Spätestens seit ChatGPT ist die generative KI in aller Munde und viele Menschen berichten über ihre Erlebnisse mit der Mensch-Maschinen-Interaktion. Doch was bedeutet das konkret für Unternehmen? Möglicherweise nutzen die Mitarbeiter schon die vielfältigen Möglichkeiten der KI-gestützten Anwendungen – von Terminplanung über Text- und Bildgenerierung bis zu Recherchetätigkeiten. Häufig geschieht dies aber ohne das Wissen der Führungskräfte. Es stellen sich damit weitere Fragen: In welchem Ausmaß werden solche Tools bereits genutzt? Welche Daten werden in diese Tools eingespeist? Fließen eigene, möglicherweise sensible Daten in das Training der externen Systeme ein? Entstehen den Unternehmen dadurch Nachteile und rechtliche Risiken? Wie können diese minimiert werden? Wie kann KI optimal genutzt werden, um die Effizienz zu steigern und Mitarbeiter von Routineaufgabe zu entlasten?
Klar ist, dass die KI unzählige Möglichkeiten verspricht, um Arbeitsprozesse zu optimieren und deren Ergebnisse zu verbessern. Durch die Effizienzgewinne bleibt mehr Zeit für innovative Ideen und Lösungen. Diesen Chancen stehen aber auch Risiken gegenüber: Werden KI-Tools von den Mitarbeitern in unzulässiger Weise genutzt, drohen Haftungsrisiken – beispielsweise aus datenschutz-, urheber- und persönlichkeitsrechtlicher Sicht. Daher sollte die Geschäftsführung die Formulierung einer KI-Richtlinie (auch „AI-Policy“ genannt) angehen, um einerseits die Chancen von KI zu nutzen und andererseits deren Risiken zu minimieren.
Ziele einer KI-Richtlinie
Mit der KI-Richtlinie setzt die Geschäftsführung den Rahmen für den Einsatz der Technologie. Sie sorgt damit intern und extern für Klarheit. Und sie wird zum Gestaltungswerkzeug, mit der der KI-Einsatz gesteuert wird. Die Richtlinie sollte angesichts des schnellen technologischen Wandels immer wieder überprüft und angepasst werden. Die wesentlichen Ziele einer KI-Richtlinie lassen sich so zusammenfassen:
Verantwortungsbewusst handeln und Vertrauen schaffen: Bei der Nutzung von KI kann es gewollt oder ungewollt zu inhaltlichen Verzerrungen kommen – je nachdem, welches Tool in welcher Weise verwendet wird. So kann es sein, dass durch eine verzerrte Datenbasis Ergebnisse herauskommen, die ethisch bedenklich sind, weil sie menschliche Vorurteile (etwa in Form eines übernommenen „bias“) bestärken oder diskriminierend sind. Auch mangelnde Datensicherheit kann ein Problem sein. Mit der KI-Richtlinie wird dokumentiert, dass man mit KI verantwortungsbewusst umgeht, sich möglicher negativer Folgen bewusst ist und diese durch geeignete Vorkehrungen verhindert. Dies sorgt für Transparenz gegenüber den Mitarbeitern und den Geschäftspartnern. Man macht klar, dass man diese Zukunftstechnologie verantwortungsvoll nutzt und sorgt so für Vertrauen.
Compliance und rechtliche Absicherung: Die Nutzung von KI-Tools zieht zahlreiche rechtliche Fragestellungen nach sich, die auch beträchtliche Haftungsrisiken auslösen können. Diese sind je nach Betrieb individuell zu ermitteln. Aber Datenschutz und Urheberrecht dürften Beispiele für Rechtsfelder sein, die alle Betriebe mit KI-Nutzung betreffen. Zudem sind KI-spezifische Regelungen zu berücksichtigen – etwa die geplante KI-Verordnung der EU und geplante Veränderungen am Haftungsregime (KI-Haftungsrichtline / Anpassungen der Produkthaftung).
Risikomanagement: Eine KI-Richtlinie ist auch ein wirksames Instrument, um betriebliche Risiken im Blick zu behalten, zu analysieren und zu minimieren. Solche Risiken können sein: Abfluss von personenbezogenen Daten, Verlust von Geschäftsgeheimnissen oder Risiken, die entstehen, wenn Mitarbeiter KI ohne Wissen oder Zustimmung des Managements nutzen. Eine KI-Richtlinie, die auch als Instrument des Risikomanagements eingesetzt und stetig angepasst wird, hilft dabei, solche rufschädigenden und mit hohen Kosten verbundenen Schadensereignisse einzudämmen.
Innovation und Wettbewerbsfähigkeit: Außerdem kann durch eine klare KI-Richtlinie die Nutzung für innovative Zwecke festgelegt und gefördert werden. Ein Katalog, der vorgibt, in welchen Einsatzgebieten welche Werkzeuge genutzt werden dürfen, gibt Mitarbeitern Sicherheit. Beispielsweise kann für Marketing-Texte eine weitgehende Erlaubnis bestimmter Tools festgelegt werden, während in der Entwicklung und mit personenbezogenen Daten nur bestimmte Arten von Daten in sehr beschränktem Bereich verarbeitet werden dürfen. Die durch die Effizienzsteigerungen freigewordene Zeit kann für innovative Lösungen verwendet werden, die die Wettbewerbsfähigkeit des Unternehmens verbessern.
