Einführung
Künstliche Intelligenz (KI) verändert die Art und Weise, wie Daten erfasst, verwendet, verwaltet und geschützt werden, grundlegend. Eine solide Data-Governance ist deshalb so wichtig wie nie zuvor. KI birgt immenses Potenzial, um Innovationen voranzutreiben, Prozesse zu rationalisieren, neue Wertschöpfung aus Daten zu schaffen, die Entscheidungsfindung zu verbessern und Kundenerlebnisse zu personalisieren. Mit diesen Chancen gehen jedoch auch erhebliche neue Risiken einher, wie z. B. Bias, mangelnde Transparenz und Fragestellungen in Bezug auf die Verantwortlichkeit. Um diese Herausforderungen wirkungsvoll zu meistern, sollten Unternehmen auf drei grundlegende Prinzipien aufbauen:
- Vertrauen: Um Vertrauen zu schaffen, muss KI auf verantwortungsvolle, transparente und ethische Weise entwickelt werden.
- Compliance: Unternehmen müssen sich an neue KI- und Datengesetze in verschiedenen Rechtsordnungen halten, z. B. das KI-Gesetz der EU.
- Innovationsförderung: KI-Governance soll durch die Förderung eines verantwortungsvollen Umgangs mit Daten Innovationen vorantreiben und nicht behindern.
KI-Systeme sind zu Trainingszwecken und für die Entscheidungsfindung auf riesige Datenmengen angewiesen. Ohne eine angemessene Governance können sie verzerrte, irreführende oder nicht konforme Ergebnisse liefern. Eine wirksame Data-Governance ist daher unerlässlich, um KI-Verzerrungen zu vermeiden, Transparenz und Erklärbarkeit bei KI-gesteuerten Entscheidungen zu gewährleisten, regulatorische, datenschutzrechtliche und sicherheitsrelevante Risiken zu verringern und das Vertrauen der Stakeholder zu stärken, indem verantwortungsvolle KI-Praktiken aufgezeigt werden.
Vertrauen ist für die Einführung von KI unerlässlich, um Stakeholder wie Kunden, Aufsichtsbehörden, Mitarbeitende oder Geschäftspartner zu überzeugen. Vertrauen zu schaffen ist daher keine Option, sondern ein Schlüsselfaktor für den Geschäftserfolg im Bereich der KI, da Unternehmen sich so auf dem Markt differenzieren können.
Data-Governance wird in diesem Artikel als eine Reihe von Richtlinien, Prozessen, Standards und Rollen verstanden, die sicherstellen, dass die Daten eines Unternehmens während ihres gesamten Lebenszyklus effektiv, sicher und ethisch korrekt verwaltet werden. Data-Governance legt fest, wer Zugang zu welchen Daten hat, wie sie verwendet werden und welche Regeln befolgt werden müssen, um Datenqualität, Datenschutz und Compliance zu gewährleisten. Data-Governance gilt daher als Grundlage für vertrauenswürdige KI und datengesteuerte Innovation. Dabei geht es nicht nur um die Einhaltung von Vorschriften, sondern um gute Geschäftsführung. Dank einer soliden Data-Governance können Unternehmen Risiken vermeiden, bevor sie eintreten, Beziehungen zu Kunden und Aufsichtsbehörden stärken und neue Möglichkeiten für Innovationen erschliessen.
In diesem Artikel ergründen wir, wie die oben genannten Ziele durch die Implementierung einer starken Data-Governance erreicht werden können, um eine verantwortungsvolle Nutzung von KI zu gewährleisten, KI-bezogene Risiken zu mindern und zugleich Innovationen zu fördern und den Geschäftserfolg zu steigern.
Datenverantwortung in einer KI-gesteuerten Welt
Aufgrund des Umfangs und der Geschwindigkeit der KI-gesteuerten Datenverarbeitung erweitert KI den Rahmen der traditionellen Data-Governance und erfordert einen proaktiveren und flexibleren Ansatz. Da KI-Modelle häufig auf Daten aus verschiedenen Quellen zurückgreifen, ist es für Unternehmen unerlässlich, klare Richtlinien für die Datenverantwortung zu haben, die regeln, wer für die Eingabe, Verarbeitung und Ausgabe von Daten verantwortlich ist. Auch ethische Erwägungen müssen berücksichtigt werden, um sicherzustellen, dass Daten auf verantwortungsvolle Weise gesammelt, gekennzeichnet und verwendet werden. Um diese Ziele im gesamten Unternehmen zu erreichen, ist es wichtig, einen globalen Ansatz zu verfolgen und funktionsübergreifende Teams mit wichtigen Akteuren aus Bereichen wie Recht, Datenschutz, Compliance und Ethik sowie der Unternehmensführung zu bilden.
