Governance-Rahmen für eine wertorientierte KI

Nützliche Links:

• Datenschutz-Grundverordnung (DSGVO) der Europäischen Union
• Länderliste zur Prüfung des Vorhandenseins eines Angemessenheitsbeschluss für ein Drittland (relevant bei Datenübertragung an ein Drittland)
• Bundesdatenschutzgesetz

Konkrete Maßnahmen:

• Einbezug Datenschutzbeauftragter (ggf. vorher Bestellung externer Datenschutzbeauftragter)
• Einholung der Zustimmung
• Anonymisierung
• Pseudonymisierung mit Schutz der Zuordnung (getrennt aufbewahren)
• ggf. Abbruch des Vorhabens
• Vermeidung Erfassung personenbezogener Daten
• Dokumentation des Vorgehens
• Positionierung Kamera
• Hinweisschilder für Mitarbeiter
• Datenablage innerh. /außerh. der EU (DSGVO, Angemessenheitsbeschluss)
• Empfehlung der Etablierung eines Vier-Augen-Prinzips
• Einhaltung der DSGVO entlang des kompletten Prozesses

Nützliche Links:

• Cross-Industry Standard Process for Data Mining für die Entwicklung von KI
• IT Infrastructure Library (ITIL) als Best-Practice-Leitfaden und De-facto-Standard mit umfassenden Regeln für das Management von IT-Services beim Betrieb von KI

Konkrete Maßnahmen:

• Verwendung von Vorgehensmodellen, inkl. Datenexploration und Evaluation
• Werte-Training für KI-Entwickler und Projektbeteiligte
• Betrieb professionalisieren (ITIL)
• Einbezug verschiedener Stakeholder in frühen Phasen der Entwicklung
• Schulung und Weiterbildung der internen Mitarbeiter
• Abstimmung zwischen Fachbereich, IT und KI-Entwickler
• Externe Unterstützung insbes. bei Test- und Abnahme anfragen
• Definition von Abnahme- und Testkriterien
• ggf. Abbruch des Vorhabens, Abschalten v. KI-Systemen (Regeln, Zuständigkeiten, Notfallplan)
• Dokumentation von Projekterfahrungen
• Governance-Feld u. Partner-Management
• Prüfen der Datenbasis
• Bei externer Entwicklung: Zertifizierung der Entwickler
• Regeln zum Umgang mit vertraulichen bzw. personenbezogenen Daten
• Zertifizierung der KI-Lösung
• Datengrundlage prüfen
• Typen von Service Level Agreements
• Testen der Gesamtlösung und Evaluation mit Test-Daten: Testkriterien
• Dokumentation
• Verfügbarkeit sicherstellen (-> IT-Sicherheit)
• Frühzeitiger Einbezug von Nutzern in den Entwicklungsprozess
• Verweis auf etablierte Modelle wie ASUM-DM, CRISP-DM, ITIL
• Konzeption eines Abnahmeprozesses

Nützliche Links:

• Es kann auf die ISO-Richtlinie „Information technology – Artificial intelligence – Overview of trustworthiness in artificial intelligence“ (ISO/IEC TR 24028:2020) zurückgegriffen werden.

Konkrete Maßnahmen:

• Test hinsichtlich Manipulierbarkeit
• Sicherstellung der Integrität
• Notfallpläne definieren
• Verfügbarkeit gewährleisten (Systeme, Konnektivität, Personal)
• Zugriffsschutz und Übertragungsschutz berücksichtigen (Security by Design)
• Anknüpfung an Risikomanagement
• KI-spezifische Kriterien: Verfügbarkeit, Robustheit, Safety etc.
• SLAs zur Verfügbarkeit der Systeme, der Wiederherstellungszeit und des Personals (je nach Kritikalität)
• Es kann auf ISO-Richtlinie zurückgegriffen werden (siehe „Nützliche Links“)
• Checkliste für Trustworthy AI

Typische Stakeholder: Betroffene, Kunden, interne Mitarbeiter, Entwickler, Personalrat, Datenschutzbeauftragter, Betreiber von KI-Systemen, Hacker, Öffentlichkeit etc.

