KI-Compliance im Unternehmen: Von der Verordnung zur rechtssicheren Praxis

Die fortschreitende Digitalisierung wird maßgeblich durch den Einsatz von Künstlicher Intelligenz geprägt. Unternehmen unterschiedlichster Branchen nutzen KI-Technologie, um Prozesse zu automatisieren, datenbasierte Entscheidungen zu treffen und neue Geschäftszweige bzw. –modelle zu entwickeln. Mittlerweile werden auch von kleinen und mittleren Unternehmen generative Systeme (bspw. ChatGPT), Prognosemodelle oder automatisierte Systeme zur Datenanalyse eingesetzt. Allerdings gehen mit den damit verbundenen Effizienzgewinnen und Innovationspotenzialen erhebliche rechtliche Herausforderungen einher.

KI-Klassifizierung als Ausgangspunkt jeder Compliance

Angesichts der vielfältigen rechtlichen Risiken gewinnt der Aufbau eines strukturierten KI-Compliance-Systems zunehmend an Bedeutung. Denn leider handelt es sich um einen Irrglauben, dass die bloße Existenz interner Richtlinien für eine wirksame KI-Compliance ausreicht. Unternehmen müssen stattdessen ein operatives, überprüfbares System etablieren, welches den gesamten Lebenszyklus von KI-Systemen erfasst. Zentraler Ordnungsrahmen ist hierbei die KI-Verordnung, welche erstmals detaillierte, unmittelbar anwendbare Anforderungen vorgibt. Die Verordnung verfolgt dabei einen risikobasierten Ansatz und gibt eine rechtliche Einordnung des jeweiligen Systems vor. So ist zwischen vier Kategorien zu unterscheiden:

• Verbotene KI-Praktiken
• Hochrisiko-KI
• KI mit allgemeinem Verwendungszweck
• KI mit begrenztem/minimalem Risiko

Die praktische Herausforderung für Unternehmen besteht darin, dass aufgrund der Vielseitigkeit und Komplexität eine eindeutige Zuordnung oftmals nicht möglich ist und es einer juristisch-technischen Bewertung bedarf. Fehler in dieser Phase führen regelmäßig zu systematischen Compliance-Verstößen.

Typische Problemfelder in der Praxis

Aktuell stehen etliche Unternehmen vor Unsicherheiten. Gerade die unklare Verantwortlichkeit zwischen Anbieter und Nutzer, wie auch die fehlende Dokumentation stellen die häufigsten Schwierigkeiten dar. Ein weiterer Klassiker ist die Nutzung externer KI-Tools ohne Prüfung, um das Effizienzinteresse über die Einhaltung – phasenweiser unbekannter – regulatorischer Vorgaben zu stellen. Auch wird oftmals unterschätzt, wie schnell das vorhandene System als Hochrisiko-KI eingestuft wird. 

Konkrete Pflichten bei Hochrisiko-KI

Hochrisiko-KI-Systeme werden bspw. im Personalwesen, bei Kreditentscheidungen oder bei kritischer Infrastruktur eingesetzt. Für diese Systeme normiert die KI-Verordnung ein Bündel verbindlicher Anforderungen, die Unternehmen aktiv umsetzen müssen:

• Kontinuierliches Risikomanagement: Der Einsatz von KI muss vorab systematisch bewertet und freigegeben werden.
• Datengrundlage und DSGVO: Trainingsdaten kollidieren in rechtlicher Hinsicht mit der Datenschutzgrundverordnung. Deshalb muss sichergestellt werden, dass technische Datenqualität und rechtliche Zulässigkeit (Relevanz und Repräsentativität von Daten, Vermeidung von Bias, Dokumentation der Datenquellen) im Einklang stehen.
• Technische Dokumentation: Die Funktionsweise des KI-Systems, Trainingsmethoden, Entscheidungslogiken (soweit möglich) und Risikobewertungen müssen festgehalten werden. Hierbei handelt es sich nicht um eine Formalie, sondern ein zentrales Beweismittel gegenüber Behörden etwa im Haftungsfall.
• Transparenz: Je nach System bestehen Informationspflichten gegenüber Nutzern und Betroffenen dahingehend, dass diese mit KI interagieren oder von ihr betroffen sind (man denke an Chatbots oder automatische Entscheidungssysteme). In der Praxis liegt die Schwierigkeit regelmäßig darin, Transparenz zu schaffen, ohne Geschäftsgeheimnisse offen zu legen.
• Menschliche Aufsicht: Beim Einsatz von KI sollte immer eine Eingriffsmöglichkeit, und damit eine Kontrollierbarkeit durch den Menschen bestehen. Entscheidungen müssen überprüfbar sein, um Fehlentwicklungen zeitnah zu erkennen. 

