Massnahmen zur Risikominderung
Lerne vier Strategien zur KI-Risikominderung: Vermeiden, Reduzieren, Uebertragen und Akzeptieren — mit konkreten Massnahmen.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In Lektion 5 hast du die DSFA fuer KI-Systeme erstellt — mit den drei Dimensionen Erklaerbarkeit, Bias und Dynamik. Jetzt geht es darum, was du mit den identifizierten Risiken konkret machst.
Du hast die Risiken identifiziert und bewertet. Jetzt kommt die entscheidende Frage: Was tust du damit? In dieser Lektion lernst du die vier Steuerungsstrategien und wie du sie auf KI-Risiken anwendest.
Die vier Strategien
Jedes Risiko wird mit einer von vier Strategien behandelt:
| Strategie | Wann | Beispiel |
|---|---|---|
| Vermeiden | Risiko ist zu hoch, Nutzen zu gering | System nicht einsetzen oder Verwendungszweck aendern |
| Reduzieren | Risiko ist hoch, aber Nutzen ueberwiegt | Technische/organisatorische Massnahmen |
| Uebertragen | Risiko laesst sich vertraglich verlagern | AVV, Versicherung, Anbietergarantien |
| Akzeptieren | Restrisiko ist gering und dokumentiert | Bewusste Entscheidung, dokumentiert |
Die Reihenfolge ist wichtig: Pruefe zuerst, ob du vermeiden solltest. Dann reduziere, was moeglich ist. Uebertrage, was vertraglich moeglich ist. Akzeptiere nur, was uebrig bleibt.
Strategie 1: Vermeiden
Manchmal ist die beste Massnahme, ein KI-System nicht einzusetzen — oder den Verwendungszweck zu aendern.
Wann Vermeiden sinnvoll ist:
- Das System faellt unter Art. 5 (verboten)
- Das Risiko-Nutzen-Verhaeltnis ist negativ
- Es gibt eine weniger riskante Alternative
Praxis-Beispiel: Ein Unternehmen will Emotionserkennung im Kundenservice einsetzen. Die DSFA ergibt: Hohes Bias-Risiko, fragliche Rechtmaessigkeit, geringer nachgewiesener Nutzen. Entscheidung: Vermeiden — stattdessen regelmaessige Kundenbefragungen.
✅ Quick Check: Wann ist “Vermeiden” keine sinnvolle Option? (Tipp: Wenn das System bereits erfolgreich laeuft und der Nutzen klar belegt ist — dann ist Reduzieren besser als abschalten.)
Strategie 2: Reduzieren
Die haeufigste Strategie bei Hochrisiko-Systemen. Ziel: Risiko auf ein akzeptables Niveau senken.
Technische Massnahmen
| Risiko | Massnahme | Aufwand |
|---|---|---|
| Black-Box-Entscheidungen | Explainable-AI-Modul (SHAP, LIME) | Mittel |
| Bias in Trainingsdaten | Bias-Audit mit repraesentativen Testdaten | Hoch |
| Unkontrolliertes Nachlernen | Modell-Versionierung, Freeze nach Validierung | Mittel |
| Datenschutz-Verletzung | Anonymisierung, Pseudonymisierung, On-Premise | Hoch |
| Fehlende Protokollierung | Logging aller Eingaben und Ausgaben | Gering |
Organisatorische Massnahmen
| Risiko | Massnahme | Aufwand |
|---|---|---|
| Fehlende menschliche Aufsicht | Schwellenwerte fuer manuelle Pruefung definieren | Gering |
| Automation Bias | Schulung + regelmaessige Stichproben | Mittel |
| Unklare Verantwortlichkeit | Rollen definieren (KI-Beauftragter, Fachabteilung) | Gering |
| Mitarbeiter-Unsicherheit | KI-Nutzungsrichtlinie + Schulung | Mittel |
| Schatten-KI | Genehmigungs-Workflow + Enterprise-Lizenzen | Mittel |
Das Massnahmen-Bundle
In der Praxis brauchst du meistens eine Kombination aus technischen und organisatorischen Massnahmen. Einzelmassnahmen reichen selten.
