KI-VO: Praxishinweise zur Grundrechte-Folgenabschätzung

5. März 2025

KI-VO: Praxishinweise zur Grundrechte-Folgenabschätzung für KI-SystemeDas Future of Privacy Forum hat untersucht, wie Unternehmen die Grundrechte-Folgenabschätzungen (FRIA) durchführen, um Risiken beim Einsatz von künstlicher Intelligenz zu identifizieren und zu managen. Er beleuchtet gesetzliche Vorgaben der KI-Verordnung, Herausforderungen und Best Practices zur Minimierung von Risiken bei Hochrisiko-KI-Systemen.

FPF-Bericht: Praktiken der Grundrechte-Folgenabschätzung

Das Future of Privacy Forum (FPF) ist eine gemeinnützige Organisation, die Datenschutzforschung fördert und sich für verantwortungsvolle Datenpraktiken bei neuen Technologien einsetzt. Der im Dezember 2024 erschienene Bericht des FPF untersucht, wie Unternehmen weltweit KI-Folgenabschätzungen durchführen, um Risiken im Zusammenhang mit KI-Modellen und -Systemen zu identifizieren und zu managen. Hierfür wurden 60 Unternehmen interviewt. Der FPF-Bericht zeigt zentrale Schritte, Herausforderungen und Empfehlungen für die Durchführung von KI-Folgenabschätzungen.

Auch die EU KI-Verordnung (KI-VO) verpflichtet Anbieter und Betreiber bestimmter Hochrisiko-KI-Systeme zur Durchführung einer Grundrechte-Folgenabschätzung. Doch auch aus internen, wettbewerbsrechtlichen und Verbraucherschutzgründen ist die Durchführung einer umfangreichen Risikobewertung sinnvoll.

Was ist eine Grundrechte-Folgenabschätzung?

Eine Grundrechte-Folgenabschätzung (engl. fundamental rights impact assessment; kurz: FRIA) ist eine Bewertung, mit der Organisationen potenzielle Risiken von KI-Modellen und -Systemen identifizieren und minimieren. Sie soll sicherstellen, dass KI-Systeme keine unverhältnismäßigen negativen Auswirkungen auf Grundrechte haben.

FRIA: Pflicht nach der KI-VO

Bevor ein Hochrisiko-KI-System in Betrieb genommen wird, müssen bestimmte Betreiber nach Art. 27 KI-VO eine Grundrechte-Folgenabschätzung durchführen. Das gilt für öffentliche Einrichtungen, private Unternehmen, die öffentliche Dienste erbringen, und Betreiber spezifischer Hochrisiko-KI-Systeme.

Die Bewertung nach der KI-VO umfasst die Einsatzbeschreibung, sowie Dauer und Häufigkeit des Einsatzes. Daneben welche Personengruppen von der Nutzung betroffen sein könnten und welche möglichen Schäden oder Risiken für diese bestehen. Zuletzt sind Maßnahmen zur Überwachung des Systems und Notfallmaßnahmen zur Risikominimierung, einschließlich interner Kontrollmechanismen und Beschwerdeverfahren verpflichtend.

Wer muss die FRIA durchführen?

Die Verpflichtung zur Durchführung einer Folgenabschätzung hängt vom Risikopotenzial des KI-Systems ab. Unter die Hoch-Risiko-KI-Systeme nach dem Anhang III der KI-VO zählen unter anderem, wenn diese zur Bewertung der Kreditwürdigkeit oder für Risiko- und Preisbewertungen im Versicherungsbereich eingesetzt werden oder auch zur Entscheidungsfindung im Personalmanagement.

Unabhängig von einer gesetzlichen Pflicht sollten Unternehmen proaktiv KI-Risiken bewerten. Soweit personenbezogene Daten verarbeitet werden sind die datenschutzrechtlichen Pflichten der DSGVO einzuhalten. Des Weiteren sind der Schutz von Betriebsgeheimnissen und die Cyber- sowie Informationssicherheit zu berücksichtigen.

4 Schritte der KI-Grundrechte-Folgenabschätzung

Die Recherche von FPF hat ergeben, dass Unternehmen bei der Durchführung von KI-Folgenabschätzungen typischerweise vier Phasen durchlaufen.

