Braucht mein Unternehmen eine KI-Richtlinie?

KI-Anwendungen sind in aller Munde. Zahlreiche Standard-Tools sind ohne viel Aufwand in allen Unternehmen nutzbar. Oft geht die Initiative dafür derzeit von den Mitarbeitenden aus. Können Unternehmen dies laufen lassen? Oder sollten Unternehmen eine KI-Richtlinie erstellen, auch dann, wenn sie noch gar nicht über eine KI-Strategie und den gezielten, produktiven Einsatz von derartigen Anwendungen nachdenken? Wir empfehlen dies in jedem Fall! Warum, fassen wir Ihnen nachfolgend zusammen:

1. Innovationschancen nutzen

KI-Anwendungen werden zunehmend wichtig in unserem privaten wie auch beruflichen Tätigkeitsbereich. Viele (einfacher gelagerte) Tätigkeiten werden perspektivisch von KI-Anwendungen ersetzt werden. Aktuell führen zwar die allgemein verfügbaren und ohne besondere Kenntnisse nutzbaren Standardanwendungen wie ChatGPT, Bing-Chat, Midjourney, Bard etc. zwar oft noch nicht zu optimalen oder auch nur gut verwendbaren Ergebnissen (Outputs). Dies wird sich aber ändern. Zudem können die Tools auch heute schon helfen, etwa, um ohne viel Aufwand eine kurze Mail zu schreiben, ein Dokument zusammenzufassen oder die Google-Suche zu optimieren. Dabei kann es aus diversen Gründen helfen, wenn sich die Mitarbeitenden schon jetzt mit KI-Anwendungen beschäftigen: Sie sind startklar, wenn die Anwendungen besser werden; zudem entspricht es in vielen Fällen der Erwartungshaltung.

Unternehmen haben jetzt die Chance, die Weichen richtig zu stellen: Das ermöglicht Innovationen, ohne (zu große) Compliance-Risiken! Sie können die Leitlinien setzen und klar definieren, welche Ziele sie mit dem Einsatz von KI erreichen wollen, wo KI nicht eingesetzt werden soll und welche Standards dabei gelten. Für eine authentische, vertrauensvolle Kommunikation mit den Kunden und Geschäftspartnern etwa spricht viel dafür, KI-Ergebnisse auch jenseits rechtlicher Pflichten als solche zu kennzeichnen oder nochmals zu überprüfen. Im redaktionellen Medienbereich ist das schon heute gesetzliche Pflicht. Auch sollte die Unternehmenskultur beim Einsatz von KI-Anwendungen fortgeführt werden. Dafür kann es sich anbieten, ethische Standards zu setzen und auf eine nichtdiskriminierende Handhabung der KI-Anwendungen und der Ergebnisse sorgfältig zu achten.

Diese Leitlinien können in einer KI-Richtlinie als grundlegende Eckpfeiler bestimmt werden und so den Einsatz von KI im Unternehmen steuern. Ergänzt werden sollten sie mit einigen Handlungsvorgaben, um auch den rechtskonformen Einsatz der KI-Anwendungen sicherzustellen.

2. Compliance

Elementar sind KI-Richtlinien, um Rechtsverstöße zu verhindern. Mitarbeitenden ist oft gar nicht bewusst, wo die rechtlichen Risiken beim Einsatz von (frei verfügbaren) KI-Anwendungen liegen.

Das Unternehmen ist aber schon aus den allgemeinen rechtlichen Vorgaben gehalten, durch eine entsprechende interne Organisation sicherzustellen, dass die Mitarbeitenden keine Rechtsverletzungen begehen. Im Bereich der KI-Anwendungen geht es hier insbesondere um folgende Aspekte:

  • Datenschutz: Wenn personenbezogene Daten beim Prompting (so nennt sich die Text/Bild-Eingabe) in KI-Anwendungen eingegeben werden, sei es als Text oder als Bild, so werden die entsprechenden personenbezogenen Daten danach von dem Anbieter der KI-Anwendungen weiterverarbeitet. Das muss sein, um das Ergebnis, den „Output“, zu erzeugen.

Bei den frei verfügbaren Tools ist es zu dem oftmals so, dass sich der Anbieter vertraglich vorbehält, die eingegebenen Daten auch zu Trainingszwecken, zur Entwicklung weiterer Produkte und vielem mehr zu verarbeiten. Gerade bei ChatGPT sind Fälle bekannt geworden, in denen durch ein bestimmtes Prompting anderer Nutzer die personenbezogenen Eingaben wieder hergestellt werden konnten.

Es gilt daher: Über KI-Richtlinien sollten Unternehmen bei Ihren Mitarbeitenden das Bewusstsein schaffen, was datenschutzrechtlich erlaubt ist. Klare Handlungsvorgaben können helfen, Datenschutzverstöße wirksam zu vermeiden. Etwa muss für die Eingabe personenbezogener Daten stets eine Erlaubnisgrundlage vorhanden sein, die betroffenen Personen müssen informiert werden und vieles mehr. Oft ist es zielführend, im Regelfall nur anonyme Daten beim Prompting zu verwenden.

  • Geheimnisschutz und Vertraulichkeit: Daten und Informationen, die in KI-Anwendungen eingegeben werden, dürfen von Anbietern der Tools nach Maßgabe der Nutzungsvereinbarungen in vielen Fällen weiterverwendet werden, sei es für das Training der jeweiligen Anwendung, für die Weiterentwicklung des konkreten Tools oder auch neuer Produkte (siehe dazu schon soeben beim Datenschutz).

