Zum Inhalt gehen

Risikomanagement von KI-Systemen unter Berücksichtigung der Europäischen KI-Verordnung (AI Act)

Erden Yücel
03.07.2024
capgemini-invent

Risikomanagement bezeichnet den systematischen Prozess der Identifizierung, Bewertung und Kontrolle von Risiken, die mit der Entwicklung, Implementierung und Nutzung von Künstlicher Intelligenz (KI) verbunden sind. In der dynamischen Landschaft der KI ist Risikomanagement nicht nur ein gesetzlicher Imperativ, sondern auch eine organisatorische Notwendigkeit. Besonders im Rahmen der neuen europäischen KI-Verordnung (AI Act), speziell Artikel 9, wird die Bedeutung eines robusten Risikomanagementsystems für Hochrisiko-KI-Systeme hervorgehoben. Dieser Blogbeitrag beleuchtet die wesentlichen Aspekte des Risikomanagements, die Unternehmen und Behörden, die KI-Systeme entwickeln, implementieren oder nutzen, kennen und umsetzen sollten.

Künstliche Intelligenz hat unser Leben und unsere Arbeitswelt tiefgreifend verändert. Von intelligenten Assistenten, die unseren Alltag erleichtern, über prädiktive Analysen im Gesundheitswesen bis hin zu autonomen Fahrzeugen – die Anwendungen von KI sind vielseitig und beeinflussen nahezu jeden Aspekt unseres Lebens. Diese weitreichende Nutzung bringt jedoch auch erhebliche Risiken mit sich. Fehlerhafte oder missbräuchlich eingesetzte KI-Systeme können schwerwiegende Folgen haben, darunter Datenschutzverletzungen, Diskriminierung und sogar physische Schäden. Daher ist es von größter Bedeutung, ein umfassendes Risikomanagementsystem zu implementieren, um diese Risiken zu identifizieren und zu minimieren.

Ein effektives Risikomanagement ist essenziell, um die Sicherheit, Gesundheit und Grundrechte der Nutzer sowie der breiteren Öffentlichkeit zu schützen. Zudem hilft es Organisationen, die mit Hochrisiko-KI-Systemen (für die Aufteilung von KI-Systemen in Risikoklassen siehe unseren Blogbeitrag in Zusammenarbeit mit der Kanzlei CMS zum Thema AI Act) arbeiten, ihre rechtlichen Verpflichtungen zu erfüllen und gleichzeitig das Vertrauen der Nutzer in diese Technologie zu stärken. Der AI Act setzt strenge Anforderungen an das Risikomanagement von KI-Systemen, insbesondere für Hochrisiko-KI-Systeme. Artikel 9 des Act verpflichtet Anbieter solcher Systeme, ein kontinuierliches und iteratives Risikomanagementsystem zu etablieren, das den gesamten Lebenszyklus des KI-Systems umfasst.

Die Notwendigkeit eines solchen Systems ergibt sich allerdings nicht nur aus den gesetzlichen Anforderungen, sondern auch aus der Verantwortung der Organisation, sichere und zuverlässige KI-Systeme bereitzustellen. Dementsprechend bietet sich die Einrichtung eines Risikomanagementsystems auch für KI-Systeme an, die zwar nicht als Hochrisikosysteme im Sinne des KI-Gesetzes eingestuft sind, aber dennoch erhebliche Risiken bergen können oder besonders geschäftskritisch sind.

Der kontinuierliche Prozess des Risikomanagements

Es ist schon deutlich geworden, dass nicht nur aufgrund gesetzlicher Vorgaben, sondern auch der potenziellen Risiken und der weit verbreiteten Ängste in der Öffentlichkeit ein umfassendes Risikomanagement für alle KI-Systeme sinnvoll und notwendig ist. Das Risikomanagement von KI-Systemen muss als kontinuierlicher Prozess verstanden werden, der vier Hauptschritte umfasst:

  1. Risikoidentifizierung
  2. Risikoanalyse und -bewertung
  3. Risikominderung
  4. Kontinuierliche Aktualisierung

Abbildung 1: Vier Schritte des Risikomanagementprozesses

Risikoidentifizierung

Der erste Schritt im Risikomanagement ist die Identifikation von Risiken. Artikel 9 ders Act verlangt, dass alle bekannten und vernünftigerweise vorhersehbaren Risiken ermittelt und analysiert werden. Dies umfasst eine breite Palette von Risiken, darunter Sicherheit, Rechte und Freiheiten sowie Gesundheit. Die Identifikation von Risiken kann herausfordernd sein, insbesondere weil KI-Systeme oft komplex und undurchsichtig sind. Zudem sind nicht alle Risiken auf den ersten Blick erkennbar und manche treten erst in spezifischen Nutzungsszenarien auf. Daher ist es entscheidend, ein interdisziplinäres Team einzusetzen, das die Risikoidentifikation übernimmt. Verschiedene Experten können unterschiedliche Perspektiven einbringen und so eine umfassendere Risikoerfassung gewährleisten.

