Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

AI / KI: Gefährdungsbeurteilung

Facility Management: AI » Strategie » Betreiberpflichten » Gefährdungsbeurteilung

Gefährdungsbeurteilung für KI-Systeme im Facility Management und Betreiberpflichten

Gefährdungsbeurteilung für KI-Systeme im FM

Die Gefährdungsbeurteilung für KI-Systeme analysiert potenzielle Risiken bei Entwicklung, Implementierung und Betrieb künstlicher Intelligenz im Facility Management. Sie berücksichtigt technische Fehlfunktionen, Datenverarbeitung, Cyberangriffe sowie mögliche Verzerrungen in Entscheidungsprozessen. Grundlage bilden rechtliche Anforderungen wie Datenschutz- und Sicherheitsvorgaben sowie neue europäische Regelwerke zur Regulierung von KI-Systemen. Eine strukturierte Gefährdungsanalyse unterstützt Betreiber dabei, Risiken systematisch zu identifizieren, geeignete Maßnahmen abzuleiten und den sicheren Einsatz von KI-gestützten Anwendungen zu gewährleisten.

Rechtliche Grundlagen und Trends

Grundlagen und Trends

  • EU AI Act: Ein in Europa erlassener Rechtsrahmen, der KI-Anwendungen nach ihrem Risikopotenzial einstuft (zum Beispiel in hochriskante oder verbotene Anwendungen) und hierfür Vorschriften zur Transparenz, Qualitätssicherung und menschlichen Aufsicht vorsieht.

  • Datenschutzvorgaben: Bei Verarbeitung personenbezogener Daten durch KI-Systeme gelten unverändert die Datenschutz-Grundverordnung (DSGVO) und nationale Datenschutzgesetze.

  • Produktsicherheits- und Haftungsrecht: Bei KI-gesteuerten Maschinen oder Produkten greifen produkthaftungsrechtliche Bestimmungen. Bei Fehlfunktionen oder unzureichender Absicherung können Unternehmen haften.

  • Arbeitsschutz und Mitbestimmung: In vielen Ländern müssen Unternehmen auch KI-getriebene Prozesse in die regulären Arbeitsschutzmaßnahmen (zum Beispiel Gefährdungsbeurteilung nach ArbSchG) einbinden. In Deutschland ist bei der Einführung überwachender oder leistungssteuernder KI-Systeme eine Beteiligung des Betriebsrats erforderlich.

Zukünftige Gesetzgebung für KI-Anwendungen

Die Gesetzgebung wird sich in den nächsten Jahren weiterentwickeln, mit einem deutlichen Trend zu mehr Transparenz- und Prüfvorgaben. Künftig sind strengere Audits, Zertifizierungen und Dokumentationspflichten für risikoreiche KI-Anwendungen zu erwarten.

Technische Risiken und Schutzmaßnahmen

  • Fehlfunktionen in sicherheitskritischen Bereichen: Beispiel: KI-gesteuerte Roboterarme oder autonome Fahrzeuge, bei denen Softwarefehler oder mangelhaftes Training zu Unfällen führen.

  • Maßnahmen: Gründliche Testläufe unter realistischen Bedingungen, Sicherheitskreise (Not-Aus-Schalter), laufendes Monitoring.

  • Manipulationsgefahr und Cyberangriffe: KI-Modelle können durch Angreifer manipuliert oder „vergiftet“ werden, sodass sie falsche Entscheidungen treffen.

  • Maßnahmen: Starke IT-Sicherheitsarchitektur, Zugangsbeschränkungen, regelmäßige Updates und Sicherheitsprüfungen der KI-Modelle.

  • Intransparenz von Algorithmen („Black Box“) und fehlerhafte Datengrundlage: Datenverzerrungen oder ungeeignete Trainingsdaten können zu verzerrten bzw. diskriminierenden Ergebnissen führen.

  • Maßnahmen: Qualitätssicherung der Trainingsdaten, Überprüfung auf Verzerrungen, Einsatz erklärbarer KI-Verfahren (Explainable AI), regelmäßige Audits.

