Die Ära des unkontrollierten Einsatzes von Künstlicher Intelligenz (KI) in Unternehmen ist beendet. Durch neue regulatorische Vorgaben sind Unternehmen verpflichtet, verbindliche Schulungen zur KI-Nutzung sowie ein umfassendes Risikomanagement zu implementieren. Die Anforderungen der Schweizer Finanzmarktaufsicht FINMA und die Bestimmungen des bevorstehenden EU AI Acts stellen sicher, dass die Verantwortung für KI-Anwendungen nun stärker in den operativen Einheiten verankert ist.

FINMA setzt klare Standards für KI-Governance

Die FINMA hat mit ihrer Aufsichtsmitteilung 08/2024 zur KI-Governance einen bedeutenden Schritt zur Regulierung des KI-Einsatzes gemacht. Diese Mitteilung betont, dass die Verantwortung für die Risiken, die mit der Anwendung von KI verbunden sind, nicht mehr ausschließlich bei zentralen Abteilungen liegt, sondern auch auf die Teams übergeht, die diese Technologien nutzen. Die neuen Vorschriften erfordern umgehende Maßnahmen:

  • Inventarpflicht: Jedes Team ist dazu verpflichtet, alle eingesetzten KI-Anwendungen zu identifizieren und auch nicht-offizielle „Shadow AI“-Systeme zu melden.
  • Kritische Prüfung von Drittanbietern: Ein blindes Vertrauen in externe KI-Lösungen ist nicht länger akzeptabel; die Funktionsweise und potenzielle Risiken müssen hinterfragt werden.
  • First Line of Defense: Die primäre Verantwortung für das Risikomanagement liegt künftig bei den Anwendern selbst, was bedeutet, dass sie sich intensiv mit ihren Anwendungssystemen auseinandersetzen müssen.

Die FINMA warnt, dass oftmals ein mangelndes Verständnis innerhalb der Organisation für die damit verbundenen Risiken besteht und dass es an der erforderlichen Governance mangelt. Damit wird die Phase des unregulierten Pilotierens offiziell beendet.

EU AI Act: Verpflichtung zur KI-Kompetenz

Zum 2. Februar 2025 treten Teile des EU AI Acts in Kraft, darunter eine neue Pflicht zur KI-Kompetenz (AI Literacy) für Mitarbeitende. Dieser Akt erfordert von Unternehmen den Nachweis, dass ihre Teams in der Lage sind, KI-Systeme sicher und verantwortungsvoll zu bedienen. In den kommenden Wochen müssen Compliance-Workshops durchgeführt werden, um diese Anforderungen zu erfüllen.

Besonders wichtig ist dabei, dass die Schulungsinhalte über das reine „Prompt Engineering“ hinausgehen und folgende Punkte abdecken:

  1. Die Klassifizierung von Hochrisiko-KI-Systemen.
  2. Die Notwendigkeit, alle Ergebnisse von KI kritisch zu überprüfen.
  3. Der sichere Umgang mit sensiblen Daten.

ISO/IEC 42001 als Leitfaden für KI-Management

Um den komplexen Anforderungen der neuen Regulierungen gerecht zu werden, wenden sich viele Unternehmen dem internationalen Standard ISO/IEC 42001 für KI-Managementsysteme zu. Dieser Standard bietet klare Handlungsrahmen und ermöglicht es Teams, sich strukturiert mit den Anforderungen auseinanderzusetzen.

Die Workshops, die nach diesem Standard durchgeführt werden, helfen den Teams, ihren Arbeitsalltag effizient zu gestalten, indem sie beispielsweise:

  • Risiko-Assessments vor dem Projektstart durchführen.
  • Transparenz-Protokolle für Inhalte, die durch KI generiert wurden, erstellen.
  • Systematische Feedback-Schleifen einführen, um KI-Fehler zu erkennen und zu beseitigen.

Durch eine gut strukturierte Governance wird angestrebt, Compliance nicht als hinderlich, sondern als förderlich für die Innovationsgeschwindigkeit zu positionieren.

Der Abschied von unregulierten Experimenten

Die jüngsten Entwicklungen markieren einen grundlegenden Wandel in der regulatorischen Landschaft. Innerhalb kürzester Zeit hat sich das Umfeld von einer Phase des lockeren Experimentierens zu einem streng regulierten Bereich gewandelt. Die Marktreaktionen zeigen eine hohe Nachfrage nach Last-Minute-Trainings im Hinblick auf die bevorstehenden Anforderungen für das erste Quartal 2025.

Insbesondere international tätige Teams stehen vor der Herausforderung, einen Ausgleich zwischen den prinzipienbasierten Vorgaben der FINMA und den detaillierten Bestimmungen des EU AI Acts zu finden. Unternehmen, die jetzt in die Weiterbildung ihrer Mitarbeiter investieren, können sicherstellen, dass sie KI rechtssicher nutzen. Jene, die abwarten, laufen Gefahr, mit Bußgeldern und einem beschädigten Ruf konfrontiert zu werden.

Fazit: Notwendigkeit von Schulungen und Risikomanagement

Die neuen regulatorischen Vorgaben der FINMA und des EU AI Acts setzen einen klaren Rahmen für den Einsatz von KI in Unternehmen. Schulungen zur Verantwortung und zum Risikomanagement sind unerlässlich, um die Anforderungen zu erfüllen und ein sicheres Arbeiten mit KI-Technologien zu gewährleisten. Unternehmen müssen jetzt handeln, um nicht nur regulatorischen Anforderungen gerecht zu werden, sondern auch um ihre Wettbewerbsfähigkeit langfristig zu sichern.