Um diese Aufgabe effektiv zu erfüllen, können Tools wie Checklisten, Datenschutzfolgenabschätzungen und Grundrechtefolgenabschätzungen verwendet werden. Diese Werkzeuge helfen dabei, systematisch potenzielle Risiken zu identifizieren und zu dokumentieren. Datenschutzfolgenabschätzungen sind ein besonders hilfreiches Instrument, da sie bereits fest im Alltag von Organisationen integriert sind. Die Erfahrungen aus der Auseinandersetzung mit Datenschutzfolgenabschätzungen können eine wichtige Grundlage für den weiteren Aufbau eines Risikoidentifizierungsprozesses darstellen. Es ist ebenfalls wichtig, die Risikoidentifikation in die Testverfahren des Systems zu integrieren, um sicherzustellen, dass alle möglichen Risiken erfasst werden. Ein praktisches Anwendungsbeispiel verdeutlicht diesen Prozess: Stellen Sie sich ein KI-System vor, das in autonomen Fahrzeugen eingesetzt wird. Die Risikoidentifizierung könnte durch ein interdisziplinäres Team erfolgen, das Experten für Fahrzeugtechnik, KI-Algorithmen, Ethik und Recht umfasst. Dieses Team würde gemeinsam Checklisten durchgehen, um mögliche Risiken wie Unfälle aufgrund von Fehlinterpretationen durch die KI, Datenschutzverletzungen durch gesammelte Daten und Diskriminierung durch algorithmische Voreingenommenheit zu identifizieren.

Risikoanalyse und -bewertung

Nach der Identifikation müssen die Risiken analysiert und bewertet werden. Dies beinhaltet die Abschätzung der Wahrscheinlichkeit und der potenziellen Auswirkungen eines Risikos. Diese Phase des Risikomanagements ist besonders wichtig, da sie die Grundlage für die Entscheidung bildet, welche Risiken priorisiert und welche Maßnahmen ergriffen werden sollen. Die Bewertung der Risiken kann komplex sein, da sie sowohl technische als auch menschliche Faktoren berücksichtigen muss. Es besteht die Herausforderung, eine objektive und konsistente Bewertung sicherzustellen.

Um dies zu erreichen, sind klare Prozesse und die Definition von Verantwortlichkeiten essenziell. Werkzeuge wie Risikomatrix und Bewertungschecklisten können dabei helfen, die Analyse systematisch und nachvollziehbar zu gestalten. Eine gründliche Risikoanalyse und -bewertung ermöglicht es, die Risiken zu priorisieren und fundierte Entscheidungen über erforderliche Maßnahmen zu treffen, was die Robustheit und Sicherheit des KI-Systems gewährleistet.

Bei unserem Beispiel des autonomen Fahrzeugs würde das Team die identifizierten Risiken analysieren und bewerten. Hierbei könnte eine Risikomatrix verwendet werden, um die Wahrscheinlichkeit und die Auswirkungen jedes identifizierten Risikos zu bewerten. Ein Unfall aufgrund von Fehlinterpretationen der KI könnte beispielsweise als hohes Risiko eingestuft werden, da er wahrscheinlich zu schweren physischen Schäden führen kann.

Risikominderung

Basierend auf der Bewertung müssen Maßnahmen zur Risikominderung getroffen werden. Der Act sieht vor, dass Risiken so weit wie technisch möglich eliminiert oder reduziert werden und geeignete Kontrollmaßnahmen implementiert werden. Die Umsetzung effektiver Maßnahmen erfordert nicht nur technische Expertise, sondern auch ein Verständnis für organisatorische und betriebliche Abläufe.

Nach der Bewertung sollten spezifische Maßnahmen entwickelt werden, um die identifizierten Risiken zu adressieren. Dazu gehört auch die Bereitstellung von Informationen und gegebenenfalls Schulungen für die Anwender. Es ist wichtig, dass die Maßnahmen kontinuierlich überwacht und angepasst werden. Durch die gezielten Risikomanagementmaßnahmen können die potenziellen Schäden minimiert und die Sicherheit und Effizienz des KI-Systems erhöht werden.