Je nach Unternehmensstruktur und den rechtlichen Anforderungen können verschiedene Data-Governance-Modelle für KI verwendet werden:
- Zentralisiertes Modell: Umfasst in der Regel ein einziges Leitungsgremium, das KI-Richtlinien, Compliance und Risikomanagement überwacht und einheitliche Standards für alle KI-Projekte gewährleistet. Der Nachteil eines solchen Ansatzes ist, dass er wenig bis keinen Raum für Anpassungen lässt und nicht sehr flexibel ist. Dieses Modell könnte eine Option für stark regulierte Branchen wie das Gesundheits- oder Finanzwesen sein.
- Dezentralisiertes Modell: Jeder Geschäftsbereich oder jede Abteilung betreibt ihre eigene KI-Data-Governance, was zwar mehr Flexibilität bietet, aber auch zu mehr Inkonsistenzen und Compliance-Risiken führt. Dieses Modell kann für Unternehmen mit einer fragmentierten Organisationsstruktur und verschiedenen KI-Anwendungen in unterschiedlichen Abteilungen geeignet sein.
- Hybrides Modell: Umfasst ein zentrales KI-Data-Governance-Rahmenwerk mit massgeschneiderten abteilungsspezifischen Richtlinien. Dadurch entsteht ein Gleichgewicht zwischen Kontrolle und Flexibilität, und die Ausrichtung an unternehmensweiten Governance-Richtlinien ist gewährleistet. Wir empfehlen im Allgemeinen dieses Modell, da es einen einheitlichen Ansatz gewährleistet und zugleich Raum für Anpassungen lässt.
Unabhängig vom gewählten Modell wird empfohlen, einen funktionsübergreifenden KI-Governance-Ausschuss zu bilden, der KI-bezogene Data-Governance, ethische KI-Nutzung und Compliance überwacht und sicherstellt, dass die KI sowohl mit den regulatorischen, rechtlichen und Compliance-Anforderungen als auch mit den Geschäftszielen in Einklang steht.
Einhaltung von Vorschriften und ethische KI
Die Einhaltung immer komplexerer KI-, Datenschutz- und Sicherheitsvorschriften stellt für die meisten Unternehmen eine Herausforderung dar. Zusätzlich zu den bestehenden Datenschutzgesetzen, die eingehalten werden müssen, setzen immer mehr Länder spezifische KI-Gesetze um, wie das KI-Gesetz der EU, das NIST AI Risk Management Framework der USA oder das Model AI Governance Framework in Singapur. Die meisten KI-Regulierungen haben, unabhängig von der Rechtsordnung, einige grundlegende Anforderungen gemeinsam:
- Transparenz: KI-Systeme müssen offenlegen, wie sie Entscheidungen treffen, und KI-generierte Ergebnisse müssen klar als solche erkennbar sein.
- Rechenschaftspflicht: Organisationen müssen festlegen, wer für die KI-Ergebnisse verantwortlich ist.
- Fairness und Bias-Bekämpfung: KI-Systeme müssen auf diskriminierendes Verhalten getestet werden.
- Risikobasierte KI-Klassifizierung: KI-Systeme mit höherem Risiko bedürfen einer strengeren Aufsicht.
- Menschliche Aufsicht: KI sollte die menschliche Entscheidungsfindung unterstützen, sie aber in kritischen Bereichen nicht ersetzen.
Um die Entwicklung von KI mit rechtlichen und ethischen Erwartungen in Einklang zu bringen, empfiehlt sich ein proaktiver Ansatz:
- Berücksichtigung von Compliance, Privacy by Design und ethischen Grundsätzen von Beginn der KI-Entwicklung an und Aufbau der Systeme mit Blick auf Datenschutz und Data-Governance, anstatt sie nachträglich darauf umzurüsten.
- Entwicklung von klaren KI-Governance-Richtlinien in Form von unternehmensweiten Richtlinien, die mit den globalen Vorschriften übereinstimmen und Themen wie Datenschutz, KI-Bias und Transparenz behandeln.
- Zusammenarbeit zwischen verschiedenen Akteuren durch Bildung von funktionsübergreifenden KI-Governance-Teams und regelmässige Schulung von KI-Entwicklern und Führungskräften, um sicherzustellen, dass sie die KI-Vorschriften und Risiken verstehen.
