AI / KI: Gefährdungsbeurteilung

• Fehlfunktionen in sicherheitskritischen Bereichen: Beispiel: KI-gesteuerte Roboterarme oder autonome Fahrzeuge, bei denen Softwarefehler oder mangelhaftes Training zu Unfällen führen.

• Maßnahmen: Gründliche Testläufe unter realistischen Bedingungen, Sicherheitskreise (Not-Aus-Schalter), laufendes Monitoring.

• Manipulationsgefahr und Cyberangriffe: KI-Modelle können durch Angreifer manipuliert oder „vergiftet“ werden, sodass sie falsche Entscheidungen treffen.

• Maßnahmen: Starke IT-Sicherheitsarchitektur, Zugangsbeschränkungen, regelmäßige Updates und Sicherheitsprüfungen der KI-Modelle.

• Intransparenz von Algorithmen („Black Box“) und fehlerhafte Datengrundlage: Datenverzerrungen oder ungeeignete Trainingsdaten können zu verzerrten bzw. diskriminierenden Ergebnissen führen.

• Maßnahmen: Qualitätssicherung der Trainingsdaten, Überprüfung auf Verzerrungen, Einsatz erklärbarer KI-Verfahren (Explainable AI), regelmäßige Audits.

• Verantwortungs- und Prozessunsicherheit: Fehlende Klarheit darüber, wer im Falle einer KI-basierten Entscheidung haftet oder den Prozess freigibt.

• Maßnahmen: Eindeutige Verantwortlichkeiten, menschliche Letztentscheidungsinstanz für kritische Prozesse, Dokumentation aller KI-Entscheidungen

• Fehlende Qualifikation: Mitarbeitende kennen die Funktionsweise der KI nicht, neigen zu Fehlbedienung oder überlassen die Verantwortung vollständig dem System.

• Maßnahmen: Schulungen im Umgang mit KI, Sensibilisierung für technologische Grenzen und Fehlermöglichkeiten, klare Handlungsanweisungen.

• Integrationsprobleme: KI-Anwendungen werden nicht nahtlos in vorhandene IT-Systeme oder Prozessabläufe eingebettet, es entstehen Reibungsverluste oder Sicherheitslücken.

• Maßnahmen: Klare Projektplanung, Schnittstellen- und Sicherheitskonzept, Testphase vor dem Produktivbetrieb, IT-Fachabteilung in alle Schritte einbinden.

• Angst vor Arbeitsplatzverlust und Entqualifizierung: Beschäftigte befürchten den Wegfall von Tätigkeiten, fühlen sich von hochautomatisierten Prozessen verdrängt.

• Maßnahmen: Offen kommunizierte Strategie, rechtzeitige und transparente Information, Umschulungsangebote, neue Einsatzfelder für Beschäftigte aufzeigen.

• Erhöhter Leistungs- und Überwachungsdruck: KI-Systeme können Leistungsdaten in Echtzeit erfassen und werten, was zu gesteigertem Kontrolldruck führt.

• Maßnahmen: Betriebsrat einbeziehen, klare Richtlinien zur Datennutzung definieren, Datenschutz wahren, sinnvolle Grenzen bei der Messung individueller Leistung.

• Monotonie und psychische Überforderung: Arbeiten werden automatisiert, während Beschäftigte nur noch einfache Kontrollfunktionen ausführen.

• Maßnahmen: Job-Enrichment, Weiterbildungsprogramme, verteilte Verantwortung, regelmäßige Feedbackrunden zum Belastungserleben.

• Zunahme an Zertifizierungen: Ähnlich wie TÜV-Prüfungen könnte es künftig verpflichtende Audits für hochriskante KI-Anwendungen geben.

• Stärkere Normierung: Internationale Standards für KI-Qualität, -Transparenz und -Sicherheit werden derzeit entwickelt.

• Mehr Fokussierung auf Ethik und Nachhaltigkeit: Unternehmen müssen nicht nur ökonomische, sondern auch soziale und ökologische Verantwortung übernehmen, wenn sie KI-Systeme betreiben.

• Schnelle technologische Entwicklung: Neue KI-Modelle (zum Beispiel generative KI) erfordern regelmäßige Anpassungen der Gefährdungsbeurteilung an neuartige Risiken.

