Prof. Dr. Bartosz Makowicz

(Europa-Universität Viadrina)

Standards für einen sicheren Umgang mit künstlicher Intelligenz:

AIMS – Das Managementsystem 


Künstliche Intelligenz (KI) stellt jetzt schon die Realität dar und wird in vielfältigen Bereichen in allen erdenklichen Organisationsarten eingesetzt. Dabei trifft diese auf die dort bestehenden Strukturen und Prozesse, mit denen sie kohärent funktionieren sollte. Andererseits müssen aber nicht nur die mit dem KI-Einsatz eingehergehenden Risiken evaluiert, sondern auch die Folgen eines solchen Einsatzes für die Menschen und die Gesellschaft beobachtet und kontrolliert werden. Der Anfang 2024 zu erwartende neue Standard ISO 42001 bietet ein weltweit anerkanntes Know-how, um die KI in Organisationen sicher, effektiv und effizient einzusetzen. Ein erster Überblick.

KI als Herausforderung und Chance

KI wird bereits jetzt in vielfältigen Organisationen zu diversen Zwecken eingesetzt. Dieser Trend wird bekanntlich nicht nur aufrechterhalten, sondern rasant steigen. Als wesentliche Herausforderungen, die mit dem Standard einfacher bewältigt werden sollen, werden in der Einleitung u.a. adressiert: der Einsatz von KI für automatisierte Entscheidungsprozesse, im Bereich der Datenanalyse und maschinelles Lernen sowie die Gefahren, die mit dem möglichen Wandel des Verhaltens von KI gesteuerten Systemen im Laufe des autonomen Lernprozesses einhergehen. Als wesentliche Risiken wird dabei die Tatsache erwähnt, dass KI ständig dazu lernen kann und die von ihr getroffenen Entscheidungen nicht immer transparent und gerechtfertigt erscheinen. Ausweislich des Anwendungsbereichs des ISO 42001 soll der Standard den Organisationen dabei verhelfen, KI verantwortungsvoll, gemäß ihren Zielsetzungen und im Einklang mit dem regulatorischen Rahmen sowie Verpflichtungen gegenüber weiteren Interessenträgern zu nutzen.

Universalität und Anschlussfähigkeit/Integrativer Ansatz

ISO 42001 ist als ein Managementsystemstandard (MSS) konzipiert, womit mehrere Vorteile verbunden sind: Zum einen ist der Standard künftig für alle Organisationsarten, die KI einsetzen, anwendbar. Dazu zählen nicht nur privatwirtschaftlich organisierte Unternehmen (SE, AG, GmbH), sondern auch Vereine, Verbände oder Einheiten der öffentlichen Verwaltung. Zweitens folgt der Standard der sog. High Level Structure (HLS). Dabei handelt es sich um eine einheitliche Struktur, der alle künftigen ISO-MSS folgen müssen. Dieser Vorteil ist von erheblicher Bedeutung, denn damit ist die Integration der bestehenden Managementsysteme deutlich vereinfacht. Wurde in einem Unternehmen etwa bereits das Qualitätsmanagementsystem nach ISO 9001 umgesetzt, so besteht bereits ein perfektes Umfeld für die weitere integrierte Umsetzung von ISO 42001. Schließlich wird auch in der Einleitung zum Standard betont, dass ein AIMS in die gesamte Organisation, d.h. in ihre Prozesse und Struktur, eingebettet werden sollte.

Konzept und Umsetzung

Dem ISO 42001 liegt nicht nur der bekannte PDCA-Zyklus ("Plan, Do, Check & Act") zugrunde, nach dem ein Managementsystem mit der Planung startet, die Umsetzung fortgesetzt, anschließend evaluiert und bei Bedarf verbessert wird. Er folgt auch stark dem risikobasierten Ansatz. Dies verwundert nicht, wenn man bedenkt, dass auch dieser Standard sich in die bestehende ISO-Normungslandschaft der MSS einfügen sollte. Bevor die Funktionsweise des AIMS nach ISO 42001 kurz erörtert wird, sei noch angemerkt, dass die Anforderungen des Standards stets an die Größe, Komplexität und Natur der jeweiligen Organisation angepasst werden müssen. Zwar kommt dies weniger und seltener ausdrücklich vor als in anderen ISO-Standards, doch wird es an mehreren Stellen und allerspätestens dann direkt klar, wenn in Ziff. 10 zu lesen ist, dass die Leitung u.a. sicherstellen soll, dass der AIMS verhältnismäßig umgesetzt wurde. Die nachfolgende Darstellung entspricht im Groben auch der Struktur des Standards, wurde aber verständnishalber an den erwähnten PDCA-Zyklus angepasst.

