Anbieter zum Thema

IMTB Consulting GmbH

Ceyoniq Technology GmbH

The Quality Group GmbH

mgm technology partners GmbH

Kontext als Compliance-Ebene und schutzbedürftiges Gut

Im öffentlichen Sektor ist Kontextmanagement nicht nur eine Qualitätsfrage, sondern wird zu einer eigenen Compliance-Ebene. Gefordert werden durch die KI-VO schon bald Risikomanagement, Monitoring, technische Dokumentation, Protokollierung, menschliche Aufsicht sowie Genauigkeit und Robustheit. Die DSK-Orientierungshilfe macht zusätzlich deutlich, dass jede Wissensbasis (= Kontext für KI) mit personenbezogenen Daten selbst zur Verarbeitungshandlung wird – mit entsprechenden Folgen für Zweckbindung, Berechtigungsmodelle, Betroffenenrechte und Löschkonzepte.

Aus Sicht der IT-Sicherheit verändert sich die Bedrohungslage quantitativ und qualitativ durch Prompt Injection über manipulierte Dokumente, Datenabzug durch clever formulierte Anfragen, Veränderung der eigenen Wissensbasis durch extern erstellte Kontext-Verknüpfungen und die o.g. Einschränkung der Souveränität über das institutionelle Wissen.

Besonders weitreichend ist ein Aspekt, der leicht übersehen wird: Eine Wissensbasis, auf deren Grundlage Bescheide vorbereitet werden, wird mittelbar selbst Teil des Verwaltungshandelns. Die Begründungspflicht nach § 39 VwVfG greift auf den Kontextspeicher durch und Anwendende in Behörden „erben“ somit die Verantwortung für die Richtigkeit der Quelle.

Einfach die Finger davon lassen?

Jetzt könnte man beschließen, erstmal die Finger davon zu lassen. KI wird nur in isolierten und gut kontrollierbaren Use Cases eingesetzt und der Kontextschatz bleibt dort, wo er ist: im Nirvana von etlichen Gehirnen, Dokumentationen und Systemen.

Zwei Argumente dagegen:

Zunächst die Wiederholung meines zentralen Arguments: Wer diesen Schatz nicht hütet und pflegt, verschwendet diese Ressource bzw. überlässt die Erschließung derselben der Privatwirtschaft, mit den beschriebenen Folgen.

Aber auch die anfangs beschriebene Tendenz zur Konvergenz spielt eine entscheidende Rolle, weil sie sich eben nicht nur bei KI-Modellen zeigt. Sie betrifft auch die Konvergenz in dem Dreieck „Kommerzieller Sektor“, „Anwendende“ und „Öffentlicher Sektor“. Private KI-Nutzung geht voran, wird schnell von der Privatwirtschaft adaptiert und prägt die Erwartungshaltung und das Nutzungsverhalten von Bürgerinnen und Bürgern auch gegenüber der Öffentlichen Verwaltung, so wie Internet, E-Mail und Smartphones.

Selbst wenn Behörden erst einmal auf prozessunterstützende KI verzichten, wird KI in Bürgerhand schon bald die „menschliche Taktung“ von Vorgängen übersteigen. Man möchte sich kaum ausmalen, welche strukturelle Asymmetrie das in Zeiten von zunehmenden Personalengpässen verursachen könnte, wenn sich KI-generierte Anträge, Widersprüche und lange rechtliche Argumentationen oder von KI-Agenten überwachte Ansprüche und Fristen durchsetzen.

Aber gerade deswegen sollten wir es uns ausmalen und dann nochmals über aktives Kontextmanagement nachdenken.

Was jetzt zu tun ist

Kontextmanagement ist weder rein technisch noch rein fachlich – es sitzt an der Schnittstelle. Behörden brauchen für KI neue Management-Systeme, wie zum Beispiel ein KI-Management-System (KIMS) nach ISO 42001, neue Rollenprofile und eine engere Verzahnung von Fachabteilung und IT.

Die Handlungsaufforderung ist eindeutig: Behörden sollten ihren Kontext explizit als strategisches Asset deklarieren, ihn als eigenständige Dimension der IT-Sicherheit anerkennen und ihn als verwaltungsrechtlich relevante Entscheidungsinfrastruktur behandeln. Wer das versäumt, übergibt die Schlüssel der Kontextschatztruhe an Dritte und wird mit neuen Dimensionen der IT-Sicherheit konfrontiert.

TR-Resiscan 1.5

Mit Signatur und Siegel

Kommentar von Bettina Tratz-Ryan, Gartner

Warum KI-Projekte an ihren Daten scheitern

(ID:50839079)