Wenn Informationen und Daten, die beim Prompting eingegeben werden, geheim oder vertraulich sind, ggf. auch aufgrund von mit Dritten geschlossenen Vertraulichkeitsvereinbarungen, so kann dies ganz erhebliche Folgen haben. Diese Folgen reichen im schlimmsten Fall von einem Verlust des Geheimnisschutzes bis hin zu Vertragsstrafen. Auch hier sollte im Unternehmen bei den Mitarbeitenden daher ein Bewusstsein geschaffen werden, wann welche Daten und Informationen in welche KI-Anwendung eingegeben werden dürfen.

  • Urheberrechte: Der Output von KI-Anwendungen ist regelmäßig nicht schutzfähig, da es sich nicht um eine persönliche geistige Schöpfung handelt, sondern um das Ergebnis eines technischen Rechenvorgangs. Dies sollte bei den Mitarbeitenden bekannt sein und bei der Anwendung von KI-Tools mitgedacht werden. Aus den USA etwa sind erste Fälle bekannt, in denen Unternehmen in Transaktionen geringer bewertet wurden, wenn Überprüfungen ergaben, dass von diesen produzierte Software teils durch KI-Anwendungen erstellt wurde und daher nicht der gleichen Schutzfähigkeit zugänglich ist, wie vollständig von Mitarbeitenden programmierte Software.
  • Arbeitsqualität: KI-Anwendungen neigen dazu, gerade noch derzeit, zu halluzinieren und Bias zu erzeugen. Dies bedeutet, dass Ergebnisse oft nicht richtig (Halluzinationen) oder verzerrt (Bias) sind. Die KI-Anwendung teilt nicht mit, wenn sie ihren Output auf unsicherer Grundlage erzeugt. Mitarbeitende sollten sich dessen Bewusst sein, um konkret einschätzen zu können, wann und wie sie von ihnen erzeugte Ergebnisse kontrollieren und weiterverwenden können. Prominent wurde ein Fall aus den USA, in dem ein Anwalt eine von KI-erzeugte Klageschrift eingereicht hat – mit erfundenen Rechtsprechungsbelegen. Nur bei sorgfältiger und vollständiger Kontrolle der Ergebnisse kann ein Unternehmen flächendeckend die gewünschte Arbeitsqualität sicherstellen.

3. Und was bringen KI-Richtlinien?

Alle vorstehend erläuterten Risiken aus dem Compliance-Bereich können bei der Anwendung von KI-Tools zu Problemen führen. Diese Probleme sind abzuwägen mit den möglichen Innovationen, die der Einsatz von KI-Anwendung heute und aller Voraussicht nach erst recht in der Zukunft bringen wird.

Unternehmen können den Einsatz von KI-Anwendungen zur Vermeidung dieser Risiken schlicht verbieten. Dann aber nehmen sie sich auch die Innovationspotentiale (und womöglich einiges an Mitarbeiterzufriedenheit).

KI-Richtlinien können diese Compliance-Risiken nicht vermeiden. Sie können aber dazu beitragen, sie ganz erheblich zu minimieren. Die erfolgt durch Handlungsvorgaben und vor allem auch aus dem Bewusstsein, das Mitarbeitenden hierüber vermittelt werden kann.

Ob und in welchem Umfang dabei ein etwa bestehender Betriebsrat eingebunden werden muss, erläutern meine Kollegen aus dem Arbeitsrecht:

https://www.linkedin.com/feed/update/urn:li:activity:7165335088115761152/

Welche Anforderungen Sie in Ihren Unternehmen beachten sollten, um KI-Anwendungen rechtskonform einzusetzen, erläutern wir Ihnen auf unserer Informationsveranstaltung am 11. April 2024 in unseren Kanzleiräumen in Köln oder online via Teams:

https://loschelder.de/de/details/esg-in-der-umsetzung-online-veranstaltung-am-07112023.html

Wir erklären Ihnen alle wesentlichen rechtlichen Eckpunkte, um die Compliance im Unternehmen sicherzustellen:

  • Technische Grundlagen und verbreitete KI-Anwendungen
  • Regulierungsrahmen für KI: Was bringt die KI-Verordnung?
  • Erbringung der Arbeitsleistung durch KI: Welche Rahmenbedingungen gelten und was darf der Arbeitgeber vorgeben?
  • Geistiges Eigentum: Von Urheberrechtsverletzungen durch den Einsatz von KI,der Schutzfähigkeit von KI-generierten Ergebnissen und dem Verlust von Geschäftsgeheimnissen
  • Chancen und Risiken im Datenschutz beim Einsatz von KI-Anwendungen
  • Nutzungsbedingungen und Vertragsgestaltung
  • Implementierung im Unternehmen, Mitbestimmung des Betriebsrats und weitere arbeitsrechtliche Herausforderungen
  • Best Practices beim Einsatz von KI-Anwendungen im Unternehmen

Um Anmeldung bis zum 22. März 2024 wird gebeten (per Mail an veranstaltungen@loschelder.de mit Angabe, ob Sie vor Ort oder online teilnehmen möchten). Nähere Informationen zur Veranstaltung und den Anmelde- und Teilnahmemöglichkeiten finden Sie auch hier.

Bei weiteren Fragen zum Thema können Sie sich auch immer gerne direkt an  Dr. Kristina Schreiber wenden.

Dr. Kristina Schreiber ist Fachanwältin für Verwaltungsrecht und CIPP/E und Partnerin bei Loschelder Rechtsanwälte in Köln. Sie ist spezialisiert auf rechtliche Begleitung von Digitalisierungsprojekten und die Beratung und Vertretung in allen Fragen des Datenschutzes, der Datennutzung und der Cyber-Sicherheit. Sie publiziert regelmäßig in Fachzeitschriften zu diesen Themen, ist Lehrbeauftragte an der FernUniversität Hagen und Referentin auf diversen Fachveranstaltungen.