Mai 2024
Autor:in des Beitrags
Tim
Principal Consultant
Veröffentlicht am
07.05.2024 von Tim
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
KI-Nutzungsrichtlinie

So nutzen Sie KI sicher und compliant

In diesem Blogpost erfahren Sie, wie generative Künstliche Intelligenz (Englisch: Generative Artificial Intelligence, kurz: GenAI) im Unternehmensumfeld eingesetzt wird, welche rechtlichen und ethischen Herausforderungen sie mit sich bringt und wie Sie eine Nutzungsrichtlinie erstellen können, um Ihre Daten und die Ihrer Kunden zu schützen.

HINTERGRUND

Gefühlt ist der Hype um GenAI, also die Fähigkeit von künstlicher Intelligenz (KI), Texte, Code, Bilder, Videos oder andere Inhalte zu erzeugen, einem gewissen Realismus gewichen. Der Megatrend an sich ist jedoch ungebrochen und GenAI bleibt eine der disruptivsten Errungenschaften der Gegenwart. Doch die Technologie birgt auch potenzielle Datenschutzrisiken, die Unternehmen nicht ignorieren dürfen. Die am 13. März vom Europaparlament verabschiedete EU KI-Verordnung (KI-VO) wird voraussichtlich noch dieses Jahr in Kraft treten und soll unter anderem diese Risiken adressieren und einen einheitlichen Rechtsrahmen für den Einsatz von KI in der EU schaffen. Vor diesem Hintergrund empfehlen wir die Erstellung einer KI-Nutzungsrichtlinie, um die Verwendung von KI-Diensten im Unternehmen sicher und im gesetzlichen Rahmen zu gestalten.


LEITFADEN

Wie erstelle ich eine KI-Nutzungsrichtlinie?

In unserem Leitfaden erläutern wir wichtige Fragestellungen zu dem Thema. Sie erhalten eine Anleitung, zur Erarbeitung der KI-Nutzungsrichtlinie, ausformulierte Textbeispiel sowie Hinweise zu Best Practises.

Leitfaden KI-Nutzungsrichtlinie


KI EINSATZ IM UNTERNEHMENSUMFELD

Auch wenn laut Statistischem Bundesamt erst 12% (12/2023) der deutschen Unternehmen KI aktiv nutzen, ist meine Erfahrung aus zahlreichen Potential Workshops, dass Automatisierung und damit einhergehend auch KI, durchaus in allen Führungsetagen und innovativen Abteilungen angekommen ist. Dazu passend: Laut der Deloitte Studie State of Generative AI in the Enterprise (01/2024) erwartet die überwiegende Mehrheit (79%) der befragten Fach- und Führungskräfte, dass GenAI in weniger als drei Jahren einen erheblichen Wandel in ihren Unternehmen herbeiführen wird – wobei fast ein Drittel (31%) davon ausgeht, dass bereits ein wesentlicher Teil des Wandels in weniger als einem Jahr vollzogen wird.

„Die Welt braucht viel mehr Code, als wir Menschen haben, die ihn schreiben können.“ – Sam Altman, OpenAI CEO

Darüber hinaus ist die Zahl der Unternehmen die GenAI bereits unbewusst in Form von Schatten-IT nutzen deutlich höher anzusetzen, da Beschäftigte oft auch ohne offizielle Freigabe diese Dienste für die Arbeit verwenden. Umso wichtiger ist, dass der Einsatz von GenAI im Unternehmen geregelt ist und die Beschäftigten auch im Umgang damit (z.B. Prompting) geschult werden.

Beispiele für GenAI Dienste sind:

  • Microsoft Copilot: Eine Reihe von Assistenten, die teilweise in Microsoft Dienste und Apps integriert sind und Beschäftigte beim Erzeugen und Bearbeiten von Inhalten helfen, sowie Unterstützung bei alltäglichen Aufgaben bieten und Programmierern die Arbeit mit Code erleichtern.
  • OpenAI ChatGPT: Der Vorreiter aller GenAI-Dienste, mit dem Texte, Bilder und Code erzeugt und analysiert werden können. ChatGPT verfügt über Plug-ins, um weitere Fähigkeiten von Drittanbietern hinzuzufügen.
  • Google Gemini: Ein mit Google-Diensten verbundener Chat-Bot, der KI nutzt, um Web- und Videoinhalte zu durchsuchen und Texte zu erstellen.