Organisatorische Umsetzung im Unternehmen

Momentan sehen wir viele KI-Compliance-Systeme scheitern, da diese nicht in bestehende Compliance-Managment-Systeme integriert und überdies dezentral verwaltet werden. KI-Compliance ist jedoch keine reine Rechtsfrage, sondern eine interdisziplinäre Organisationsaufgabe. So ist eine Zusammenarbeit zwischen IT, Recht, Datenschutz und Fachabteilungen unabdingbar. Ferner müssen klare Zuständigkeitsbereiche und Verantwortlichkeiten (bspw. AI Officer, Compliance-Abteilung) voneinander abgegrenzt werden.

Prozessuale Verankerung

Über die Organisation hinaus bedarf es für die Funktionalität des Systems klar definierter Prozesse. So ist an KI-Freigabeprozesse vor Einführung neuer Systeme oder an Risikoprüfungen (ähnlich einer Datenschutz-Folgenabschätzung) zu denken. Ein Monitoring im laufenden Betrieb versteht sich wie ein Incident-Management bei Fehlfunktionen von selbst. Unternehmen müssen das Bewusstsein schärfen, bei Einsatz von KI von einem reaktiven zu einem proaktiven Compliance-Ansatz überzugehen.

Schulung und Sensibilisierung

Ein oft unterschätztes Risiko liegt im unsicheren Umgang der Mitarbeiter beim Einsatz von KI und der damit verbundenen Fehlanwendung. Gerade bei vermeintlich selbsterklärenden Tools, wie ChatGPT, zeigt sich, dass Mitarbeiter schnell sensible Daten eingeben, ohne sich der Konsequenzen bewusst zu sein. Beispielsweise reicht ein Schwärzen der sensiblen Daten vor Eingabe in den Chatbot nicht aus. Deshalb sollten Schulungen – bspw. durch Rechtsanwälte – zur Nutzung von KI-Systemen genauso wie klare Nutzungsrichtlinien zum Unternehmensstandard gemacht werden, sodass eine Sensibilisierung für rechtliche Risiken eintritt.

Laufende Überwachung und Anpassung

Die Welt der KI ist ein sehr schnelllebiger Kosmos. Systeme, Funktionsweisen oder Regelungen verändern sich dynamisch. Insofern ist KI-Compliance nicht als einmaliger Akt, sondern als dauerhafter Prozess zu verstehen. Es bedarf regelmäßigen Überprüfungen, Aktualisierung von Risikobewertungen und einer Anpassung an die neuesten regulatorischen Entwicklungen.

Wir helfen bei der Einrichtung eines KI-Compliance-Systems!

Die Einführung eines KI-Compliance-Systems verlangt von Unternehmen einen interdisziplinären Ansatz, der sich von der klassischen IT- oder Datenschutz-Compliance unterscheidet und sogar weit darüber hinausgeht. Die unternehmerische Verantwortung verlangt, Systeme und Arbeitsweisen im Einklang mit der KI-Verordnung zu implementieren. Hier ist es unerlässlich, den Einsatz von KI nicht nur technisch, sondern auch rechtlich zu beherrschen. Wer diese Anforderungen frühzeitig integriert, kann nicht nur Risiken minimieren, sondern auch Wettbewerbsvorteile erzielen.

Unsere Anwälte mit Schwerpunkt im IT- und KI-Recht helfen Ihnen gerne, ein KI-Compliance-System in ihrem Unternehmen zu implementieren. Wir stehen Ihnen als Sparringspartner im KI-Dschungel zur Seite und beraten sie zu rechtlichen Fragen beim Einsatz von KI.

Sie haben Rückfragen oder wünschen eine tiefergehende Beratung? Dann nehmen Sie jetzt direkt mit den Expertinnen und Experten von UP Kontakt auf.