4 Compliance-Fragen für CIOs bei der Berücksichtigung von KI-Projekten
Unternehmen haben viel zu bedenken, bevor sie KI-Projekte starten. Dabei geht es nicht nur darum, welchen Anwendungsfall sie verfolgen, sondern auch welche Schutzmaßnahmen implementiert werden müssen. Hinter jeder guten Idee liegen eine Reihe von rechtlichen Implikationen, die CIOs dazu zwingen, vorsichtig zu agieren.
Die Einhaltung der verschiedenen Gesetze und Vorschriften zu KI in unterschiedlichen Ländern, Bundesstaaten und Jurisdiktionen ist keine einfache Aufgabe. Der Versuch, Projekte zukunftssicher zu gestalten, erhöht nur die Komplexität.
Unternehmen sollten darauf abzielen, Prozesse und Governance zu schaffen, die die Risiken von KI eindämmen und gleichzeitig Innovation ermöglichen. Hier sind vier Fragen mit rechtlichen Implikationen, die CIOs bei der Planung und Umsetzung von KI-Projekten berücksichtigen sollten:
1. Ist der KI-Anwendungsfall hochriskant?
KI-Anwendungsfälle gelten typischerweise als hochriskant, wenn sie kritische Infrastrukturen, Beschäftigungsmöglichkeiten oder Biometrie betreffen. Unternehmen könnten bereits solche Anwendungsfälle haben, ohne es zu wissen, beispielsweise im HR-Bereich.
Unternehmen könnten gegen Gesetze verstoßen, wenn Führungskräfte KI verwenden, um Bewerbungen zu filtern. KI-generierte Ergebnisse können Vorurteile enthalten, was dazu führen könnte, dass Unternehmen gegen bestehende Antidiskriminierungsgesetze verstoßen.
Unternehmen müssen zusätzliche Vorsichtsmaßnahmen treffen, wenn sie beabsichtigen, hochriskante Anwendungsfälle voranzutreiben. Entscheidungsträger sollten sich auch mit Gesetzen vertraut machen, die Schutzmaßnahmen für automatisierte Entscheidungsfindung erfordern, um Geldstrafen und andere Konsequenzen zu vermeiden.
2. In welcher Jurisdiktion wird dieses Tool eingesetzt?
Die Sicherstellung der Einhaltung bestehender Regeln und Vorschriften erfordert, dass Unternehmen genau wissen, wo ein KI-Tool eingesetzt wird. Gesetze variieren zwischen den Jurisdiktionen.
Einige Organisationen navigieren die unterschiedlichen regulatorischen Ansätze, indem sie versuchen, die höchsten Standards einzuhalten. Ein isolierter Ansatz reicht einfach nicht mehr aus.
3. Wie wird Daten verwendet — und woher stammen sie?
Qualitätsdaten verbessern KI. Aber Organisationen haben unterschiedliche Komfortniveaus hinsichtlich dessen, was ihre KI-Systeme trainieren dürfen und was die Mitarbeiter eingeben dürfen.
Jedes Projekt durchläuft einen Risikoprüfungsprozess, bevor es gestartet wird. Im Rahmen der ersten Bewertung berücksichtigen die Teams die Verwendung von echten Daten versus synthesischen Daten.
Synthetische Daten enthalten keine tatsächlichen persönlich identifizierbaren Informationen und bringen Organisationen näher an die Einhaltung von Datenschutzgesetzen wie der Allgemeinen Datenschutzverordnung der Europäischen Union.
4. Eigenentwicklung oder Kauf?
Die Notwendigkeit, Drittanbieter-Risiken zu managen, kann nicht genug betont werden. Technologieleiter sollten verstehen, wie Drittanbieter die in ihre Systeme eingegebenen Informationen nutzen und welche Schutzmaßnahmen vorhanden sind, um Vorurteile zu minimieren und verantwortungsbewusste Praktiken zu fördern.
Unternehmen möchten oft das Risikomanagement über das hinausgehen, was bereits in Standardverträgen enthalten ist.