1. Planung

Die planerische Phase soll mit der Festlegung der KI-Ziele (diese sind allerdings erst in Ziff. 6.2 geregelt) und mit dem Erfassen des Kontextes der Organisation (Ziff. 4) beginnen. In dem Zusammenhang werden drei wesentliche Aspekte hervorgehoben: Zum einen soll die betreffende Organisation zunächst ihre eigene Rolle in Bezug auf die KI definieren, was für die Ausgestaltung des AIMS prägend sein kann. Bei den Rollen, die auch kumulativ bestehen können, unterscheidet der Standard zwischen Anbietern (inkl. KI-Plattformen, KI-Dienstleistungen und Produkte), Herstellern (inkl. KI-Entwickler), Käufern (inkl. KI-Anwender), Partnern (inkl. KI-Dataprovider), KI-Subjekten und Behörden (inkl. Entscheidungsträger oder Aufsichtsbehörden). Zweitens sollen die Interessen der Interessenträger identifiziert und entsprechend berücksichtigt werden und drittens soll der Anwendungsbereich des AIMS festgelegt werden, wodurch u.a. klar Kompetenzzuweisungen definiert werden.

Ferner gehört es zur Planungsphase, die Anforderungen an die Organisationsleitung zu formulieren sowie KI-Politik zu erstellen (Ziff. 5.1 und 5.2). Keine der beiden Aspekte unterscheidet sich von den allgemeinen Anforderungen, die in der Hinsicht auch von anderen MSS bekannt sind. So soll die Leitung u.a. entsprechende Ressourcen sicherstellen und das System fortlaufend unterstützen, während die KI-Politik, in geeigneter Sprache und den allgemeinen Kriterien entsprechend, die wesentlichen Aspekte des AIMS umfassen sollte. Dieser Unterabschnitt schließt mit der Anforderung, die Rollen und Zuständigkeiten für das AIMS klar zuzuweisen und entsprechend zu kommunizieren, (Ziff. 5.3) ab. Hierzu gehört auch die Person, die die korrekte Umsetzung des AIMS sicherstellen und hinsichtlich seiner Effektivität der Leitung berichten sollte. Ob sich auf der Basis eine neue Organisationsfunktion in Person des KI-Officers/KI-Managers (ähnlich dem Quality Manager oder Compliance Manager) als Berufsbild durchsetzen wird, wird sich mit der Zeit ergeben.

Da, wie viele andere MSS, auch der AIMS den risikobasierten Ansatz verfolgt, besteht auch das Herzstück des Systems aus dem AI Risk Assessment (kurz AIRA). Die Bezeichnung ist auch deswegen gerechtfertigt, weil das Ergebnis des AIRA auch die nachfolgenden Maßnahmen im Rahmen des AIMS mitbestimmen – so müssen die festgestellten Risiken adäquat adressiert werden. Der Assessment-Prozess unterscheidet sich dabei nicht sonderlich von anderen ähnlichen Prozessen. So stellt die Norm fest (Ziff. 6.1.2), dass AIRA konform mit der KI-Politik und den KI-Zielen sein sollte, dass der Prozess konsistente, valide und vergleichbare Ergebnisse liefert und die Risiken entsprechend evaluiert werden, um diese entsprechend zu priorisieren und anschließend zu behandeln (Ziff. 6.1.3). Viel Aufmerksamkeit wird dabei dem Umgang mit den KI-Risiken gewidmet. Hier liegt der Schwerpunkt im Bereich der Kontrolle, zu der auch im Annex A zu dem Standard umfassende Handlungsanweisungen empfohlen werden.

Dem Nachhaltigkeitsaspekt soll schließlich eine besondere Form des AIRA in Form des sog. AI-System-Impact-Assessment Rechnung getragen werden, der im Sinne des Standards idealerweise in das allgemeine AIRA integriert werden soll. So fordert der Standard in Ziff. 6.1.4, dass Organisationen potenzielle Folgen der KI-Anwendung für Menschen und Gesellschaften bewerten. Der Anwendungsbereich wird dabei weit gefasst und umfasst Auswirkungen auf rechtliche Rahmenbedingungen, individuelle Chancen, physisches und psychisches Wohlbefinden und Menschenrechte.

