Die KI-Verordnung (KI-VO) ist im Juni 2023 in die finale Phase des europäischen Gesetzgebungsverfahrens eingetreten. Nachdem sich das EU-Parlament auf eine Fassung geeinigt hatte, hat der Verständigungsprozess zwischen Parlament, EU-Ministerrat und EU-Kommission begonnen, der sogenannte Trilog.

Die KI-Verordnung ist ein regulatorisches Prestigeprojekt der EU mit dem Ziel, einen einheitlichen Rechtsrahmen für Entwicklung und Einsatz von KI innerhalb der Union zu schaffen. Damit ist sie weltweit das erste KI-Gesetz ihrer Art.

Aufgrund der zentralen Stellung, die KI absehbar in allen Bereichen der Gesellschaft einnehmen wird, bringt die Verordnung für Unternehmen weitreichende Folgen mit sich. Auch wenn sich das Gesetz derzeit noch in Verhandlungen befindet, sind zentrale Regelungen und Herausforderungen bereits jetzt absehbar.

Unternehmen sollten daher frühzeitig mit der Vorbereitung auf die Verordnung beginnen, da die Vorgaben komplex sind und die Sanktionen bei Nichteinhaltung einschneidend sein können. Die folgenden zehn To-dos sollten sich Unternehmen schon jetzt zur Vorbereitung vornehmen.

Unternehmen sollten zunächst prüfen, ob und welche KI-Assets bereits im Unternehmen bestehen oder künftig geplant sind. Nur wenn ein klarer Überblick hierüber besteht, können die Vorgaben der KI-VO auch sinnvoll und umfassend umgesetzt werden.

Dabei sollte auch die Gesetzgebungsentwicklung rund um die KI-VO genaustens im Auge behalten werden, da die Definition von KI und damit der Anwendungsbereich der Verordnung zu den maßgeblich umstrittenen Aspekten zählt. Das wird dadurch deutlich, dass zwischenzeitlich sogar einfache Taschenrechner vom Verordnungsbegriff erfasst worden wären. Es sollte daher sorgfältig geprüft werden, ob möglicherweise bestehende Softwaresysteme unerwarteterweise unter die KI-VO fällt.

Bei der Einführung von KI in ein Unternehmen sollten interdisziplinäre Teams gebildet werden, da KI-Projekte ein breites Spektrum an Fachkenntnissen erfordern. Durch die Zusammenarbeit verschiedener Disziplinen wie Data-Science, Informatik, Ethik, Recht und Geschäftsentwicklung können unterschiedliche Perspektiven und Fachkenntnisse eingebracht werden, um ganzheitliche Lösungen zu entwickeln.

Ein unternehmensweites Bewusstsein ermöglicht es, Einsatzmöglichkeiten zu identifizieren und Risiken entgegenzuwirken. Hierfür eignen sich insbesondere auch Workshops und Schulungen der Mitarbeitenden.

Zunächst sollte ein stimmiges Gesamtkonzept im Rahmen eines „Regulatory Mapping“ erstellt werden, um die einschlägigen rechtlichen Anforderungen gebündelt zusammenzutragen und somit einen klaren Überblick zu gewinnen.

Empfehlenswert für neu einzuführende KI-Systeme kann eine systemische Konformitätsbewertung sein. Deren Umsetzung bietet die Chance, gemessen am Regulatory Mapping, technische wie rechtliche Risiken zu identifizieren und ihnen entgegenzuwirken. Zudem ermöglicht es, potenzielle Schwachstellen oder Risiken frühzeitig zu erkennen und Gegenmaßnahmen zu ergreifen.

Die vielschichtigen gesetzlichen Anforderungen und tatsächlichen Notwendigkeiten der Projektentwicklung machen ein gut strukturiertes Planungskonzept zum Erfolgsfaktor einer gelungen KI-Implementierung. Aus diesem Grund lohnt sich die Erstellung eines „AI Playbooks“, das als grundlegendes Dokument für die Einführung und den Einsatz von KI im Unternehmen dienen kann.

Umfassen sollte dieses zumindest eine Aufteilung in Projektphasen mit Festlegung der zuständigen Stakeholder, unternehmensinterne Vorgaben bezüglich Training und Einsatz der KI unter Berücksichtigung der einschlägigen rechtlichen Gesichtspunkte und der Definition der entscheidenden Prozesse (Datenaufbereitung, Training, Validierung, Monitoring).

