KI bietet große Chancen für eine Vielzahl innovativer und erfolgreicher Anwendungen und gilt als ein Treiber für den Zukunftsstandort Deutschland. Aber Achtung: KI-Vorhaben sind anders als „klassische“ IT-Projekte. Die KI-Verfahren bieten Unternehmen eben nicht nur neue, vielversprechende Perspektiven, sondern bergen auch spezifische Risiken. Hinzu kommen regulatorische Vorgaben, die beim Einsatz von KI mitbedacht werden müssen (siehe KI zwischen Chancen, Datenbias und rechtlichen Verpflichtungen).

Die etablierten Prozesse und Qualitätsmechanismen der klassischen Softwareentwicklung und -einführung greifen somit im Kontext von KI-Vorhaben teilweise zu kurz oder brauchen andere Schwerpunkte.

Ganzheitliches Framework für KI-Vorhaben

Oft fehlt Unternehmen ein geeignetes Vorgehensmodell für KI-Vorhaben. Wir haben ein Framework erarbeitet, das potenzielle Lösungen für Unternehmen bereithält, um bei der Identifikation, Entwicklung und Verwendung von KI-basierten Lösungen die ethischen Risiken zu minimieren und gleichzeitig rechtliche Vorgaben zu berücksichtigen, ohne dabei die Innovationsfähigkeit einzuschränken.

Wir stellen dieses Framework im Folgenden vor:

Abbildung 1: Ganzheitliches Framework zur Bewertung, Umsetzung & Betrieb von KI-Vorhaben

1. Rechtliche Vorgaben & Ethische Prinzipien als Basis der Kernanforderungen

Das Fundament bilden rechtliche Vorhaben und ethische Prinzipien sowie die daraus abgeleiteten Kernanforderungen, wie sie bspw. von der Datenethikkommission der Bundesregierung oder von der Ethik-Kommission der EU ausgearbeitet wurden. Die rechtlichen und ethischen Kernanforderungen dienen dabei als Leitplanken: Sie schaffen Sicherheit innerhalb der Organisation und geben bei der Entwicklung und dem Betrieb von KI die Richtung vor.

Die Kernanforderungen sollten die folgenden oder ähnliche Aspekte umfassen:

Abbildung 2: Mögliche ethische und rechtliche Kernanforderungen für KI-Vorhaben

2. Organisatorische Maßnahmen zur Sicherstellung der Kernanforderungen

Ob Top-Management oder Data-Scientist – das Unternehmen muss sich den Risiken und rechtlichen Vorgaben bewusstwerden. Um sicherzustellen, dass diese Kernanforderungen beim Einsatz von KI-Anwendungen eingehalten werden, helfen die folgenden vier organisatorischen Maßnahmen:

• Entwicklung eines Verhaltenskodex, basierend auf den rechtlichen Vorgaben und ethischen Prinzipien
• Auf- und Ausbau von Wissen zum Thema KI sowie den damit verbundenen rechtlichen Vorgaben und ethischen Prinzipien bei Mitarbeiter:innen und Entscheidungsträger:innen
• Etablierung eines Ethikbeirats als erste Anlaufstelle für Fragen von Nutzer:innen und Bürger:innen sowie zur Überwachung der ethischen Konformität von KI-basierten Lösungen
• Etablierung eines Qualitätsmanagementsystems und eines Risikomanagementsystems oder Anpassung der bestehenden Systeme zur Sicherstellung der KI-spezifischen Kernanforderungen

3. KI-Funnel als Vorgehensmodell zur Umsetzung von KI-Vorhaben

Die Kernanforderungen und organisatorischen Maßnahmen sind grundlegend für die ethische und rechtliche Konformität von KI-Vorhaben. Sind sie aber nicht kontinuierlich in den Prozess der Umsetzung integriert, so können sie ihre Wirkung nicht entfalten. Das von uns vorgeschlagene Vorgehensmodell des KI-Funnels setzt genau hier an.

Der KI-Funnel beschreibt die Phasen von der Identifikation über die Planung bis zur Umsetzung, die von einer potenziellen KI-basierten Lösung erfolgreich durchlaufen werden müssen, bevor sie produktiv genutzt werden kann. Hierbei stellen ethische und rechtliche (Zwischen-)Bewertungen beim Übergang zwischen den Phasen sowie nach Produktivsetzung sicher, dass die Kernanforderungen berücksichtigt werden.

Die gestaffelten Entscheidungspunkte des KI-Funnels ermöglichen die Sicherstellung der Kernanforderungen, ohne dabei die Innovationsfähigkeit einzuschränken.

