Wesentliche Fakten: Zusammenfassung

In diesem Beitrag erläutern wir die folgenden Punkte genauer:

• KI-Richtlinien regeln die Nutzung von künstlicher Intelligenz in Unternehmen. Sie beugen dem unkontrollierten KI-Einsatz vor und minimieren mitunter Risiken in Bezug auf IT-Sicherheit, Compliance, Datenschutz und Intellectual Property.
• KI-Richtlinien, die mit toolbasiertem Ansatz aufgesetzt werden, verbieten die KI-Nutzung am Arbeitsplatz grundsätzlich, geben aber bestimmte Tools mittels einer kontrollierten und laufend aktualisierten Whitelist frei.
• Die Alternative ist der datenbasierte Ansatz. Hierbei ist eine KI-Nutzung generell erlaubt, bestimmte Datenkategorien werden davon aber ausgenommen. Zumeist dürfen beispielsweise Daten mit Unternehmens- oder Personenbezug nicht mithilfe künstlicher Intelligenz verarbeitet werden.

Risiken ungeregelter KI-Nutzung

Unklare Verhältnisse bei der Nutzung künstlicher Intelligenz im Unternehmen stellen ein erhebliches Haftungsrisiko dar und provozieren geradezu, dass es zu einer Lawine an Compliance-Verletzungen kommt. Wenn Mitarbeiter keine klaren, nachvollziehbaren Vorgaben zum gewünschten Umgang mit KI haben, an denen sie sich orientieren können, führt der unkontrollierte Einsatz von KI-Tools unter Umständen zu Problemen im Hinblick auf Datenschutz, IT-Sicherheit und Intellectual Property.

An dieser Stelle setzen KI-Richtlinien an. Sie geben einen Rahmen aus eindeutig definierten Regelungen zur betriebsinternen KI-Nutzung vor, innerhalb dessen sich die Mitarbeiter aufgeklärt, sicher und im Einklang mit Compliance und Gesetz bewegen können.

Mögliche Handhabung: Toolbasierte oder datenbasierte KI-Richtlinie

Im Wesentlichen setzen sich derzeit zwei Ansätze zum Aufbau von KI-Richtlinien für Unternehmen durch, die wir nun nacheinander besprechen:

Der toolbasierte Ansatz: KI-Verbot mit Whitelist

Im Mittelpunkt des toolbasierten Ansatzes stehen – wie der Name bereits nahelegt – die KI-Tools, also zum Beispiel ChatGPT oder CoPilot. Der Ausgangspunkt: Sämtliche KI-Systeme und -Anwendungen sind im Unternehmen untersagt. Es gilt also ein generelles KI-Verbot.

Das bedeutet aber natürlich nicht, dass das Unternehmen tatsächlich gänzlich auf den Mehrwert, den KI bieten kann, verzichten muss. Es wird nämlich eine Whitelist aufgesetzt, die die Ausnahmen von der Grundregel auflistet, also angibt, welche konkreten Tools verwendet werden dürfen. Diese Liste wird von einer intern eingerichteten Kommission oder dem IT-Team verwaltet und regelmäßig kontrolliert sowie bei Bedarf aktualisiert. Sie beinhaltet dabei auch Informationen dazu, welche Daten mit den jeweiligen Systemen verarbeitet werden dürfen.

Der datenbasierte Ansatz: Einschränkung der KI-Verarbeitung nach Datenkategorien

Eine Alternative zur toolbasierten Herangehensweise ist der datenbasierte Ansatz, der sich weniger auf die genutzten KI-Tools und mehr auf die von diesen verarbeiteten Daten konzentriert. Dieser Ansatz lässt die Verwendung künstlicher Intelligenz grundsätzlich zu, schließt jedoch klar definierte Datenkategorien aus.

In der Praxis heißt das zumeist, dass personenbezogene Daten sowie sensible Unternehmensdaten nicht in KI-Systeme eingepflegt werden dürfen. In aller Regel untersagt eine solche KI-Richtlinie auch die KI-Verarbeitung pseudonymisierter Daten mit Personen- oder Unternehmensbezug sowie die Eingabe von Datenkombinationen, aus denen sich ein solcher Bezug ableiten ließe.

Weitere Inhalte von KI-Richtlinien in Unternehmen

Sowohl der datenbasierte als auch der toolbasierte Ansatz schlägt sich in einer KI-Richtlinie in Form zahlreicher Regelungen, Vorgaben und Definitionen nieder. Inhaltlich sind unter vielem anderem diese Aspekte abzudecken:

• Definition, Beschreibung und Zuweisung der Kontrollmaßnahmen
• Anweisungen zur Verwendung von KI-Ergebnissen in Arbeitsprozessen
• Kennzeichnungspflicht
• Definition von Datenkategorien, insbesondere Personen- und Unternehmensdaten
• Definition des mittelbaren Bezugs zu Personen- und Unternehmensdaten

Es ist dazu zu raten, Mitarbeiter umfassend in Bezug auf die Nutzung künstlicher Intelligenz am Arbeitsplatz zu schulen und eindringlich auf die Risiken, die Abweichungen von der KI-Richtlinie mit sich bringen, aufmerksam zu machen. 

Fazit: KI-Richtlinien sorgen für eine sichere Anwendung

Künstliche Intelligenz komplett aus dem Arbeitsalltag auszuschließen, ist in den meisten Branchen längst undenkbar. Damit Unternehmen von den Vorteilen von KI-Tools profitieren können, ohne immense Risiken einzugehen, benötigen sie durchdachte KI-Richtlinien. Diese müssen zum individuellen Betrieb passen und regelmäßig an sich verändernde Umstände angepasst werden.

Das IT-Recht gehört zu den Kompetenzbereichen der Anwaltskanzlei KGH. Wir beraten Unternehmen gerne zu Haftungsfragen, Datenschutzpflichten und Anliegen rund um das Aufsetzen einer rechtssicheren KI-Richtlinie – nehmen Sie Kontakt auf!