KI-Compliance: Ein Leitfaden für Start-ups

Der erste Schritt zur Einhaltung der Vorschriften besteht darin, alle KI-Systeme zu identifizieren und zu katalogisieren, die das Unternehmen verwendet, entwickelt oder vertreibt. Gemäß dem KI-Gesetz ist ein KI-System jede Software, die nicht-deterministisch ableiten, anpassen und arbeiten kann. Start-ups müssen eine detaillierte Bestandsaufnahme erstellen und dabei die Anwendungsfälle und Prozesse angeben, in denen KI eingesetzt wird.

Das KI-Gesetz definiert vier Rollen für Organisationen, die mit KI interagieren: Anbieter, Bereitsteller, Importeur und Vertreiber. Dein Start-up muss seine Rolle für jedes verwendete KI-System definieren. Wenn du beispielsweise KI-Software entwickelst, bist du der Anbieter. Wenn du KI von Drittanbietern verwendest, bist du wahrscheinlich ein Bereitsteller.

Fallstudie: „CrediScore-AI“

„CrediScore-AI“, ein Fintech-Startup, begann mit der Auflistung seiner KI-Tools, wie ChatGPT und einer proprietären KI zur Kreditwürdigkeitsprüfung. Das Unternehmen dokumentierte jedes System, seinen Anwendungsfall und seine Rolle innerhalb der Organisation.

CrediScore fungiert sowohl als Anbieter als auch als Bereitsteller. Für seine proprietäre KI-Lösung spielt es die Rolle des Anbieters, während es für Systeme von Drittanbietern wie ChatGPT und Deepl als Bereitsteller fungiert.

Abbildung 1: Beginne mit einer Bestandsaufnahme aller KI-Systeme in deinem Unternehmen

KI-Systeme werden in vier Risikostufen eingeteilt: minimal, begrenzt, hoch und inakzeptabel. Dein Start-up muss die Risikostufe für jedes von ihm verwendete KI-System bewerten. Diese Risikobewertung ist für die Bestimmung der Compliance-Verpflichtungen unerlässlich. Für Systeme mit hohem Risiko – wie sie beispielsweise für die Bonitätsbewertung verwendet werden – gelten die strengsten Anforderungen.

Fallstudie: Risikoanalyse bei CrediScore-AI

KI, die Kreditwürdigkeitsprüfungen für Verbraucher durchführt, wird in Anhang III des KI-Gesetzes als „risikoreich“ eingestuft. Da CrediScore keine Rechtsabteilung hat, verwendete das Unternehmen ein Software-Tool eines Drittanbieters, um seine Risikoklassifizierung zu erhalten.

ChatGPT fällt jedoch nicht unter diese Kategorie. Es verfügt jedoch über generative Funktionen und ist in der Lage, „Deepfakes“ zu erstellen. Dabei handelt es sich um Bilder, die reale Umstände darstellen und authentisch wirken können, aber künstlich erzeugt werden. Daher wurde es als „geringes Risiko“ eingestuft.

Deepl schließlich verfügt über keine derartigen Fähigkeiten. Es kann lediglich Text von einer Sprache in eine andere übersetzen. Daher wird es nach dem KI-Gesetz als „minimales Risiko“ eingestuft.

Abbildung 2: Fülle die Tabelle entsprechend aus, indem du deine Beziehung zu jedem System sowie deren Risikostufe hinzufügst

TIPP: Dokumentation: Dein Schlüssel zum Bestehen von Audits

Das KI-Gesetz legt den Schwerpunkt auf die Dokumentation. Jede Entscheidung, jeder Prozess und jede Compliance-Maßnahme muss gründlich dokumentiert werden, insbesondere bei Systemen mit hohem Risiko. Wenn dein Start-up einem Audit unterzogen wird, zählt nur das, was dokumentiert ist.

Compliance ist nicht nur ein technisches Thema – sie betrifft jede Abteilung. Von Marketing bis Produktentwicklung muss jedes Teammitglied verstehen, wie sich der KI-Act auf seine Rolle auswirkt. Regelmäßige Schulungen und Workshops sind unerlässlich, um sicherzustellen, dass alle Mitarbeiter:innen, insbesondere diejenigen, die mit KI-Systemen arbeiten, in der Lage sind, Compliance-bezogene Aufgaben zu bewältigen.

