Der EU AI Act – Governance zwischen Innovation und Regulierung

Da die Entwicklung von Künstlicher Intelligenz (KI) einen beachtlichen Laufschritt vorlegt und Unternehmen zunehmend KI in ihre Geschäftsprozesse integrieren, erreicht die Notwendigkeit einer effektiven Governance ein kritisches Niveau. Bereits jetzt setzen 78 Prozent der Unternehmen in mindestens einer Geschäftsfunktion KI ein. Trotz dieser schnellen Verbreitung fehlt jedoch vielen Unternehmen eine angemessene Governance-Struktur. Das wirft Fragen nach potenziellen Risiken, Transparenzforderungen und regulatorischem Druck auf.

Durch die Einführung des EU AI Act wurde erstmals ein standardisierter Rechtsrahmen geschaffen. Dabei entsteht in den Governance-Abteilungen ein konkretes Dilemma: Wie lässt sich den regulatorischen Anforderungen gerecht werden, ohne dabei aber Innovationspotenzial zu blockieren? Peter Herr, Senior Director DACH bei Diligent, beleuchtet, wie sich KI-Governance von einer reinen Compliance-Pflicht zu einem strategischen Business-Treiber entwickelt.

Der EU AI Act: Neue Anforderungen für Unternehmen

Der Zeitplan für die Umsetzung des EU AI Act erstreckt sich von seiner Verabschiedung im Juli 2024 bis zur schrittweisen Anwendungspflicht, zwischen Februar 2025 und August 2027. Das Gesetz folgt einem risikobasierten Regulierungsansatz und teilt KI-Systeme in vier Risikostufen ein: minimal, begrenzt, hoch und verboten. Durch den gestaffelten Anwendungsfahrplan treten für Unternehmen schrittweise zentrale Pflichten wie Risikoanalysen, Transparenzforderungen, Sicherstellung der Datenqualität und menschliche Aufsicht in Kraft. Bei Nichteinhaltung drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes. Angesichts dieser erheblichen Konsequenzen ist eine rechtzeitige Umsetzung der Vorgaben des EU AI Act entscheidend.

Governance als Schlüssel zur Realisierung

Effektive KI-Governance ist weit mehr als eine Übung – sie ist der Schlüssel zum Risikomanagement, dient der Sicherstellung von Transparenz und dem Ermöglichen verantwortungsvoller Innovation. Statt KI-Governance als Einschränkung zu betrachten, sollten Unternehmen sie als Enabler verstehen: Sie legt fest, was erlaubt ist, unter welchen Bedingungen und mit welchen Verantwortlichkeiten. Diese Klarheit verschafft Teams die Sicherheit, KI-Anwendungen einzusetzen, die sonst aufgrund von Unsicherheiten verzögert würden und senkt gleichzeitig operative und rechtliche Risiken.

In hochsensiblen Bereichen wie der Gremienarbeit, in der es um strategische Entscheidungen und vertrauliche Informationen geht, ist ein unkontrollierter Einsatz von KI keine Option. Eine praktikable Lösung sind interne KI-Sandboxes: geschützte Umgebungen, in denen KI-Agenten unter klar definierten Bedingungen agieren können. In solchen Sandboxes behalten Unternehmen die volle Datensouveränität, steuern Zugriffsrechte und legen genau fest, wie KI für automatisierte Aufgaben oder Risiko-orientierte Analysen eingesetzt werden darf. Governance stellt sicher, dass diese Szenarien technischen, rechtlichen und ethischen Standards entsprechen.

Ein skalierbares Governance-Framework

Die frühzeitige Einführung von Governance-Prinzipien in allen Unternehmensbereichen verhindert künftige regulatorische Probleme und beschleunigt den sicheren Einsatz von KI. Ein starkes Governance-Framework beginnt mit einer Bestandsaufnahme aller KI-Systeme und deren Einsatz im Unternehmen. Anwendungen sollten nach Risikostufen klassifiziert werden, um das richtige Maß an Aufsicht und Kontrollen zu bestimmen. Ebenso wichtig ist die Regelung klarer Rollen und Verantwortlichkeiten. Viele Unternehmen richten dafür spezielle KI-Governance-Gremien ein, um Verantwortlichkeiten sicherzustellen.

