Zur Startseite
Karriere

Doppelbelastung und mehr Bürokratie durch KI

Im Bereich der Künstlichen Intelligenz (KI) stehen Unternehmen vor einer doppelten Herausforderung: erhöhte Dokumentationspflichten durch den "AI Act" der Europäischen Union sowie unkontrollierte Aktivitäten durch die sogenannte "Schatten-KI". Und die Bürokratie geht noch weiter.
10.07.2024

In der Schatten-KI werden auch personenbezogene Daten und Betriebsgeheimnisse hochgeladen.

Bild: © weedezign/AdobeStock

Der EU AI Act  ist eine europäische Verordnung über künstliche Intelligenz (KI) und markiert die weltweit erste umfassende Reglementierung dieser Technologie durch eine Regulierungsbehörde. Ziel ist es, die mit der KI verbundenen Risiken zu verringern und gleichzeitig Innovationen zu fördern.

Der Geschäftsführer der Bonner Wirtschaftsakademie (BWA) Harald Müller sieht hier zusätzliche Belastungen auf die Unternehmen zukommen.

Risikokategorien dokumentieren

So unterliegen zum Beispiel Anwendungen mit hohem Risiko, wie etwa ein Tool zum Scannen von Lebensläufen, das eine Rangliste der Bewerber:innen erstellt, besonderen rechtlichen Anforderungen. Die Gesetzgebung klassifiziert KI-Systeme in vier Risiko­kategorien: unannehmbares, hohes, begrenztes und minimales Risiko. „Damit ist für jeden KI-Einsatz im Unternehmen herauszufinden und zu dokumentieren, in welche Risikoklasse er fällt“, sagt Müller.

Er stellt klar: „Das gilt nicht nur für die Hersteller von KI-Systemen, also etwa Konzerne wie Open AI, Google oder Microsoft, sondern für jede Firma, die KI im eigenen Betrieb verwendet. Allein dies mag viele Mittelständler abschrecken, die Produktivitätsvorteile der KI überhaupt für sich zu nutzen.“

„Diese Schatten-KI breitet sich seit weit über einem Jahr in der Wirtschaft aus, ohne dass dies in den Chefetagen überhaupt bekannt wird.“
BWA-Geschäftsführer Harald Müller

Schatten-KI wird zum Problem

Doch die Sachlage ist laut BWA „noch viel komplexer“: In vielen Firmen setzen die Beschäftigten gängige KI-Programme ein, um ihre Arbeit schneller und einfacher zu erledigen, ohne ihre Vorgesetzten zu informieren. Das beinhaltet den betrieblichen Einsatz von KI-Programmen wie ChatGPT, Gemini oder Copilot durch einzelne Beschäftigte ohne Zustimmung des Unternehmens. 

„Diese Schatten-KI breitet sich seit weit über einem Jahr in der Wirtschaft aus, ohne dass dies in den Chefetagen überhaupt bekannt wird“, weiß Müller aus vielen Projekten. Das Problem dabei: Die Beschäftigten laden zuhauf personenbezogene Daten und Betriebsgeheimnisse in die KI-Programme hoch und verletzten damit den Datenschutz und die Corporate Governance.

„In manchen Firmen sind ganze Personallisten bei ChatGPT gelandet, weil ein Mitarbeiter in der Personalabteilung eine Analyse des Personalbestands etwa in Bezug auf Alter, Betriebszugehörigkeit, Ausbildung oder Personalverantwortung von der KI erhalten wollte“, so Müller. Er sagt: „Verletzungen der Datenschutz-Grundverordnung durch KI sind derzeit im Mittelstand wie in großen Unternehmen an der Tagesordnung.“

Herbst der Bürokratie

Für die Unternehmen bleibt es laut BWA aber nicht bei den neuen Dokumentationspflichten durch den AI-Act. In diesem Herbst rolle eine dreifache Welle neuer bürokratischer Herausforderungen auf die Wirtschaft zu, warnt Müller. Als die drei Schwerpunkte der „Monsterbürokratie“ werden die Themengebiete Cyberresilienz, ESG (Environment, Social, Governance: Umwelt, Soziales und Unternehmensführung) und eben der KI-Act genannt.

Im ESG-Bereich drängt vor allem die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, CSRD) zur zügigen Umsetzung. Die CSRD trat Anfang 2023 in Kraft, galt aber bislang nur für Unternehmen, die bereits der Pflicht zur nichtfinanziellen Erklärung unterliegen. Ab 2025 gilt sie für alle großen Unternehmen und ab Anfang 2026 auch für kleine und mittlere Unternehmen.

BWA-Chef Müller warnt: „Viele Mittelständler widmen der CSRD noch nicht die dringend notwendige Aufmerksamkeit, weil bis 2026 vermeintlich noch über ein Jahr Zeit ist. Das ist ein fataler Irrtum: Wer ab 2026 berichtspflichtig ist, muss rückwirkend für das Jahr 2025 berichten. Das dazu notwendige Berichtswesen muss also noch in diesem Jahr eingerichtet werden, um ab Anfang nächsten Jahres mindestens die gesetzlich vorgeschriebenen 82 Minimalangaben mit 127 Kennzahlen zu erfassen.“

Kritische Infrastruktur erfordert Dokumentation

Auf dem Gebiet Cyberresilienz greift die neue NIS-2-Richtlinie ab Oktober dieses Jahres. Die „eigentlich“ primär für die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) gedachte Verordnung zur Abwehr von Hackerangriffen betrifft laut BWA „faktisch einen Großteil der mittelständischen Wirtschaft“. Müller gibt ein Beispiel: „NIS-2 gilt nicht etwa nur für Krankenhäuser, die völlig zu Recht als kritische Infrastrukturen gelten, sondern für zahlreiche Zulieferer, die Krankenhäuser zu ihrem Kundenkreis zählen.“

So fallen die Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfall­wirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -ver­arbeitung und -vertrieb, Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung unter NIS-2. (bs)