Massnahmen zur Risikominderung

🔄 Kurzer Rueckblick: In Lektion 5 hast du die DSFA fuer KI-Systeme erstellt — mit den drei Dimensionen Erklaerbarkeit, Bias und Dynamik. Jetzt geht es darum, was du mit den identifizierten Risiken konkret machst.

Du hast die Risiken identifiziert und bewertet. Jetzt kommt die entscheidende Frage: Was tust du damit? In dieser Lektion lernst du die vier Steuerungsstrategien und wie du sie auf KI-Risiken anwendest.

Die vier Strategien

Jedes Risiko wird mit einer von vier Strategien behandelt:

Strategie	Wann	Beispiel
Vermeiden	Risiko ist zu hoch, Nutzen zu gering	System nicht einsetzen oder Verwendungszweck aendern
Reduzieren	Risiko ist hoch, aber Nutzen ueberwiegt	Technische/organisatorische Massnahmen
Uebertragen	Risiko laesst sich vertraglich verlagern	AVV, Versicherung, Anbietergarantien
Akzeptieren	Restrisiko ist gering und dokumentiert	Bewusste Entscheidung, dokumentiert

Die Reihenfolge ist wichtig: Pruefe zuerst, ob du vermeiden solltest. Dann reduziere, was moeglich ist. Uebertrage, was vertraglich moeglich ist. Akzeptiere nur, was uebrig bleibt.

Strategie 1: Vermeiden

Manchmal ist die beste Massnahme, ein KI-System nicht einzusetzen — oder den Verwendungszweck zu aendern.

Wann Vermeiden sinnvoll ist:

Das System faellt unter Art. 5 (verboten)
Das Risiko-Nutzen-Verhaeltnis ist negativ
Es gibt eine weniger riskante Alternative

Praxis-Beispiel: Ein Unternehmen will Emotionserkennung im Kundenservice einsetzen. Die DSFA ergibt: Hohes Bias-Risiko, fragliche Rechtmaessigkeit, geringer nachgewiesener Nutzen. Entscheidung: Vermeiden — stattdessen regelmaessige Kundenbefragungen.

✅ Quick Check: Wann ist “Vermeiden” keine sinnvolle Option? (Tipp: Wenn das System bereits erfolgreich laeuft und der Nutzen klar belegt ist — dann ist Reduzieren besser als abschalten.)

Strategie 2: Reduzieren

Die haeufigste Strategie bei Hochrisiko-Systemen. Ziel: Risiko auf ein akzeptables Niveau senken.

Technische Massnahmen

Risiko	Massnahme	Aufwand
Black-Box-Entscheidungen	Explainable-AI-Modul (SHAP, LIME)	Mittel
Bias in Trainingsdaten	Bias-Audit mit repraesentativen Testdaten	Hoch
Unkontrolliertes Nachlernen	Modell-Versionierung, Freeze nach Validierung	Mittel
Datenschutz-Verletzung	Anonymisierung, Pseudonymisierung, On-Premise	Hoch
Fehlende Protokollierung	Logging aller Eingaben und Ausgaben	Gering

Organisatorische Massnahmen

Risiko	Massnahme	Aufwand
Fehlende menschliche Aufsicht	Schwellenwerte fuer manuelle Pruefung definieren	Gering
Automation Bias	Schulung + regelmaessige Stichproben	Mittel
Unklare Verantwortlichkeit	Rollen definieren (KI-Beauftragter, Fachabteilung)	Gering
Mitarbeiter-Unsicherheit	KI-Nutzungsrichtlinie + Schulung	Mittel
Schatten-KI	Genehmigungs-Workflow + Enterprise-Lizenzen	Mittel

Das Massnahmen-Bundle

In der Praxis brauchst du meistens eine Kombination aus technischen und organisatorischen Massnahmen. Einzelmassnahmen reichen selten.

Beispiel Recruiting-KI:

Technisch: Bias-Audit vor Go-live + XAI-Modul
Organisatorisch: Schwellenwert (Score < 60% → menschliche Pruefung), Stichproben
Vertraglich: AVV mit KI-spezifischen Klauseln
Monitoring: Quartalsweises Reporting nach Geschlecht/Alter/Herkunft

Strategie 3: Uebertragen

Manche Risiken lassen sich vertraglich verlagern — aber nie vollstaendig.

Was du uebertragen kannst:

Technische Sicherheit → AVV mit Anbieter
Datenverlust → Cyber-Versicherung
Modellqualitaet → SLA mit Leistungskriterien
Compliance-Nachweis → Zertifizierung des Anbieters (ISO 42001)

Was du NICHT uebertragen kannst:

Deine Deployer-Pflichten nach EU AI Act (Art. 26)
Deine Verantwortung als Verantwortlicher nach DSGVO
Die Entscheidung ueber den Verwendungszweck

Wichtig: Der Anbieter-AVV ergaenzt deine Massnahmen — er ersetzt sie nicht. Du bleibst als Deployer verantwortlich fuer die korrekte Nutzung.

Strategie 4: Akzeptieren

Restrisiko bewusst akzeptieren — aber nur wenn:

Alle anderen Strategien ausgeschoepft sind
Das Restrisiko dokumentiert und begruendet ist
Die Geschaeftsleitung die Akzeptanz formell genehmigt
Ein Monitoring fuer das akzeptierte Risiko besteht

Beispiel: Nach Bias-Audit, XAI-Modul und Schwellenwerten bleibt ein Restrisiko von 2% Diskrepanz zwischen Gruppen. Das ist unter dem Branchendurchschnitt. Entscheidung: Akzeptieren — mit quartalsweisem Monitoring.

Der Massnahmenplan

Jede Massnahme wird strukturiert dokumentiert:

Feld	Beschreibung
Risiko-ID	Verweis auf die Risikobewertung
Massnahme	Was konkret getan wird
Strategie	Vermeiden / Reduzieren / Uebertragen / Akzeptieren
Verantwortlich	Name + Rolle
Frist	Wann muss die Massnahme umgesetzt sein?
KPI	Wie misst du den Erfolg?
Status	Geplant / In Umsetzung / Umgesetzt / Ueberprueft
Review-Zyklus	Wie oft wird die Wirksamkeit geprueft?

Priorisierung: Was zuerst?

Nicht alle Massnahmen koennen gleichzeitig umgesetzt werden. Priorisiere nach:

Kritische Risiken → sofort (vor Inbetriebnahme)
Hohe Risiken → kurzfristig (innerhalb 4 Wochen nach Inbetriebnahme)
Mittlere Risiken → mittelfristig (innerhalb eines Quartals)
Geringe Risiken → dokumentieren und beobachten

Key Takeaways

Vier Strategien: Vermeiden → Reduzieren → Uebertragen → Akzeptieren — in dieser Reihenfolge pruefen
Reduzieren ist die haeufigste Strategie: Kombination aus technischen und organisatorischen Massnahmen
Uebertragen ergaenzt, ersetzt aber nie deine eigene Verantwortung als Deployer
Jede Massnahme braucht einen KPI, einen Verantwortlichen und einen Review-Zyklus
Akzeptieren nur mit dokumentierter Begruendung und Geschaeftsleitungs-Freigabe

Up Next

In der naechsten Lektion geht es ums Monitoring: Wie ueberwachst du KI-Risiken laufend und wann musst du neu bewerten?