Konkrete Maßnahmen:

• Phasenmodell (AI Life Cycle) und wen wo einbeziehen
• Identifikation möglicher Stakeholder an KI-Lösungen und derer Interessen
• Einbezug in die Entwicklung

Konkrete Maßnahmen:

• Etablierung von Prozess zum Umgang mit Meldungen
• Prüfung der internen Compliance-Regelungen, ob für KI ausreichend /anwendbar
• Aufbau von Kontrollstrukturen
• Auswahl und Bestellung Ombudsperson
• Anbindung bzw. Einbezug der bestehenden Compliance
• Einführung von Compliance Strukturen
• Schaffung Meldewesen
• Prüfung auf Gesetze hinsichtlich Relevanz für das KI-Vorhaben
• Etablierung eines Compliance Management Systems
• Regelmäßige Prüfung veränderter gesetzlicher Vorgaben
• Verantwortung aller Beteiligten
• Verweis auf externe Audits, z.B. TÜV oder Trust AI Label

Konkrete Maßnahmen:

• Austausch mit KI-Experten
• Testen von neuen KI-Verfahren und Vergleich mit dokumentierten Evaluationsergebnissen
• Frühe Einschätzung hinsichtlich Werten
• Marktbeobachtung
• Entsprechende Stellen /Rollen schaffen
• Integration von KI

Konkrete Maßnahmen:

• Kommunikation von Vorgaben und Regelungen (Kommunikationsplan für fortwährenden Informationsfluss)
• Kommunikation mit Partnern, Kunden, Presse, etc.
• Notfallplan zur Abschaltung
• Budget- und Kostenplanung von KI-Anwendungen
• Monitoring und Feedback

Konkrete Maßnahmen:

• Aufnahme in den Strategieprozess
• Berücksichtigung von wertekonformen KI-Einsatz im Leitbild
• Entsprechende Kommunikation (intern /extern)
• Klare Positionierung des Unternehmens

Konkrete Maßnahmen:

• Etablierung eines strukturierten Risikomanagements mit Rollen und Prozessen
• Risikobewertung in zeitlichen Abständen wiederholen
• Abstimmung mit dem allgemeinen (IT-) Risikomanagement für den Betrieb
• Identifikation und Bewertung von Risiken (Template)
• Auswahl und Treffen von Maßnahmen (Template)
• ggf. Aufbau eines unternehmensweiten Chancen- und IT-Risikomanagements für den Betrieb
• Risikoabschätzung (Bereitstellung von Vorlagen)
• Kontinuierliche Überwachung der Risiken
• Schadensminimierung (z.B. im Bereich von Sicherheitsvorfällen)

Nützliche Links:

• siehe auch Entwicklung, Abnahme und Betrieb von KI-Lösungen (IT-Perspektive)

Konkrete Maßnahmen:

• Checklisten
• SLAs abschließen (Typen von SLAs)
• Auswahl strategischer Partner für Entwicklung, Datenerhebung und „Klick-Work“
• Dokumentation der Erfahrung pro Lieferant
• Verweis auf Audits, Trust AI Label
• Kritische Reflexion beim Einzelnen
• Data Exploration /Evaluation hinsichtlich Werten
• Zertifizierung des Lieferanten prüfen

Konkrete Maßnahmen:

• Erfassung von Projekterfahrungen
• Möglichkeiten zum internen Austausch
• Sicherstellung entsprechender Qualifikation
• Personalschulungen, Angebot /Förderung von Weiterbildung, Lernpfade
• Bewahrung, Entwicklung, Verteilung und Generierung von Wissen

Konkrete Maßnahmen:

• RACI Matrix für Governance-Bereiche und für KI-Lebenszyklus
• Aufbau von Gremien
• Definition innerhalb einzelner Governance-Elemente
• Vorlagen (z.B. Aufgaben- /Rollen-Matrix)