KI-Compliance: Ein Leitfaden für Start-ups
In der sich schnell entwickelnden KI-Landschaft von heute müssen Start-ups neue regulatorische Rahmenbedingungen wie das KI-Gesetz der EU verstehen und einhalten. Compliance ist nicht mehr optional – Strafen für die Nichteinhaltung können bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes eines Unternehmens betragen. Für jedes Start-up, das KI-Lösungen einsetzt, entwickelt oder vertreibt, ist die Festlegung einer klaren KI-Compliance-Strategie von entscheidender Bedeutung. Dieser Blogbeitrag führt dich durch praktische Schritte zur Einhaltung der KI-Compliance und veranschaulicht am Beispiel eines Fintech-Startups, CrediScore-AI, wie du die wichtigsten Compliance-Schritte – von der Bestandsaufnahme bis zur Risikobewertung – durchläufst.
Das KI-Gesetz gilt für jedes Unternehmen, das KI-Systeme in einem der 27 EU-Mitgliedstaaten entwickelt, nutzt oder vertreibt. Start-ups, insbesondere solche, die mit KI-gesteuerten Produkten arbeiten, müssen sich dieser Verordnung bewusst sein. Die Nichteinhaltung hat schwerwiegende finanzielle Folgen, weshalb es unerlässlich ist, von Anfang an Maßnahmen zur Einhaltung der Vorschriften zu ergreifen.
Siehe auch: KMU in der KI-Ära: Die Auswirkungen des EU-KI-Gesetzes
Inhaltsverzeichnis:
1. Mit einer KI-Bestandsaufnahme beginnen
Der erste Schritt zur Einhaltung der Vorschriften besteht darin, alle KI-Systeme zu identifizieren und zu katalogisieren, die das Unternehmen verwendet, entwickelt oder vertreibt. Gemäß dem KI-Gesetz ist ein KI-System jede Software, die nicht-deterministisch ableiten, anpassen und arbeiten kann. Start-ups müssen eine detaillierte Bestandsaufnahme erstellen und dabei die Anwendungsfälle und Prozesse angeben, in denen KI eingesetzt wird.
2. Die Rolle des Unternehmens im Rahmen des KI-Gesetzes definieren
Das KI-Gesetz definiert vier Rollen für Organisationen, die mit KI interagieren: Anbieter, Bereitsteller, Importeur und Vertreiber. Dein Start-up muss seine Rolle für jedes verwendete KI-System definieren. Wenn du beispielsweise KI-Software entwickelst, bist du der Anbieter. Wenn du KI von Drittanbietern verwendest, bist du wahrscheinlich ein Bereitsteller.
Fallstudie: „CrediScore-AI“
„CrediScore-AI“, ein Fintech-Startup, begann mit der Auflistung seiner KI-Tools, wie ChatGPT und einer proprietären KI zur Kreditwürdigkeitsprüfung. Das Unternehmen dokumentierte jedes System, seinen Anwendungsfall und seine Rolle innerhalb der Organisation.
CrediScore fungiert sowohl als Anbieter als auch als Bereitsteller. Für seine proprietäre KI-Lösung spielt es die Rolle des Anbieters, während es für Systeme von Drittanbietern wie ChatGPT und Deepl als Bereitsteller fungiert.
Abbildung 1: Beginne mit einer Bestandsaufnahme aller KI-Systeme in deinem Unternehmen
Bereit für KI-Compliance?
Hol dir unser kostenloses Whitepaper und erfahre, wie du die Anforderungen des EU KI-Gesetzes einfach und erfolgreich umsetzen kannst.
Relevante Themen
PCI DSS Compliance – was steckt dahinter?
Betrachtet man den Bereich der Kreditkartenzahlungen im Internet, so ist es wichtig, über den Bereich der PCI DSS Compliance aufgeklärt zu sein. PCI DSS steht für einen Payment Card Industry Data Security Standard. Dieser Standard wurde vom PCI Security Standards Council entwickelt und beinhaltet den Hintergrund, effektiv gegen den Missbrauch von Kreditkartenzahlungen im Internet vorzugehen. PCI DSS ist für alle Unternehmen wichtig, welche Daten von Kartennutzern verarbeiten. Einen Nachweis der Compliance kann durch einen internen Sicherheitsgutachter (ISA), einen qualifizierten Sicherheitsgutachter (QSA) oder einen Selbstbewertungsfragebogen (SAQ) erfolgen. Ein Selbstbewertungsfragebogen ist allerdings nur für Unternehmen relevant, welche ausschließlich geringe Datenströme im Bereich der Kreditkarten verzeichnen können.