Organisatorische Risiken und Schutzmaßnahmen

  • Verantwortungs- und Prozessunsicherheit: Fehlende Klarheit darüber, wer im Falle einer KI-basierten Entscheidung haftet oder den Prozess freigibt.

  • Maßnahmen: Eindeutige Verantwortlichkeiten, menschliche Letztentscheidungsinstanz für kritische Prozesse, Dokumentation aller KI-Entscheidungen

  • Fehlende Qualifikation: Mitarbeitende kennen die Funktionsweise der KI nicht, neigen zu Fehlbedienung oder überlassen die Verantwortung vollständig dem System.

  • Maßnahmen: Schulungen im Umgang mit KI, Sensibilisierung für technologische Grenzen und Fehlermöglichkeiten, klare Handlungsanweisungen.

  • Integrationsprobleme: KI-Anwendungen werden nicht nahtlos in vorhandene IT-Systeme oder Prozessabläufe eingebettet, es entstehen Reibungsverluste oder Sicherheitslücken.

  • Maßnahmen: Klare Projektplanung, Schnittstellen- und Sicherheitskonzept, Testphase vor dem Produktivbetrieb, IT-Fachabteilung in alle Schritte einbinden.

Psychosoziale Risiken und Change-Management

  • Angst vor Arbeitsplatzverlust und Entqualifizierung: Beschäftigte befürchten den Wegfall von Tätigkeiten, fühlen sich von hochautomatisierten Prozessen verdrängt.

  • Maßnahmen: Offen kommunizierte Strategie, rechtzeitige und transparente Information, Umschulungsangebote, neue Einsatzfelder für Beschäftigte aufzeigen.

  • Erhöhter Leistungs- und Überwachungsdruck: KI-Systeme können Leistungsdaten in Echtzeit erfassen und werten, was zu gesteigertem Kontrolldruck führt.

  • Maßnahmen: Betriebsrat einbeziehen, klare Richtlinien zur Datennutzung definieren, Datenschutz wahren, sinnvolle Grenzen bei der Messung individueller Leistung.

  • Monotonie und psychische Überforderung: Arbeiten werden automatisiert, während Beschäftigte nur noch einfache Kontrollfunktionen ausführen.

  • Maßnahmen: Job-Enrichment, Weiterbildungsprogramme, verteilte Verantwortung, regelmäßige Feedbackrunden zum Belastungserleben.

Zukunftsperspektiven und Trends

  • Zunahme an Zertifizierungen: Ähnlich wie TÜV-Prüfungen könnte es künftig verpflichtende Audits für hochriskante KI-Anwendungen geben.

  • Stärkere Normierung: Internationale Standards für KI-Qualität, -Transparenz und -Sicherheit werden derzeit entwickelt.

  • Mehr Fokussierung auf Ethik und Nachhaltigkeit: Unternehmen müssen nicht nur ökonomische, sondern auch soziale und ökologische Verantwortung übernehmen, wenn sie KI-Systeme betreiben.

  • Schnelle technologische Entwicklung: Neue KI-Modelle (zum Beispiel generative KI) erfordern regelmäßige Anpassungen der Gefährdungsbeurteilung an neuartige Risiken.

Mustergültige Gefährdungsbeurteilung – Vorlage

Unternehmen: FM-Connect.com Network GmbH

Bereich: Einführung und Anwendung KI-Systeme (Allgemeine Unternehmensprozesse)

Verantwortliche Person: KI-Projektleitung, Fachkraft für Arbeitssicherheit, Datenschutzbeauftragte

Datum: TT.MM.JJJJ

Beschreibung der Tätigkeiten

  • Entwicklung, Implementierung und Betrieb verschiedener KI-Anwendungen (z. B. in Logistik, Personalwesen, IT-Sicherheit, Marketing).

  • Verarbeitung großer Datenmengen, teils personenbezogener Informationen.

  • Einsatz von Algorithmen zum autonomen oder teilautonomen Treffen von Entscheidungen.

Identifizierte Gefährdungen

  • Technische Fehlfunktion: Unsichere Algorithmen, Fehleinschätzung durch unzureichendes Training, mögliche Unfälle bei robotergestütztem Einsatz.