Zudem ist es wichtig, ein Konzept zur Data-Governance zu entwickeln und umzusetzen, insbesondere im Kontext von KI im Unternehmen. Data-Governance stellt sicher, dass Datenqualität, Datenintegrität und Datenschutzrichtlinien eingehalten werden. Durch eine klare und strukturierte Datenverwaltung können Unternehmen sicherstellen, dass ihre KI-Modelle auf hochwertigen und zuverlässigen Daten basieren.

Data-Governance ermöglicht auch die Identifizierung und Minimierung von Risiken, wie beispielsweise Verletzungen der Privatsphäre oder unzureichende Datenqualität. Schließlich fördert Data-Governance eine konsistente und standardisierte Datenstruktur, die die Zusammenarbeit und Integration von KI-Systemen erleichtert und deren Skalierbarkeit verbessert.

Bei der Einführung von KI ist es entscheidend, Synergieeffekte zu nutzen, um optimale Ergebnisse zu erzielen. Die Umsetzung der Anforderungen der KI-VO sollte nicht isoliert betrachtet werden, sondern so weit wie möglich in bestehende Prozesse und Dokumentation eingebaut werden.

Dabei kann die Umsetzung der Anforderungen aus der KI-VO teilweise insbesondere mit der Umsetzung der Anforderungen der DSGVO kombiniert werden. Vor diesem Hintergrund lohnt es sich schon jetzt, sich einen umfassenden Überblick über die bestehenden Prozesse und Dokumentation zu verschaffen, um Potenziale für Synergieeffekte zu identifizieren.

Um ein widerstandsfähiges und korrekt arbeitendes KI-System für das eigene Unternehmen zu schaffen, sollte unter Berücksichtigung der rechtlichen Anforderungen ein klares Testverfahren definiert werden. Wiederholte Tests in Entwicklung und dem späteren laufenden Betrieb können entscheidend dazu beitragen, Fehler und mögliche Compliance-Risiken zu vermeiden. Dies gelingt jedoch nur, wenn für das Testverfahren klare Eigenschaften festgelegt werden.

Aufgrund des fortlaufenden maschinellen Lernprozesses kann es bei der Weiterentwicklung der KI immer wieder zu neuen Herausforderungen kommen. Diese Problematik spiegelt sich auch in der KI-VO wider, da umfangreiche Dokumentations- und Aufzeichnungspflichten und ein laufendes Monitoring gefordert werden. Um dieser Herausforderung Herr zu werden, lohnt sich die Konzeption eines einheitlichen, (teil-)automatisierten Qualitätsmanagementsystems.

In vielen Fällen werden die Anwendenden über keine vollständigen Kenntnisse zu den Fähigkeiten und Besonderheiten von KI-Systemen verfügen. Die KI-VO-E fordert deshalb teilweise eine digitale Gebrauchsanweisung zum Umgang mit dem jeweiligen KI-System und den damit verbundenen Risiken und Möglichkeiten.

Unternehmen können sich vor diesem Hintergrund bereits heute Gedanken machen, wie und in welchem Format sie ihren Mitarbeiter:innen den Umgang mit der KI erklären wollen.

Bei der KI-VO handelt es sich um das erste Gesetz seiner Art zu einer grundlegend bahnbrechenden Technologie. Aufgrund des thematischen Neulands ist damit zu rechnen, dass die gesetzlichen Anforderungen weiterentwickelt, optimiert und unter Umständen vielleicht sogar noch korrigiert werden.

Diese Planungsunsicherheit hat zur Folge, dass sowohl technisch als auch unternehmensprozedural Modularität angestrebt werden sollte. Nur so lässt es sich vermeiden, nicht bei jeder Änderung ans Zeichenbrett zurückkehren und das System grundlegend neu konzipieren zu müssen.

Trotz der vielfältigen Herausforderungen durch die KI-VO handelt es sich bei dieser Regulierung um einen wichtigen Schritt, durch den das Vertrauen in die noch junge Technologie gesteigert und diese einer breiteren Masse zugänglich gemacht werden kann. In jedem Fall sollte die Zeit bis zum Wirksamwerden der KI-VO nicht ungenutzt verbleiben. Eine gute Vorbereitung auf die kommenden Regelungen hat in jedem Fall entscheidenden Einfluss auf den Erfolg individueller Vorhaben zur KI-Implementierung.