen der KI-Compliance legen fest, wie sicher und robust KI-Dienste sein müssen, um Angriffen von innen oder außen zu widerstehen und Datenvertraulichkeit und -integrität sicherzustellen. Um beispielsweise die Möglichkeit von Bias innerhalb der KI und deren Auswirkungen auf die Funktionalität (Bedrohungen / Einschränkungen) zu beurteilen, können Rahmenwerke der KI-Compliance konkrete Handlungsanweisungen geben.
-
5. Schäden abwehren
Die KI-Compliance trägt zur Schadensabwehr im Unternehmen bei, indem sie sicherstellt, dass KI-Systeme ethisch und rechtlich korrekt eingesetzt werden, um rechtliche Konsequenzen und Reputationsschäden zu vermeiden. Durch die Implementierung von Transparenz- und Datenschutzrichtlinien wird das Vertrauen der Nutzer und Kunden gestärkt und das Risiko von Datenmissbrauch minimiert. Zudem hilft KI-Compliance dabei, systematische Biases zu erkennen und zu korrigieren, was die Entscheidungsqualität verbessert und Diskriminierung vorbeugt.
Auch interessant für dich
Erklärbare KI – ein Buch mit sieben Siegeln?
Die Politik fordert deshalb kategorisch "erklärbare KI", aber die Konzepte dazu stecken noch in den Kinderschuhen. Fachartikel von Claudia Dölker.
Copilot-Einführung: GRC
Clarissa Bent und Sebastian Dosch erklären im Video, worauf du in Sachen GRC bei der Copilot-Einführung achten musst. Jetzt ansehen!
KI-Modelle im Fokus - 7. MaRisk-Novelle
Es war nur eine Frage der Zeit, bis die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KI-Modelle aufgreift. Ein Kommentar.
KI-Compliance
Claudia Dölker
Enabler und Senior Consultant
Du hast Fragen zur KI-Compliance? Claudia Dölker hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630