Wie kann eine unternehmensinterne KI-Richtlinie aussehen?

Mann am Computer mit ChatGPT

Bildquelle: https://www.pexels.com/de-de/foto/mann-laptop-internet-technologie-16094056/


17. Oktober 2024 | Von Marie Graw

Bei der Nutzung von KI-Anwendungen kann es schnell passieren, dass Mitarbeitende unternehmensinterne Informationen preisgeben. Auch der Einsatz von KI-Anwendungen zur Vereinfachung der Arbeit – ohne die Erlaubnis des Arbeitgebenden – die Erstellung einer Schatten-KI – kann gefährlich sein. Allein schon aus diesen Gründen ist es für Unternehmen mehr als empfehlenswert eine KI-Richtlinie zu entwickeln. Solche Richtlinien bieten Orientierung und Vorgaben, was im Zusammenhang mit Künstlicher Intelligenz erlaubt ist und was nicht.

Gleichgültig ob als belastbare Struktur zur Etablierung einer Governance oder um Standards und Strategien für den Einsatz von KI-Systemen festzulegen: Es stellt sich jeweils die Frage, welche Aspekte in KI-Richtlinien berücksichtigt werden sollten. Dieser Artikel beschäftigt sich mit genau dieser Frage und gibt Input bezüglich der zu berücksichtigen Gesichtspunkte bei der Erstellung von Richtlinien für die Nutzung von KI-Anwendungen.

Anwendungsbereiche & Ziele

Nach einer kurzen Einleitung sollte herausgearbeitet werden, welche Ziele die Richtlinie verfolgt. Beispielsweise könnten hier die Schaffung von mehr Transparenz, die Förderung von ethischem Handeln oder die Vermeidung von problematischem Nutzer*innenverhalten als Ziele festgehalten werden. Bei der Definition von Zielen sollte jedoch darauf geachtet werden, dass die Zielerreichung nachverfolgt werden kann.

Zudem ist es wichtig festzulegen, in welchen Bereichen die Richtlinien überhaupt Anwendung finden sollen. Konkret geht es hier darum zu ermitteln, welche KI-Systeme genutzt werden, welche Anwendungsfälle es gibt und welche Mitarbeitenden und Unternehmensbereiche betroffen sind.

Auch die Definition von verwendeten Tools und Richtlinien ist ein wichtiger Bestandteil der KI-Richtlinie.

Verantwortlichkeiten & Rollen

Zusätzlich zu den Anwendungsbereichen und Zielen gilt es Verantwortlichkeiten und Rollen zu bestimmen und zuzuweisen. Wer ist verantwortlich für die Einhaltung der KI-Richtlinien, an wen können sich Betroffene bei Problemen wenden und wer überprüft die Einhaltung der Richtlinie?

Ethische Prinzipien & Werte

Hier geht es jetzt darum, Leitsätze und Richtlinien bezüglich der Entwicklung und Nutzung von KI-Anwendungen festzulegen. An welchen Werten soll sich orientiert werden? Was ist im Unternehmen wichtig? „Erklärbarkeit und Transparenz von KI“ könnte beispielsweise ein ethisches Prinzip sein, welches Unternehmen festhalten sollten. Auch „Fairness“ und der „Ausschluss von Biases“ könnten zentrale Werte sein.

Datenmanagement & -schutz

Die KI-Richtlinie sollte ebenfalls regeln, wie mit erhobenen Daten umgegangen wird und absichern, dass der Datenschutz gewährleistet ist. Da KI-Anwendungen nur unter Eingabe von Daten funktionieren, gilt es Regeln und Vorgehensweisen zu definieren, die die Einhaltung bspw. des AI-Act, der DSGVO und des BDSG in den unterschiedlichsten Situationen festlegen. Es kann sinnvoll sein, so genannte Use Cases anzufertigen, die das Vorgehen in unterschiedlichen Szenarien vorgeben.

Betriebsgeheimnisse & vertrauliche Informationen

Gerade wenn KI dabei helfen soll, bspw. Werbetexte und E-Mails zu verfassen oder beim Programmieren Code zu schreiben, kann es passieren, dass Firmengeheimnisse preisgegeben werden. Dies können Kund*innenlisten, Quellcodes oder andere Datensätze sein. Es ist also besonders wichtig festzulegen, was als Firmengeheimnis bzw. vertrauliche Information gilt und Mitarbeitende hierfür zu sensibilisieren. Über die Sensibilisierung und Schulung hinaus könnte eine KI-Richtlinie eine Verschwiegenheitserklärung für Firmengeheimnisse beinhalten und auch Verfahrensweisen, sollte diese Erklärung missachtet werden.

