Implementierung eines LLM in das eigene System
Die Implementierung eines Large Language Models (LLM) in die eigene Unternehmensdatenbank und das Training der KI erfordert sorgfältige Planung und Berücksichtigung rechtlicher Rahmenbedingungen, insbesondere im Hinblick auf den AI-Act. Um ein KI-Implementierungsprojekt erfolgreich durchzuführen, bedarf es vertragliche Regelungen, welche die Verantwortlichkeiten der Parteien sachgerecht aufteilt und erforderliche Schritte in Abhängigkeit zueinander setzt. Hier ist ein Überblick über die wesentlichen Schritte und Verantwortlichkeiten:
Die Integration eines LLM in die Unternehmensinfrastruktur kann erhebliche Vorteile bringen, darunter verbesserte Datenanalyse, automatisierte Kundenbetreuung und optimierte Geschäftsprozesse. Der AI-Act der Europäischen Union legt jedoch selbst bereits spezifische Verantwortlichkeiten für Bereitsteller und Nutzer solcher Technologien fest, um ethische und rechtliche Standards zu gewährleisten.
Planung und Zielsetzung
Zunächst ist im Vorwege des Projekts, ähnlich wie etwa bei einem Hausbau oder bei jedem Softwareprojekt eine umfassende Planung und Analyse erforderlich. Das Unternehmen sollte klare Ziele für die Implementierung des LLM formulieren. Welche spezifischen Probleme soll die KI lösen? Welche Datenquellen werden genutzt? Welche Schnittstellen müssen angebunden werden?
Es muss beiden Parteien bewusst werden, welche Rolle in dem Projekt übernommen werden. Insbesondere auf Nutzerseite ist oft eine Mentalität des „König Kunde“ fatal, weil dadurch schnell die eigene Mitwirkungspflicht unterschätzt wird. Ganz klar liegt die Hauptaufgabe aber aufgrund des überragenden Wissensvorsprungs beim Bereitsteller/Anbieter des LLM. Dieser muss zunächst sicherstellen, dass das LLM den Anforderungen des AI-Acts entspricht, einschließlich Transparenz und Nachvollziehbarkeit sowie notwendiger Dokumentation. Sodann muss der Bereitsteller zusammen mit dem Kunden dessen Anwendungsgebiete ergründen, wobei der Nutzer Nutzungsszenarien klar definieren und sicherstellen muss, dass die von ihm geplante Nutzung ethisch und rechtlich vertretbar nach dem AI-Act ist.
Datenbeschaffung und -vorbereitung
Die Parteien müssen sodann relevante Datenquellen innerhalb der Unternehmensdatenbank definieren. Dabei müssen die als relevant bezeichnete Daten bereinigt und formatiert werden, um sie für das Training des LLM vorzubereiten.
Hier ist es Aufgabe des Softwarehauses die Einhaltung der Datenqualität und -sicherheit durch das verwendete KI-Modell zu gewährleisten. Auch muss der Bereitsteller die vorhandenen Daten darauf analysieren, ob damit eine ausreichende Schulung durchgeführt werden kann und ob mit diesen Daten ein Lernerfolg nach der Vorstellung des Nutzers erzielt werden kann. Das Softwarehaus muss auch prüfen, ob die Daten im richtigen Format für das LLM vorliegen oder ob diese mit vertretbaren Aufwand in ein notwendiges Format migriert werden können. Der Anbieter muss auch sicherstellen, dass die Datenverarbeitung und die Abfrageergebnisse den Datenschutzbestimmungen entsprechen. Wohlgemerkt geht es hier nicht um Verantwortlichkeit nach der DSGVO. Für personenbezogene Daten bleibt die verarbeitende Stelle, also der Nutzer des LLM verantwortlich. Das in die Datenbestände des Anwenders integrierte KI-System darf aber keine unerlaubte Auswertung betreiben, was wiederum der Bereitsteller zu vertreten hat.
Die Verantwortung für die Bereitstellung und Pflege der Daten in der Datenbank verbleibt beim Anwender. Dieser muss sicherstellen, dass z.B. keine sensiblen oder personenbezogenen Daten ohne entsprechende Genehmigung verwendet werden.
