Warum die meisten Strategien zur KI-Governance bereits in Schwierigkeiten stecken
Compliance-Risiko: Organisationen glauben oft, dass rechtliche Dokumentation ausreicht, ohne die tatsächlichen Compliance-Risiken bei KI zu erkennen.
Regulatorische Landschaft: KI-Governance bewegt sich innerhalb fragmentierter Gesetze und erfordert Bewusstsein für bestehende rechtliche Standards sowie Haftungsfragen.
Erkennung von Vorurteilen: Vorurteile in KI entstehen durch historische Daten und beeinflussen oft unbewusst und unbeabsichtigt Einstellungspraktiken.
Anbieter-Verantwortung: Sich ausschließlich auf Konformitätszertifikate von Anbietern zu verlassen, kann bedeutende organisationsinterne Risiken im Zusammenhang mit KI-Tools verschleiern.
Notwendigkeit von Governance: Wirksame KI-Governance erfordert Aufsicht durch die Geschäftsleitung und klare Verantwortlichkeiten, um Vorgaben einzuhalten und Risiken zu minimieren.
Papierarbeit kann die Einhaltung von Vorschriften abgeschlossen erscheinen lassen. Die Rechtsabteilung gibt grünes Licht, Verträge werden mit einer Entschädigungsklausel abgelegt, die Schutz verspricht. Aber diese Schritte schaffen oft eher die Illusion von Sicherheit als deren Realität.
Kürzlich habe ich an einer Konferenz teilgenommen, auf der mehrere Sitzungen dem rechtlichen Rahmen rund um KI am Arbeitsplatz gewidmet waren. Praktiker, Arbeitsrechtler und Compliance-Experten haben zwei Tage lang Annahmen auseinandergenommen, auf denen Organisationen ihre KI-Governance-Strategien aufgebaut haben. Das entstandene Bild war keines bevorstehenden Risikos – die Gefährdung ist bereits gegenwärtig.
Die regulatorische Landschaft
Die Bundesregierung hat kein umfassendes KI-Gesetz verabschiedet. Das ist die Tatsache, bei der einige Führungskräfte aufhören, und genau deshalb unterschätzen so viele ihr Risiko. Die tatsächliche Situation ist ein Flickenteppich aus Landesgesetzen, lokalen Verordnungen und bestehendem Bundesrecht, das keine neue KI-spezifische Regulierung benötigt, um angewendet zu werden.
Keep Reading—and Keep Leading Smarter
Create a free account to finish this piece and join a community of forward-thinking leaders unlocking tools, playbooks, and insights for thriving in the age of AI.
Have an account? Log In
Sie hören all diese ‘Wir werden das nicht regulieren’-Rhetorik von der aktuellen Regierung. Lassen Sie sich davon nicht täuschen. Sie verkaufen Sicherheit, wo keine ist.
Kelly und alle anderen auf der Konferenz sprechenden Juristen waren ziemlich deutlich, welchen Preis eine solche Fehleinschätzung Unternehmen kostet. Die strategischen Schwerpunkte der EEOC für 2024–2028, einschließlich der "Hiring Initiative to Reimagine Equity", legen einen besonderen Fokus auf scheinbar neutrale Systeme – also Werkzeuge, die nicht explizit diskriminieren, aber dennoch diskriminierende Ergebnisse liefern.
Das Bundesrecht deckt das bereits ab. Ebenso der EU AI Act, der für jede Organisation mit Tätigkeiten oder Beschäftigung in Europa gilt.
Der inzwischen berüchtigte Workday-Fall, eine Sammelklage, in der behauptet wurde, die HR-Software des Unternehmens habe Bewerber nach Alter und Herkunft diskriminiert, zeigte deutlich, dass rechtliches Risiko nicht auf ein Handeln des Kongresses wartet.
Das Auffindbarkeitsproblem
Eines der verstörendsten Gespräche auf der Konferenz drehte sich um Dokumentation. Konkret: Was passiert, wenn Ihre KI-Entscheidungen in die Beweisaufnahme gelangen.
KI-Eingaben (Prompts) können beschlagnahmt werden. Interne Logiken, Entscheidungsgrundlagen, Modellkonfigurationen, die beim Recruiting, Leistungsmanagement oder in Vergütungsprozessen verwendet wurden, können als Beweismittel angefordert werden. Organisationen, die keine detaillierten KI-Entscheidungen der letzten vier Jahre liefern können, sind erheblichen Risiken bei Klagen und regulatorischen Prüfungen ausgesetzt.
Das ist nicht theoretisch. Während KI-Agenten zunehmend eigenständig HR-Aufgaben übernehmen, wird die Haftungsfrage schärfer. Trifft ein agentisches System eigenständig oder mitwirkend eine folgenschwere Personalentscheidung und läuft etwas schief, liegt die Verantwortung eindeutig beim Arbeitgeber – nicht beim Anbieter.
