Startseite > Security > GenAI im Spannungsfeld zwischen Regulierung und Innovation

Leitfaden für die Umsetzung

GenAI im Spannungsfeld zwischen Regulierung und Innovation

24. März 2025, 10:30 Uhr | Autoren: Dr. William Cobbah und Dr. Enno Kätelhön / Redaktion: Diana Künstler

Viele Unternehmen würden gerne GenAI-Lösungen einsetzen, trauen sich aber nicht. Der Grund: Strenge Vorschriften und Auflagen, die für Rechtssicherheit sorgen sollen, aber oft als Innovationsbremse empfunden werden. Unnötig, denn eine effektive GenAI-Compliance ist einfacher umzusetzen als gedacht.

GenAI kann verschiedenste Aufgaben übernehmen. Die Technologie hilft beispielsweise bei einer maßgeschneiderten Kundenansprache, die sowohl die Kundenhistorie als auch den Kontext berücksichtigt, und optimiert so die Customer Experience und damit die Kundenbindung. In der Softwareentwicklung lassen sich mit GenAI-generierten Codes schnell neue Prototypen und Lösungen spezifizieren, implementieren und testen. KI-Agenten wiederum lösen nach und nach die bisher „dummen“ Lösungen ab. Da sie in der Lage sind, ihre Umgebung zu verstehen, sich mit anderen Systemen abzustimmen und auf dieser Basis eigenständig Entscheidungen zu treffen, beschleunigen sie Prozesse etwa im Backoffice.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Wie jede KI birgt auch GenAI Risiken

Trotz all dieser Potenziale ist der Einsatz von KI immer auch mit Risiken verbunden. Die Gefahr der Verbreitung von Fehlinformationen beispielsweise durch ungewollte KI-Halluzinationen, die Diskriminierung durch Designfehler in der Entwicklung oder beim Training von KI-Algorithmen sowie die Missachtung des Datenschutzes sind nur einige kritische Aspekte. Daher sind klare Standards notwendig, um einen verantwortungsvollen Umgang mit GenAI zu gewährleisten. Regulierungsrahmen wie der EU AI Act¹, der am 1. August 2024 in Kraft getreten ist, setzen genau hier an. Diese Verordnung teilt KI-Systeme in verschiedene Risikokategorien mit jeweils unterschiedlichen Compliance-Anforderungen ein, wobei GenAI-Systeme in bestimmten Anwendungsfällen als Hochrisiko-System eingestuft werden können. Die daraus resultierenden, durchaus strengen rechtlichen Anforderungen zielen darauf ab, die Technologie sicher, transparent und frei von Diskriminierung zu gestalten.

Die nun gültige Klassifizierung bedeutet, dass sich Unternehmen mit neuen Anforderungen für bestehende Prozesse und Produkte auseinandersetzen müssen. So sind sie unter Umständen dazu verpflichtet, eine Konformitätsbewertung durch eine unabhängige Stelle durchführen zu lassen. Diese dient dann als Nachweis, dass die eigenen Systeme gesetzliche Vorgaben an Transparenz, Fairness und Sicherheit einhalten. Compliance ist immer mit einem gewissen Aufwand verbunden – so verwundert es nicht, dass laut dem Global GenAI Report 2025 von NTT Data² zwar zwei Drittel der deutschen Führungskräfte auf C-Level die Technologie als echten Game Changer wahrnehmen. Gleichzeitig fühlen sich viele „unter Druck gesetzt, bedroht oder überfordert“. 84 Prozent der Befragten bemängeln beispielsweise, dass es in ihrem Unternehmen keine Richtlinien für den Einsatz von GenAI und den Schutz geistigen Eigentums gibt. Ebenso viele beklagen sich, dass die aus ihrer Sicht unklare staatliche Regulierung Innovationen behindert. Die meisten Umfrageteilnehmer gehen daher davon aus, dass sie wegen GenAI mehr in die Einhaltung gesetzlicher Vorschriften investieren müssen.

Ein Framework erleichtert die Umsetzung

Entsprechende Projekte deshalb auf die lange Bank zu schieben, ist jedoch keine Lösung. Für die Wettbewerbsfähigkeit ist es extrem wichtig, frühzeitig mit der Technologie zu experimentieren. Zudem sollte Regulierung nicht als Innovationsbremse verstanden werden. ITIL zum Beispiel – ein Framework mit Best Practices für das Management von IT-Services über den gesamten Lebenszyklus – ist heute eine anerkannte Zertifizierung, die zunächst mit viel Argwohn betrachtet wurde. Konnte man sich früher bei IT-Problemen direkt an die entsprechenden Experten wenden, muss heute in der Regel ein Ticket „geöffnet“ werden. Auf die Vorteile dieses standardisierten Verfahrens wollen die meisten Unternehmen nicht mehr verzichten. Ähnlich wird es sich nach den anfänglichen Unsicherheiten und Vorbehalten auch mit KI-Regulierungen verhalten. Gerade die eher risikoaversen Firmen werden von solchen Vorgaben profitieren – sie bieten ihnen einen sicheren Rechtsrahmen für die Umsetzung von Projekten.