Die rasende Geschwindigkeit mit der neue KI-Dienste auf dem Markt erscheinen und an Relevanz gewinnen ist beeindruckend. Zum Beispiel hat ChatGPT in nur 3 Monaten nach dem Start bereits 100 Millionen monatliche Nutzer erreicht. Zum Vergleich: die Mobiltelefonie brauchte 16 Jahre, um diese Zahl zu erlangen, das Internet 7 Jahre und TikTok immerhin noch 9 Monate. Umso wichtiger ist es als Unternehmen sich dem Thema GenAI frühzeitig anzunehmen.

GEFAHREN VON GENERATIVER KI

Die Nutzung von GenAI kann zu rechtlichen Konflikten führen, wenn die Verwendung nicht den geltenden Gesetzen und Vorschriften entspricht. Zum Beispiel können KI-Systeme gegen das Urheberrecht, das Wettbewerbsrecht, das Verbraucherschutzrecht oder das Datenschutzrecht verstoßen, wenn sie Inhalte ohne die Zustimmung oder das Wissen der Rechteinhaber oder der Betroffenen kopieren, manipulieren oder verbreiten.

KI-Systeme können auch aus Daten lernen, die sie selbst sammeln oder die ihnen zur Verfügung gestellt werden. Diese Daten können personenbezogene Daten von Kunden, Beschäftigten, Partnern oder anderen Stakeholdern enthalten, die geschützt werden müssen. Auch das Recht auf Löschung ist mit Blick auf KI-Systeme kaum durchsetzbar. Werden die Daten nicht ausreichend anonymisiert, gesichert oder kontrolliert kann es zu Datenschutzverletzungen kommen.

GenAI-Dienste können auch diskriminierende, unangemessene oder fehlerhafte Ergebnisse erzeugen, falls ihre Daten verzerrt, unvollständig oder nicht mehr aktuell sind. So kann die Nutzung von GenAI schließlich auch zu ethischen Dilemmata führen, wenn die Ergebnisse nicht den Werten und Normen der Gesellschaft oder der Organisation entsprechen.

Risiken generativer KI sind:

  • Sensible Daten preisgeben, die in den generierten Inhalten enthalten sind oder davon abgeleitet werden können. Zum Beispiel, durch das Trainieren von KI-Systemen mit personenbezogenen Daten oder Unternehmensdaten.
  • Die Privatsphäre von Beschäftigten oder Kunden verletzen, indem sie ihre Identität, Meinungen, Vorlieben oder Verhaltensweisen offenlegt, manipuliert oder Profile bildet.
  • Die Transparenz und Erklärbarkeit von KI-erzeugten Inhalten beeinträchtigen, indem sie die Quelle, den Zweck oder die Qualität der Inhalte verschleiert oder verfälscht.
  • Die Genauigkeit und Zuverlässigkeit von KI-generierten Inhalten mindern, indem sie Fehler, Verzerrungen oder Falschinformationen einbringt oder verstärkt.
  • Erstellung von Inhalten zu Betrugsmöglichkeiten (Deepfakes, Phishing)

GENERATIVE KI UND DATENSCHUTZ

Wie schon erwähnt unterliegt die GenAI verschiedenen gesetzlichen Regelungen, wie zum Beispiel der Datenschutz-Grundverordnung (DSGVO).