Modelltraining
Wenn die Parteien die Daten vorbereitet haben, geht es in das Training. Hierfür nutzen sie die vorbereiteten Daten, um das LLM zu trainieren. Dies kann durch Supervised Learning, Unsupervised Learning oder Reinforcement Learning erfolgen.
Beim Training muss der Anbieter die technische Infrastruktur und Algorithmen für das Training bereitstellen. Hierbei hat er sicherzustellen, dass das Modell robust und frei von Bias (Fehlschlüssen der KI) ist.
Der Anwender muss den Lernprozess mit überwachen und eine Validierung der Ergebnisse durchführen. Er muss fortlaufend überprüfen, dass das Modell die gewünschten Ergebnisse liefert und ethische Standards einhält.
Implementierung und Integration
Ist das Training der KI mit den vorhandenen Daten beendet, kann das trainierte LLM in die bestehende IT-Infrastruktur des Unternehmens implementiert werden. Hierbei ist sicherzustellen, dass es nahtlos mit anderen Systemen und Anwendungen interagiert.
Dabei wird die Integration in das vorhandene System wie bei jedem anderen Softwareprojekt vom Bereitsteller durchgeführt. Dies kann als Dienstleistung oder als Werkvertrag ausformuliert werden. In jedem Fall muss der Bereitsteller sicherstellen, dass das Modell sicher und effizient arbeitet. Daneben muss er die Anwender in der Nutzung des Systems schulen und helfen, mögliche Anwendungsfehler mit ausreichender Anwenderdokumentation (Handbuch) zu vermeiden.
Der Anwender hat hier die Implementierung und kontinuierliche Anpassung an sich ändernde Anforderungen zu überwachen. Gegebenenfalls ist eine Abnahme zu erklären. Sollte eine Anforderung nicht mehr dem Projektstand entsprechen, ist zu prüfen, ob ein Änderungswunsch anzubringen ist. Daneben hat der Anwender auch hier sicherzustellen, dass die Nutzung des Modells den Unternehmensrichtlinien nach dem AI-Act entspricht.
Überwachung und Wartung
Die Implementierung eines LLM ist auch nach dem Leitbild des AI-Acts kein einmaliges Projekt sondern ein fortlaufender Prozess. Insbesondere der Anwender muss das System und die Anwendung sowie die Ergebnisse der Nutzung kontinuierlich überwachen. Die Leistung des LLM ist durch regelmäßige Updates und Anpassungen aufrechtzuerhalten, um die Effizienz und Genauigkeit zu gewährleisten.
Dabei wird der Bereitsteller aktuelle Tools und Ressourcen für die Überwachung und Wartung des KI-Systems bereitstellen. Er muss sicherstellen, dass das Modell kontinuierlich verbessert wird. Diese Anpassungen sind genau zu dokumentieren.
Der Anwender hingegen muss dafür Sorge tragen, dass seine Mitarbeiter ein genaues Verständnis für die Funktionsweise des KI-Systems und den Auswirkungen der Abfrageergebnisse, also KI-Kompetenz entwickeln. Er muss für eine regelmäßige Überprüfung der Modellleistung sorgen und Feedback an den Bereitsteller geben. Der Anwender muss sicherstellen, dass das Modell weiterhin den Unternehmenszielen dient und im Rahmen der anfangs definierten Risikoklasse entsprechend dem AI-Act verbleibt.
Fazit:
Die Implementierung eines LLM in die Unternehmensinfrastruktur erfordert eine enge Zusammenarbeit zwischen Bereitstellern und Nutzern. Beide Parteien tragen spezifische Verantwortlichkeiten, um sicherzustellen, dass die Technologie effektiv, sicher und ethisch eingesetzt wird. Der AI-Act bietet einen wichtigen rechtlichen Rahmen, der die Verantwortlichkeiten klar definiert und die Einhaltung hoher Standards gewährleistet. Diese Aufteilung der Verantwortung muss sich dann aber auch in dem Projektvertrag widerspiegeln.