KI trifft Regulator

1. Rechtliche und regulatorische Anforderungen

Beim Einsatz von KI müssen Unternehmen sicherstellen, dass sie geltende Gesetze und Aufsichtsrichtlinien einhalten:

EU AI Act (2024–2026 wirksam werdend)

• Einstufung von KI-Systemen nach Risiko (minimales, begrenztes, hohes, unzulässiges Risiko)

• Dokumentationspflichten für Hochrisiko-KI

• Pflicht zu Risikobewertungen, Monitoring, Logging

• Transparenzpflichten gegenüber Nutzern

Weitere Rechtsbereiche

• DSGVO / GDPR: Datenverarbeitung, Profiling, Rechte der Betroffenen

• Urheberrecht: Nutzung und Training von Modellen

• Haftungsrecht: Wer haftet bei fehlerhaften KI-Entscheidungen?

• BaFin-Anforderungen (Finanzsektor): MaRisk, BAIT, ZAIT, VAIT

• Kartellrecht: Vermeidung unbeabsichtigter Preisabsprachen durch KI

2. Transparenz- und Nachvollziehbarkeitspflichten

Compliance muss sicherstellen können, dass KI-Entscheidungen erklärbar und überprüfbar sind.

Anforderungen:

• Dokumentation der Datenquellen

• Erklärbare KI (Explainability, z. B. SHAP- oder LIME-Methoden)

• Nachweis über Funktionsweise und Entscheidungswege

• Klare Regeln, wann ein Mensch eingreifen kann (Human-in-the-loop)

Insbesondere der EU AI Act fordert für Hochrisiko-Systeme eine lückenlose Auditierbarkeit.

3. Risikomanagement und interne Kontrollsysteme

KI bringt neue Risikokategorien, deren Kontrolle Compliance übernehmen oder koordinieren muss:

KI-spezifische Risiken:

• Bias und Diskriminierung

• Fehlerhafte oder „vergiftete“ Trainingsdaten

• Modell-Drift (Abweichung über die Zeit)

• Fraud & Manipulation

• Reinforcement-Learning-Risiken

• Automatisierungsfehler bei Geschäftsprozessen

Anforderungen an Compliance:

• Integration in IKS / ICS (Internes Kontrollsystem)

• Periodische Kontrollen der Modelle

• Risikoklassen für KI-Systeme definieren

• Pflicht zur Modellvalidierung

• Incident-Reporting für KI-Fehler

Für Banken zwingend: Modellrisikomanagement nach BaFin/MaRisk.

4. Datenschutz, Sicherheit und Datenethik

KI-Systeme greifen meist auf große Datenmengen zu – Compliance muss dafür Vorgaben definieren.

Datenschutzpflichten:

• Data Minimization (nur notwendige Daten)

• Privacy-by-Design

• Prüfung auf personenbezogene Daten im Training

• Umgang mit sensiblen Daten (Gesundheit, Finanzen, Biometrics)

• Sicherstellung der Löschung/De-Identifizierung

Sicherheit:

• Schutz vor Prompt-Injection

• Schutz vor Training Data Poisoning

• Kontrolle externer KI-APIs

• Verschlüsselung, Zugriffskontrolle, Logging

5. Governance und Verantwortlichkeiten

Die größte Herausforderung: Wer trägt Verantwortung?

Compliance muss organisatorische Strukturen etablieren.

Anforderungen:

• KI-Governance-Framework

• Rollen & Verantwortlichkeiten (z. B. KI-Owner, Data Steward, Model Validator)

• Policies für Nutzung und Entwicklung von KI

• Regelwerk für den Einsatz generativer KI (z. B. ChatGPT, Copilot)

• Schulung der Mitarbeitenden

• Freigabeprozesse für neue KI-Systeme

• Whistleblowing-Kanäle für KI-bezogene Verstöße

Auch wichtig: Ethikrichtlinien für KI („fair, transparent, verantwortungsvoll“).