Um nun compliant zu werden, müssen sich Unternehmen zunächst einen Überblick über ihren Status quo verschaffen. Das reicht von der Identifikation aller relevanten Vorschriften über die Entwicklung von KI-Richtlinien in Bezug auf Ethik, Transparenz, Qualität und Risikobewertung bis hin zur Definition von Verantwortlichkeiten. Viele Firmen werden bereits hier feststellen, dass sie in Sachen Compliance gar nicht so schlecht aufgestellt sind, wie sie zunächst vermutet haben. Anschließend hilft ein Framework weiter, sich auf die vier entscheidenden Handlungsfelder zu konzentrieren: Menschen, Richtlinien, Daten und Prozesse.

Schritt für Schritt zur GenAI-Compliance

In Bezug auf „Menschen“ sollten Unternehmen eine Rechenschaftspflicht einführen, das heißt, klare Verantwortlichkeiten für die Einhaltung der Vorschriften und die ethische Aufsicht zuweisen. Dies kann beispielsweise durch die Ernennung eines KI-Beauftragten oder die Einrichtung eines Governance-Boards mit Stakeholdern geschehen. Die Erfahrung zeigt, dass starke Management-Sponsoren gerade zu Beginn der Transformation elementar sind. Im besten Fall übernimmt eine Führungskraft auf C-Level das Steuer, denn nur sie oder er kann auch die notwendigen Ressourcen für eine verantwortungsvolle KI-Entwicklung bereitstellen. Ebenso wichtig ist es, funktionsübergreifende Teams zu bilden. Nur wenn IT-, Fach- und Rechtsabteilung eng zusammenarbeiten, ist eine nahtlose Abstimmung der übergeordneten Ziele gewährleistet. Schließlich sollten alle Mitarbeitenden im richtigen Umgang mit GenAI geschult werden, um Wissenslücken zu schließen und unnötige Risiken zu vermeiden.

Parallel dazu ist es essentiell, die Prozesse so zu gestalten, dass die implementierten Use Cases den geforderten Governance-Prinzipien entsprechen. Die Technologie allein darf nie der Treiber für ein Projekt sein. Die Auswahl der Anwendungsszenarien, die mit Hilfe von GenAI optimiert werden sollen, muss sich vielmehr an den Anforderungen des Business orientieren. Dementsprechend erfolgt auch die Entwicklung aller Operating-Model-Prozesse entlang der Use Case Journey in enger Abstimmung mit den Fachabteilungen. Darüber hinaus sollte frühzeitig ein „Use Case Funnel“ als Steuerungsinstrument etabliert werden. Im Falle von GenAI geht es darum, die damit verbundenen Sicherheits-, Ethik- und Compliance-Metriken in jeden einzelnen Prozess zu integrieren. Ein gut durchdachter Use Case Funnel mit seinen Entwicklungsrichtlinien erleichtert die Implementierung weiterer Anwendungen und Lösungen. Das Ergebnis ist eine Art Spielfeld, in dem genau definiert ist, welche Daten, Technologien und Berechtigungen zu jedem Zeitpunkt zur Verfügung stehen – und zwar compliant-by-design. Die immer wiederkehrende Frage, ob beispielsweise ein Software-Paket oder ein neuer KI-Baustein erlaubt ist oder nicht, fällt damit weg.

Die Datenbasis nicht vergessen

Schließlich sind qualitativ hochwertige Daten der Grundstein für eine erfolgreiche GenAI-Implementierung. Eine schlechte Datenqualität kann nicht nur zu ungenauen Ergebnissen, sondern auch zu Compliance-Problemen führen. Aufsichtsbehörden verlangen oft detaillierte Aufzeichnungen über Herkunft, Transformation und Verwendung der Daten, mit denen ein GenAI-Modell trainiert wurde – nur eine ordentliche Dokumentation gewährleistet hier die Nachvollziehbarkeit. Entscheidend ist zudem die Fähigkeit der Infrastruktur, auch mit wachsenden Datenmengen und -typen umzugehen, etwa bei der Einbindung unstrukturierter Informationen. Welche Datenplattform die richtige ist, hängt jedoch stark vom einzelnen Unternehmen ab und davon, wie es in der Vergangenheit mit Daten umgegangen ist.

Zweifellos hat der EU AI Act einen Einfluss auf GenAI-Projekte, da Investitionen in die Governance unumgänglich sind. Diese Investitionen werden sich jedoch sehr schnell auszahlen. Alles in allem bietet der neue Rahmen klare Richtlinien für den Einsatz von KI-Anwendungen, die Innovationen überhaupt erst ermöglichen.

^{1 https://artificialintelligenceact.eu/de/

2 https://de.nttdata.com/insights/studien/global-genai-report}