Um KI-bezogene Risiken zu überwachen und zu mindern, wird empfohlen, KI-Folgenabschätzungen (ähnlich wie Datenschutzfolgenabschätzungen) für KI-Modelle mit hohem Risiko durchzuführen, regelmässige KI-Audits vorzunehmen, um die Einhaltung rechtlicher und ethischer Standards zu gewährleisten, und Instrumente zu entwickeln, um KI-gesteuerte Entscheidungen für Verbraucher und Regulierungsbehörden erklärbar zu machen.
Einbindung von Privacy by Design in die KI-Entwicklung
Privacy by Design, auch Datenschutz durch Technik genannt, ist von entscheidender Bedeutung, um die Datenschutz-Risiken zu mindern, die durch die starke Datenabhängigkeit von KI entstehen. Um zu lernen, sich weiterzuentwickeln und Entscheidungen zu treffen, benötigt KI eine umfangreiche Datenverarbeitung, die häufig Personendaten oder sogar besonders schützenswerte Personendaten umfasst. Ohne strenge Kontrollen können Personendaten so durch KI Missbrauch, Datenschutzverletzungen oder Gesetzesverstössen ausgesetzt werden.
Durch die Anwendung von Privacy by Design und die Einbindung von Datenschutzvorkehrungen von Beginn an können Unternehmen sicherstellen, dass ihre KI-Systeme die Datenerhebung auf ein Minimum beschränken, Daten sicher verarbeiten, Transparenz über die Datennutzung schaffen und alle geltenden Datenschutzgrundsätze und -anforderungen erfüllen.
Zu den wichtigsten Strategien für datenschutzfreundliche KI gehören:
- Datenminimierung: KI-Systeme sollten nur die Daten erfassen, die sie benötigen, um das Risiko von Datenschutzverletzungen, Gesetzesverstössen und unnötiger Gefahrenaussetzung von Personendaten zu verringern.
- Anonymisierung und Pseudonymisierung: Diese Techniken ermöglichen es der KI, Daten zu Trainings- und Schulungszwecken zu nutzen und gleichzeitig die Privatsphäre der betroffenen Personen zu schützen und die Einhaltung der Datenschutzbestimmungen zu gewährleisten.
- Algorithmische Transparenz: KI-gesteuerte Entscheidungen müssen erklärbar, fair und überprüfbar sein, damit Nutzer und Regulierungsbehörden verstehen, welche Daten die KI verwendet, wie sie Entscheidungen trifft und ob das Modell Verzerrungen oder Risiken enthält.
Technologien zur Verbesserung des Datenschutzes (Privacy Enhancing Technologies, PETs), wie z. B. Differential Privacy (d. h. das Hinzufügen von mathematischem Rauschen zu Datensätzen, um die Identifizierung von Personen zu verhindern) oder Federated Learning (d. h. Training von KI mit dezentralen Daten, die auf den Geräten der Nutzer verbleiben), können dazu beitragen, die Nutzung von Daten durch KI zu ermöglichen und gleichzeitig die Privatsphäre der betroffenen Personen zu schützen.
Wenn all diese Aspekte berücksichtigt werden, können Datenschutz und KI miteinander einhergehen, und es kann sichergestellt werden, dass KI-Innovation nicht auf Kosten des Datenschutzes geht, indem durch starke Datenschutzvorkehrungen Vertrauen, Compliance und langfristige Nachhaltigkeit geschaffen werden.
Verwaltung der Lieferantenbeziehungen in KI-Projekten
Die meisten Unternehmen verlassen sich bei der Entwicklung und Nutzung von KI-Systemen auf Drittanbieter, z. B. für die Bereitstellung von Datensätzen, vortrainierten Modellen oder Algorithmen und Cloud-Infrastruktur. Dies kann eine Herausforderung darstellen, denn durch den Einbezug von Dritten können Unternehmen die Kontrolle über wichtige Aspekte der KI-Governance verlieren, bleiben aber für die von der KI erzeugten Ergebnisse verantwortlich und haftbar. Dies kann folgende Hauptrisiken mit sich bringen:
- Compliance-Risiken: Lieferanten halten sich möglicherweise nicht an Vorschriften wie die Datenschutz-Grundverordnung, das EU-KI-Gesetz oder neue KI-Gesetze in anderen Ländern.
- Risiken für Datensicherheit und Datenschutz: Schwache Datenschutzmassnahmen von Drittanbietern können zu Datenschutzverletzungen, unbefugtem KI-Modelltraining oder unbefugter Offenlegung von Personendaten führen.
- Bias und ethische Risiken: Vorgefertigte KI-Modelle können versteckte Vorurteile enthalten, derer sich die Unternehmen nicht bewusst sind.
- Mangel an Transparenz: KI-Anbieter behandeln ihre Modelle möglicherweise als sogenannte Black-Boxes, so dass es für Unternehmen schwierig ist, zu erklären, wie KI-Entscheidungen getroffen werden.
Um die Risiken in Zusammenhang mit Drittanbietern zu mindern, ist es daher unerlässlich, die Einhaltung der Vorschriften durch die Anbieter zu gewährleisten und zu überwachen, indem ein strukturiertes Risikomanagement mit den folgenden Schlüsselelementen eingeführt wird:
- Risikobewertungen von Lieferanten, um potenzielle Dienstleister im Hinblick auf die Einhaltung von Vorschriften, Datensicherheitspraktiken, Fairness- und Bias-Tests sowie Transparenz und Erklärbarkeit zu bewerten.
- Vertragliche Absicherungen, die den Anbieter zur Einhaltung der geltenden KI- und Datenschutzvorschriften sowie Branchenstandards verpflichten, Verantwortlichkeiten und Haftung bei Verstössen gegen die Vorschriften oder bei Schäden für die Verbraucher festlegen, klar umreissen, wer Eigentümer der KI-generierten Ergebnissen ist und welche Daten der Anbieter aufbewahren darf, und den Anbieter verpflichten, Bias-Audits durchzuführen und die Ergebnisse zu teilen.
- Regelmässige Audits, einschliesslich jährlicher KI-Compliance-Prüfungen, um sicherzustellen, dass die Anbieter neue Gesetze und Richtlinien einhalten, unabhängige Audits der von den Anbietern bereitgestellten KI-Modelle auf Bias, Fairness und Robustheit sowie Reaktionspläne zur Bewältigung von Datensicherheitsvorfällen, um zu überprüfen, wie die Anbieter mit Datenschutzverletzungen, KI-Fehlern oder Compliance-Verstössen umgehen.
Schulung und Sensibilisierung im Bereich der KI- und Data-Governance
KI- und Data-Governance gehen nicht nur die IT- oder Rechtsabteilung etwas an, sondern die ganze Belegschaft eines Unternehmens. Von Führungskräften bis hin zu Mitarbeitenden interagiert jeder mit KI-gesteuerten Systemen, was eine kontinuierliche Schulung unerlässlich macht. Insbesondere müssen Geschäftsleitung und Mitarbeitende in folgenden Themenbereichen geschult werden:
- KI-spezifische Risiken wie Bias, Erklärbarkeit und Verantwortlichkeit;
- Regulatorische Verpflichtungen im Zusammenhang mit KI, wie z. B. Einhaltung des EU-KI-Gesetzes, der DSGVO sowie neuer US-Vorschriften und Vorschriften in anderen Ländern; und
- Operative Auswirkungen, d. h. Auswirkungen von KI-Entscheidungen auf Geschäftsprozesse, Kundenvertrauen und rechtliche Risiken.
Ohne KI- und Data-Governance-Schulungen können Unternehmen erheblichen Risiken ausgesetzt sein, darunter:
- Sanktionen bei Nichteinhaltung der Vorschriften;
- Reputationsschäden durch KI-Bias, unethische Entscheidungsfindung oder Datenmissbrauch; und
- Entgangene Geschäftsmöglichkeiten aufgrund mangelnden Vertrauens der Verbraucher in KI-gesteuerte Dienste.
Wissen ermöglicht proaktive Governance. Unternehmen, die in KI-Schulungen investieren, sind also besser in der Lage, Risiken vorherzusehen, die Einhaltung der Vorschriften zu gewährleisten und verantwortungsvolle KI-Innovationen voranzutreiben.
Um die Wirksamkeit der Schulungen zu gewährleisten, müssen alle Mitarbeitenden ein allgemeines Grundtraining erhalten, das durch spezifische Schulungen für stärker involvierte Funktionen wie Recht, Datenschutz, Compliance, IT usw. sowie hochspezialisierte Schulungen für KI-Entwickler und Datenwissenschaftler ergänzt wird.