Mehr lesen
Informationssicherheits-Managementsystem (ISMS): Definition, Vorteile und Leitfaden zur Umsetzung
Ein Informationssicherheits-Managementsystem (ISMS) ist ein strukturierter Ansatz zur Sicherung sensibler Daten, zur Risikominderung und zur Einhaltung von Compliance-Anforderungen. Durch Richtlinien, Verfahren und Kontrollen, die auf Standards wie ISO 27001 abgestimmt sind, gewährleistet ein ISMS die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Zu den wichtigsten Vorteilen gehören ein verbesserter Datenschutz, die Einhaltung der DSGVO und des PCI DSS sowie die Geschäftskontinuität. Die Implementierung eines ISMS umfasst die Definition von Zielen, die Bewertung von Risiken, die Bereitstellung von Sicherheitsrahmen und möglicherweise die Erlangung einer ISO-Zertifizierung, was es zu einem wertvollen Gut in der sich entwickelnden digitalen Landschaft macht.
Mehr lesen
KI-Compliance: Ein Leitfaden für Start-ups
Das EU KI-Gesetz verpflichtet Start-ups, KI-Systeme zu dokumentieren, Risiken einzuschätzen und Mitarbeiter:innen zu schulen. Unser Leitfaden erklärt die wichtigsten Schritte – von der Bestandsaufnahme der KI-Systeme bis zur Risikoanalyse. Anhand des Beispiels von CrediScore-AI zeigen wir, wie ein Fintech-Start-up Compliance erfolgreich umsetzt: von der Klassifizierung der Systeme nach Risiko bis zur gezielten Schulung der Teams.
Mehr lesen3. Beurteile die Risikostufen von KI-Systemen
KI-Systeme werden in vier Risikostufen eingeteilt: minimal, begrenzt, hoch und inakzeptabel. Dein Start-up muss die Risikostufe für jedes von ihm verwendete KI-System bewerten. Diese Risikobewertung ist für die Bestimmung der Compliance-Verpflichtungen unerlässlich. Für Systeme mit hohem Risiko – wie sie beispielsweise für die Bonitätsbewertung verwendet werden – gelten die strengsten Anforderungen.
Fallstudie: Risikoanalyse bei CrediScore-AI
KI, die Kreditwürdigkeitsprüfungen für Verbraucher durchführt, wird in Anhang III des KI-Gesetzes als „risikoreich“ eingestuft. Da CrediScore keine Rechtsabteilung hat, verwendete das Unternehmen ein Software-Tool eines Drittanbieters, um seine Risikoklassifizierung zu erhalten.
ChatGPT fällt jedoch nicht unter diese Kategorie. Es verfügt jedoch über generative Funktionen und ist in der Lage, „Deepfakes“ zu erstellen. Dabei handelt es sich um Bilder, die reale Umstände darstellen und authentisch wirken können, aber künstlich erzeugt werden. Daher wurde es als „geringes Risiko“ eingestuft.
Deepl schließlich verfügt über keine derartigen Fähigkeiten. Es kann lediglich Text von einer Sprache in eine andere übersetzen. Daher wird es nach dem KI-Gesetz als „minimales Risiko“ eingestuft.
Abbildung 2: Fülle die Tabelle entsprechend aus, indem du deine Beziehung zu jedem System sowie deren Risikostufe hinzufügst
Dein nächster Schritt in Richtung KI-Compliance!
Demo buchenTIPP: Dokumentation: Dein Schlüssel zum Bestehen von Audits
Das KI-Gesetz legt den Schwerpunkt auf die Dokumentation. Jede Entscheidung, jeder Prozess und jede Compliance-Maßnahme muss gründlich dokumentiert werden, insbesondere bei Systemen mit hohem Risiko. Wenn dein Start-up einem Audit unterzogen wird, zählt nur das, was dokumentiert ist.
