Die rasante Verbreitung künstlicher Intelligenz (KI) in Unternehmen ist unbestreitbar: Eine aktuelle Studie zeigt, dass bereits 72 % der befragten Unternehmen KI in mindestens einer Unternehmensfunktion einsetzen. Diese Entwicklung stellt Unternehmen jedoch vor vielfältige Herausforderungen: Es gilt, nutzbringende Anwendungsbereiche zu identifizieren, finanzielle Ressourcen zu allokieren, technisches Know-how aufzubauen, den gesetzeskonformen Einsatz KI-gestützter Systeme sicherzustellen, Risiken zu minimieren und die Sicherheit dieser Systeme zu gewährleisten. In diesem komplexen Umfeld bieten Normen und Standards eine wertvolle Orientierungshilfe.
Was bedeutet KI-Governance?
KI-Governance wird als auf KI-Systeme bezogene IT-Governance verstanden. Sie basiert auf dem Verständnis der IT-Governance, wie sie in der ISO/IEC 38500:2024 definiert ist. Diese Norm beschreibt elf grundlegende Prinzipien, die als Handlungsfelder für die IT-Governance dienen können:
- Zweck
- Wertschöpfung
- Strategie
- Aufsicht
- Rechenschaftspflicht
- Einbindung von Anspruchsgruppen (Stakeholdern)
- Führung
- Daten und Entscheidungen
- Risikobeherrschung
- Gesellschaftliche Verantwortung
- Langfristige Existenzfähigkeit und Leistung
Eine wirksame KI-Governance zielt darauf ab, sicherzustellen, dass der Einsatz von KI in einer Organisation mit den Strategien, Zielen und Werten des Unternehmens abgestimmt ist (Alignment), dass rechtliche Anforderungen erfüllt werden (Compliance) und dass die ethischen KI-Grundsätze der Organisation eingehalten werden.
Die Rolle der Normung und Standardisierung
Zahlreiche nationale und internationale Organisationen engagieren sich aktiv in der Normung und Standardisierung im Bereich der KI, um einen verlässlichen Rahmen zu schaffen. Zu den wichtigsten Akteuren gehören:
- DIN (Deutsches Institut für Normung e.V.)
- ISO (International Organization for Standardization)
- CEN (Europäisches Komitee für Normung)
- IEC (International Electrotechnical Commission)
- IEEE (Institute of Electrical and Electronics Engineers)
- NIST (National Institute of Standards and Technology)
- IDW (Institut der Wirtschaftsprüfer in Deutschland e.V.)
Diese Organisationen treiben aktiv die Entwicklung von KI-Standards voran. So führt das DIN beispielsweise ein Projektprogramm zur Umsetzung der Empfehlungen aus der „Deutschen Normungsroadmap für Künstliche Intelligenz“ durch. Auch das NIST konzentriert seine Aktivitäten auf ein globales Engagement zur Förderung und Entwicklung von KI-Standards und hat hierfür 2024 den „Plan for Global Engagement on AI Standards“ veröffentlicht. Es ist für Unternehmen von großem Vorteil, diese Initiativen zu verfolgen, um von dem entstehenden Know-how zu profitieren und sich auf künftige Qualitäts- und Konformitätsprüfungen vorzubereiten.
Ein Überblick über relevante KI-Normen und -Standards
Eine Studie der Hochschule Stralsund hat insgesamt 16 für die KI-Governance relevante Normen und Standards identifiziert, von denen elf aus den Jahren 2023 und 2024 stammen, was die Aktualität des Themas unterstreicht. Die inhaltlichen Schwerpunkte dieser Normen und Standards liegen auf folgenden Governance-Bereichen:
- Risikobeherrschung
- Umgang mit Daten (insbesondere Datenqualität)
- KI-gestützte Entscheidungen
- Gesellschaftliche Verantwortung (Auswirkungen von KI-Systemen, ethische und gesellschaftliche Aspekte der KI-Nutzung)
Als Beispiel lässt sich die E DIN EN ISO/IEC 23894 anführen. Diese Norm, eine europäische bzw. deutsche Übernahme der internationalen ISO/IEC 23894, bietet Leitlinien für das Risikomanagement von KI-Systemen. Sie richtet sich an Organisationen, die KI-Produkte, -Systeme und -Dienstleistungen entwickeln, herstellen, einsetzen oder nutzen. Die Norm basiert auf der Risikomanagement-Norm ISO 31000 und legt einen Fokus auf die umfassende Einbindung von Stakeholdern aufgrund der weitreichenden potenziellen Auswirkungen von KI. Des Weiteren behandelt sie die Compliance mit Gesetzen (insbesondere Datenschutz), Verträgen, Normen und Leitlinien sowie soziale und ethische Aspekte des KI-Einsatzes. Die E DIN EN ISO/IEC 23894 deckt fünf der elf IT-Governance-Grundsätze der ISO/IEC 38500 ab: Aufsicht, Einbindung von Anspruchsgruppen, Risikobeherrschung, gesellschaftliche Verantwortung sowie langfristige Existenzfähigkeit und Leistung, was ihre hohe Relevanz für die KI-Governance unterstreicht.
Fazit und Ausblick
Die bereits heute bestehende Vielfalt und Bedeutung von Normen und Standards für die Governance von KI-Systemen ist enorm. Die fortschreitende Normierung und Standardisierung trägt maßgeblich dazu bei, einen effektiven, verlässlichen, gesetzeskonformen und transparenten Einsatz von KI-Systemen zu gewährleisten. Unternehmen, die sich dieser Herausforderung stellen und KI effektiv, sicher und gesetzeskonform in ihre bestehende IT-Infrastruktur integrieren müssen, finden in diesen Normen und Standards eine wertvolle Orientierung. Es bleibt entscheidend, diese Entwicklungen aktiv zu verfolgen, um die Chancen der KI zu nutzen und gleichzeitig die damit verbundenen Risiken proaktiv zu managen.