Initiierung

Zunächst erfolgt die Initiierung, bei der Unternehmen die Notwendigkeit einer Folgenabschätzung erkennen. Dies kann durch gesetzliche Vorgaben wie der KI-VO, interne Governance-Richtlinien oder ethische Überlegungen ausgelöst werden. Die FPF-Studie zeigt, dass immer mehr Unternehmen diese Bewertungen mehrfach im Lebenszyklus einer KI durchführen.

Informationssammlung

Im zweiten Schritt geht es um das Sammeln von Modell- und Systeminformationen. Organisationen befragen interne Teams und externe Anbieter, um zu verstehen, wie ein KI-Modell entwickelt wurde, welche Daten genutzt wurden und wie das System funktioniert.

Risiko-Nutzen-Analyse

Die Bewertung von Risiken und Vorteilen bildet den dritten Schritt. Hierbei analysieren Unternehmen die potenziellen Auswirkungen eines KI-Systems, um eine fundierte Entscheidung über dessen Einsatz zu treffen. Ziel ist es diese Analysen in bestehende Risikomanagementprozesse zu integrieren.

Risikomanagement

Abschließend folgt die Identifizierung und das Testen von Risikomanagementstrategien. Die Unternehmen wählen geeignete Maßnahmen zur Risikominderung und überprüfen deren Wirksamkeit im laufenden Betrieb. Dabei kommen sowohl qualitative als auch quantitative Bewertungsmethoden zum Einsatz.

Herausforderungen bei der Folgenabschätzung

Die FPF hebt hervor, dass viele Unternehmen Schwierigkeiten haben. Begonnen bei der Beschaffung relevanter Informationen von Drittanbietern – sei es aufgrund technischer Hürden, kommerzieller Interessen oder fehlender Transparenz. Zudem fällt es Unternehmen schwer, KI-Risiken in unterschiedlichen Kontexten vollständig zu antizipieren, so die FPF weiter. Besonders ‚General Purpose‘-KI-Modelle stellen eine Herausforderung dar, da ihre vielfältigen Einsatzmöglichkeiten eine genaue Risikobewertung erschweren. Ein einheitlicher Standard für die Risikobewertung fehle bislang.

Der FPF-Bericht zeigt auch, dass sich die Messung der Wirksamkeit von Risikomanagementstrategien schwierig gestalte. Die Subjektivität, fehlende standardisierte Metriken und die unvorhersehbaren Einsatzbedingungen machen es schwer zu bestimmen, wann ein Risiko auf ein akzeptables Maß reduziert wurde. Zusätzlich verändern sich Risikoanforderungen laufend durch neue Geschäftsmodelle, interne Anpassungen und regulatorische Entwicklungen. Auch die Abstimmung unterschiedlicher Risikomanagementprozesse innerhalb eines Unternehmens bleibe eine zentrale Herausforderung.

Empfehlungen für Unternehmen

Um diese Herausforderungen der Unternehmen zu bewältigen, empfiehlt FPF mehrere Maßnahmen. Die Informationsbeschaffung von Drittanbietern könne z.B. durch gezieltere Fragen, direkte Kommunikation mit Fachleuten verbessert werden. Zudem könnten alternative KI-Modelle oder Systeme in Betracht gezogen werden. Insbesondere sind interne Schulungen zu KI-Risiken und KI-Governance empfehlenswert, da die Risiken stark von verwendeter Technologie, dem Einsatzgebiet und der Entwicklungsphase abhängen. Benchmarking und Langzeitbeobachtungen können dagegen hilfreich sein, um die Wirksamkeit des Risikomanagement zu verbessern. Darüber hinaus kann die Etablierung von funktionsübergreifenden Teams zur Risikobewertung oder der Einsatz eines KI-Beauftragten sinnvoll sein.

Fazit

Der Alltag in Unternehmen ist geprägt von der kontinuierlichen Weiterentwicklung der KI-Technologie, der sich verändernden Rechtslandschaft rund um KI und Datenschutz sowie der operativen Prioritäten von Unternehmen. Aus diesem Grund ist es für Unternehmen unerlässlich, flexibel auf das Umfeld um sie herum zu reagieren.

Die vielseitigen Richtlinien, Chancen und Risiken können gerade kleine und mittelständische Unternehmen überfordern oder verunsichern. Wir unterstützen Sie umfassend mit maßgeschneiderten Lösungen passend auf Ihre Bedürfnisse als KI-Beauftragte.

Kategorien: KI-News · KI-Verordnung · Künstliche Intelligenz · Privacy by Design