KI-Risikobewertung: Methoden, Pflichten und Praxisleitfaden
Kernaussage: Eine KI-Risikobewertung ist die systematische Analyse der potenziellen Schäden, die ein KI-System verursachen könnte — für Einzelpersonen, Organisationen und die Gesellschaft. Sie ist Pflichtbestandteil jedes Hochrisiko-KI-Systems nach EU AI Act.
Was ist eine KI-Risikobewertung?
Eine KI-Risikobewertung (engl. AI Risk Assessment) ist ein strukturierter Prozess zur Identifikation, Analyse und Bewertung der Risiken, die von einem KI-System ausgehen. Sie berücksichtigt technische Risiken (Modellversagen, Datenlecks, Bias) ebenso wie gesellschaftliche Risiken (Diskriminierung, Verletzung von Grundrechten) und operative Risiken (Abhängigkeit von Lieferanten, Systemausfälle).
Im Kontext des EU AI Acts ist die Risikobewertung kein optionaler Schritt: Anbieter von Hochrisiko-KI-Systemen sind verpflichtet, ein kontinuierliches Risikomanagementsystem zu betreiben (Artikel 9), das die gesamte Lebensdauer des Systems abdeckt.
Eine KI-Risikobewertung unterscheidet sich von einer klassischen IT-Risikoanalyse durch ihre Fokus auf KI-spezifische Risiken: algorithmischen Bias, Datendrift, mangelnde Erklärbarkeit und den Ausfall von Selbstlernmechanismen.
Kernschritte einer KI-Risikobewertung
1. Systemidentifikation und -klassifizierung
Klärung, welche Risikokategorie das System nach EU AI Act fällt und welche spezifischen Schadensszenarien relevant sind.
2. Risikoidentifikation
Systematische Analyse möglicher Schadenspfade: Datenfehler, Modell-Bias, Missbrauch durch Nutzer, Angriffe auf das System, unbeabsichtigte Konsequenzen.
3. Risikoanalyse und -bewertung
Bewertung von Eintrittswahrscheinlichkeit und Schadensausmaß für jedes identifizierte Risiko. Klassische Risikomatrizen werden um KI-spezifische Dimensionen erweitert.
4. Risikominderung
Definition von Gegenmaßnahmen: technische Kontrollen, prozessuale Safeguards, Human-in-the-Loop-Mechanismen, Monitoring-Systeme.
5. Residualrisiko-Akzeptanz
Entscheidung, ob verbleibende Risiken für den angestrebten Nutzen akzeptabel sind — und wer diese Entscheidung trifft und dokumentiert.
6. Kontinuierliches Monitoring
Laufende Überprüfung, ob neue Risiken entstehen (z. B. durch Datendrift oder veränderte Nutzungsmuster).
Praxisbeispiele im DACH-Kontext
Kreditinstitut in Frankfurt: Eine Bank bewertet vor dem Einsatz eines KI-gestützten Kreditscoring-Systems systematisch die Risiken für faire Kreditvergabe: Sie analysiert Trainingsdaten auf demografische Verzerrungen, definiert maximale Fehlerquoten und richtet ein monatliches Bias-Monitoring ein.
Produktionsunternehmen in der Steiermark: Ein Hersteller analysiert die Risiken seines KI-gestützten Qualitätskontrollsystems, legt akzeptable False-Negative-Raten fest und definiert Eskalationsprozesse, wenn die Erkennungsrate unter Schwellenwerte fällt.
Wie Knowlee Risikobeurteilung unterstützt
Knowlee klassifiziert alle KI-Workflows nach Risikoniveau und dokumentiert die zugrunde liegenden Annahmen. Hochrisiko-Aktionen erfordern zwingend menschliche Freigabe — ein technisch erzwungenes Risikominderungsmechanismus, der die Anforderungen des EU AI Acts direkt adressiert.
FAQ
Wie oft muss eine KI-Risikobewertung wiederholt werden? Nach EU AI Act ist ein kontinuierliches Risikomanagementsystem gefordert — nicht nur eine einmalige Bewertung. In der Praxis bedeutet dies regelmäßige Reviews (z. B. quartalsweise) und anlassbezogene Bewertungen bei wesentlichen Systemänderungen.
Wer führt die KI-Risikobewertung durch? Idealerweise ein interdisziplinäres Team: KI-Entwickler, Risikomanager, Datenschutzbeauftragte, Fachanwender und ggf. externe Experten. Für Hochrisikosysteme in bestimmten Bereichen kann eine Drittpartei-Bewertung erforderlich sein.
Was ist der Unterschied zwischen KI-Risikobewertung und DPIA? Eine Datenschutz-Folgenabschätzung (DPIA nach DSGVO) konzentriert sich auf Datenschutzrisiken. Eine KI-Risikobewertung ist breiter angelegt und schließt auch nicht-datenschutzbezogene Risiken wie Bias, Sicherheitslücken und Systemversagen ein.