2. Umsetzung

Für die Umsetzung des AIMS sieht ISO 42001 einige Anforderungen vor, die jedoch im Vergleich zu der Planungsphase recht überschaubar beschrieben werden (Ziff. 7 und 8). Anzumerken ist allerdings, dass die Phasen eng miteinander verzahnt sind und eine klare Abgrenzung nicht immer möglich ist.

Jedenfalls fordert der Standard, dass zunächst die Ressourcen entsprechend erfasst und sichergestellt werden. Ferner soll dafür gesorgt werden, dass Personen im Umgang mit KI entsprechende Kompetenzen aufweisen, sich mit der KI-Politik vertraut machen und weitere Aspekte beachten. In der Umsetzungsphase soll ferner ein Kommunikationskonzept entwickelt und das gesamte AIMS entsprechend dokumentiert werden. Betreffend den Betrieb von AIMS fordert der Standard die Erstellung, Umsetzung und Kontrolle von entsprechenden Prozessen, die wiederholte Durchführung von AIRA und die Sicherstellung des entsprechenden Umgangs mit den KI-Risiken und Folgen (wieder den Nachhaltigkeitsaspekt berücksichtigend).

3. Prüfung und Verbesserung

Die fortlaufende Systemprüfung und Verbesserung ist bereits in der Struktur der ISO 42001 verankert und durch die HLS bedingt. Dies leuchtet beim AIMS auch ein, denn Vorgänge auf diesem Gebiet entwickeln sich fortlaufend, so dass auch das dazu gehörige System kontinuierlich evaluiert und verbessert werden muss. Dies soll nicht nur zur Effektivität des Systems, sondern auch zu seiner Effizienz beitragen. So soll im Sinne des auch in der Struktur erkennbaren PDCA-Zyklus jeweils geprüft werden, ob auf den jeweiligen Etappen dieselben Ziele mit geringfügigeren Mitteln als den vorhandenen erreicht werden können.


In kaum einem anderen Bereich wie diesem bleibt die Zukunft so spannend.

Als Prüfungsmethoden sieht ISO 42001 diverse Maßnahmen und mehrere Prüfungsebenen vor (Ziff. 9). Zum einen sind Monitoring, Messungen, Analysen und Evaluation vorgeschrieben, welche – was nicht ausdrücklich im Standard steht – wohl von der KI-Funktion durchzuführen sind. Ferner ist ein interner Audit vorgesehen, um nicht nur die Effektivität des AIMS, sondern auch seine Konformität mit dem Standard an sich zu prüfen. Schließlich ist auch ein Management-Review vorgesehen, womit seine fortlaufende Stabilität, Verhältnismäßigkeit und Effektivität sichergestellt werden sollten. Sollte eine der Evaluationsmaßnahmen Handlungsbedarf begründen, so soll naturgemäß das AIMS umgehend optimiert werden (Ziff. 10).

Ausblick

Der Vorschlag für ISO 42001 wurde Ende August 2020 eingereicht; Anfang Juni 2023, also knappe drei Jahre später, lag der finale Entwurf vor, der am 06. Oktober 2023 mit einer achtwöchigen Frist zur finalen Abstimmung vorgelegt wurde. Es ist damit zu rechnen, dass der neue AIMS-Standard Anfang 2024 veröffentlicht wird. Wie bei sämtlichen ISO-Standards werden die Anwendenden selbst entscheiden, allen voran aber die Wirtschaft, ob sich der Standard durchsetzt. In Anbetracht der kaum bestehenden Konkurrenz sowie der Durchsetzungskraft und globaler Anerkennung für die ISO-Normen (vgl. ISO 9001) ist damit zu rechnen, dass ISO 42001 zum vorherrschenden Standard im Bereich des KI-Managements wird. Seine Stärken liegen letztendlich nicht nur in seiner Stellung, sondern auch in seinem optimalen Integrationspotenzial, der Möglichkeit der Zertifizierung und auch der noch zu entscheidenden Wirkung bei rechtlichen Streitigkeiten, darunter der potenziellen Haftung für KI-Verfehlungen. In kaum einem anderen Bereich wie diesem bleibt die Zukunft so spannend.


Prof. Dr. Bartosz Makowicz

lehrt an der Juristischen Fakultät der Europa-Universität Viadrina Frankfurt (Oder). Er ist Initiator und Direktor des dortigen Viadrina Compliance Center und Leiter des Masterstudiengangs „Compliance & Integrity Management“.

Header © Just_Super – IStock ID:1482911996

Wer haftet für Fehler der KI?
nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)