Beispiel Recruiting-KI:
- Technisch: Bias-Audit vor Go-live + XAI-Modul
- Organisatorisch: Schwellenwert (Score < 60% → menschliche Pruefung), Stichproben
- Vertraglich: AVV mit KI-spezifischen Klauseln
- Monitoring: Quartalsweises Reporting nach Geschlecht/Alter/Herkunft
Strategie 3: Uebertragen
Manche Risiken lassen sich vertraglich verlagern — aber nie vollstaendig.
Was du uebertragen kannst:
- Technische Sicherheit → AVV mit Anbieter
- Datenverlust → Cyber-Versicherung
- Modellqualitaet → SLA mit Leistungskriterien
- Compliance-Nachweis → Zertifizierung des Anbieters (ISO 42001)
Was du NICHT uebertragen kannst:
- Deine Deployer-Pflichten nach EU AI Act (Art. 26)
- Deine Verantwortung als Verantwortlicher nach DSGVO
- Die Entscheidung ueber den Verwendungszweck
Wichtig: Der Anbieter-AVV ergaenzt deine Massnahmen — er ersetzt sie nicht. Du bleibst als Deployer verantwortlich fuer die korrekte Nutzung.
Strategie 4: Akzeptieren
Restrisiko bewusst akzeptieren — aber nur wenn:
- Alle anderen Strategien ausgeschoepft sind
- Das Restrisiko dokumentiert und begruendet ist
- Die Geschaeftsleitung die Akzeptanz formell genehmigt
- Ein Monitoring fuer das akzeptierte Risiko besteht
Beispiel: Nach Bias-Audit, XAI-Modul und Schwellenwerten bleibt ein Restrisiko von 2% Diskrepanz zwischen Gruppen. Das ist unter dem Branchendurchschnitt. Entscheidung: Akzeptieren — mit quartalsweisem Monitoring.
Der Massnahmenplan
Jede Massnahme wird strukturiert dokumentiert:
| Feld | Beschreibung |
|---|---|
| Risiko-ID | Verweis auf die Risikobewertung |
| Massnahme | Was konkret getan wird |
| Strategie | Vermeiden / Reduzieren / Uebertragen / Akzeptieren |
| Verantwortlich | Name + Rolle |
| Frist | Wann muss die Massnahme umgesetzt sein? |
| KPI | Wie misst du den Erfolg? |
| Status | Geplant / In Umsetzung / Umgesetzt / Ueberprueft |
| Review-Zyklus | Wie oft wird die Wirksamkeit geprueft? |
Priorisierung: Was zuerst?
Nicht alle Massnahmen koennen gleichzeitig umgesetzt werden. Priorisiere nach:
- Kritische Risiken → sofort (vor Inbetriebnahme)
- Hohe Risiken → kurzfristig (innerhalb 4 Wochen nach Inbetriebnahme)
- Mittlere Risiken → mittelfristig (innerhalb eines Quartals)
- Geringe Risiken → dokumentieren und beobachten
Key Takeaways
- Vier Strategien: Vermeiden → Reduzieren → Uebertragen → Akzeptieren — in dieser Reihenfolge pruefen
- Reduzieren ist die haeufigste Strategie: Kombination aus technischen und organisatorischen Massnahmen
- Uebertragen ergaenzt, ersetzt aber nie deine eigene Verantwortung als Deployer
- Jede Massnahme braucht einen KPI, einen Verantwortlichen und einen Review-Zyklus
- Akzeptieren nur mit dokumentierter Begruendung und Geschaeftsleitungs-Freigabe
Up Next
In der naechsten Lektion geht es ums Monitoring: Wie ueberwachst du KI-Risiken laufend und wann musst du neu bewerten?
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!