Urheberrecht & geistiges Eigentum

Es sollte nicht nur Richtlinien für den Input einer KI-Anwendung geben, sondern auch Regelungen für den Output. Hier stellt sich vor allem die Frage nach dem geistigen Eigentum.  Wem also gehören von einer KI produzierte Designs, Ideen oder Texte? KI-Output ist weitgehend nicht urheberrechtlich geschützt, was ein wichtiger Gesichtspunkt für die kommerzielle Nutzung der Inhalte ist.

Weitere Maßnahmen

Mit dem Aufstellen einer KI-Richtlinie ist es jedoch nicht getan. Es gilt auch Maßnahmen zu ergreifen, damit die Richtlinie verstanden, umgesetzt und eingehalten wird.

Zum einen sollten Mitarbeitende und Stakeholder über die Inhalte und damit verbundenen Änderungen bei der Nutzung von KI-Anwendungen geschult werden. Hier ist es empfehlenswert, die Schulungseinheiten und Schulungsziele ebenfalls in der Richtlinie zu definieren. Neben Schulungen direkt nach der Einführung der neuen KI-Richtlinie, darf auch die kontinuierliche Weiterschulung der Mitarbeitenden nicht vernachlässigt werden.

Zusätzlich sollte das Datum des Inkrafttretens der Richtlinie definiert und die schriftlichen Zustimmungen zur Einhaltung der Richtlinie seitens aller Betroffenen eingeholt werden.

Nicht nur die Mitarbeiter*innen müssen geschult werden, auch die KI-Richtlinie selbst muss regelmäßig überarbeitet und angepasst werden. Somit ist der Prozess der Erstellung und Implementierung einer KI-Richtlinie kein einmaliger, sondern ein fortlaufender, kontinuierlicher Prozess.

Für weiteren Input hat das Bayerische Landesamt für Datenschutzaufsicht eine umfängliche Checkliste erstellt. Die Checkliste kann hier heruntergeladen werden.

KI-Leitlinie des BMDV und der EU AI Act

Wer KI-Anwendungen nutzt, kann sich auch an den Leitlinien zum Einsatz von KI für Fach- und Verwaltungsaufgaben des Bundesministeriums für Digitales und Verkehr (BMDV) orientieren, die im Juni 2024 veröffentlicht wurden.

“Das KI-Gesetz (Verordnung(EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) der Europäischen Union bietet Entwickler*innen und Betreiber*innen von KI klare Anforderungen und Verpflichtungen in Bezug auf spezifische Anwendungen von KI. Gleichzeitig zielt die Verordnung darauf ab, den administrativen und finanziellen Aufwand für Unternehmen, insbesondere für kleine und mittlere Unternehmen (KMU), zu verringern.”

Das Gesetz können Sie hier finden.

Mögliche Struktur einer Richtlinie

  • Einleitung
  • Zweck
  • Geltungsbereich
  • Definitionen von Tools und Technologien, die die Richtlinie umfassen wird
  • Leitfaden für die ethische Nutzung
  • Rechtskonformität
  • Datenleitplanken
  • Schulung und Ressourcen
  • Umsetzung und Überwachung
  • Folgen eines Verstoßes gegen die Richtlinie
  • Zeitplan für die Überprüfung der Richtlinien
  • Datum des Inkrafttretens und Zustimmung

Mehr Infos dazu finden Sie zum Beispiel hier.

Wir möchten Ihnen auch unseren Artikel zum Thema AI-Act Explorer, welchen Sie hier finden, an die Hand geben.

Die in diesem Artikel enthaltenen Informationen zum Aufbau einer KI-Richtlinie wurden folgenden Webseiten entnommen: https://landgraf-datenschutz.de/ki-im-unternehmen-so-erstellst-du-eine-richtlinie-mit-augenmass/ und https://clickup.com/de/blog/197790/ki-politik-des-unternehmens

Kontaktmöglichkeit

Holger Schneider

hschneider@ftk.de

+49 231 / 975056-21

SCHLAGWORTE

Künstliche Intelligenz | Vertrauen