Die sogenannte Gefährdungshaftung für Agenten bringt Unternehmen in die Lage, für die Ergebnisse von Werkzeugen verantwortlich zu sein, die sie möglicherweise nicht vollständig verstehen.
Auch die Anforderungen zur Aufbewahrung von Dokumenten verschieben sich entsprechend. Governance, die nicht mit Blick auf Nachweisbarkeit aufgebaut wurde, wird unter Druck neu konzipiert werden müssen.
Wo Vorurteile tatsächlich entstehen
Die meisten Unternehmen betrachten KI-Voreingenommenheit als ein Lieferantenproblem. Sie kaufen ein KI-Tool, fragen, ob es geprüft wurde, bekommen irgendeine Form von "Ja" und machen weiter. Die Legal- und Compliance-Community kritisiert inzwischen, wie unzureichend das ist.
Vorurteile gelangen über historische Daten, Erfolgskriterien, Filtermechanismen und Ersatzvariablen in KI-Systeme. Wird ein System darauf trainiert, wer in den vergangenen Jahren eingestellt oder befördert wurde und wie Leistungsbewertungen ausfielen, lernt die KI die Präferenzen der Organisation. Diese Präferenzen enthalten häufig unausgesprochene Diskriminierung, die niemand bewusst eingebaut hat, die das Modell aber übernimmt und verstärkt.
Voreingenommenheit wird verstärkt", bemerkte Kelly, "und verwandelt einzelne Entscheidungen in musterhafte institutionelle Prozesse.
Der rechtliche Maßstab für Benachteiligung durch sogenannte disparate impact verlangt kein Vorsatz. Ein Kläger muss lediglich eine statistisch signifikante Abweichung belegen, und die Schwelle dafür ist bereits definiert. Die Vier-Fünftel-Regel, auch bekannt als 80-%-Regel, besagt, dass ein geschützter Personenkreis dann benachteiligt ist, wenn seine Auswahlrate weniger als 80 % der höchsten Auswahlrate beträgt.
Ein KI-Tool, das monatlich tausende Lebensläufe sichtet, kann diese Schwelle überschreiten, ohne dass im Unternehmen auch nur eine Person es beabsichtigt.
Eine Studie der University of Washington, die während einer Sitzung zitiert wurde, verdeutlichte das Ausmaß des Problems. Als die Namen schwarzer männlicher Bewerber mit denen weißer männlicher Bewerber in KI-Screening-Systemen verglichen wurden, bevorzugten die Systeme schwarze Namen in keinem einzigen Fall.
Der Standard der ungleichen Behandlung, der auf vorsätzliche Diskriminierung abzielt, bringt eigene KI-spezifische Komplikationen mit sich. Direkte Eingaben, bei denen geschützte Merkmale explizit als Datenpunkte verwendet werden, sind der offensichtliche Fall. Verdeckte Motive hingegen sind schwerer zu erkennen und schwerer abzuwehren, wie etwa die Auswahl eines Anbieters, weil dessen Screening-Tool dazu neigt, ältere Bewerber auszufiltern, während dies intern als Vorliebe für eine "dynamische Unternehmenskultur" dargestellt wird.
Diese Darstellung neutralisiert die Absicht aus rechtlicher Sicht nicht.
Warum anbieterorientierte Kontrolle scheitert
Das standardmäßige Governance-Modell in den meisten Organisationen basiert auf der Beziehung zum Anbieter. Die Annahme ist, wenn das Tool eines Anbieters zertifiziert ist oder mit Audit-Dokumentation ausgeliefert wird, hat die Organisation ihre Verpflichtungen erfüllt.
Diese Annahme hält weder dem Gesetz noch der Realität im Betrieb stand.
„Am Ende des Tages ist die Organisation verantwortlich“, sagte Kelly. „Das gesamte Risiko wird aus demselben Topf bezahlt. Sie können mit Kollegen aus Compliance, Risiko und Rechtsabteilung zusammenarbeiten, alle versuchen, das Risiko in ihren Bereichen zu minimieren, aber der einzige Weg dazu ist, dass die Leute in Ihrer Organisation wissen, was Sie einsetzen und wofür Sie es einsetzen. Wenn mir entgangen ist, dass Ihr Recruiting-Team eine Technologie verwendet, die wir nicht auf Risiken testen, ist unsere Arbeit mehr oder weniger nutzlos.“
Chris Lippert, Direktor bei Schellman, wies auf die Zertifizierungslandschaft der Anbieter als Teil des Problems hin. Viele KI-Tools, die in den HR-Funktionen aktiv genutzt werden, wurden nicht unabhängig zertifiziert.