4. KI-Kenntnisse im gesamten Unternehmen sicherstellen
Compliance ist nicht nur ein technisches Thema – sie betrifft jede Abteilung. Von Marketing bis Produktentwicklung muss jedes Teammitglied verstehen, wie sich der KI-Act auf seine Rolle auswirkt. Regelmäßige Schulungen und Workshops sind unerlässlich, um sicherzustellen, dass alle Mitarbeiter:innen, insbesondere diejenigen, die mit KI-Systemen arbeiten, in der Lage sind, Compliance-bezogene Aufgaben zu bewältigen.
Ab Februar 2025 wird dies verpflichtend sein. Art. 6 KI-Act schreibt vor, dass jedes Unternehmen sicherstellen muss, dass seine Mitarbeiter über ein ausreichendes Maß an KI-Kenntnissen für ihre jeweiligen Aufgaben verfügen. Die Nichteinhaltung dieser Anforderung könnte zu hohen Geldstrafen führen, wie oben erwähnt.
CrediScore-AI's KI-Alphabetisierungsinitiative
Durch die Analyse ihres KI-Bestands konnte CrediScore ermitteln, welche ihrer Abteilungen zusätzliche Schulungen benötigen würden. Deepl wird von den Abteilungen Marketing und Produkt eingesetzt, zwei Abteilungen, die nicht unbedingt über fundierte Kenntnisse über KI-Systeme verfügen. Deepl bietet jedoch nur Übersetzungen an und benötigt nicht viel Schulung, um effektiv eingesetzt zu werden.
ChatGPT hingegen wird vom gesamten Unternehmen genutzt. Im Gegensatz zu Deepl kann es eine Vielzahl von Aufgaben ausführen und wird für viele verschiedene Zwecke eingesetzt. Hier ist das Risiko größer: Sich auf die von GPT bereitgestellten Fakten zu verlassen, kann gefährlich sein, wenn Mitarbeiter nicht wissen, dass Sprachmodelle halluzinieren können. Daher beschließt CrediScore, sicherzustellen, dass alle Mitarbeiter eine Schulung erhalten, die die grundlegenden Risiken der generativen KI abdeckt.
Schließlich ist für ihr eigenes Produkt ein noch höheres Maß an KI-Kenntnissen erforderlich, da das Unternehmen ein Kreditbewertungssystem entwickelt. Das Technikerteam von CrediScore ist sich dieser Risiken bereits bewusst, das Produktteam jedoch nicht. Daher hat das Unternehmen beschlossen, nur für sein Produktteam zusätzliche Schulungen zu buchen.
Abbildung 3: CrediScore entscheidet für jede Abteilung, welche Schulungsstufe erforderlich ist.
Siehe auch: Webinar-Rückblick: So bereitest du dein Unternehmen auf den AI Act vor
5. Erfüllung zusätzlicher Verpflichtungen auf der Grundlage von Risikostufen
Je nach Risikograd Ihrer KI-Systeme können weitere Compliance-Pflichten erforderlich sein. Bei Systemen mit hohem Risiko gehören dazu ein Qualitäts- und Risikomanagementsystem, die Führung von Aufzeichnungen und die Sicherstellung der menschlichen Aufsicht. Anbieter von KI mit hohem Risiko müssen beispielsweise Transparenz darüber bieten, wie Entscheidungen getroffen werden, und die Robustheit und Cybersicherheit des Systems sicherstellen.
Bei Systemen mit hohem Risiko müssen Unternehmen Maßnahmen ergreifen, wie z. B. detaillierte Protokolle führen, menschliche Aufsicht ermöglichen und sicherstellen, dass KI-Systeme gemäß ihrem beabsichtigten Zweck funktionieren.
Abbildung 4: Übersicht über alle Compliance-Pflichten für Systeme mit hohem und begrenztem Risiko
Vorbereitung auf die KI-Zukunft
Da sich die KI-Landschaft ständig weiterentwickelt, müssen Start-ups die Einhaltung von Vorschriften im Auge behalten. Der Aufbau einer soliden Grundlage an KI-Kenntnissen, die Dokumentation jedes Schritts und die ständige Information über sich ändernde Vorschriften sind für den langfristigen Erfolg von entscheidender Bedeutung. Dein Start-up kann hohe Strafen vermeiden und das Vertrauen der Nutzer:innen gewinnen, indem es jetzt die richtigen Schritte unternimmt.
