KI-Governance – Aktuelle Entwicklungen und Leitlinien
KI-Governance – Aktuelle Entwicklungen und Leitlinien
Die Europäische Union hat mit dem EU-AI-Act (der EU-KI-Verordnung) im Jahr 2024 erstmals ein umfassendes Regelwerk für Künstliche Intelligenz verabschiedet. Dieses ist bereits am 1. August 2024 in Kraft getreten und wird nun schrittweise wirksam. Bereits seit dem 2. Februar 2025 gelten erste verbindliche Pflichten:
KI-Systeme mit inakzeptablem Risiko (u. a. Social Scoring oder manipulative KI) sind seitdem EU-weit verboten. Des Weiteren müssen Anbieter und Betreiber von KI für eine ausreichende KI-Kompetenz ihrer Mitarbeitenden sorgen. Diese KI-Schulungspflicht nach Artikel 4 des EU-AI-Acts soll sicherstellen, dass Beschäftigte im Umgang mit KI-Systemen genügend Verständnis für Chancen und Risiken haben.
Weitere Meilensteine stehen im Jahr 2025 unmittelbar bevor:
- Ab dem 2. August 2025 gelten weitere Anforderungen für KI-Systeme mit allgemeinem Verwendungszweck („General Purpose A“, wie z. B. ChatGPT). Hierbei greifen erstmals auch Sanktionen.
- Ab dem 2. August 2026 wird der EU-AI-Act in vollem Umfang für die meisten KI-Systeme anwendbar sein – insbesondere treten dann alle Vorgaben für Hochrisiko-KI in Kraft.
Verstöße gegen den EU-AI-Act können mit empfindlichen Bußgeldern von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet werden. Die Bedeutung dieser Regulierung ist daher enorm, auch für Unternehmen außerhalb der Tech-Branche.
Zusätzlich zum EU-AI-Act gibt es Leitlinien und Normen, mit denen die gesetzlichen Vorgaben umgesetzt werden können. Eine zentrale Rolle spielt dabei die ISO/IEC 42001:2023, der weltweit erste internationale Standard für KI-Managementsysteme (AIMS). Diese Norm wurde speziell für das Management von KI-Systemen entwickelt und legt Anforderungen für die Einrichtung, Umsetzung und kontinuierliche Verbesserung eines KI-Managementsystems fest. Sie deckt alle relevanten Aspekte ab – von Governance-Strukturen und Verantwortlichkeiten über Risikobewertung und Bias-Minimierung bis hin zu Datentransparenz und menschlicher Aufsicht beim KI-Einsatz. Durch die Implementierung der ISO 42001 können Unternehmen nachweisen, dass sie KI verantwortungsvoll und ethisch einsetzen sowie globale Best Practices einhalten.
Wichtig hierbei ist, dass die ISO 42001 freiwillig und noch nicht verpflichtend ist. Dennoch wird eine entsprechende Zertifizierung bereits jetzt am Markt als Vertrauenssignal am Markt gesehen. Eine Zertifizierung nach ISO 42001 dient dabei als sichtbarer und ernsthafter Nachweis, dass sich ein Unternehmen zu Ethik, Transparenz und verantwortungsvollem KI-Management bekennt.
Neben der ISO 42001 gibt es weitere Leitfäden: Die EU-Kommission erarbeitet derzeit einen Verhaltenskodex für allgemeine KI-Modelle („GPAI Models“). Auch nationale Stellen wie die IHK empfehlen Unternehmen, interne KI-Richtlinien zu etablieren. Insgesamt setzen Normen und Richtlinien für Unternehmen Leitplanken, welche bei der Umsetzung der gesetzlichen EU-AI-Act-Vorgaben helfen und somit „Responsible AI“ für den Praxisbetrieb greifbar machen.
