27.03.2024

ISO/IEC 42001: erste Managementnorm für KI-Systeme veröffentlicht

Mit der  ISO/IEC 42001:2023-12 Information technology – Artificial intelligence – Management system (Informationstechnik – Künstliche Intelligenz – Managementsystem) haben die International Organization für Standardization (ISO) und die International Electrotechnical Commission (IEC) Ende 2023 die erste Managementsystemnorm für KI-Systeme veröffentlicht. Es gibt wohl kaum ein Thema, das Unternehmen, Politik und Gesellschaft derzeit ähnlich stark bewegt wie die künstliche Intelligenz (Artificial Intelligence, kurz AI). Und dies ist selbstverständlich nicht nur in Deutschland der Fall, sondern weltweit.  Mit der ISO/IEC 42001 sollte sich das Qualitätsmanagement intensiv beschäftigen.

Managementnorm für KI/AI-Systeme

KI ist ein eruptiver Veränderungstreiber

KI und die damit verbundene Untergruppe des maschinellen Lernens enthalten ein gewaltiges Potenzial, den Alltag von Unternehmen und Verbrauchern massiv zu verändern. An positiven Entwicklungen sei beispielhaft nur die Realisierung
des automatisierten Fahrens oder eine verbesserte Prognose von Krankheiten genannt.

Allerdings werden von Seiten einzelner Experten und Teilen der Bevölkerung auch mögliche Risiken befürchtet – bspw. unsachgemäße oder gar kriminelle Nutzung der Technologie. Außerdem sollte eine gerade in Deutschland (aber auch in einigen anderen EU-Ländern) bestehende Abneigung gegenüber größeren Veränderungen nicht unterschätzt werden.

Europäische KI-Verordnung setzt jetzt den rechtlichen Rahmen

Alle Mitgliedstaaten der Europäischen Union haben am 02.02.2024 im Ausschuss der Ständigen Vertreter (AStV) die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung, AI Act) zugestimmt. Der Abstimmung gingen vor allem in Deutschland heftige politische Diskussionen voraus, die aber letztendlich mit der Zustimmung endeten. Die KI-Verordnung ist laut dem hier federführenden BMWK das weltweilt erste umfassende gesetzliche Regelwerk für den Einsatz von Künstlicher Intelligenz (KI) in der Union.

Laut Kommission wird mit der Verordnung bezweckt, Innovationen zu fördern, gleichzeitig das Vertrauen in KI zu stärken und sicherzustellen, dass diese Technologie in einer Weise genutzt wird, die die Grundrechte und die Sicherheit der Bürger der EU respektiert. Nachdem der AStV (also der EU-Ministerrat) der Verordnung zugestimmt hat, muss voraussichtlich bis April 2024 noch das Parlament in den zuständigen Ausschüssen und im Plenum den finalen Verordnungstext abschließend verabschieden.

Expertentipp

In vielen Berichten findet sich immer wieder die missverständliche Bezeichnung „KI-Gesetz“. Es handelt sich hier allerdings um eine europäische Verordnung, die in den Mitgliedsländern ohne jede nationale Umsetzung – wie dies bspw. bei europäischen Richtlinien der Fall ist – unmittelbar und ohne jegliche Veränderung anzuwenden ist. Der Begriff „Gesetz“ ist dem Europarecht fremd.

KI-Verordnung hat weltweite Bedeutung

Die KI-Verordnung regelt in allererster Linie die Entwicklung, den Einsatz und die Nutzung von KI-Systemen in den europäischen Mitgliedstaaten. Allerdings haben die Auswirkungen der Verordnung selbstverständlich auch globale Bedeutung.

Diesbezüglich sind vor allem zwei Gründe ausschlaggebend:

  • Die Einhaltung der Verordnung ist für alle Unternehmen verbindlich, die in der EU tätig sein oder KI-Systeme für Kunden in der EU bereitstellen wollen.
  • Etliche außereuropäische Länder werden wahrscheinlich ihre nationalen Vorschriften an die EU-Standards angleichen, um den grenzüberschreitenden Handel und solche Dienstleistungen zu erleichtern bzw. zu ermöglichen.

ISO/IEC 42001 erleichtert die Einhaltung der KI-Verordnung

Um die inhaltlichen Anforderungen der KI-Verordnung einzuhalten, wird u. E. die Einhaltung der neuen Managementsystemnorm zur KI hilfreich bzw. unumgänglich sein. In welcher Form die Verordnung auf die ISO/IEC 42001 referenzieren wird (ob direkt oder indirekt), ist aktuell noch offen.

Praxistipp

Es ist übrigens damit zu rechnen, dass es auch eine Übernahme der ISO/IEC-Fassung als DIN EN ISO/IEC 42001 geben wird, wie es auch bei der ISO 9001:2015 der Fall war.

Die neue Managementsystemnorm in einem ersten Überblick

Die ISO/IEC 42001 gilt für alle Arten von Unternehmen in allen Branchen. Auch wenn es mittlerweile noch weitere Rahmenwerke gibt, ist die ISO/IEC 42001 die einzige Norm, die zertifizierbar ist.

Dieser Standard stellt einen Meilenstein für alle Unternehmen dar, die KI-Systeme entwickeln oder nutzen wollen. Sie enthält einen umfassenden Rahmen für die

  • Implementierung und
  • Aktualisierung eines KI-Management-Systems (AIMS),

um die verantwortungsvolle Entwicklung von KI-Systemen zu gewährleisten.