Ein praxisnahes Beispiel für die notwendige Koordination über verschiedene Fachbereiche hinweg ist wiederum die Gremienarbeit: Wird etwa ein KI-basiertes Tool eingeführt, das Aufsichtsratunterlagen analysiert oder automatische Protokolle erstellt, müssen IT, Rechtsabteilung und Corporate Governance von Anfang an zusammenarbeiten. Die IT stellt die technische Machbarkeit sicher, die Rechtsabteilung prüft Haftungs- und Datenschutzfragen und die Governance-Funktion bewertet die Auswirkungen auf Transparenz und Nachvollziehbarkeit von Entscheidungen. Diese interdisziplinäre Zusammenarbeit zeigt, dass das Zusammenspiel von Recht, Technologie und Ethik entscheidend ist, um einen verantwortungsvollen Rahmen zu schaffen, in dem KI echten Nutzen stiftet, ohne regulatorische Risiken zu erzeugen.

Was Unternehmen jetzt tun sollten

Um die unmittelbaren organisatorischen Herausforderungen durch KI zu adressieren, sollten Unternehmen ihr KI-Governance Framework mit einer GAP-Analyse starten. Diese hilft, Verbesserungsbereiche zu identifizieren, bestehende Richtlinien auf Konformität zu überprüfen und Verantwortlichkeiten zu klären. Zudem können Pilotprozesse für Risikoklassifizierungen und Governance-Strukturen die Sicherheit und Compliance erhöhen.

In der langfristigen Planung sollte KI-Governance als dynamisches, anpassungsfähiges Framework verstanden werden. Die ständige Anpassung an technologische Entwicklungen und sich wandelnde rechtliche Rahmenbedingungen ist entscheidend für eine erfolgreiche Governance.

Zur Orientierung können Unternehmen die folgende Checkliste nutzen, um ihre aktuellen Praktiken zu bewerten und Verbesserungsbedarf zu identifizieren:

• Gibt es einen Überblick über alle KI-Systeme im Unternehmen?
• Sind die Risiken der KI-Systeme gemäß EU AI Act klassifiziert?
• Wurden die Verantwortlichkeiten für KI-Risiken definiert?
• Ist die technische Dokumentation der KI-Systeme vollständig und prüfbar?
• Gibt es Schulungen und/oder Awareness-Programme für verantwortliche Fachbereiche?
• Wie werden Ethik, Datenschutz und Fairness berücksichtigt?
• Treten bei der internen Umsetzung Zweifel auf?
• Ist es sinnvoll, einen externen Anbieter in diese große Aufgabe einzubeziehen?

Regulierung muss kein Rückschritt sein – wenn sie richtig gestaltet wird

Die Ausgestaltung von Regulierung entscheidet darüber, ob sie ein Hindernis oder ein Enabler wird. Unternehmen, die sich rechtzeitig auf die Umsetzung des EU AI Act vorbereiten und konsequente interne Richtlinien entwickeln, stärken ihre Zukunftsfähigkeit. Mit einer robusten KI-Governance können Organisationen den Herausforderungen von KI begegnen und wettbewerbsfähig bleiben – was wiederum Vertrauen bei den Nutzenden schafft, Kontolle sichert und Innovationsspielraum freisetzt. Wer früh Verantwortung übernimmt, kann KI sicher und strategisch zu seinem Vorteil nutzen.

Von Peter Herr, Senior Director DACH von Diligent

Über Diligent

Diligent ist der KI-Führer bei SaaS-Lösungen für Governance, Risiko und Compliance (GRC) und hilft mehr als 1 Million Benutzern und 700.000 Vorstandsmitgliedern, Risiken zu klären und die Governance zu verbessern. Die Diligent One Platform gibt Praktikern, der C-Suite und dem Vorstand einen konsolidierten Überblick über ihre gesamte GRC-Praxis, so dass sie Risiken effektiver verwalten, größere Widerstandsfähigkeit aufbauen und schneller bessere Entscheidungen treffen können. Erfahren Sie mehr unter diligent.com.

Über Peter Herr

Peter Herr ist Senior Director DACH bei Diligent und verantwortet die Geschäftsentwicklung und den Vertrieb in Deutschland, Österreich und der Schweiz. In seiner Rolle bei Diligent treibt er die digitale Transformation und Cybersicherheit in der Region voran, um Diligent als führenden Anbieter für GRC zu etablieren und die Widerstandsfähigkeit der Unternehmen zu stärken.

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon