Die ISO/IEC FDIS 42005 bildet eine gute Basis für die Folgenabschätzung für KI-Systeme
Ebenso wie es heute zum besseren Risikomanagement eine BIA (Business Impact Assessment) oder PIA (Privacy Impact Assessment) gibt, wird es für die KI eine Frage sein, wie man die Folgen des Einsatzes bewerten kann. Dafür wurde die Norm ISO/IEC FDIS 42005 entwickelt und diese ist aktuell im höchsten Entwicklungsstand („50“, daher FDIS: Final Draft International Standard), also derzeit noch in der Phase der Freigabe und kurz vor Veröffentlichung.
Die Norm bietet eine Anleitung für Organisationen, eine KI-System-Folgenabschätzungen für Einzelpersonen und Gesellschaften durchzuführen, die von einem KI-System und seinen beabsichtigten und vorhersehbaren Anwendungen betroffen sein können.
Sie enthält Überlegungen dazu, wie und wann solche Bewertungen durchzuführen sind und in welchen Phasen des Lebenszyklus eines KI-Systems, sowie Anleitungen für die Dokumentation zur Folgenabschätzung von KI-Systemen.
Darüber hinaus enthält dieser Leitfaden die Frage, wie dieser Prozess der Folgenabschätzung von KI-Systemen in das KI-Risikomanagement und das KI-Managementsystem eines Unternehmens integriert werden kann. Die Norm richtet sich an Organisationen, die KI-Systeme entwickeln, bereitstellen oder verwenden, sie gilt für jede Organisation, unabhängig von Größe, Art und Art.
Wes enthält die Norm?
ISO/IEC 42005 bietet einen Rahmen für zwei Schlüsselprozesse innerhalb der Entwicklung von KI-Systemen:
Die Implementierung eines Folgenabschätzungsprozesses, der die jeweiligen Produkte, den Industriesektor, das Risikoniveau und die langfristigen Ziele einer Organisation berücksichtigt.
Die Dokumentation des Prozesses der Folgenabschätzung zur Förderung von Transparenz und Vertrauenswürdigkeit.
Das fragliche Verfahren der Folgenabschätzung würde sich in Bezug auf ein bestimmtes KI-System mit folgenden Themen befassen:
Datenqualität
Algorithmen und Modellinformationen
Einsatzpläne
Definierte reale und potenzielle Auswirkungen
Relevante Dritte
Verfahren zur Schadensminderung
Die ISO/IEC 42005 bietet eine Anleitung dafür, wie und wann während des KI-Lebenszyklus Folgenabschätzungen durchgeführt werden sollen und wie dieser Prozess in Risikomanagementstrategien integriert werden kann.
Wie sollten Unternehmen diese Norm implementieren?
Unternehmen können damit beginnen, die Strategien ihres Systems an der ISO 42005 auszurichten, indem sie:
Eine Unternehmensstrategie zur KI-Nutzung definieren, die eine Basis für alle weiteren Schritte in der Entwicklung und den nötigen Maßnahmen bildet. Sie stellt auch den Rahmen für den Aufbau einer Organisation und die Planung von Ressourcen in einem zeitlichen Ablauf dar.
Einen angemessenen und dauerhaften Governance-Rahmen schaffen, denn der KI-Lebenszyklus erfordert eine sorgfältige Analyse, um sicherzustellen, dass die Entwicklung und der Einsatz von KI-Systemen unter Berücksichtigung von Regeln, Vertrauen und Transparenz erfolgt. Dieses Framework würde klare Rollen und Verantwortlichkeiten innerhalb Ihres Unternehmens und mit Dritten wie KI-Entwicklern, Rechtsteams und Risikomanagern fördern.
Ein KI-Managementsystem nutzen, das für alle weiteren Schritte die Dokumentationsbasis stellt.
Die Schulung der Mitarbeiter zur Ausbau von KI- und Norm-Kenntnissen starten, auch zur Anwendung und zu den Auswirkungen des KI-Systems . Denn mit einer angemessenen Schulung schaffen Sie einen guten Wissensstand, in Bezug auf die Folgenabschätzung eines Systems können die Mitarbeiter damit Bedenken wie Rechenschaftspflicht, Transparenz, Voreingenommenheit, Datenschutz, Sicherheit und Umweltauswirkungen problemlos bewältigen. Und das o.g. Framework hilft Ihnen dabei.
Mit der Planung und Durchführung einer Folgenabschätzung für KI-Systeme beginnen und sich z. B. mit folgenden Fragen beschäftigten: Was sind die potenziellen Vorteile und Risiken Ihres KI-Systems? Was sind die möglichen Folgen Ihrer Technologie für Einzelpersonen, Gruppen und die Gesellschaft als Ganzes?
Die Überwachung bestehender Vorschriften organisieren und sicherstellen. Unternehmen sollten sich über bestehende nationale, regionale und internationale Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) der EU und den CPRA (California Privacy Rights Act) oder die KI-Verordnung der EU. In den USA veröffentlichte das White House Office of Science and Technology Policy („OSTP“) einen Leitfaden für die Entwicklung, Nutzung und den Einsatz automatisierter Systeme Blueprint for an AI Bill of Rights (the “Blueprint”). Allerdings gibt es teils auch Regelungen auf Ebene der Bundesstaaten. Und die Lage in China ist wiederum anders zu bewerten.
Die Vorbereitung auf die Zertifizierung beginnen, dessen Ziel es sein muss, die Einhaltung der Norm im Rahmen eines Zertifizierungsprozesses zu bestätigen
Indirekte Wirkungen der KI-VO betrachten. Denn auch wenn ein Unternehmen keinen Sitz in der EU hat, so gilt die KI-VO auch für die dorthin gelieferten Produkte. Dies sollte nicht außer Acht gelassen werden und bei der Anwendung der ISO 42005 beachtet werden.
Fazit
Die Einhaltung der ISO/IEC 42005 ist mehr als nur eine Compliance-Verantwortung. Vielmehr bietet sie Unternehmen die Möglichkeit, die ethischen Praktiken einzuführen und offen nach außen zu kommunizieren, dass ihre KI-Systeme vertrauenswürdig und zuverlässig sind.
Der Zertifizierungsprozess zwingt Organisationen, die KI einführen möchten, Wissen aufzubauen, sich Strukturen und Prozesse über den Lebenszyklus zu geben, die dann auch helfen, die KI-VO einzuhalten. Und sie können sich durch seriöse, zeitgemäße Geschäftspraktiken am Markt von anderen abheben.
Handeln Sie jetzt, indem sie proaktiv mit Standards umgehen, damit können Sie zukünftige Risiken mindern, die interne Effizienz sicherstellen und größere Chancen in einer globalen KI-gesteuerten Landschaft sichern!
Comments