Mai 2024
Autor:in des Beitrags
Tim
Principal Consultant
Veröffentlicht am
07.05.2024 von Tim
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
KI-Nutzungsrichtlinie

So nutzen Sie KI sicher und compliant

In diesem Blogpost erfahren Sie, wie generative Künstliche Intelligenz (Englisch: Generative Artificial Intelligence, kurz: GenAI) im Unternehmensumfeld eingesetzt wird, welche rechtlichen und ethischen Herausforderungen sie mit sich bringt und wie Sie eine Nutzungsrichtlinie erstellen können, um Ihre Daten und die Ihrer Kunden zu schützen.

HINTERGRUND

Gefühlt ist der Hype um GenAI, also die Fähigkeit von künstlicher Intelligenz (KI), Texte, Code, Bilder, Videos oder andere Inhalte zu erzeugen, einem gewissen Realismus gewichen. Der Megatrend an sich ist jedoch ungebrochen und GenAI bleibt eine der disruptivsten Errungenschaften der Gegenwart. Doch die Technologie birgt auch potenzielle Datenschutzrisiken, die Unternehmen nicht ignorieren dürfen. Die am 13. März vom Europaparlament verabschiedete EU KI-Verordnung (KI-VO) wird voraussichtlich noch dieses Jahr in Kraft treten und soll unter anderem diese Risiken adressieren und einen einheitlichen Rechtsrahmen für den Einsatz von KI in der EU schaffen. Vor diesem Hintergrund empfehlen wir die Erstellung einer KI-Nutzungsrichtlinie, um die Verwendung von KI-Diensten im Unternehmen sicher und im gesetzlichen Rahmen zu gestalten.

Sie wollen mehr über die Einführung von KI in Ihrem Unternehmen wissen? Dann ist unser nächstes Webinar für Sie genau richtig!

ChatGPT, Microsoft 365 Copilot, Azure Open AI: Muss es immer gleich KI sein?

Am 17. Mai 2024 von 10.00 bis 11.00 Uhr

Jetzt anmelden!

KI EINSATZ IM UNTERNEHMENSUMFELD

Auch wenn laut Statistischem Bundesamt erst 12% (12/2023) der deutschen Unternehmen KI aktiv nutzen, ist meine Erfahrung aus zahlreichen Potential Workshops, dass Automatisierung und damit einhergehend auch KI, durchaus in allen Führungsetagen und innovativen Abteilungen angekommen ist. Dazu passend: Laut der Deloitte Studie State of Generative AI in the Enterprise (01/2024) erwartet die überwiegende Mehrheit (79%) der befragten Fach- und Führungskräfte, dass GenAI in weniger als drei Jahren einen erheblichen Wandel in ihren Unternehmen herbeiführen wird – wobei fast ein Drittel (31%) davon ausgeht, dass bereits ein wesentlicher Teil des Wandels in weniger als einem Jahr vollzogen wird.

„Die Welt braucht viel mehr Code, als wir Menschen haben, die ihn schreiben können.“ – Sam Altman, OpenAI CEO

Darüber hinaus ist die Zahl der Unternehmen die GenAI bereits unbewusst in Form von Schatten-IT nutzen deutlich höher anzusetzen, da Beschäftigte oft auch ohne offizielle Freigabe diese Dienste für die Arbeit verwenden. Umso wichtiger ist, dass der Einsatz von GenAI im Unternehmen geregelt ist und die Beschäftigten auch im Umgang damit (z.B. Prompting) geschult werden.

Beispiele für GenAI Dienste sind:

  • Microsoft Copilot: Eine Reihe von Assistenten, die teilweise in Microsoft Dienste und Apps integriert sind und Beschäftigte beim Erzeugen und Bearbeiten von Inhalten helfen, sowie Unterstützung bei alltäglichen Aufgaben bieten und Programmierern die Arbeit mit Code erleichtern.
  • OpenAI ChatGPT: Der Vorreiter aller GenAI-Dienste, mit dem Texte, Bilder und Code erzeugt und analysiert werden können. ChatGPT verfügt über Plug-ins, um weitere Fähigkeiten von Drittanbietern hinzuzufügen.
  • Google Gemini: Ein mit Google-Diensten verbundener Chat-Bot, der KI nutzt, um Web- und Videoinhalte zu durchsuchen und Texte zu erstellen.

Die rasende Geschwindigkeit mit der neue KI-Dienste auf dem Markt erscheinen und an Relevanz gewinnen ist beeindruckend. Zum Beispiel hat ChatGPT in nur 3 Monaten nach dem Start bereits 100 Millionen monatliche Nutzer erreicht. Zum Vergleich: die Mobiltelefonie brauchte 16 Jahre, um diese Zahl zu erlangen, das Internet 7 Jahre und TikTok immerhin noch 9 Monate. Umso wichtiger ist es als Unternehmen sich dem Thema GenAI frühzeitig anzunehmen.