Unternehmen: FM-Connect.com Network GmbH

Bereich: Einführung und Anwendung KI-Systeme (Allgemeine Unternehmensprozesse)

Verantwortliche Person: KI-Projektleitung, Fachkraft für Arbeitssicherheit, Datenschutzbeauftragte

Datum: TT.MM.JJJJ

• Entwicklung, Implementierung und Betrieb verschiedener KI-Anwendungen (z. B. in Logistik, Personalwesen, IT-Sicherheit, Marketing).

• Verarbeitung großer Datenmengen, teils personenbezogener Informationen.

• Einsatz von Algorithmen zum autonomen oder teilautonomen Treffen von Entscheidungen.

• Technische Fehlfunktion: Unsichere Algorithmen, Fehleinschätzung durch unzureichendes Training, mögliche Unfälle bei robotergestütztem Einsatz.

• Manipulation und Cyberangriffe: Unbefugter Zugriff auf Trainingsdaten, gezielte Täuschung der KI, Sicherheitslücken.

• Intransparenz und Diskriminierung: Mangelnde Erklärbarkeit der Ergebnisse, verzerrte Datengrundlage (Bias).

• Psychosoziale Risiken: Stress, Verunsicherung, Überwachungsdruck, Angst vor Arbeitsplatzverlust.

• Organisatorische Unklarheiten: Fehlende Zuständigkeiten, Unklarheit bei Haftung oder Freigabeprozessen.

• Technische Fehlfunktionen: mittlere bis hohe Schadensschwere (abhängig vom Anwendungsfall, z. B. höhere Relevanz bei autonomen Systemen).

• Cyberangriffe: hohe Eintrittswahrscheinlichkeit (generelle Zunahme von Hackerangriffen auf KI-Systeme).

• Diskriminierung durch Bias: mittlere Wahrscheinlichkeit, hohe Reputations- und Haftungsrisiken.

• Psychosoziale Belastungen: hoch, wenn unklar kommuniziert oder massiv kontrollierend eingesetzt.

• Organisatorische Unklarheiten: mittel; Führt zu Fehlentscheidungen, Haftungsfragen, Ineffizienz.

• Technische Maßnahmen: Qualitätssicherung der Trainingsdaten (regelmäßige Datenprüfungen, Testläufe mit repräsentativen Szenarien).

• Sicherheitsarchitektur (Firewall, Zugriffskontrollen, Verschlüsselung, regelmäßige Penetrationstests).

• Erklärbare KI-Verfahren (wo möglich) oder Transparenz über Entscheidungsregeln.

• Definierte Verantwortlichkeiten (Benennung eines KI-Verantwortlichen, Pflichtenheft für Betrieb und Wartung).

• Einbindung der Fachkraft für Arbeitssicherheit, des Datenschutzbeauftragten und ggf. des Betriebsrats in alle Projektphasen.

• Leitlinien und Policies für KI-Einsatz (Ethik- und Compliance-Richtlinien).

• Regelmäßige Mitarbeiterunterweisungen zur Bedienung von KI-Systemen und zum Erkennen von Fehlfunktionen.

• Workshops zu Datenschutz und Datensicherheit, Sensibilisierung für KI-Risiken (Bias, Intransparenz).

• Fachtrainings für Entwicklungs- und IT-Teams, z. B. zu robustem KI-Design.

• Change-Management-Prozesse bei größeren Umstellungen, transparente Kommunikation über Ziele und Nutzen der KI.

• Vermeidung von übermäßiger Kontrolle (Datenschutzkonzept, Einhaltung gesetzlicher Grenzen bei Überwachungsfunktionen).

• Angebote für berufliche Weiterentwicklung, um potenziellen Arbeitsplatzabbau durch Automatisierung abzufedern.

• Regelmäßige Überprüfung der KI-Systeme auf Leistung, Sicherheit und Datenschutz-Compliance.

• Dokumentation aller kritischen Ereignisse, z. B. Fehlalarme oder Diskriminierungsfälle, und Ableitung von Verbesserungsmaßnahmen.

• Jährliche Aktualisierung der Gefährdungsbeurteilung, Anpassung bei wesentlichen Änderungen (neue KI-Funktionen, Gesetzesreformen).

Eine kontinuierliche Überwachung der technischen, organisatorischen und psychosozialen Faktoren ist entscheidend, um KI-Systeme sicher zu betreiben. Diese Gefährdungsbeurteilung schafft die Grundlage, um nicht nur geltende Gesetze einzuhalten, sondern auch die Akzeptanz in der Belegschaft zu sichern und gleichzeitig die Potenziale der KI bestmöglich zu nutzen.