GSA’s Entwurf der KI-Klausel verwandelt Governance in eine vertragliche Verpflichtung
Monatelang lebte ein Großteil der Diskussion über KI-Governance in Strategiepapieren, ethischen Prinzipien und Präsentationen vor Vorständen. Die vorgeschlagene KI-Vertragsklausel der General Services Administration (GSA) ändert dies. Falls angenommen, würde GSAR 552.239-7001 KI-Governance zu einer verbindlichen vertraglichen Anforderung für Unternehmen machen, die KI-Funktionen an die Bundesregierung verkaufen. Dies hätte erhebliche Auswirkungen auf Compliance-Beauftragte, Rechtsteams, Beschaffungsleiter und Fachleute für Drittanbieter-Risiken.
Wichtige Merkmale der vorgeschlagenen Klausel
Die vorgeschlagene Klausel ist bemerkenswert aggressiv. Sie würde der Regierung umfangreiche Eigentumsrechte an „Regierungsdaten“ und „kundenspezifischen Entwicklungen“ einräumen, die Verwendung von Regierungsdaten zur Schulung oder Verbesserung von Modellen für andere Kunden oder kommerzielle Zwecke verbieten, eine 72-Stunden-Meldepflicht für Vorfälle einführen und die Hauptauftragnehmer direkt für die Einhaltung durch nachgelagerte „Service Provider“ verantwortlich machen. Zudem würde die Verwendung von „amerikanischen KI-Systemen“ gefordert, eine Benachrichtigung vor wesentlichen Anbieteränderungen verlangt und offene Formate sowie APIs zur Unterstützung von Portabilität und Interoperabilität erforderlich machen.
Governance-Probleme und Herausforderungen
Die GSA hat ein echtes Governance-Problem im Bereich der KI-Beschaffung identifiziert, versucht jedoch, dies durch das, was als „Governance mit dem Vorschlaghammer“ bezeichnet wird, zu lösen. Diese Phrase beschreibt die Spannung zwischen der Notwendigkeit von Datensicherheit, Anbieterbindung, geschichteten KI-Lieferketten und der Überwachung der Leistung. Der Entwurf versucht, all diese Bedenken gleichzeitig durch eine einzige Klausel anzugehen, die deutlich von den üblichen kommerziellen Praktiken abweicht.
Für Compliance-Profis ist die Dimension des Drittanbieter-Risikos möglicherweise die wichtigste. Der Entwurf definiert „Service Provider“ so weitreichend, dass auch vorgelagerte kommerzielle KI-Plattformen und Modellanbieter eingeschlossen sind, selbst wenn sie keine traditionellen Subunternehmer sind. Dies bedeutet, dass die Einhaltung der KI-Vorgaben zunehmend davon abhängen könnte, ob ein Unternehmen Einblick in seinen gesamten Technologiestack hat, umsetzbare Flow-Down-Verpflichtungen und Nachweise dafür, dass diese Verpflichtungen tatsächlich getestet werden können.
Daten-Governance und Portabilität
Die Aspekte der Daten-Governance sind ebenfalls entscheidend. Die vorgeschlagene Definition von „Regierungsdaten“ umfasst nicht nur Eingaben und Ausgaben, sondern auch Metadaten, Protokolle, abgeleitete Daten und nutzungsbezogene Informationen. Dies ist eine bedeutende Entwicklung, da die Aufsichtsbehörden und Beschaffungsbeamten nicht mehr nur darauf achten, ob Daten geschützt sind, sondern auch darauf, ob die Nutzung selbst ausbeutbare Werte schafft, die geregelt werden müssen.
Die Portabilitätsbestimmungen verdienen ebenfalls besondere Aufmerksamkeit. Der Entwurf verlangt offene, standardisierte Datenformate und APIs und verbietet proprietäre Ansätze, die Abhängigkeiten schaffen oder zusätzliche Lizenzen zur Vermeidung des Ausstiegs aus einem System erfordern. Dies ist eine Lehre aus der Bundesbeschaffung, die für den privaten Sektor von großem Wert ist. KI-Governance geht nicht nur darum, ein Tool am ersten Tag zu genehmigen, sondern auch darum, die Fähigkeit der Organisation zu erhalten, Änderungen zu überwachen, Daten zu migrieren und sich ohne operative Chaos von einem Anbieter zu lösen.
Schlussfolgerung
Der Entwurf wirft ernsthafte Bedenken auf. Die Sprache zu „amerikanischen KI-Systemen“ scheint in einem Markt, der auf globalen Entwicklungsteams, Open-Source-Komponenten und geschichteten Lieferketten basiert, schwer anwendbar zu sein. Die „unvoreingenommenen KI-Prinzipien“ bringen zusätzliche Unsicherheit mit sich, da sie Leistungserwartungen mit politisch aufgeladenen Begriffen und Rechten der Regierung zur Bewertung verbinden, die sich auf nicht offengelegte Methoden stützen können.
Die größere Lehre ist klar: KI-Governance wird zu einem Vertrags-, Beschaffungs- und Kontrollproblem. Compliance-Beauftragte sollten nicht auf eine endgültige Regelung warten, bevor sie handeln. Sie sollten bereits fragen, ob ihre Organisationen KI-Anbieter kartieren, Datenflüsse nachverfolgen, Modelländerungen dokumentieren, die Reaktion auf Vorfälle verwalten und die Aufsicht mit glaubwürdigen Nachweisen nachweisen können.
