Neues kalifornisches Gesetz erfordert KI-Risikoanalysen bis Ende 2027
Während Unternehmen im Jahr 2025 hastig künstliche Intelligenz (KI) einführten, könnten sie ein kritisches Problem übersehen haben. KI hat nicht nur neue Risiken geschaffen, sondern auch Infrastruktur-Schwächen offengelegt, die viele Organisationen seit den späten 1990er Jahren mit sich tragen.
Ein Rechtsanwalt fordert Unternehmen nun auf, sofortige Maßnahmen zur KI-Risikoanalyse zu ergreifen und warnt, dass Vorstände und Aufsichtsbehörden sichtbare Fortschritte in der KI-Governance erwarten. Die Dringlichkeit wächst: Ingenieure setzen Modelle schneller ein, als rechtliche Teams sie überprüfen können; Verträge mit Anbietern regeln nicht, wer die Trainingsdaten besitzt; und Aufsichtsbehörden beobachten genau.
Das neue Risikorahmenwerk in Kalifornien
Im Rahmen des neuen verpflichtenden Risiko-Rahmenwerks müssen Unternehmen bis zum 31. Dezember 2027 KI-Risikoanalysen in ihre Unternehmensrisikobewertung einbeziehen. Eine kürzlich erlassene Exekutive zur Etablierung eines nationalen KI-Politikrahmens deutet darauf hin, dass die Durchsetzung durch Bundesbehörden intensiver werden könnte, auch wenn es zwischen den Bundesstaaten und der Bundesregierung Konflikte über die Zuständigkeit gibt.
Empfehlungen für Unternehmen
Es wird empfohlen, den Rahmen für das Risikomanagement von KI des National Institute of Standards and Technology (NIST) als Grundlage zu übernehmen. Dieses branchenneutrale Rahmenwerk entwickelt sich zum Branchenstandard und bietet praktische Implementierungswerkzeuge, die rechtlichen, risikobezogenen und technischen Teams helfen, effektiv zusammenzuarbeiten.
Das Ziel ist es, Szenarien zu vermeiden, in denen beispielsweise eine KI im Kundenservice Entscheidungen trifft, für die sie nicht autorisiert ist. Es ist entscheidend, zu wissen, wer die KI-Ausgaben besitzt, wenn Kundendaten von Ingenieuren trainiert, von Produktteams eingesetzt und für Entscheidungen genutzt werden, für die rechtliche Abteilungen haftbar sind. Organisationen müssen festlegen, wer die Befugnis hat, Systeme zu pausieren oder zu überschreiben, wenn Risiken auftreten.
Drei-Phasen-Ansatz
Ein drei Phasen umfassender Ansatz wird skizziert. In den ersten drei Monaten sollten Unternehmen die Verwendung von KI kartieren, Verantwortliche für KI-Risiken und Compliance benennen und ein Verzeichnis aller verwendeten KI-Systeme erstellen. In den nächsten drei bis neun Monaten liegt der Fokus auf der Erweiterung der Testprotokolle, der Überarbeitung von Verträgen für KI-spezifische Verpflichtungen und der Implementierung technischer Kontrollen. Die letzte Phase, von neun bis achtzehn Monaten und darüber hinaus, umfasst die kontinuierliche Überwachung durch Warnmeldungen, Dashboards und Drift-Erkennung.
Die Aufsichtsbehörden erkennen an, dass Perfektion nicht sofort erreichbar ist, erwarten jedoch sichtbare Fortschritte und eine glaubwürdige Verbesserungsgeschichte. Unternehmen sollten jetzt Folgendes bereit haben: ein Inventar der KI-Systeme mit Risikostufen und Eigentümern, aktualisierte Notfallpläne für KI-spezifische Risiken und eine Charta für ein KI-Governance-Komitee.
Schlussfolgerung
Im ersten Jahr sollten Organisationen KI-Richtlinien und -Standards entwickeln, schriftliche Protokolle für Tests und Validierung erstellen und Fragebögen zur Sorgfaltspflicht bei Anbietern einführen. Für Systeme, die Beschäftigung oder Wohnraum betreffen, könnten Testprotokolle früher als später implementiert werden müssen. Die Dokumentation der betrieblichen Abläufe stellt sicher, dass Unternehmen über ausreichendes Wissen verfügen, um bei Bedarf zu handeln. Organisationen, die 2026 KI-Governance-Programme aufbauen, sollten mit der Infrastrukturkartierung und der Governance-Charterung beginnen, um sich vor den sich entwickelnden Anforderungen zu positionieren und sicherzustellen, dass ihre KI-Tools zuverlässig und konform bleiben.
Da sich KI weiterhin schnell entwickelt, ist die Botschaft von Rechtsexperten klar: Die Zeit, robuste Governance-Rahmenwerke aufzubauen, ist jetzt, nicht wenn die Aufsichtsbehörden anklopfen.