Welche Aspekte sollte die KI-Richtlinie enthalten?
Zunächst sollte im Unternehmen festgelegt werden, welcher generelle Regelungsansatz zum Umgang mit KI gewählt wird. Dazu gibt es verschiedene Möglichkeiten: ein grundsätzliches Verbot mit Vorbehalt der Erlaubnis oder generelle Erlaubnis mit festgelegten Beschränkungen. Zudem kann ein Mittelweg gewählt werden, bei dem zwar generell ein Verbot herrscht, man jedoch in konkreten, unproblematischen Bereichen die Nutzung generell unter bestimmten Bedingungen erlaubt. Der rechtlich sicherste Weg ist es zunächst, den Einsatz von Tools zu verbieten und nur ganz punktuell zu erlauben. Der häufig sinnvolle, innovationsfreundlichere Mittelweg ist es, gleichzeitig gewisse Spielräume zu geben, etwa den Einsatz von Tools für bestimmte Datenarten oder in bestimmten Bereichen freizugeben. Die Entscheidung sollte im Einklang mit der Digitalstrategie und den Unternehmenswerten getroffen werden.
Es empfiehlt sich außerdem, eine dynamische Liste geprüfter Tools festzulegen, die von den Arbeitnehmern genutzt werden dürfen, um Sicherheit und Praktikabilität herzustellen. So wissen die Anwender gleich, unter welchen Vorgaben sie welches Werkzeug einsetzen dürfen. Hierbei fließt ein, mit welchen Anbietern vertragliche Regelungen vorhanden sind, die etwa die Vertraulichkeit sicherstellen und die Zweitnutzung zum Training der KI-Systeme ausschließen. Kostenfreie Tools eignen sich regelmäßig nicht für unternehmensinterne Daten und können von vorneherein ausgeschlossen werden. Es müssen insofern Abonnements mit entsprechenden Vertragswerken abgeschlossen werden.
Zudem sollte in der KI-Richtlinie klar festgelegt werden, welche Daten nicht in KI-Systeme eingegeben werden dürfen, wenn keine eigenen geschlossenen Systeme verwendet werden. Dazu zählen vor allem personenbezogene Daten und Geschäftsgeheimnisse. In der Praxis bedeutet das, dass die im Unternehmen vorhandenen Daten umfassend nach ihrer Schutzwürdigkeit klassifiziert und diese Vorgaben für die Mitarbeiter transparent gemacht werden. Dies kann etwa im Rahmen des Informationssicherheitssystems erfolgen. Eine klare Einordnung ist auch eine gute Basis, um im Unternehmen Mehrwert aus den Daten zu generieren. An diese Einordnung sollten die Vorgaben der KI-Nutzung anknüpfen.
Darüber hinaus gibt die Richtlinie den Mitarbeitern vor, wie mit der Ausgabe („Output“) aus einem KI-System umzugehen ist. Dabei empfiehlt sich der Ansatz der menschlichen Letztaufsicht („Human Oversight“). So sollte vor der endgültigen Verwendung immer ein Mensch überprüfen, was von der Maschine ausgegeben wurde, um etwaige Fehler zu korrigieren (z. B. sogenannte „Halluzinationen“ oder Vorurteile, die aufgrund einer verzerrten Datenbasis zustande kommen).
Es empfiehlt sich auf jeden Fall, das Thema KI frühzeitig anzugehen und die Potenziale und Risiken für das eigenen Unternehmen zu analysieren. Eine KI-Richtlinie kann als Grundlage für die weitere KI-Strategie dienen und Klarheit nach innen und außen schaffen. Da der Einsatz Künstlicher Intelligenz verschiedene Rechtsbereiche mit entsprechenden Risiken berührt, sollte die Richtlinie mit entsprechender rechtlicher Expertise geschrieben werden. Wichtig ist auch, die KI-Richtlinie im Rahmen von Mitarbeiterschulungen und weiteren Maßnahmen zu vermitteln. Dazu zählen regelmäßige Fortbildungen, da sich die Dinge mit rasanter Geschwindigkeit ändern. Aufgabe der Geschäftsführung ist es, eine Kultur zu schaffen, die die Nutzung von KI-Tools fördert und die Arbeitseffizienz steigert.
Weiterer wichtiger Aspekt: Angesichts der schnellen technologischen Fortschritte muss auch der Gesetzgeber reagieren, damit der Rechtsrahmen mit diesen Veränderungen Schritt hält – Beispiele sind der Data Act, das Gesetz über digitale Dienste und das Gesetz über digitale Märkte und die KI-Verordnung der EU. Das zieht die Pflicht der Unternehmen nach sich, ihre Richtlinie entsprechend zu aktualisieren. Eine gut gemachte KI-Richtlinie sollte sich also problemlos an neue Entwicklungen anpassen lassen. Gleichzeitig behält sie die Risiken im Blick und gibt den Mitarbeitern einen Rahmen, in dem sie die Zukunftstechnologie Künstliche Intelligenz sicher und effizient nutzen können.
Externer Kontakt:
Baltasar Cevc ist Rechtsanwalt und Gründer der IT-Rechtskanzlei fingolex in Erlange (baltasar.cevc@fingolex.com). Maria Petrat ist Volljuristin bei der Kanzlei fingolex.
Quelle: WiM – Wirtschaft in Mittelfranken, Ausgabe 10|2023