Künstliche Intelligenz in Stadtwerken – Zeit für klare Richtlinien

Die Bundesnetzagentur hat 2021 für ihren Marktdialog Unternehmen nach dem Einsatz von Künstlicher Intelligenz befragt. Demnach nutzen bereits viele Unternehmen KI, insbesondere zur Erkennung von Anomalien in der Überwachung von Infrastrukturen und Anlagen. Diese Verfahren dienen dazu, frühzeitig Unregelmäßigkeiten in Messwerten oder Betriebsdaten zu erkennen, um potenzielle Schäden oder Ausfälle zu vermeiden. Die Anomalieerkennung ist kein neues Feld. Schon seit Jahren werden in der Energiewirtschaft Verfahren – bislang zumeist unter dem Schlagworten Data Mining oder Predictive Analytics – eingesetzt. 

Diese Systeme sind meist eng auf spezifische Datenquellen und Anwendungsfälle zugeschnitten. Ihre Transparenz, Nachvollziehbarkeit und technische Beherrschbarkeit sind gegeben – sofern sie professionell implementiert und betrieben werden.

Ähnlich häufig wie die Anomalieerkennung kommen bei den befragten Unternehmen auch Anwendungen der natürlichen Sprachverarbeitung zum Einsatz. Darunter fallen Systeme zur Textklassifikation, Texterstellung oder Auswertung freier Texte. 

Am weitesten verbreitet sind jedoch Chatbots, die auf Basis großer Sprachmodelle funktionieren. Diese Sprachmodelle, etwa GPT von OpenAI, Claude von Anthropic, LLaMA von Meta oder Gemini von Google, gelten als Modelle mit allgemeinem Verwendungszweck, wie es die europäische KI-Verordnung benennt.

Sie eröffnen weitreichende Möglichkeiten: von der automatisierten Berichterstellung bis hin zur Unterstützung bei Ausschreibungsprozessen. 

Sprachmodelle basieren auf künstlichen neuronalen Netzen (KNN), die aus bis zu hunderten Schichten bestehen, in denen jeweils Tausende von Neuronen eintreffende Signale (Zahlenwerte) verarbeiten und über viele gewichtete Verknüpfungen an die Neuronen der Folgeschicht weiterleiten. Die Eingabedaten, wie Texte, werden in numerische Repräsentationen überführt. Durch gewichtete Verknüpfungen werden diese über die vielen inneren, verdeckten Schichten weitergereicht, bis schließlich eine Ausgabe entsteht.

Die mathematische Grundlage ist verhältnismäßig simpel und basiert auf den Gewichten, die die Verbindungen zwischen den Neuronen beschreiben: Im Prinzip werden pro Neuron nur die Eingangssignalstärken mit den jeweiligen Gewichten multipliziert und aufsummiert. Die Komplexität entsteht durch die immense Anzahl der beteiligten gewichteten Verknüpfungen. Ein großes Sprachmodell umfasst mittlerweile bis zu Milliarden solcher Gewichte bzw. Parameter. 

Der Prozess, mit dem diese Gewichte bestimmt werden, ist das Training. Hierbei werden für bekannte Ein- und Ausgabedaten, also die Trainingsdaten, die Gewichte fein justiert. Abweichungen zwischen den gewünschten Ausgabedaten und dem, was das Netz berechnet, werden schrittweise minimiert. 

Dabei bilden nach und nach die Gewichte die in den Trainingsdaten enthaltenen relevanten Merkmale und Merkmalskombinationen auf ganz unterschiedlichen Abstraktionsstufen ab. Eine inhaltliche Interpretation der Gewichte ist aber schon bei Netzen mit wendigen Schichten nur schwer möglich.

Es ist also offensichtlich, dass für das Training eines großen Sprachmodells mit Milliarden Gewichten eine unglaublich große Menge an Trainingsdaten und Trainingsschritten notwendig sind. Sprachmodelle werden auf Milliarden von Textfragmenten trainiert. Dabei werden unterschiedlichste Quellen genutzt, die nicht alle kuratiert und kontrolliert wurden. 

Aus der beschriebenen Funktions- und Trainingsweise künstlicher neuronaler Netze ergeben sich eine Reihe zentraler Eigenschaften:

Datenabhängigkeit: Die KI ist nur so gut, wie ihre Trainingsdaten

Das Modell lernt ausschließlich aus den Daten, mit denen es trainiert wurde. Verzerrungen, fehlerhafte Informationen, oder einseitige Quellen wirken sich direkt auf das Verhalten der KI aus.

Zieloptimierung: Die KI macht das, worauf sie trainiert wurde

Beim Training wird die KI darauf optimiert, bestimmte Zielgrößen zu maximieren – bei großen Sprachmodellen etwa die Wahrscheinlichkeit des nächsten Wortes. Seine Leistung ist hervorragend innerhalb des Trainingskontexts, aber nicht zwangsläufig übertragbar.

Wahrscheinlichkeitsbasierte Ausgabe: Die KI “versteht” nicht.

Die im Training gefundenen Gewichte repräsentieren die über alle Trainingsdaten hinweg wahrscheinlichsten relevanten Merkmale und Merkmalskombinationen. Sie erzeugen Texte auf Basis von Wahrscheinlichkeiten und nicht im Sinne eines menschlichen Verständnisses. Das kann zu plausibel klingenden, aber sachlich falschen Aussagen (Halluzinationen) führen.

Blackbox-Charakter: Gewichte sind nicht interpretierbar.

Der Weg von der Eingabe zur Ausgabe läuft über die Berechnung anhand der Gewichte. Um das nächste Wort zu berechnen, sind Milliarden Gewichte beteiligt. Der Ableitungsweg ist somit nicht nachvollziehbar. Selbst bei einfacheren neuronalen Netzen können Entwickler oft nicht exakt rekonstruieren, wie eine bestimmte Antwort zustande kommt.

Löschung kaum möglich: Das Netz vergisst nicht.

Im Training lernt die KI aus den Trainingsdaten die relevanten Merkmale und Merkmalskombinationen und speichert sie im Netz der Gewichte. Einmal trainierte Modelle können einzelne Trainingsdaten jedoch nicht gezielt vergessen. Das stellt insbesondere aus datenschutzrechtlicher Sicht eine Herausforderung dar, sofern personenbezogene Daten verarbeitet werden.

Mit der Verabschiedung der europäischen KI-Verordnung (KI-VO) hat die EU einen einheitlichen Rechtsrahmen für den Umgang mit Künstlicher Intelligenz geschaffen. 

Für Unternehmen ist zunächst entscheidend, welche Rolle es in Bezug auf ein KI-System einnimmt. Anbieter entwickeln KI und bringen sie in Verkehr bzw. nehmen sie in Betrieb, während Betreiber ein bestehendes KI-System in eigener geschäftlicher Verantwortung verwenden. Anbieter unterliegen strengeren Vorgaben in Bezug auf Risikomanagement, technische Dokumentation und Konformitätsbewertung. Betreiber müssen insbesondere sicherstellen, dass eingesetzte Systeme rechtmäßig verwendet werden und dass die notwendige Kompetenz im Umgang mit der Technologie vorhanden ist.

Ein zweiter zentraler Aspekt der KI-VO ist die Risiko-Klassifizierung. Die Einstufung bestimmt den Umfang der regulatorischen Anforderungen: Verbotene Praktiken umfassen KI-Anwendungen, die gegen Grundrechte und europäische Werte verstoßen. Diese sind seit Februar 2025 in der EU grundsätzlich untersagt!

Hochrisiko-Systeme sind KI-Systeme, deren Einsatz erhebliche Auswirkungen auf das Leben, die Gesundheit oder die Rechte von Personen haben können – etwa in der Kritischen Infrastruktur als Sicherheitsbauteile im Rahmen der Wasser-, Gas-, Wärme- oder Stromversorgung. Für diese Systeme gelten umfassende Anforderungen an Transparenz, Risikomanagement, Datenqualität und menschliche Aufsicht.

Systeme mit mittlerem Risiko – darunter fallen etwa die meisten Chatbots oder generative KI-Tools zur einfachen Texterstellung – unterliegen spezifischen Transparenzpflichten. Nutzer müssen gegebenenfalls darüber informiert werden, dass sie mit einer KI interagieren oder dass Inhalte durch eine KI erzeugt wurden.

Für viele IT-Verantwortliche dürfte der aktuelle KI-Hype Erinnerungen an die Anfangszeit der Cloud-Nutzung wecken. Auch damals etablierten sich neue Technologien oft abseits zentraler IT-Strukturen, da diese nicht schnell genug auf neue Trends reagieren konnten. Im Ergebnis führten Abteilungen eigenständig Cloud-Dienste ein, ohne Rücksprache mit IT oder Compliance. Dieses Phänomen der „Schatten-IT“ droht sich nun mit generativen KI-Tools zu wiederholen: Erste Anwendungen werden schnell ausprobiert, Daten werden hochgeladen oder verarbeitet, ohne dass geprüft wird, welche Risiken, z.B. im Hinblick auf Datenschutz, Informationssicherheit oder regulatorische Compliance-Anforderungen, damit einhergehen. 

Wenn dies nicht bereits in der IT-Sicherheits- oder Datenschutzrichtlinie geregelt ist, sollte es spätestens im Zusammenhang mit der KI-Richtlinie bedacht werden. Hierfür sollten verbindliche Regeln und klare Zuständigkeiten etabliert werden, um den unkontrollierten Wildwuchs bei KI- oder allgemein IT-Anwendungen zu vermeiden.

In vielen Unternehmen besteht heute ein Spannungsfeld zwischen Innovationsdrang und Regulierungsbedarf. Einerseits versprechen KI-Systeme Effizienzgewinne, Automatisierungspotenziale und neue Geschäftsmodelle. Andererseits wachsen Anforderungen an Transparenz, Nachvollziehbarkeit und ethische Vertretbarkeit.

Angesichts dieser Entwicklung geben sich immer mehr Unternehmen eigene Richtlinien für den Einsatz von KI. Ziel ist es, Chancen nutzbar zu machen, dabei aber für einen ethischen und rechtskonformen Einsatz zu sorgen. 

Eine gute KI-Richtlinie sollte Innovationen erlauben, dabei aber verbindliche Leitplanken setzen. Diese sind abhängig von den Rollen des Unternehmens im Sinne der KI-Verordnung, den Geschäftsfeldern und dem angestrebten Geltungsbereich. Die folgenden Elemente haben sich in der Praxis als zentrale Bestandteile bewährt:

Geltungs- und Anwendungsbereiche definieren:

Für welche Unternehmensbereiche gilt die Richtlinie? Welche Aufgaben dürfen mit KI gelöst werden, welche nicht? Gibt es sensible Bereiche (z.B. Netzsteuerung, Personalentscheidungen), in denen ein KI-Einsatz ausgeschlossen ist?

Gesetzliche & interne Compliance:

Welche bereits bestehenden Datenschutz-, IT-Sicherheits- und Freigaberegelungen, internen Vorgaben wie ISMS, ISO27001, DSGVO und Betriebsvereinbarungen sind zu beachten? 

Verantwortlichkeiten klären und Freigabeprozesse festlegen:

KI-Systeme sind immer auch IT-Systeme. Wie fügt sich die Freigabe von KI-Systemen in etablierte Freigabeprozess ein? Wer prüft Belange des Datenschutzes wie Auftragsverarbeitung, Datenschutz-Folgenabschätzung, Rechtsgrundlagen der Verarbeitung? Wie wird Informationssicherheit gewährleistet? Wie erfolgt die Risikoklassifikation gemäß KI-VO? 

Transparenz und Dokumentation sicherstellen:

Jedes eingesetzte KI-System sollte in einem KI-Verzeichnis dokumentiert werden. Sofern ein Training geplant ist, dann auch mit Dokumentation der Trainingsdaten. Beinhaltet das Training personenbezogenen Daten? Welche Rechtsgrundlage gibt es dann für diesen Verarbeitungszweck?

Risikoabschätzung und Testprozesse etablieren:

Für Hochrisiko-Systeme muss vor dem Roll-out eine rechtliche, technische und ethische Bewertung des Systems erfolgen. Dazu gehört auch ein Prüfverfahren für ungewünschte Nebeneffekte oder Verzerrungen.

Datenschutz und Informationssicherheit einhalten:

Wie wird sichergestellt, dass gerade auch bei der Verwendung externer KI-Systeme keine sensiblen Daten der Unternehmenskontrolle entzogen werden? Wie werden die Belange des Datenschutzes berücksichtigt?   

KI-Kompetenz und Nutzungsregeln:

Wie wird gewährleistet, dass Mitarbeitende für ihre Arbeit mit KI-Werkzeugen ausreichend geschult werden? Können gegebenenfalls spezifische Nutzungsregeln bereitgestellt werden? Dabei sind sowohl die spezifischen Risiken von KI als auch die üblichen Vorsichtsmaßnahmen beim Einsatz von IT zu beachten.

Der Einsatz von KI, insbesondere von Sprachmodellen, ist weder per se gut noch schlecht. Er ist gestaltbar. Gerade Stadtwerke als Betreiber kritischer Infrastrukturen können hier eine Vorreiterrolle einnehmen: durch einen reflektierten, verantwortungsvollen Umgang mit Technologie. KI-Richtlinien bilden dabei das Fundament, um Innovation und Verantwortung zu verbinden.