  • Manipulation und Cyberangriffe: Unbefugter Zugriff auf Trainingsdaten, gezielte Täuschung der KI, Sicherheitslücken.

  • Intransparenz und Diskriminierung: Mangelnde Erklärbarkeit der Ergebnisse, verzerrte Datengrundlage (Bias).

  • Psychosoziale Risiken: Stress, Verunsicherung, Überwachungsdruck, Angst vor Arbeitsplatzverlust.

  • Organisatorische Unklarheiten: Fehlende Zuständigkeiten, Unklarheit bei Haftung oder Freigabeprozessen.

Risikobewertung

  • Technische Fehlfunktionen: mittlere bis hohe Schadensschwere (abhängig vom Anwendungsfall, z. B. höhere Relevanz bei autonomen Systemen).

  • Cyberangriffe: hohe Eintrittswahrscheinlichkeit (generelle Zunahme von Hackerangriffen auf KI-Systeme).

  • Diskriminierung durch Bias: mittlere Wahrscheinlichkeit, hohe Reputations- und Haftungsrisiken.

  • Psychosoziale Belastungen: hoch, wenn unklar kommuniziert oder massiv kontrollierend eingesetzt.

  • Organisatorische Unklarheiten: mittel; Führt zu Fehlentscheidungen, Haftungsfragen, Ineffizienz.

Festlegung der Schutzmaßnahmen

  • Technische Maßnahmen: Qualitätssicherung der Trainingsdaten (regelmäßige Datenprüfungen, Testläufe mit repräsentativen Szenarien).

  • Sicherheitsarchitektur (Firewall, Zugriffskontrollen, Verschlüsselung, regelmäßige Penetrationstests).

  • Erklärbare KI-Verfahren (wo möglich) oder Transparenz über Entscheidungsregeln.

Organisatorische Maßnahmen

  • Definierte Verantwortlichkeiten (Benennung eines KI-Verantwortlichen, Pflichtenheft für Betrieb und Wartung).

  • Einbindung der Fachkraft für Arbeitssicherheit, des Datenschutzbeauftragten und ggf. des Betriebsrats in alle Projektphasen.

  • Leitlinien und Policies für KI-Einsatz (Ethik- und Compliance-Richtlinien).

Schulungen und Qualifizierung

  • Regelmäßige Mitarbeiterunterweisungen zur Bedienung von KI-Systemen und zum Erkennen von Fehlfunktionen.

  • Workshops zu Datenschutz und Datensicherheit, Sensibilisierung für KI-Risiken (Bias, Intransparenz).

  • Fachtrainings für Entwicklungs- und IT-Teams, z. B. zu robustem KI-Design.

Psychosoziale Prävention

  • Change-Management-Prozesse bei größeren Umstellungen, transparente Kommunikation über Ziele und Nutzen der KI.

  • Vermeidung von übermäßiger Kontrolle (Datenschutzkonzept, Einhaltung gesetzlicher Grenzen bei Überwachungsfunktionen).

  • Angebote für berufliche Weiterentwicklung, um potenziellen Arbeitsplatzabbau durch Automatisierung abzufedern.

Wirksamkeitskontrolle

  • Regelmäßige Überprüfung der KI-Systeme auf Leistung, Sicherheit und Datenschutz-Compliance.

  • Dokumentation aller kritischen Ereignisse, z. B. Fehlalarme oder Diskriminierungsfälle, und Ableitung von Verbesserungsmaßnahmen.

  • Jährliche Aktualisierung der Gefährdungsbeurteilung, Anpassung bei wesentlichen Änderungen (neue KI-Funktionen, Gesetzesreformen).

Schlussfolgerung

Eine kontinuierliche Überwachung der technischen, organisatorischen und psychosozialen Faktoren ist entscheidend, um KI-Systeme sicher zu betreiben. Diese Gefährdungsbeurteilung schafft die Grundlage, um nicht nur geltende Gesetze einzuhalten, sondern auch die Akzeptanz in der Belegschaft zu sichern und gleichzeitig die Potenziale der KI bestmöglich zu nutzen.