Kaum eine Technologie wird derzeit so kontrovers diskutiert wie die künstliche Intelligenz (KI). Denn neben großen Hoffnungen wirft sie unweigerlich auch Fragen zu den Risiken ihrer Nutzung auf. Und sie bringt Anforderungen mit sich, die es zu erfüllen gilt – wie etwa den AI Act auf EU-Ebene, dessen Bestimmungen seit Anfang Februar 2025 schrittweise zur Geltung kommen. Ein verantwortungsvoller Umgang mit KI umfasst insofern weit mehr als nur die Frage nach ihrem möglichst gewinnbringenden Einsatz.
Künstliche Intelligenz kann auf vielfältige Weise den Umgang mit den Herausforderungen unserer Zeit erleichtern. Die Auswertung großer Datenmengen kann zum Beispiel dabei helfen, die Qualität von Produkten und Dienstleistungen zu erhöhen, die Produktivität zu steigern und neue Geschäftsmodelle zu etablieren. Sie kann auch einen gesellschaftlichen Beitrag leisten, indem beispielsweise Krankheiten zuverlässiger erkannt werden.
Die KI kann auf der anderen Seite aber auch menschliche Jobs ersetzen oder Arbeitsbedingungen verändern. Durch die Möglichkeit, bisher ungeahnte Datenmengen auszuwerten, entstehen neue Möglichkeiten für Überwachung, Diskriminierung oder Cyberkriminalität. Und es stellen sich unweigerlich Fragen: Wie sicher sind sensible oder urheberrechtlich geschützte Informationen noch? Wie verlässlich sind KI-generierte Antworten? Und wer haftet, wenn durch künstliche Intelligenz falsche Tatsachen verbreitet, fehlerhafte Entscheidungen getroffen oder auf andere Weise Schäden verursacht werden?
Um den Risiken zu begegnen und Themen wie Datenschutz, Transparenz oder Haftung im Zusammenhang mit KI zu adressieren, beschäftigen sich gesetzgebende Organe wie die Europäische Union ebenfalls verstärkt mit dem Thema. So ist im August 2024 die EU-Verordnung über künstliche Intelligenz (auch als AI Act bezeichnet) in Kraft getreten. Sie nimmt vor allem Anbieter, aber auch (berufliche) Nutzer von KI-Systemen in die Pflicht. Dies geschieht auf Basis eines risikobasierten Ansatzes: Je größer das mit einer KI-Anwendung verbundene Risiko, desto tiefgreifender die Regulierung. Bestimmte Verfahren, deren Risiken als inakzeptabel eingestuft werden, verbietet der AI Act seit Anfang Februar 2025.
Die weiteren Bestimmungen des AI Act kommen über mehrere Jahre verteilt nach und nach zur Anwendung. Anbieter von Hochrisiko-KI-Systemen verpflichtet der AI Act dann zur Einrichtung eines (im Verordnungstext näher beschriebenen) Qualitätsmanagementsystems. Dieses ist „systematisch und ordnungsgemäß in Form schriftlicher Regeln, Verfahren und Anweisungen“ zu dokumentieren und muss neben einer Reihe weiterer Aspekte auch ein Risikomanagementsystem umfassen, dessen Anforderungen ebenfalls im Text des AI Act beschrieben sind.
Um Haftungsfragen im Zusammenhang mit künstlicher Intelligenz zu begegnen, ist ebenfalls auf EU-Ebene im Dezember eine neue Produkthaftungsrichtlinie in Kraft getreten, in der der Produktbegriff gegenüber der bisherigen Fassung auch explizit auf Software und KI-Systeme erweitert wird. Anders als beim AI Act, dessen Bestimmungen in allen EU-Mitgliedsstaaten unmittelbar verbindlich sind, handelt es sich hier um eine Richtlinie. Die einzelnen Staaten haben also zwei Jahre Zeit, um selbst entsprechende Rechtvorschriften zu erlassen. Letzteres galt bisher auch für die EU-Maschinenrichtlinie, die bis 2027 vollständig durch die neue Maschinenverordnung ersetzt wird. Einzelne Bestimmungen der Verordnung sind schon seit Juli 2023 nach und nach in Kraft getreten. Die Maschinenverordnung ist ein weiteres Beispiel für eine gesetzliche Regelung, die explizit auf künstliche Intelligenz eingeht – und weitere dürften folgen.
Die Betrachtung des Themas „Künstliche Intelligenz“ im Rahmen eines Managementsystems stellt gemäß dem AI Act also für bestimmte Unternehmen künftig eine Pflicht dar. Doch auch ohne eine explizite regulative Anforderung bietet sie sich in vielen Fällen an. Denn ein Managementsystem ermöglicht die gemeinsame Betrachtung von Risiken und Chancen genauso wie von Anforderungen aller interessierten Parteien. Neben Gesetzgebern kommen hier etwa auch Kunden oder Mitarbeitende infrage, deren Interessen durch KI-Anwendungen tangiert sein könnten. Mithilfe des Managementsystems lassen sich darüber hinaus Prozesse etablieren, die der Erfüllung von Anforderungen dienen und durch Dokumente näher beschrieben werden können. So dient es auch dazu, mehr Sicherheit im Umgang mit KI-Anwendungen zu gewinnen.
Allerdings ist die KI nur eines von vielen Themengebieten, mit denen sich Unternehmen beschäftigen. Um all diese Themen gemeinsam innerhalb einer einheitlichen Struktur zu betrachten, dadurch Zusammenhänge zu erkennen und Synergien zu nutzen, bietet sich ein Integriertes Managementsystem (IMS) an. Bei der Einbindung des Themas „Künstliche Intelligenz“ in ein IMS sind verschiedene Wege denkbar: Zum einen verfügen viele Unternehmen bereits über ein Qualitätsmanagementsystem nach ISO 9001, in der unter anderem die Betrachtung von Risiken und Chancen explizit gefordert wird. In diesem Kontext lassen sich auch die Risiken und Chancen der künstlichen Intelligenz berücksichtigen.
Für einige Unternehmen kann auch eine Zertifizierung nach ISO 42001 das Mittel der Wahl sein: Diese Ende 2023 veröffentlichte Norm formuliert Anforderungen an ein Managementsystem für künstliche Intelligenz. Die Einbindung in das IMS wird dadurch erleichtert, dass neben der ISO 42001 auch alle anderen Managementsystemnormen der Internationalen Organisation für Normung (ISO) auf der Harmonized Structure basieren und dadurch ähnlich aufgebaut sind. Welche Lösung die richtige ist, muss allerdings jedes Unternehmen mit Blick auf die eigenen Rahmenbedingungen und die (u. a. gesetzlichen) Anforderungen selbst festlegen.
Beim Auf- und Ausbau von (Integrierten) Managementsystemen ist es hilfreich, Risiken und Chancen, Anforderungen, Prozesse und Dokumente sinnvoll miteinander zu verknüpfen. Das dient auch der Transparenz des Managementsystems, indem alle Beteiligten im Unternehmen auf diese Ressourcen zugreifen können. Hierzu bietet sich in vielen Fällen die Nutzung einer entsprechenden Software an.
Kommentare
Keine Kommentare