GEFAHREN VON GENERATIVER KI

Die Nutzung von GenAI kann zu rechtlichen Konflikten führen, wenn die Verwendung nicht den geltenden Gesetzen und Vorschriften entspricht. Zum Beispiel können KI-Systeme gegen das Urheberrecht, das Wettbewerbsrecht, das Verbraucherschutzrecht oder das Datenschutzrecht verstoßen, wenn sie Inhalte ohne die Zustimmung oder das Wissen der Rechteinhaber oder der Betroffenen kopieren, manipulieren oder verbreiten.

KI-Systeme können auch aus Daten lernen, die sie selbst sammeln oder die ihnen zur Verfügung gestellt werden. Diese Daten können personenbezogene Daten von Kunden, Beschäftigten, Partnern oder anderen Stakeholdern enthalten, die geschützt werden müssen. Auch das Recht auf Löschung ist mit Blick auf KI-Systeme kaum durchsetzbar. Werden die Daten nicht ausreichend anonymisiert, gesichert oder kontrolliert kann es zu Datenschutzverletzungen kommen.

GenAI-Dienste können auch diskriminierende, unangemessene oder fehlerhafte Ergebnisse erzeugen, falls ihre Daten verzerrt, unvollständig oder nicht mehr aktuell sind. So kann die Nutzung von GenAI schließlich auch zu ethischen Dilemmata führen, wenn die Ergebnisse nicht den Werten und Normen der Gesellschaft oder der Organisation entsprechen.

Risiken generativer KI sind:

  • Sensible Daten preisgeben, die in den generierten Inhalten enthalten sind oder davon abgeleitet werden können. Zum Beispiel, durch das Trainieren von KI-Systemen mit personenbezogenen Daten oder Unternehmensdaten.
  • Die Privatsphäre von Beschäftigten oder Kunden verletzen, indem sie ihre Identität, Meinungen, Vorlieben oder Verhaltensweisen offenlegt, manipuliert oder Profile bildet.
  • Die Transparenz und Erklärbarkeit von KI-erzeugten Inhalten beeinträchtigen, indem sie die Quelle, den Zweck oder die Qualität der Inhalte verschleiert oder verfälscht.
  • Die Genauigkeit und Zuverlässigkeit von KI-generierten Inhalten mindern, indem sie Fehler, Verzerrungen oder Falschinformationen einbringt oder verstärkt.
  • Erstellung von Inhalten zu Betrugsmöglichkeiten (Deepfakes, Phishing)

GENERATIVE KI UND DATENSCHUTZ

Wie schon erwähnt unterliegt die GenAI verschiedenen gesetzlichen Regelungen, wie zum Beispiel der Datenschutz-Grundverordnung (DSGVO).

Die DSGVO verlangt von den Unternehmen, die KI-Technologien einsetzen, dass sie:

  • die Einwilligung der betroffenen Personen einholen, bevor sie ihre Daten verarbeiten oder generieren.
  • die Zwecke und Mittel der Datenverarbeitung oder -generierung klar und verständlich angeben.
  • die Rechte und Interessen der betroffenen Personen wahren, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch.
  • die Sicherheit und Vertraulichkeit der Daten gewährleisten, indem sie geeignete technische und organisatorische Maßnahmen ergreifen.
  • die Verantwortlichkeit und Rechenschaftspflicht für die Datenverarbeitung oder -generierung nachweisen können.

Die Einhaltung dieser Anforderungen ist jedoch nicht immer einfach oder eindeutig, da GenAI oft neue oder unvorhergesehene Situationen schafft, die nicht von den bestehenden Gesetzen oder Richtlinien abgedeckt sind. Zum Beispiel kann es schwierig sein, zu bestimmen, wie die Qualität oder Herkunft von generierten Inhalten überprüft oder nachgewiesen werden kann. Daher ist es ratsam, sich von einem Anwalt beraten zu lassen, bevor man GenAI im Unternehmensumfeld einsetzt, um mögliche rechtliche Konsequenzen oder Haftungsrisiken zu vermeiden.

EINSATZ GENERATIVER KI REGELN

Die KI-VO sieht eine risikobasierte Regulierung vor, in der die verwendeten KI-Systeme und Anwendungsfälle nach Kategorien mit spezifischen Anforderungen und Pflichten eingeteilt werden. Dabei handelt es sich um KI-Systeme, die entweder in die Risikostufen hoch, gering oder minimal eingestuft werden oder gänzlich verboten sind. Auf KI-Systeme, die in keine der Kategorien fallen findet die KI-VO keine Anwendung.