Durch diese gestaffelten Entscheidungspunkte wird vermieden, innovative KI-basierte Lösungsansätze frühzeitig auszuschließen. Zudem werden Ressourcen späterer Phasen nur auf solche Anwendungen verwendet, welche die vorangegangene Phase mit einer positiven ethischen und rechtlichen Bewertung abgeschlossen haben.

4. Bewertungen mittels eines risikobasierten Ansatzes

Die ethische Bewertung in den jeweiligen Phasen fußt auf einem risikobasierten Ansatz, mit dessen Hilfe die Gefahren des Einsatzes einer KI-basierten Lösung evaluiert werden. Dem Verordnungsvorschlag der EU-Kommission folgend empfehlen wir dabei zwischen vier Risikoklassen zu unterscheiden:

• Minimales Risiko: Ein Einsatz von KI stellt in dieser Risikoklasse ein minimales oder kein Risiko für Bürgerrechte oder Sicherheit dar. Als typische Beispiele können etwa Spamfilter oder KI-gestützte Videospiele gelten.
• Begrenztes Risiko: Diese Risikoklasse umfasst Anwendungen zu Nutzer-Interaktion & -Information, die optional vom Nutzer verwendet werden können. Dies trifft bspw. auf Chatbots zu.
• Hohes Risiko: Diese Risikoklasse umfasst bspw. den Einsatz von KI in kritischen Infrastrukturen, Schul- oder Berufsbildung, Beschäftigung / Personalmanagement, privaten oder öffentlichen Dienstleistungen.
• Unzulässiges Risiko: Ein Einsatz von KI stellt in diesem Fall eine Bedrohung für Sicherheit, die Lebensgrundlagen und die Rechte der Menschen dar. Das trifft bspw. auf Social Scoring oder Anwendungen, die menschliches Verhalten manipulieren, zu.

Die ethische Bewertung der einzelnen KI-basierten Lösung sollte von Datenethik-Expert:innen anhand eines organisationsspezifischen Bewertungskataloges durchgeführt werden. Dieser Bewertungskatalog sollte initial an den ethischen und rechtlichen Kernfragestellungen ausgerichtet sein und laufend aktualisiert werden. Bei Lösungen, die in die Risikoklassen „begrenztes Risiko“, „hohes Risiko“ oder „unzulässiges Risiko“ fallen, empfehlen wir die Beteiligung des Ethikbeirats als unabhängiges Gremium.

Aus der ethischen Bewertung resultiert eine Einordnung in die zuvor genannten vier Risikoklassen und damit eine Einschätzung, ob die KI-basierte Lösung geeignet ist, in die nächste Phase des KI-Funnels zu gehen.

5. Abgeleitete Maßnahmen zur Sicherstellung der ethischen & rechtlichen Konformität

Je nach Risikoklasse werden für die Anwendungen zudem Maßnahmen abgeleitet, um die Risiken zu reduzieren. Diese Maßnahmen sind ebenfalls initial von den Datenethik-Expert:innen der Organisation im Sinne eines risikobasierten Maßnahmenkatalogs zu erstellen und kontinuierlich weiterzuentwickeln. Neben einer ausführlichen technischen Dokumentation der KI-basierten Lösung empfehlen wir – nach Bedarf – die folgenden Maßnahmen:

• Technische Dokumentation der verwendeten Methoden und Merkmale sowie Wahlmöglichkeiten
• Blackbox-Analysen zur verbesserten Transparenz und Nachvollziehbarkeit von Entscheidungen
• Code-Audits einer unabhängigen Instanz (bspw. Verbraucherschutzorganisationen oder NGOs) zur Sicherstellung der ethischen Konformität
• Modellüberwachung zur fortlaufenden Überprüfung der Risiken.

Fazit

Die erheblichen Chancen von KI sollten Grund genug sein, sich nicht von den KI-inhärenten Risiken oder rechtlichen Bürden abschrecken zu lassen.

Trotzdem: Unternehmen müssen bestehende organisatorische Strukturen und Prozesse klassischer Softwareentwicklung und -einführung geeignet anpassen und erweitern. Als Organisation braucht es ein Bewusstsein für die ethischen und regulatorischen Anforderungen an KI-Vorhaben sowie effiziente Mittel, um sie durchzusetzen.

Das von uns vorgestellte Framework mit dem Vorgehensmodell des KI-Funnel bietet eine ganzheitliche, strukturierte Lösung und flexibel einsetzbare Handlungsempfehlungen. Es schafft Sicherheit, ohne dabei die Innovationsfähigkeit einzuschränken. Für Unternehmen, die die Potenziale von KI leben möchten, empfehlen wir, frühzeitig ein entsprechendes Framework zu etablieren und sich damit zu befähigen, qualitativ hochwertige, ethisch und rechtlich konforme KI-Lösungen zu identifizieren, einzuführen und zu betreiben.

Titelbild: Tara Winstead von Pexels