Ab Februar 2025 wird dies verpflichtend sein. Art. 6 KI-Act schreibt vor, dass jedes Unternehmen sicherstellen muss, dass seine Mitarbeiter über ein ausreichendes Maß an KI-Kenntnissen für ihre jeweiligen Aufgaben verfügen. Die Nichteinhaltung dieser Anforderung könnte zu hohen Geldstrafen führen, wie oben erwähnt.

CrediScore-AI's KI-Alphabetisierungsinitiative

Durch die Analyse ihres KI-Bestands konnte CrediScore ermitteln, welche ihrer Abteilungen zusätzliche Schulungen benötigen würden. Deepl wird von den Abteilungen Marketing und Produkt eingesetzt, zwei Abteilungen, die nicht unbedingt über fundierte Kenntnisse über KI-Systeme verfügen. Deepl bietet jedoch nur Übersetzungen an und benötigt nicht viel Schulung, um effektiv eingesetzt zu werden.

ChatGPT hingegen wird vom gesamten Unternehmen genutzt. Im Gegensatz zu Deepl kann es eine Vielzahl von Aufgaben ausführen und wird für viele verschiedene Zwecke eingesetzt. Hier ist das Risiko größer: Sich auf die von GPT bereitgestellten Fakten zu verlassen, kann gefährlich sein, wenn Mitarbeiter nicht wissen, dass Sprachmodelle halluzinieren können. Daher beschließt CrediScore, sicherzustellen, dass alle Mitarbeiter eine Schulung erhalten, die die grundlegenden Risiken der generativen KI abdeckt.

Schließlich ist für ihr eigenes Produkt ein noch höheres Maß an KI-Kenntnissen erforderlich, da das Unternehmen ein Kreditbewertungssystem entwickelt. Das Technikerteam von CrediScore ist sich dieser Risiken bereits bewusst, das Produktteam jedoch nicht. Daher hat das Unternehmen beschlossen, nur für sein Produktteam zusätzliche Schulungen zu buchen.

Abbildung 3: CrediScore entscheidet für jede Abteilung, welche Schulungsstufe erforderlich ist.

Siehe auch: Webinar-Rückblick: So bereitest du dein Unternehmen auf den AI Act vor

Je nach Risikograd Ihrer KI-Systeme können weitere Compliance-Pflichten erforderlich sein. Bei Systemen mit hohem Risiko gehören dazu ein Qualitäts- und Risikomanagementsystem, die Führung von Aufzeichnungen und die Sicherstellung der menschlichen Aufsicht. Anbieter von KI mit hohem Risiko müssen beispielsweise Transparenz darüber bieten, wie Entscheidungen getroffen werden, und die Robustheit und Cybersicherheit des Systems sicherstellen.

Bei Systemen mit hohem Risiko müssen Unternehmen Maßnahmen ergreifen, wie z. B. detaillierte Protokolle führen, menschliche Aufsicht ermöglichen und sicherstellen, dass KI-Systeme gemäß ihrem beabsichtigten Zweck funktionieren.

Abbildung 4: Übersicht über alle Compliance-Pflichten für Systeme mit hohem und begrenztem Risiko

Da sich die KI-Landschaft ständig weiterentwickelt, müssen Start-ups die Einhaltung von Vorschriften im Auge behalten. Der Aufbau einer soliden Grundlage an KI-Kenntnissen, die Dokumentation jedes Schritts und die ständige Information über sich ändernde Vorschriften sind für den langfristigen Erfolg von entscheidender Bedeutung. Dein Start-up kann hohe Strafen vermeiden und das Vertrauen der Nutzer:innen gewinnen, indem es jetzt die richtigen Schritte unternimmt.

Mit heyData kannst du die komplexen Anforderungen des KI-Gesetzes mühelos bewältigen – von der Dokumentation bis zur Schulung deiner Teams.