Als die EU sich 2016 auf die europäische Datenschutz-Grundverordnung verständigte, brachte das Juristen viel Arbeit ein: „Jedes Unternehmen hatte damals Beratungsbedarf, weil Datenschutz einfach alle betroffen hat“, erinnert sich Christoph Werkmeister, globaler Co-Leiter der Daten- und Technologiepraxis und Mitglied des Information Security Committee bei der Kanzlei Freshfields. Eine ähnliche Tendenz sieht er derzeit bei der Beratung zum Umgang mit künstlicher Intelligenz (KI). „Das Thema betrifft Unternehmen über alle Branchen hinweg.“ Handelsunternehmen erproben KI-Tools beispielsweise, um Bestellungen im Einkauf zu automatisieren. Automobilhersteller analysieren Daten zum autonomen Fahren, Healthcare-Konzerne setzen in der Medikamentenentwicklung auf KI.

Führungskräfte aller Wirtschaftsbereichen müssen sich mit KI befassen – dafür sorgen allein schon wirtschaftlicher Druck sowie der Wettbewerb. „Wenn es effizienter, wirtschaftlich sinnvoller oder einfach branchenüblich ist, bestimmte Prozesse KI-unterstützt anzugehen, dann muss ein Vorstand diese Anwendungsfälle kennen“, sagt Werkmeister. Die Leitplanken für KI-Anwendung im Unternehmen sollten eingeschlagen sein, bevor sich die Nutzung verselbständigt. Auch Mitbestimmungsrechte des Betriebsrats sind zu beachten.

Wer nicht aufpasst, findet schnell ein Durcheinander vor. Möchte man, dass in der Personalabteilung die Auswahl von Beschäftigten mit Unterstützung von KI abläuft? Dürfen die Systeme Kundenbriefe vorformulieren? Ist der Schutz sensibler Daten sichergestellt? „Zur KI-Governance gehört ein regelmäßiges Mapping, in dem ich aufnehme, wer in welchem Bereich mit KI arbeitet. Nur so behält man die Kontrolle“, sagt Werkmeister. In einer Unternehmensrichtlinie könne man zudem die Anwendung von KI-Tools auf bestimmte definierte Prozesse beschränken.

Grundlegende Anforderungen an die KI-Governance regelt eine europäische Verordnung über künstliche Intelligenz, die seit August dieses Jahres in Kraft ist. „Die Vorgaben der europäischen KI-Verordnung verlangen von Vorständen, dass sie im Unternehmen eine Governance zur Nutzung von KI-Systemen aufbauen“, sagt Klaus Brisch, Partner bei Grant Thornton. Dabei folgt die Verordnung einem risikobasierten Ansatz.

Besonders hoch sind die Vorgaben für sogenannte Hochrisikosysteme, dazu zählen beispielsweise KI-Systeme, die biometrische Daten verwenden oder in sicherheitskritischen Bereichen wie dem Verkehr oder der Energieversorgung eingesetzt werden. Sie werden im Rahmen einer externen Prüfung – der sogenannten Konformitätsbewertung – auf Übereinstimmung mit den regulatorischen Anforderungen geprüft.

Um die Sorgfaltspflichten zu erfüllen, sollten Vorstände und Geschäftsführer beim Einsatz auf zertifizierte und gut dokumentierte KI-Systeme achten, rät Grant-Thornton-Partner Marco Müller-ter Jung. Dies reduziere das Risiko von Fehlern. Darüber hinaus müssen Unternehmen auch darauf vorbereitet sein, dem Regulator Auskunft über die Funktionsweise ihrer KI-Systeme geben zu können. „Stakeholder müssen auf Basis einer transparenten technischen Dokumentation nachweisen können, welche Fähigkeiten eine KI-Anwendung besitzt und wie sie zu bestimmten Ergebnissen gelangt ist.“

Diese Nachvollziehbarkeit ist insbesondere dann relevant, wenn eine Führungskraft eine Aufgabe an ein KI-System delegieren will oder dessen Output in Entscheidungen einbezieht. „Es gelten auch bei der Auswahl und der Nutzung von KI-Systemen die üblichen Anforderungen an die Sorgfalt einer ordentlichen und gewissenhaften Geschäftsführung“, betont Brisch.

Doch nicht nur nach außen müssen die Führungskräfte sprechfähig sein. Die KI-Verordnung verlangt von Unternehmen darüber hinaus, auch intern für eine ‚AI Literacy‘ zu sorgen, sobald sie ein KI-System einsetzen – also die Beschäftigten zum Umgang mit der KI zu befähigen. Wie das genau auszusehen hat, ist allerdings nicht näher definiert. Dies bleibt dem Unternehmen überlassen.

Die Schulungen sollten jedoch nicht nur als regulatorische Pflichtübung gewertet werden, rät Freshfields-Partner Werkmeister. „Je mehr Kompetenz ich im eigenen Haus habe, umso informierter kann ich auch den Anbietern von KI-Systemen gegenübertreten“, gibt er zu bedenken. Das erleichtere die Auswahl passender Systeme und ermögliche auch gezielte, kritische Nachfragen zu Funktionsweise oder Dokumentation.

Eine Blaupause dafür, wie eine Governance-Struktur für künstliche Intelligenz zu etablieren ist, hat sich noch nicht herausgebildet. Werkmeister sieht jedoch auch in diesem Punkt Parallelen zur Datenschutz-Grundverordnung (DSGVO): „Wer viel mit Endkundendaten zu tun hat, ist in der Regel im Datenschutz schon gut aufgestellt. Diese Unternehmen können auf ihre Prüfungs- und Dokumentationserfahrung aus diesem Bereich zurückgreifen und sie auf KI-Themen übertragen“, sagt der Jurist.

Auch Müller-ter Jung rät Unternehmen, auf die Erfahrungen aus der Umsetzung der DSGVO zurückzugreifen. Die Strukturen, die der europäische Gesetzgeber bei der KI-Verordnung gewählt hat, ähnelten in vielen Punkten denen der DSGVO, beispielsweise mit Blick auf gesetzlich verankerte Aufbewahrungs-, Kommunikation-, Informations-, Dokumentations- und Meldeprozesse.

Auch wenn Unternehmen sich mit einigen Governance-Fragen auseinandersetzen müssen – letztlich ist die KI-Regulierung „vor allem organisatorischer Natur“, bilanziert Werkmeister. Niemand müsse deswegen Produkte in ihren wesentlichen Merkmalen abändern, Daten herausgeben oder Geschäftsmodelle verändern.

Allerdings könnten international tätige Unternehmen gleich in den Geltungsbereich mehrerer KI-Regulierungen fallen. So gilt die EU-Verordnung beispielsweise auch für Konzerne mit Sitz außerhalb der EU, wenn sie ihre Produkte auf dem europäischen Markt vertreiben oder der Output ihrer KI in der EU verwendet wird. Dabei gebe es in verschiedenen Ländern unterschiedliche Blickwinkel: „Mal ist der Verbraucherschutz stärker im Fokus, mal die Urheberrechtsperspektive“, erklärt Werkmeister.

Derzeit sei nicht auszuschließen, dass in den kommenden Jahren in einzelnen Ländern noch weiterreichende Pflichten zur KI-Governance Einzug halten. Der Jurist appelliert, die Grundlagen zu Risikomanagement, Transparenz und Dokumentation umzusetzen und das Verhalten der KI fortlaufend zu überwachen und zu bewerten. „Damit ist man auch für Künftiges so weit wie möglich gewappnet.“