Laut ISO ist es gerade angesichts der Risiken und der Komplexität der neuen Technologie notwendig, robuste Governance-Mechanismen zu schaffen, um aufgrund der exponentiell wachsenden Fähigkeiten der KI

  • Datenschutz,
  • Sicherheit und
  • die Einhaltung ethischer Grundsätze

zu gewährleisten.

Vergleichbar mit der ISO 9001 für das QM und ISO/IEC 27001 für die Informationssicherheit enthält die ISO/IEC 42001 bewährte Verfahren, Regeln, Definitionen und Leitlinien für das Management von Risiken und betrieblichen Aspekten.

Die Ziele der Norm sind vor allem

  • Entwicklung und Nutzung von KI-Systemen, die vertrauenswürdig, transparent und rechenschaftspflichtig sind,
  • Gewährleistung ethischer Grundsätze und Werte (bspw. Fairness, Nichtdiskriminierung und Achtung der Privatsphäre) beim Einsatz von KI-Systemen, um den Erwartungen der Stakeholder zu entsprechen,
  • Einhaltung gesetzlicher und regulatorischer Vorgaben,
  • Unterstützung der Organisationen bei der Ermittlung und Minderung von Risiken im Zusammenhang mit der KI-Implementierung und dem -betrieb, um die Effizienz zu verbessern und die Kosten zu reduzieren und
  • Stärkung des Vertrauens in die KI-Systeme, indem Organisationen ermutigt werden, dem menschlichen Wohlbefinden, der Sicherheit und der Nutzererfahrung bei der Entwicklung und dem Einsatz Vorrang einzuräumen.

Struktur der Norm folgt dem HLS-Ansatz bzw. HS-Ansatz

Die Norm hat einen Umfang von 51 Seiten. Sie ist aktuell nur in einer englischen Sprachfassung erhältlich. Sie ist als typischer ISO-Managementsystemstandard (MSS) konzipiert. Das bietet natürlich diverse Vorteile. Sie ist zum ersten organisationsneutral und kann sowohl für Unternehmen wie auch für andere Organisationen eingesetzt werden. Zum zweiten folgt sie der allen Qualitätern bekannten High Level Structure (HLS) bzw. Harmonized Structure (HS). Das bedeutet, dass sie eine Integration in bereits bestehende Managementsysteme wie der ISO 9001 deutlich vereinfacht.

Wie die Norm helfen kann

Die ISO/IEC 42001 soll Organisationen beim verantwortungsvollen Einsatz von KI-Systemen unterstützen. Dies gilt unabhängig davon, ob diese Produkte oder Dienstleistungen verwenden, entwickeln, überwachen oder bereitstellen. Dabei geht es grundsätzlich um

  • Systeme zur automatisierten Entscheidungsfindung,
  • Systeme zur Datenanalyse,
  • Systeme zum maschinellen Lernen und
  • kontinuierlich lernende Systeme.

Die Norm betont, das insbesonders intransparente und nicht erklärbare Systeme ein spezifisches Management notwendig machen. Deshalb werden konkrete Anforderungen für das Einrichten, Umsetzen, Pflegen und kontinuierliche Verbessern von KI-Managementsystemen gestellt. Die ISO/IEC 42001 spezifiziert die in KI-Systemen ablaufenden Prozesse u. a. als Festlegen von Organisationszielen, Einbeziehen der interessierten Parteien und Aufstellen der entsprechenden Unternehmenspolitik.

Einen Schwerpunkt bildet das Management von Risiken und Chancen. Diesbezüglich wird die Vertrauenswürdigkeit der Systeme betont. Zu den Prozessrichtlinien gehört ebenfalls das Management von Lieferanten, Partnern und Dritten, die KI-Systeme für ein Unternehmen bereitstellen oder entwickeln. Welche Bedeutung der ISO 42001 in Zukunft zukommt, bleibt abzuwarten.

Vorteile der ISO/IEC 42001

Die Beachtung des neuen Standards dürfte für die meisten Unternehmen immense Bedeutung bekommen.

Kurz gefasst lassen sich hier vier Gründe nennen:

  1. Risikominimierung
    Organisationen vermeiden rechtliche und regulatorische Risiken beim Einsatz bzw. bei der Entwicklung von KI-Systemen.
  2. Operative Vorteile
    Der Einsatz von KI-Systemen kann zu Effizienzsteigerungen, Innovationsförderung und – zumindest bei reibungslos funktionierenden Systemen – durch Arbeitserleichterung zu höherer Akzeptanz bei den Mitarbeitern führen.
  3. Wettbewerbsvorteile
    Durch verantwortungsvolle KI-Nutzung können Unternehmen ihr Markenimage stärken und attraktiver für Investoren werden.
  4. Zertifizierbarkeit
    Unternehmen sollten schon früh prüfen, ob und wie sich eine Zertifizierung positiv auf das Unternehmen auswirken kann und ggf. erste Schritte einleiten.

 

Was Unternehmen jetzt schon tun können

Zunächst sollte im Unternehmen bzw. der Organisation mit einer Selbstbewertung bezüglich des Einsatzes bestehender oder geplanter KI-Systeme begonnen werden. Hier geht es vor allem darum, potenzielle Risiken zu identifizieren. Danach können und sollten entsprechende Richtlinien und Verfahren entwickelt werden, die sich in ihre schon bestehenden Governance- und Risikomanagement-Frameworks integrieren lassen.

Expertentipp

Es ist hilfreich, einen Verantwortlichen für das KI-Managementsystem zu benennen, der die fachliche Leitung übernimmt.

Autor*in: Ernst Schneider (Lic.jur./wiss.Dok., Experte für Rechtsfragen des Qualitätsmanagements, Mitglied mehrerer DIN-Ausschüsse)