Mit heyData kannst du die komplexen Anforderungen des KI-Gesetzes mühelos bewältigen – von der Dokumentation bis zur Schulung deiner Teams.
Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.
Über den Autor
Arthur Almeida, LL.M.
Arthur Almeida ist einer unserer Privacy Success Manager bei heyData und gleichzeitig Datenschutzbeauftragter. Mit Expertise im Vertragsmanagement, geistigem Eigentum, IT-Recht und Datenschutzrecht ist er als zugelassener Anwalt in Brasilien registriert und besitzt einen LL.M. vom Europa Institut, wo er sich auf die globale Auswirkung der DSGVO auf Datenschutzgesetzgebungen weltweit spezialisiert hat. Arthurs Rolle bei heyData umfasst die Leitung eines internationalen Teams bei der Bereitstellung von Datenschutzlösungen von Anfang bis Ende und macht die komplexe Welt des Datenschutzes für Unternehmen jeder Größe zugänglich und handhabbar. Mit Arthur liest du nicht nur die Worte eines Experten. Du profitierst von den Einblicken einer Person, die Datenschutz lebt und atmet und es genauso verständlich macht wie unerlässlich.
Compliance-Newsletter
Abonniere jetzt unseren Newsletter und bleibe informiert über die neuesten Entwicklungen zu Datenschutz, DSGVO, Cybersicherheit und weiteren wichtigen Compliance-Regelungen wie revDSG, NIS 2 und ISO 27001. Erhalte wertvolle Tipps, exklusive Ressourcen und regelmäßigen Zugang zu Webinaren. Verpasse keine wichtigen Neuigkeiten mehr!
Weitere Artikel
Mitarbeiter-Spotlight: Michael Head of Demand Gen
Lerne Michael kennen, unseren Head of Demand Gen bei heyData! Erfahre mehr über seinen Weg, seine Leidenschaft für Datenschutz und Technik und wie er Herausforderungen meistert.
Mehr erfahren
8 Schritte zur DSGVO- Konformität für SaaS Unternehmen
Die Einhaltung der DSGVO ist für in der EU tätige SaaS-Unternehmen unerlässlich, um personenbezogene Daten zu schützen und Vertrauen aufzubauen. Zu den Risiken bei Nichteinhaltung gehören Geldbußen von bis zu 20 Millionen Euro, Rufschädigung, eine langsamere Produktentwicklung und rechtliche Probleme. Um die Einhaltung der Vorschriften zu gewährleisten, sollten Unternehmen Datenprüfungen durchführen, einen Datenschutzbeauftragten ernennen, Datenschutz-by-Design-Grundsätze einführen, Einwilligungsmanagementsysteme implementieren, Anfragen betroffener Personen effektiv verwalten, die Sicherheit stärken, Lieferantenvereinbarungen überprüfen und einen Plan zur Reaktion auf Verstöße erstellen. Diese Schritte stärken das Vertrauen, gewährleisten die Einhaltung der Vorschriften und verschaffen einen Wettbewerbsvorteil.
Mehr erfahren
Biometrische Daten und DSGVO: Die Balance zwischen Privatsphäre und Fortschritt
Biometrische Daten revolutionieren die Sicherheit und das Benutzererlebnis, aber die Einhaltung der DSGVO ist von entscheidender Bedeutung. In diesem Artikel werden die Herausforderungen beim Umgang mit biometrischen Daten, Lehren aus realen Fällen von Nichteinhaltung und praktische Tipps für die Einhaltung der DSGVO bei gleichzeitiger Nutzung biometrischer Technologie untersucht. Erfahre, wie du Datenschutz und Fortschritt mit Transparenz, sicheren Verfahren und proaktivem Datenmanagement in Einklang bringst. Stelle sicher, dass deine Organisation biometrische Daten verantwortungsbewusst nutzt und Vertrauen aufbaut, ohne Bußgelder zu riskieren.
Mehr erfahren