Die Qualität künstlicher Intelligenz steht und fällt mit der Qualität ihrer Daten. Diese scheinbar banale Erkenntnis („Garbage in, garbage out“) hat der europäische Gesetzgeber zum Anlass genommen, in der KI-VO umfassende Anforderungen an die Daten-Governance für Hochrisiko-KI-Systeme zu formulieren. Art 10 KI-VO etabliert dabei einen rechtlichen Rahmen, der weit über technische Aspekte hinausgeht und Anbieter von KI-Systemen zukünftig vor neue Herausforderungen stellt.

Von der technischen zur rechtlichen Dimension

KI-Systeme basieren auf sogenannten „Machine Learning“-Modellen, die während des Trainingsprozesses die statistischen Eigenschaften ihrer (Trainings-)daten übernehmen. Weisen diese Datensätze Lücken, Fehler oder Verzerrungen auf, dann spiegelt sich dies zwangsläufig direkt oder indirekt in den Resultaten wider – zB in fehlerhaften Prognosen oder diskriminierenden Entscheidungen.

Praktische Compliance-Anforderungen

Art 10 KI-VO transformiert diese technische Realität in konkrete rechtliche Pflichten: Sofern Hochrisiko-KI-Systeme mit Daten trainiert werden, sind Trainings-, Validierungs- und Testdatensätze zu entwickeln, die den Qualitätsanforderungen des Art 10 Abs 2 bis 5 KI-VO entsprechen. Dies umfasst insbesondere eine Bewertung der Datensätze in Bezug auf Verfügbarkeit, Menge und Eignung sowie eine Untersuchung auf relevante Datenlücken oder sonstige Mängel. 

Darüber hinaus sind die Datensätze so auszugestalten, dass sie hinreichend repräsentativ und so weit wie möglich fehlerfrei und vollständig sind. Sicherzustellen ist auch, dass die Datensätze den geografischen, kontextuellen, verhaltensbezogenen oder funktionalen Rahmenbedingungen entsprechen, unter denen das Hochrisiko-KI-System bestimmungsgemäß verwendet werden soll.

Weiters müssen Anbieter ihre Entscheidungsgrundlagen bei der Datenauswahl nachvollziehbar dokumentieren, die Datenerhebungsverfahren und die Herkunft der Daten lückenlos nachweisen und sämtliche Datenaufbereitungsprozesse – etwa Annotation, Bereinigung oder Aggregierung – transparent gestalten. Von besonderer Bedeutung ist zudem die Pflicht zur systematischen Bias-Analyse, insbesondere dann, wenn Datenausgaben wiederum als Eingaben für nachgelagerte Prozesse verwendet werden und so Rückkopplungseffekte entstehen können.

Folgen für die Unternehmenspraxis

Die zukünftigen (rechtlichen) Anforderungen an die Daten-Governance verdeutlichen, dass der Einsatz von KI nicht allein eine technische, sondern in hohem Maße auch eine rechtliche und organisatorische Aufgabe ist. Frühzeitige Investitionen in tragfähige Datenmanagement-Prozesse sowie eine kontinuierliche Dokumentation sind daher unverzichtbar – sowohl zur Erfüllung regulatorischer Pflichten als auch zur Schaffung einer vertrauenswürdigen Grundlage für den Einsatz von KI.

Unser KWR-Datenschutzteam unterstützt Sie gerne dabei, Daten-Governance als integralen Bestandteil Ihrer KI-Compliance zu verankern und so den rechtssicheren Weg zu leistungsfähigen und verantwortungsvollen KI-Systemen zu ebnen.