Greenhouse, eine der weit verbreiteten Bewerbermanagement-Plattformen, erhielt seine ISO/IEC 42001-Zertifizierung erst im Februar dieses Jahres. Das bedeutet für die Branche, dass Organisationen KI-gestützte Funktionen lange vor der Validierung durch die Tools eingeführt haben und viele noch immer mit ungeprüften Versionen arbeiten.
Nur weil eine Anwendung KI enthält, bedeutet das nicht, dass sie genutzt werden sollte. Und wenn sie eine KI-Funktion hinzufügt, ist der Zeitpunkt gekommen, aufmerksam zu werden und etwas zu sagen. Werden die Unternehmensrichtlinien angepasst, bevor die Technologie eingeführt wird? Nein. Man setzt sich Risiken aus, bevor dies in den Richtlinien geregelt ist.
Lippert empfahl, auf Datenschutz-Folgenabschätzungen aufzubauen, die Organisationen vermutlich bereits durchgeführt haben. Eine Risikoanalyse für KI muss nicht bei Null beginnen. Die gleichen Interessengruppen, die gleichen analytischen Methoden und ein Großteil der bestehenden Dokumentationsinfrastruktur sind in den meisten Compliance-Programmen bereits vorhanden.
Die KI-Governance als Erweiterung dieser Tätigkeit statt als gesonderte Initiative zu behandeln, macht sie praktikabler und nachhaltiger.
Die Governance-Lücke an der Spitze
Betriebliche Anforderungen an Governance lassen sich leicht aufzählen.
- Kontrollpunkte für menschliche Aufsicht
- Validierungs-Intervalle
- Verantwortlichkeit der Anbieter
- Überwachung der Ergebnisse
- Dokumentation
- Versionskontrolle
All das ist allgemein bekannt. Was in vielen Organisationen weniger klar ist: wem gehören diese Aufgaben, und überwacht sie jemand mit tatsächlicher Entscheidungsgewalt?
Der allgemeine Konsens bei allen KI-Risikorahmenwerken ist, dass die Unterstützung von ganz oben kommen muss. Man braucht diese Verantwortungsübernahme.
Howards Aussage verweist auf ein übergeordnetes Versagensmuster. Governance-Strukturen, die auf Team- oder Funktionsebene ohne ein Mandat der Führungsebene und ohne klare Verantwortlichkeiten aufgebaut werden, werden in der Regel inkonsequent angewandt und sind schwer durchsetzbar.
Wenn eine Geschäftseinheit ein neues KI-Tool einführt, ohne einen etablierten Prüfungsprozess zu durchlaufen, bleibt die entstandene Lücke oft so lange unentdeckt, bis es zu einer Beschwerde, einer Klage oder einer behördlichen Untersuchung kommt.
Modelldrift verstärkt dieses Problem. KI-Tools verändern sich im Laufe der Zeit – manchmal durch Anbieter-Updates, manchmal durch Veränderungen in den zugrundeliegenden Daten, die sie verarbeiten. Ein Tool, das bei der Einführung einen Bias-Audit bestanden hat, könnte diesen achtzehn Monate später nicht mehr bestehen.
„Je mehr die Modelle driften, desto mehr Risiko übernehmen Sie“, sagte Howard. „Sie müssen Ihre Leute befähigen, den Mund aufzumachen, wenn etwas nicht stimmt.“
Testen zu Ihren eigenen Bedingungen
Das Fehlen eines verpflichtenden bundesweiten Rahmens bedeutet, dass Organisationen weitgehend ihre eigenen Testprotokolle entwerfen müssen. Kellys Rat dazu war unverblümt.
„Sie sind auf sich allein gestellt“, sagte er. „Das ist die Realität."
Die praktische Konsequenz ist, dass Organisationen ihre eigenen Bias-Tests kontinuierlich durchführen und dies mit rechtlicher Absicherung tun müssen. Tests unter Anwaltsgeheimnis ermöglichen es Organisationen, Probleme offenzulegen, ohne automatisch gerichtlich verwertbare Beweise für diese Probleme zu schaffen.
Es ist eine Investition mit eindeutigem Mehrwert, insbesondere für Organisationen, die KI im Recruiting einsetzen – dort ist das rechtliche Risiko am größten und die Anforderungen an die Dokumentation sind am strengsten.
Die Organisationen, die in dieser Hinsicht vorausgehen, verlassen sich nicht mehr darauf, dass der Anbieter die Arbeit erledigt hat, sondern behandeln KI-Governance als operative Disziplin mit echter Verantwortung, echtem Testen und echter Rechenschaftspflicht.