Mit Blick auf unser Beispiel könnte das Team Maßnahmen zur Risikominderung entwickeln, wie die Verbesserung der Sensoren und Algorithmen des autonomen Fahrzeugs, um Fehlinterpretationen zu reduzieren. Außerdem könnten regelmäßige Schulungen für die Entwickler und Nutzer des Systems eingeführt werden, um sicherzustellen, dass sie stets über die neuesten Sicherheitsprotokolle und Best Practices informiert sind.

Kontinuierliche Aktualisierung

Risikomanagement ist ein fortlaufender Prozess. Daten und Erkenntnisse müssen kontinuierlich gesammelt und bewertet werden, um unerwartete Risiken zu identifizieren und zu mitigieren. Neue Risiken können jederzeit auftreten, insbesondere wenn das KI-System in neuen Kontexten oder auf neue Weise eingesetzt wird. Es ist eine Herausforderung, das Risikomanagementsystem stets aktuell zu halten.

Ein fortlaufender Überprüfungs- und Aktualisierungsprozess sollte implementiert werden, um sicherzustellen, dass das Risikomanagementsystem auf dem neuesten Stand bleibt. Dies beinhaltet regelmäßige Audits und die Anpassung der Maßnahmen basierend auf neuen Erkenntnissen und Daten. Die kontinuierliche Aktualisierung des Risikomanagementsystems gewährleistet, dass neue Risiken zeitnah identifiziert und adressiert werden können, was die langfristige Sicherheit und Zuverlässigkeit des KI-Systems sicherstellt.

In unserem Beispiel des autonomen Fahrzeugs würde das Team kontinuierlich Daten sammeln und analysieren, um neue potenzielle Risiken zu identifizieren. Diese Daten könnten aus verschiedenen Quellen stammen, wie Fahrberichten, Unfallanalysen und Nutzerfeedback. Auf Basis dieser Daten würde das Risikomanagementsystem regelmäßig aktualisiert, um sicherzustellen, dass es auf dem neuesten Stand bleibt und neue Risiken effektiv adressiert werden können.

Abbildung 2: Risikomanagement-Toolbox

Fazit

Ein effektives Risikomanagementsystem gemäß dem AI Act ist entscheidend, um die Sicherheit, Gesundheit und Grundrechte der Nutzer sowie der breiteren Öffentlichkeit zu schützen. Unternehmen und Behörden müssen nicht nur ihre rechtlichen Verpflichtungen erfüllen, sondern auch praktische Maßnahmen ergreifen, um diese Anforderungen umzusetzen.  Deshalb sollte dieses Thema nicht nur aus einer rein juristischen Perspektive betrachtet werden, sondern auch die Implementierungsmaßnahmen müssen näher untersucht und gegebenenfalls an die gesetzlichen und organisatorischen Vorgaben angepasst werden. Legal Engineers bringen die notwendige Erfahrung aus der Arbeit an der Schnittstelle zwischen Recht und Technologie und Organisation mit und die richtigen Tools, um ein Risikomanagementsystem in den organisatorischen Alltag zu integrieren. Durch die Implementierung eines kontinuierlichen und umfassenden Risikomanagementprozesses können die Risiken im Zusammenhang mit Hochrisiko-KI-Systemen effektiv bewältigt werden, was letztlich das Vertrauen in diese zukunftsweisende Technologie stärkt. Ein umfassendes Risikomanagementsystem bietet nicht nur Schutz vor rechtlichen und finanziellen Konsequenzen, sondern fördert auch die Innovation und den verantwortungsvollen Einsatz von KI-Systemen.

Vielen Dank an meinen Co-Autoren Vissarion Petrikis!

Unser Experte

Erden Yücel

Manager | Legal Engineering, Capgemini Invent Germany
Als erfahrener Jurist mit langjähriger Expertise in den Bereichen IT-Recht, Governance und Compliance spezialisiere ich mich auf die Implementierung und Operationalisierung rechtlicher Vorgaben in bestehende Compliance-Prozesse und -Systeme. Mein Schwerpunkt liegt auf den Themen rund um KI und Data Governance. In diesem Zusammenhang unterstütze ich unsere Kunden dabei, den Einsatz, die Entwicklung und den Bezug vertrauenswürdiger KI zu gewährleisten.

    Blog-Updates per Mail?

    Abonnieren Sie unseren Newsletter und erhalten Sie alle zwei Monate eine Auswahl der besten Blogartikel.