Ein erster Schritt, den Unternehmen gehen sollten, ist die Definition von Regeln und Handlungsempfehlungen in Form einer KI-Nutzungsrichtlinie für die Verwendung von GenAI-Diensten und in dem Zuge eine Anwendbarkeitsprüfung der KI-VO. Die Nutzungsrichtlinie soll die Beschäftigten über die Möglichkeiten und Grenzen von GenAI informieren und sensibilisieren, sowie die Einhaltung der Datenschutzprinzipien und -praktiken fördern. Die Erstellung der Richtlinie muss unter Einbeziehung des Betriebsrats (falls vorhanden) erfolgen.

ASPEKTE EINER KI-NUTZUNGSRICHTLINIE

Eine Nutzungsrichtlinie für GenAI sollte die folgenden Aspekte berücksichtigen:

  • Risiko-Kategorisierung vornehmen: Prüfung, welche KI-Systeme verwendet werden und ob die KI-VO darauf angewandt wird. Sofern die KI-VO Anwendung findet, muss eine Risiko-Kategorisierung durchgeführt werden.
  • Ethische Grenzen setzen: Werte und Ziele des Unternehmens festhalten und die Nutzung von GenAI für Diskriminierung und schädliche Aktivitäten untersagen.
  • Schutz von Daten und Privatsphäre: Die Verwendung von sensiblen Daten, Kunden-Informationen oder Geschäftsgeheimnissen darf nur in Abstimmung mit den Unternehmensvorgaben erfolgen. Dies lässt sich z.B. durch das Deaktivieren (Opting-Out) der Datenverarbeitung zu Trainingszwecken und die Anonymisierung von personenbezogenen Daten garantieren.
  • Transparenz und Erklärbarkeit sicherstellen: Die Transparenz von KI-erzeugten Inhalten sollte gefördert werden – zum Beispiel indem die Kenntlichmachung bei bestimmten Anwendungsfällen gefordert wird.
  • Genauigkeit und Zuverlässigkeit fördern: Definition eines Prozesses zur Qualitätssicherung für KI-generierte Inhalte, um Falschaussagen und Urheberrechtsverletzungen zu vermeiden.
  • Allgemeine Einsatzbedingungen klären: Wie dürfen Daten unterschiedlicher Klassifizierung mit GenAI verwendet werden und zu welchem Zweck.
  • Use-Case-basiertes Vorgehen beschreiben: Beschreibung möglicher Anwendungsfälle und Definition, wie korrektes bzw. unzulässiges Vorgehen aussehen kann und wann eine Kenntlichmachung erforderlich ist. Zum Beispiel sollte der Kontext einer Marktanalyse immer um aktuelle Fakten erweitert und der Wahrheitsgehalt des Arbeitsergebnisses überprüft werden.
  • Empfehlungen zur effektiven Nutzung von GenAI: Abbau von Berührungsängsten und Steigerung der Produktivität. Zum Beispiel durch kontinuierliche Schulungen für die Beschäftigten.

UNSER BERATUNGSANSATZ

Und wie sieht die Erstellung einer maßgeschneiderte KI-Nutzungsrichtlinie in der Praxis aus? Ein Unternehmen, das wir bereits dabei unterstützt haben, ist ein mittelständisches Online-Marketing-Unternehmen. Die Firma nutzt KI-basierte Dienste, um Werbetexte, Landing Pages, E-Mails und Social-Media Posts für seine Kunden zu erstellen.

Um Datenschutzrisiken zu minimieren und den Beschäftigten einen Leitfaden für GenAI-Dienste an die Hand zu geben, haben wir in einem gemeinsamen KI-Nutzungsrichtlinien-Workshop durchgeführt. Dabei wurden unter anderen:

  • Die Ziele und Werte des Unternehmens in Bezug auf GenAI beschrieben.
  • Die Use Cases des Unternehmens für GenAI identifiziert und festgehalten, wie zum Beispiel die Erstellung von Werbetexten für verschiedene Branchen, Zielgruppen und Kanäle.
  • Die Datenschutz-Risiken mittels einer Datenschutzfolgenabschätzung (DSFA) identifiziert und spezifische Maßnahmen festgelegt.
  • Die technischen und organisatorischen Maßnahmen der Firma für GenAI Dienste analysiert und definiert, wie zum Beispiel die Auswahl und Validierung der Dienste und der Umgang mit unterschiedlichen Datentypen & -klassen.
  • Die rechtlichen und ethischen Herausforderungen und Verpflichtungen des Unternehmens erkannt und berücksichtigt, wie zum Beispiel die Begrenzung der Haftung für die generierten Inhalte und die Vermeidung von Falschinformationen.