Die Schulungsmassnahmen sollten durch KI- und Data-Governance-Leitlinien ergänzt werden, die klare KI-Regeln und Compliance-Verpflichtungen festlegen, praktische Leitlinien für die Entwicklung, den Einsatz und die Überwachung von KI-Modellen enthalten und Fallstudien über frühere KI-Erfolge und -Misserfolge präsentieren, damit die Mitarbeitenden aus realen Beispielen lernen können.
Data-Governance als Wettbewerbsvorteil
In der heutigen digitalen Wirtschaft ist Vertrauen ein Kapital, das es Unternehmen ermöglicht, sich auf dem Markt zu differenzieren. Kunden und Stakeholder sind eher bereit, mit Unternehmen zusammenzuarbeiten, die ethische KI, Datenschutz und verantwortungsvolle Unternehmensführung in den Vordergrund stellen. Eine starke KI- und Data-Governance gewährleistet nicht nur die Einhaltung gesetzlicher Vorschriften, sondern ist auch ein Wettbewerbsvorteil, der es Unternehmen ermöglicht, Kundenbeziehungen zu stärken und Markentreue aufzubauen.
Entgegen der weit verbreiteten Meinung, Governance und Compliance seien der Innovation hinderlich, ermöglicht und fördert ein gut strukturierter Data-Governance-Rahmen tatsächlich Innovation, indem er Unsicherheiten und Risiken reduziert.
Die folgenden Strategien tragen dazu bei, Governance und Unternehmensstrategie in Einklang zu bringen:
- Data-Governance als Priorität auf Führungsebene: Machen Sie KI-Risikomanagement zu einer Geschäftsleitungssache, genau wie Finanz- oder Cybersicherheitsrisiken.
- Governance als strategischer Vorteil: Nutzen Sie Governance, um strategische Geschäftsziele zu erreichen, wie z. B. die Verbesserung der Kundenerfahrung oder die Steigerung der betrieblichen Effizienz, anstatt sie als regulatorisches Hindernis zu betrachten.
- Funktionsübergreifende Zusammenarbeit: An der Governance sollten verschiedene Abteilungen wie Recht, Geschäftsentwicklung, Datenwissenschaftler usw. beteiligt sein, um einen Governance-Rahmen zu schaffen, der das Unternehmenswachstum unterstützt.
- Flexibilität und kontinuierliche Verbesserung: Bleiben Sie den sich stetig wandelnden Vorschriften und Marktanforderungen einen Schritt voraus, indem Sie Ihre Data-Governance regelmässig prüfen, überwachen und aktualisieren.
Schlussbemerkungen und To-dos für Unternehmen
Data Governance ist keine einmalige Compliance-Übung, sondern eine fortwährende Verpflichtung. Mit der Weiterentwicklung der KI-Technologien werden sich die Vorschriften weiter ändern, neue Risiken entstehen und die Erwartungen der Verbraucher an ethische KI werden steigen.
Unternehmen, die KI-, Data-Governance und Datenschutz proaktiv in ihre Geschäftsmodelle integrieren, mindern nicht nur Risiken, sondern bauen langfristiges Vertrauen auf, fördern Innovationen und erlangen so einen Wettbewerbsvorteil.
Zusammenfassend können Unternehmen die folgenden Schritte unternehmen, um ihre KI- und Data-Governance zu verfeinern:
- Durchführung eines KI-Governance-Audits, um aktuelle Praktiken zu bewerten, KI-Modelle zu klassifizieren, Lücken zu identifizieren und Governance-Roadmaps zu erstellen;
- Entwicklung rollenspezifischer KI- und Data-Governance-Schulungen für Mitarbeitende aller Ebenen und für Entwickler;
- Implementierung von KI-Risikobewertungen, um die ethischen, rechtlichen und Sicherheitsrisiken von KI-Systemen vor deren Einsatz zu bewerten;
- Ausrichtung von KI-, Daten-, Datenschutz- und Governance-Richtlinien an neuen Vorschriften, um Compliance-Fallstricke zu vermeiden;
- Integration von Privacy by Design in KI-Modelle, um von Anfang an eine verantwortungsvolle Datennutzung zu gewährleisten;
- Fortlaufende Überwachung der KI-Compliance, um mit Gesetzesänderungen und sich wandelnden Risiken Schritt zu halten;
- Förderung der gemeinsamen Entscheidungsfindung zwischen Datenschutz-, Compliance- und technischen Teams, um sicherzustellen, dass KI- und Data-Governance sowohl rechtlich stichfest als auch technisch umsetzbar sind.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.