CISOs, Compliance-Verantwortliche, Vorstände und andere Führungskräfte sorgen sich heute zunehmend um die Risiken künstlicher Intelligenz – doch keine Sorge: Einige der klügsten Köpfe der Technologiebranche haben ein Werkzeug entwickelt, das uns allen hilft, KI-Risiken strukturiert und skalierbar zu analysieren.
Das Werkzeug ist das AI Risk Repository, eine Open-Source-Datenbank mit Risiken rund um künstliche Intelligenz, entwickelt von Technologieexperten am Massachusetts Institute of Technology. Das Repository umfasst mehr als 700 Risiken, denen Unternehmen bei der Nutzung von KI begegnen könnten – zusammengetragen aus zahlreichen Risikomanagement-Frameworks.
Risikomanagement-Teams können das Repository durchsuchen, die für das eigene Unternehmen relevantesten Risiken identifizieren und diese als Grundlage für das KI-Risikoprogramm nutzen.
Ethik- und Compliance-Verantwortliche können denselben Ansatz mit einem noch spezifischeren Fokus verfolgen: Sie können das Repository nutzen, um die ethischen Risiken zu identifizieren, vor denen Ihr Unternehmen stehen könnte – und gemeinsam mit der Geschäftsleitung die richtigen Antworten darauf entwickeln.
Fünf ethische Fragen zur Nutzung von KI
Ich habe einen Nachmittag damit verbracht, im Repository nach dem Begriff „ethical“ zu suchen – 129 Treffer. Natürlich muss jedes Unternehmen daraus die für sich relevanten Risiken auswählen. Aber wir können diese 129 Hinweise auch auf fünf grundlegende Fragen reduzieren, die sich jedes Unternehmen stellen sollte, bevor es kopfüber in die KI-Revolution springt.
Frage 1: Ist unser identifizierter KI-Anwendungsfall ethisch vertretbar?
Das ist vermutlich die grundlegendste Frage: Nur weil künstliche Intelligenz Ihrem Unternehmen etwas ermöglichen könnte, sollten Sie es deshalb auch tun? Passt der Anwendungsfall zu den ethischen Werten Ihres Unternehmens, Ihrer Kunden und der Länder, in denen Sie tätig sind? Oder würde die KI-Nutzung Kritik hervorrufen, dass Ihr Unternehmen seine Werte aus den Augen verliert?
Ein Beispiel: Der Einsatz von Gesichtserkennung kann ethisch vertretbarer sein, wenn Ihr Unternehmen Terroristen identifizieren muss. Wenn Sie jedoch im Einzelhandel arbeiten und Ihr Ziel ist, potenzielle Ladendiebe oder wiederkehrende Kunden zu erkennen, ist dies höchstwahrscheinlich nicht ethisch vertretbar.
Frage 2: Haben wir unsere KI-Systeme mit Blick auf Ethik und Compliance entwickelt?
Nehmen wir an, Sie möchten KKI nutzen, um Produktempfehlungen zu generieren oder Kreditentscheidungen zu treffen. Wie stellen Sie sicher, dass Ihr KI-System keine unzulässigen Daten verarbeitet (z. B. personenbezogene Daten ohne Zustimmung) oder fehlerhafte Entscheidungen trifft (z. B. ungewollte Diskriminierung bestimmter Gruppen)?
Unternehmen können solche Risiken durch gezielte Aufsicht und sorgfältig entwickelte Kontrollen eindämmen. Die Frage lautet jedoch: Haben Sie diese Risiken frühzeitig identifiziert – und Ihr KI-System bewusst „Ethik- und Compliance-orientiert“ konzipiert?
Frage 3: Werden Menschen unser KI-System ethisch nutzen?
KI existiert nicht im luftleeren Raum. Menschen nutzen sie – Mitarbeiter, Kunden, Partner und andere. Sie müssen darüber nachdenken, wie diese Gruppen das System verwenden könnten und wie Sie deren Nutzung so gestalten, dass sie Ihren ethischen Werten und Compliance-Verpflichtungen entspricht.
Frage 4: Könnte die KI selbst lernen, sich unethisch oder nicht regelkonform zu verhalten?
Diese Frage ist keineswegs theoretisch. KI lernt aus großen Datenmengen – und diese Daten stammen von Menschen. Menschen jedoch machen Fehler und haben Vorurteile.
In einem bekannten Fall beispielsweise lernte ein KI-System, das bei der Personalauswahl eingesetzt wurde, weibliche Softwareingenieurinnen zu diskriminieren; da die meisten Ingenieure historisch gesehen Männer waren, begann das System, Absolventinnen von Frauenhochschulen zu diskriminieren.
Teams müssen darüber nachdenken, welche schlechten Angewohnheiten KI entwickeln könnte und welche Kontrollen notwendig sind, um das System wieder auf den richtigen Weg zu bringen.
Frage 5: Wie haften wir, wenn KI einen Ethik- oder Compliance-Verstoß verursacht?
Trotz aller Vorsichtsmaßnahmen, die sich aus der Beantwortung unserer vier vorherigen Fragen ergeben, könnte Ihr Unternehmen letztendlich dennoch einen durch KI verursachten Verstoß gegen Ethik- und Compliance-Vorschriften erleiden. Hat in diesem Fall die Rechtsabteilung die potenziellen Konsequenzen analysiert? Hat die Finanzabteilung die potenziellen Kosten modelliert? Hat das Risikomanagementteam mögliche Versicherungsdeckungen geprüft?
Um die ethischen Fragen zu beantworten, sollte man mit Governance beginnen
Die fünf Fragen decken ein großes Spektrum an Themen ab. Kein Compliance Officer kann sie allein beantworten – dafür braucht es technisches, operatives und rechtliches Fachwissen.
Genau darum geht es: Diese Fragen machen deutlich, warum Unternehmen bei künstlicher Intelligenz einen unternehmensweiten Ansatz brauchen, bei dem die Unternehmensführung…
- die richtigen Stimmen zusammenbringt, um
- ein gemeinsames Verständnis der KI-Risiken zu entwickeln und
- die nötigen Leitplanken zu definieren.
Das ist Governance – und sie bildet die Grundlage für alle Richtlinien, Verfahren, Audits und internen Kontrollen, die danach kommen.
Während Ihr Unternehmen in die KI-Welt eintritt, haben Compliance-Fachkräfte eine einzigartige Möglichkeit, diese Entwicklung früh mit Ethik und Compliance im Hinterkopf zu gestalten. Sprechen Sie mit der Unternehmensführung und dem Aufsichtsrat über die Bedeutung guter Governance. Stärken Sie die Zusammenarbeit mit anderen Funktionen – Technologie, Recht, IT-Sicherheit, Finanzen und mehr –, die ebenfalls eine entscheidende Rolle bei der KI-Einführung spielen. Wahrscheinlich sitzen sie später mit Ihnen im KI-Steuerungsgremium Ihres Unternehmens.
Wenn dieses Gremium dann läuft und die großen Fragen zur ethischen KI behandelt, können Sie sich den spezifischeren Risiken widmen. Wie das AI Risk Repository der MIT zeigt, gibt es davon reichlich – aber ohne klare Antworten auf die grundlegenden Ethikfragen wird alles andere später deutlich schwieriger.
Risiko- & Compliance-Themen
Ein NAVEX-Blog rund um Governance, Risiko und Compliance – einschließlich der neuesten regulatorischen Entwicklungen und Updates, die Sie kennen sollten.