Der finale Entwurf der KI-Nutzungsrichtlinie wurde anschließend anwaltlich überprüft und durch einen internen Ausschuss, bestehend aus Compliance und ausgewählten Fachbereichen, validiert und freigegeben. Parallel dazu, wurden in einem weiteren Teilprojekt auch technische Maßnahmen, mittels Microsoft-Purview-Richtlinien und den Copilot-Einstellungen umgesetzt, um die Vorgaben der KI-Nutzungsrichtlinie zu unterstützen.

FAZit

Die Integration von KI in geschäftliche Abläufe birgt immense Chancen, erfordert aber gleichzeitig eine ernsthafte Auseinandersetzung mit Datenschutzfragen. Unternehmen müssen proaktiv handeln, um Risiken zu minimieren und die Privatsphäre sowie die Sicherheit und Qualität von Daten zu gewährleisten.

Eine Nutzungsrichtlinie für Generative künstliche Intelligenz ist kein statisches oder universelles Dokument. So enthielt unsere eigene erste Version einer KI-Nutzungsrichtlinie zum Beispiel noch keine konkreten Angaben zum Copilot for Microsoft 365 und auch das EU-Gesetz zur künstlichen Intelligenz war damals noch Zukunftsmusik. Daher ist es wichtig, die KI-Nutzungsrichtlinie nicht nur einmalig zu erstellen, sondern auch regelmäßig zu überprüfen und zu aktualisieren.

Wollen auch Sie eine KI-Nutzungsrichtlinie erstellen? Informieren Sie sich über unser Angebot und buchen Sie noch heute unser kostenloses Erstberatungsgespräch. Lassen Sie uns gemeinsam sicherstellen, dass Ihre KI-Integration nicht nur innovativ, sondern auch sicher ist.

Kontakt

Ihr persönlicher Ansprechpartner

Sie wollen moderne, KI-gestützte Arbeitsweisen in Ihrem Unternehmen etablieren? Wir helfen Ihnen gerne!

TIM WOLF | Principal Consultant

+49 89  71040920

tim@provectus.de

Termin vereinbaren

Zum Kontaktformular

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung

Blogbeitrag

Citrix Long-Term Service Release 2402, jetzt mit CU1 Bug-Fix

In diesem Blog erfahren Sie, welche Mehrwerte das Citrix LTSR 2402 mitbringt und welcher Bug mit CU1 gefixt wurde.
Weiterlesen
Blogbeitrag

Änderungen bei der Lizenzüberwachung und Telemetrie von NetScaler und NetScaler-Console

Im letzten Jahr hat die Cloud Software Group im Bereich von Citrix die Erfassung von Telemetriedaten eingeführt. Ähnliches folgt nun auch im Bereich der NetScaler. Wär erklären, was jetzt zu tun ist!
Weiterlesen
Webinar

Webinar: Muss es denn immer gleich KI sein?

Kostenloses Webinar für IT-Entscheider*innen: Steigerung der Effizienz, Produktivität und Mitarbeiterzufriedenheit, im Spannungsfeld zwischen New Work, KI und Prozessautomatisierung.
Weiterlesen
Blogbeitrag

Wie Sie mit einem geregelten Prozess für Evergreening die Vorteile von Microsoft 365 optimal nutzen können

Wir zeigen, wie Sie mit Evergrenning Änderungen in Microsoft 365 optimal für Ihr Unternehmen nutzen können.
Weiterlesen
Blogbeitrag

Datenexfiltration in M365 mit Entra ID Conditional Access blockieren

In diesem Artikel taucht unser Experte in die Funktionen aus Conditional Access ein: “app enforced restrictions” und „Conditional Access App Control“ (CAAC).
Weiterlesen
Blogbeitrag

Startschuss für eine neue Geschäftsführung

Wir erweitern die Geschäftsführung und stellen unser neues Führungstrio vor.
Weiterlesen
Echt Ich

Echt Ich Christian

In ECHT ICH erfahrt ihr mehr über Christian, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus “ECHT ER” sein kann.
Weiterlesen
Blogbeitrag

M365 Compliance Whitepaper

In unserem Whitepaper nehmen wir die Bereiche Datenschutz und Compliance unter die Lupe und geben Ihnen wertvolle Handlungsempfehlungen.
Weiterlesen
Blogbeitrag

Microsoft Power Platform – ja oder nein?

Erfahren Sie, wie Sie die Vorteile und Risiken der Microsoft Power Platform abwägen und die beste Lösung für Ihre Anforderungen finden.
Weiterlesen
Blogbeitrag

M365 Compliance Quick-Assessment

Mit unserem Quick Assessment können Sie einige der typischen Fallstricke zu beleuchten im Themenkomplex „Compliance und Datenschutz und M365″.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter