Warum wir über Bias reden müssen

Algorithmen haben längst Einzug in juristische Abläufe gehalten: Sie sortieren Schriftsätze, bewerten Prozessrisiken, prüfen Know-Your-Customer-Unterlagen oder beantworten erste Mandantenfragen. Doch überall dort, wo KI Entscheidungen vorbereitet, kann ein unentdeckter Bias, also eine systematische Verzerrung, Menschen oder Unternehmen aufgrund struktureller Vorurteile benachteiligen. Das neue Whitepaper „Bias in der Künstlichen Intelligenz“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom 24. Juli 2025 verdeutlicht, dass solche Verzerrungen nicht nur ethische, sondern auch sicherheitsrelevante Risiken bergen. Ein manipuliertes Trainings- oder Prompt-Set kann etwa gezielt bestimmte Gruppen abwerten und gleichzeitig als Einfallstor für Angriffe auf Vertraulichkeit, Integrität und Verfügbarkeit eines Systems dienen.

Bias als Rechts- und Sicherheitsproblem

Wer Legal Tech entwickelt oder betreibt, muss Bias nicht nur aus ethischer Sorgfalt, sondern auch aus Compliance- und Haftungsgründen kontinuierlich überwachen. Im Folgenden wird beispielhaft gezeigt, welche Gesetze und Verordnungen durch Bias berührt werden:

• Grundrechte und Datenschutz: Artikel 3 GG, das Allgemeine Gleichbehandlungsgesetz und die DSGVO fordern diskriminierungsfreie Datenverarbeitung.
• EU-KI-Verordnung (EU AI Act): Seit Juni 2024 gelten für „hoch-risiko­behaftete“ KI-Systeme strenge Vorgaben zu Daten­governance, Risikomanagement, Transparenz und Auditierbarkeit.
• Cybersicherheitsrecht: Das BSI stuft Bias als Gefahr für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ein. Betreiber kritischer Infrastrukturen (KRITIS) – also etwa Strom- und Wasserversorger, große Banken oder Krankenhäuser – müssen deshalb nach § 30 BSIG nachweisen, dass sie geeignete technische und organisatorische Gegenmaßnahmen eingerichtet haben.

Kurzum: Bias-Management ist kein „Nice-to-Have“, sondern eine rechtliche Pflicht und ein Sicherheitsfaktor.

Kernpunkte des Whitepapers

Das Whitepaper bietet einen methodischen Rahmen, der sich quer über Branchen hinweg nutzen lässt. Nachfolgend sind die wichtigsten Aussagen des Whitepapers kurz zusammengefasst:

1. Vielschichtige Bias-Kategorien: Das BSI unterscheidet u. a. Historischen Bias (Vorurteile aus der Vergangenheit), Sampling Bias (nicht repräsentative Daten), Measurement Bias (fehlerhafte Messgrößen) und Automation Bias (übermäßiges Vertrauen in KI-Ergebnisse). 
2. Lebenszyklus-Ansatz: Verzerrungen können in jeder Phase entstehen: Datenerhebung, Modelltraining, Deployment und laufender Betrieb.
3. Erkennen statt Vermuten: Empfohlen werden qualitative Datenanalysen, Fairness-Metriken (z. B. Equalized Odds) und adversarielle Tests, um Bias nachzuweisen. 
4. Drei Ebenen der Mitigation: Prä-, In- und Post-Processing-Techniken; Schwerpunkt sollte auf frühen, daten- und modellbasierten Korrekturen liegen.
5. Sicherheitsrelevanz: Verzerrte Modelle gefährden die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und können als Angriffsvektor dienen.

Konkrete Auswirkungen auf Legal-Tech-Produkte

Welche Folgen Bias in der KI für die Praxis hat, zeigt ein Blick auf gängige Legal-Tech-Anwendungen:

• Vertrags-Analytics: Ein Modell, das in Kauf- statt in Mietverträgen geschult wurde, kann versteckte Kündigungs­klauseln in Wohnraummiet­verträgen übersehen – ein klassischer Sampling Bias mit realem Mandats­risiko
• Mandanten-Onboarding & KYC: Biometrische Verifizierungs­verfahren müssen nachweisen, dass Fehl- oder False-Reject-Rates nicht nach Hautfarbe oder Dialekt variieren – sonst drohen Verstöße gegen Art. 9 DSGVO und das AGG.
• Legal Chatbots: Automation Bias führt dazu, dass Ratsuchende KI-Antworten unkritisch übernehmen. Eine bias-belastete Empfehlung kann eine Haftung begründen.
• Predictive-Analytics-Tools: Historische Gerichtsurteile spiegeln gesellschaftliche Vorurteile wider. Modelle können dadurch zum Beispiel die Erfolgswahrscheinlichkeit von Klagen von Minderheiten systematisch unter­schätzen.
• Dokumentenklassifikation und E-Discovery: Wird das Trainingskorpus von englischsprachigen Urteilen dominiert, geraten deutsche Schriftsätze leicht ins Hintertreffen; relevante Akten werden später gefunden oder falsch priorisiert.

Praxisleitfaden

1. Rollen und Zuständigkeiten klären: einen „Bias Officer“ oder ein interdisziplinäres Team aus Juristen, Data Scientists und Security-Experten bestellen.
2. Daten-Governance etablieren: Data Sheets und Model Cards führen, um Herkunft, Qualität und Repräsentativität von Trainings- und Testdaten transparent zu dokumentieren.
3. Geeignete Fairness-Metriken auswählen: Open-Source-Bibliotheken nutzen und Schwellwerte festlegen, die zur individuellen Risikotoleranz passen.
4. Risiko-Assessment verankern: Bias-Risiken mit der Datenschutz-Folgenabschätzung (DSFA) und dem AI-Risk-Register nach AI Act verzahnen.
5. Technische Mitigation umsetzen: Pre-Processing-Ansätze (z. B. Re-Sampling), In-Processing-Methoden (z. B. Constraint-Learning) und Post-Processing-Filter testen.
6. Kontinuierliches Monitoring: Bias-Checks in das bestehende Monitoring einbinden, um neue Ungleich­behandlungen im Live-Betrieb früh zu erkennen.
7. Vertragliche Absicherung: Bias-Berichte und Audit-Rechte in SLAs mit Modell- oder Datenlieferanten vereinbaren.

Ausblick

Das BSI-Whitepaper verlagert Bias endgültig aus der ethischen Debatte in die Domäne der operativen Sicherheit und Compliance und baut zugleich eine Brücke zwischen akademischer Fairness-Forschung und den harten Regulierungs­pflichten des EU AI Act.

Für Legal-Tech-Teams eröffnet sich damit die Chance, ein neues Qualitätsmerkmal zu besetzen: nachweislich faire, sichere und rechtskonforme KI. Bias-Management wird zur Kerndisziplin – auf Augenhöhe mit Datenschutz und Informationssicherheit. Wer jetzt handelt, setzt den Branchenstandard von morgen.

---