Die Implementierung eines KI Governance Frameworks
Es ist inzwischen keine Frage mehr, ob KI in einem Unternehmen eingesetzt wird, sondern vielmehr in welchem Umfang und welche Bereiche und Prozesse betroffen sind. Der Einsatz von KI bringt allerdings auch regulatorische und ethische Risiken mit sich, denen sich Unternehmen stellen müssen. Um diese Risiken zu steuern, aber auch um den zukunftsorientierten Einsatz von KI sicherzustellen, bedarf es innerhalb eines Unternehmens Leitlinien und Handlungsrahmen für Nutzer und Betreiber von KI-basierten Anwendungen. In diesem Beitrag beschäftigt sich Eric S. Soong mit der Frage, wie ein solcher Handlungsrahmen bzw. ein KI Governance Framework aus Sicht einer Compliance-Organisation in einem Industrieunternehmen aussehen kann.
Integration von KI: Hierbei müssen im Unternehmen mehrere Kräfte zusammenspielen.
Unabhängig davon, ob in einem Unternehmen bereits KI-Expertise vorhanden ist oder diese teuer eingekauft werden muss, stellt sich zunächst die Frage, welche Organisationseinheit(en) innerhalb eines Unternehmens die Verantwortung für die KI Governance innehaben sollte(n). Die mit KI verbundenen Risiken betreffen eine Vielzahl an Abteilungen und Prozessen in einem Unternehmen. Ein KI Governance Framework erfordert somit das interdisziplinäre Zusammenspiel verschiedener Fachbereiche. Erforderlich ist daher ein modernes Risikomanagementsystem, das die verschiedenen Risiken unternehmensweit identifiziert, bewertet und steuert sowie eine Verbindung der Risiken berücksichtigt. Die Compliance-Funktion kann dabei aufgrund ihrer Erfahrungen aus den unter den klassischen Compliance-Begriff fallenden Themenfeldern eine wesentliche Rolle spielen, um dieses neue technische Themenfeld zu erfassen.
Da die meisten Compliance-Funktionen aber eher mit Juristen und Betriebswirten und nicht mit KI-Experten besetzt sein dürften, muss die Rolle der Compliance-Funktion in diesem Zusammenhang als beratende, koordinierende und konsolidierende Instanz, die auf eine interdisziplinäre Zusammenarbeit und einen adäquaten Informationsaustausch sowie die Herbeiführung von schnellen Entscheidungen hinwirkt, verstanden werden. Dieser interdisziplinäre Ansatz fördert eine holistische Betrachtung der entstehenden Risiken sowie eine leichtere Mitigation derselben.
Aber auch aus Sicht der Unternehmensleitung empfiehlt es sich, diese herausfordernde Aufgabe an eine Compliance-Funktion zu delegieren, da es die originäre Aufgabe einer Unternehmensleitung ist, die von ihr verantworteten, unternehmerischen Aktivitäten in einer Art und Weise zu organisieren und zu überwachen, dass sie mit den jeweils anwendbaren straf- und bußgeldbewehrten Gesetzen in Einklang stehen.
Bei der konkreten Ausgestaltung des KI Governance Frameworks sollte zunächst darüber nachgedacht werden, das KI Governance Framework in bereits im Unternehmen vorhandene DS-GVO- oder IT-Sicherheits-Compliance-Strukturen zu integrieren bzw. diese zu nutzen. Fundament des Governance Frameworks stellt eine entsprechende Richtlinie dar, die zentrale KI-Leitlinien, Grundsätze sowie Vorgaben für deren Umsetzung definiert. Sie sollte die Werte aus dem Unternehmenskodex wie auch interne Regulatorik widerspiegeln und als gemeinsame Grundlage für den Umgang mit KI dienen. Essenzieller Bestandteil der Richtlinie sollten Leitlinien sein, die sowohl die Potentiale von KI als auch die Risiken bei deren Einsatz steuern. Ein rein risikoorientierter Ansatz, der ausschließlich Gefahren thematisiert, könnte gegebenenfalls bremsend auf den KI-Reifegrad einwirken, Innovation verlangsamen oder Mitarbeitende verunsichern. Auch empfiehlt es sich, zunächst auf der Ebene von Grundsatzprinzipien/Guiding Principles einen Handlungsrahmen für die Nutzung von KI-Anwendungen vorzugeben. Dieser sollte Hinweise darauf enthalten, dass die Anwendungen nur mit gesicherter Internetverbindung genutzt und die Datenschutzrichtlinien sowie die allgemeinen Geschäftsbedingungen der jeweiligen Anwendung beachtet werden. Ferner, dass Daten zu anonymisieren und Ergebnisse auf Genauigkeit und Plausibilität zu prüfen sind.
Mit Blick auf die Zukunft bleiben die Aussichten für die Steuerung der KI in der EU herausfordernd. Hinzu kommen Regulierungsansätze aus anderen Rechtskreisen, wie den USA oder China. Da sich die KI-Technologien rasant weiterentwickeln, müssen auch geschaffene Governance-Strukturen flexibel und anpassungsfähig bleiben, kurz robust, um neuen Entwicklungen und unvorhergesehenen Risiken zu begegnen. Ein „One size fits it all“-Ansatz erscheint daher weniger realistisch. Zuletzt bietet die digitale Transformation durch KI aber auch die Möglichkeit, präventive, detektierende und reagierende Maßnahmen neu zu gestalten, zu verschlanken und effizienter zu machen. Compliance muss sich dadurch zwar einerseits um neue Risiken kümmern, kann jedoch andererseits die mit KI entstehenden Chancen auch für die eigene Arbeit nutzen.
Eric S. Soong
Eric S. Soong ist seit 2014 Group Chief Compliance Officer & Head of Corporate Security der Schaeffler Gruppe. Er ist weltweit für verschiedene Governance-Funktionen im Unternehmen verantwortlich, hierzu zählt u.a. der Bereich Compliance. Er ist zudem in der Herausgeberschaft des Compliance-Beraters.