KI-Governance: Das sind die Erfolgsfaktoren

Das Herzstück der KI-Governance bildet die sogenannte Aufbauorganisation. Sie definiert Verantwortlichkeiten und spezifische Rollen und Ausschüsse, wie etwa das AI Governance Board, das ethische Aspekte rund um KI im Blick behält. Parallel zur Aufbauorganisation konzentriert sich die Ablauforganisation auf das Entwickeln klarer, umsetzbarer Prozesse, die den Lebenszyklus der KI-Systeme lenken – von der Konzeption bis zum Einsatz und zur Überwachung. 

Zu einer effektiven Governance-Struktur gehört auch die Position des Chief AI Officers (CAIO), die in den USA bereits erfolgreich eingesetzt wird. Seine zentrale Funktion innerhalb der Unternehmensführung ist es, die strategische Ausrichtung und Implementierung von KI-Initiativen zu leiten und zu überwachen. CAIOs benötigen ein tiefes Verständnis der technologischen Aspekte ebenso wie die Fähigkeit, die Technologien in die Geschäftsstrategie zu integrieren und deren Potenzial zur Wertschöpfung zu maximieren. 

Ein weiterer wesentlicher Schritt erfolgreicher KI-Governance ist es, die KI-Schnittstellen im Unternehmen zu identifizieren. Es ist wichtig zu verstehen, welche Abteilungen KI einsetzen, wie weit der jeweilige Umsetzungsstand ist und ob einzelne Anwendungsfälle lediglich gesammelt oder auch tatsächlich umgesetzt werden. Diese Bestandsaufnahme ermöglicht es, KI-Systeme systematisch zu inventarisieren, ihre Risiken einzuschätzen und geeignete Maßnahmen zu ergreifen. Diese müssen dann in das bestehende interne Kontrollsystem (IKS) und Compliance-Management-Systeme (CMS) integriert werden. 

Mit Blick auf die fortschreitende Digitalisierung und den verstärkten KI-Einsatz wird auch ein integriertes Risiko-Management immer wichtiger. Dabei geht es auch um die enge Zusammenarbeit zwischen verschiedenen Abteilungen und Funktionen, mit dem Ziel, Transparenz über End-to-End-Prozesse (E2E) sicherzustellen. Dies ist entscheidend, um potenzielle Risiken aus der KI-Nutzung frühzeitig zu erkennen und effektiv zu steuern.

In diesem Kontext spielen auch der Vorstand bzw. die Geschäftsführung eine entscheidende Rolle. Ihre Verantwortung liegt darin, klare Leitplanken zu definieren, die den sicheren und ethischen Einsatz von KI-Technologien sicherstellen. Sie sollten spezifische Rahmenrichtlinien schaffen, die es allen Abteilungen ermöglichen, KI-Initiativen im Einklang mit den Unternehmenswerten und -zielen zu entwickeln und umzusetzen. 

Für eine erfolgreiche KI-Governance sollten Unternehmen zwischen KI-Produkten oder Dienstleistungen unterscheiden, die Kunden angeboten werden, und dem unternehmensinternen Einsatz der Technologie, etwa zur Effizienzsteigerung. Denn beide Anwendungsbereiche erfordern eine spezifische Herangehensweise, um die jeweiligen Risiken angemessen zu adressieren und eine effektive KI-Governance sicherzustellen. 

Mitte 2024 ist der EU AI Act vollumfänglich in Kraft getreten und bildet für zahlreiche Unternehmen den entscheidenden regulatorischen Rahmen für den KI-Einsatz. Das Institut der Deutschen Wirtschaftsprüfer (IDW) hat einen umfassenden Rahmen für die Prüfung von KI-Systemen vorgestellt, der in IDW PS 861 zusammengefasst ist.

Dieser Prüfungsstandard ermöglicht unter anderem die Bewertung der Wesentlichkeit eingesetzter KI-Systeme und die Identifizierung möglicher Sicherheitslücken. Dies kann das Vertrauen in den Einsatz von KI-Systemen stärken. Entsprechend könnte Unternehmen dies neben dem EU AI Act als zusätzlicher regulatorischer Rahmen für den KI-Einsatz dienen. 
Um die Mindestanforderungen des IDW-Standards PS 861 zu erfüllen, sind Unternehmen verpflichtet, Maßnahmen in den folgenden Bereichen zu ergreifen: 

• KI-Governance/AI-Compliance/AI-Überwachung 
• Daten 
• KI-Algorithmus/AI-Modell 
• KI-Anwendungen 
• IT-Infrastruktur 
  

Auch die BaFin betont in ihren Veröffentlichungen, dass KI-Anwendungen auch regulatorische Herausforderungen mit sich bringen. In ihrem Positionspapier zu Big Data und KI (2021) weist sie auf folgende zentrale Aspekte hin: 

• Verantwortlichkeit: Trotz automatisierter Prozesse verbleibt die Verantwortung für Entscheidungen immer bei den beaufsichtigten Unternehmen. 
• Bias und Diskriminierung: Unternehmen müssen nachweisen, dass ihre KI-Systeme keine systematischen Verzerrungen oder Diskriminierungen aufweisen. 
• IT-Sicherheit: KI-Systeme müssen robust gegen Angriffe und Manipulationen sein. 

Entsprechend erwartet die BaFin von Finanzinstituten, dass sie geeignete interne Kontrollsysteme einrichten, um das Einhalten dieser Vorgaben zu gewährleisten. 

Neben der BaFin hat auch die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) mehrfach die Bedeutung datenschutzkonformer KI hervorgehoben. KI-Systeme dürfen nur mit Daten gefüttert werden, deren Verarbeitung auf einer rechtmäßigen Grundlage beruht. Besonders heikel sind dabei personenbezogene Daten, bei denen hohe Anforderungen an die Anonymisierung und Pseudonymisierung gestellt werden.