Die DSGVO verlangt von den Unternehmen, die KI-Technologien einsetzen, dass sie:

  • die Einwilligung der betroffenen Personen einholen, bevor sie ihre Daten verarbeiten oder generieren.
  • die Zwecke und Mittel der Datenverarbeitung oder -generierung klar und verständlich angeben.
  • die Rechte und Interessen der betroffenen Personen wahren, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch.
  • die Sicherheit und Vertraulichkeit der Daten gewährleisten, indem sie geeignete technische und organisatorische Maßnahmen ergreifen.
  • die Verantwortlichkeit und Rechenschaftspflicht für die Datenverarbeitung oder -generierung nachweisen können.

Die Einhaltung dieser Anforderungen ist jedoch nicht immer einfach oder eindeutig, da GenAI oft neue oder unvorhergesehene Situationen schafft, die nicht von den bestehenden Gesetzen oder Richtlinien abgedeckt sind. Zum Beispiel kann es schwierig sein, zu bestimmen, wie die Qualität oder Herkunft von generierten Inhalten überprüft oder nachgewiesen werden kann. Daher ist es ratsam, sich von einem Anwalt beraten zu lassen, bevor man GenAI im Unternehmensumfeld einsetzt, um mögliche rechtliche Konsequenzen oder Haftungsrisiken zu vermeiden.

EINSATZ GENERATIVER KI REGELN

Die KI-VO sieht eine risikobasierte Regulierung vor, in der die verwendeten KI-Systeme und Anwendungsfälle nach Kategorien mit spezifischen Anforderungen und Pflichten eingeteilt werden. Dabei handelt es sich um KI-Systeme, die entweder in die Risikostufen hoch, gering oder minimal eingestuft werden oder gänzlich verboten sind. Auf KI-Systeme, die in keine der Kategorien fallen findet die KI-VO keine Anwendung.

Ein erster Schritt, den Unternehmen gehen sollten, ist die Definition von Regeln und Handlungsempfehlungen in Form einer KI-Nutzungsrichtlinie für die Verwendung von GenAI-Diensten und in dem Zuge eine Anwendbarkeitsprüfung der KI-VO. Die Nutzungsrichtlinie soll die Beschäftigten über die Möglichkeiten und Grenzen von GenAI informieren und sensibilisieren, sowie die Einhaltung der Datenschutzprinzipien und -praktiken fördern. Die Erstellung der Richtlinie muss unter Einbeziehung des Betriebsrats (falls vorhanden) erfolgen.

ASPEKTE EINER KI-NUTZUNGSRICHTLINIE

Eine Nutzungsrichtlinie für GenAI sollte die folgenden Aspekte berücksichtigen:

  • Risiko-Kategorisierung vornehmen: Prüfung, welche KI-Systeme verwendet werden und ob die KI-VO darauf angewandt wird. Sofern die KI-VO Anwendung findet, muss eine Risiko-Kategorisierung durchgeführt werden.
  • Ethische Grenzen setzen: Werte und Ziele des Unternehmens festhalten und die Nutzung von GenAI für Diskriminierung und schädliche Aktivitäten untersagen.
  • Schutz von Daten und Privatsphäre: Die Verwendung von sensiblen Daten, Kunden-Informationen oder Geschäftsgeheimnissen darf nur in Abstimmung mit den Unternehmensvorgaben erfolgen. Dies lässt sich z.B. durch das Deaktivieren (Opting-Out) der Datenverarbeitung zu Trainingszwecken und die Anonymisierung von personenbezogenen Daten garantieren.
  • Transparenz und Erklärbarkeit sicherstellen: Die Transparenz von KI-erzeugten Inhalten sollte gefördert werden – zum Beispiel indem die Kenntlichmachung bei bestimmten Anwendungsfällen gefordert wird.
  • Genauigkeit und Zuverlässigkeit fördern: Definition eines Prozesses zur Qualitätssicherung für KI-generierte Inhalte, um Falschaussagen und Urheberrechtsverletzungen zu vermeiden.
  • Allgemeine Einsatzbedingungen klären: Wie dürfen Daten unterschiedlicher Klassifizierung mit GenAI verwendet werden und zu welchem Zweck.
  • Use-Case-basiertes Vorgehen beschreiben: Beschreibung möglicher Anwendungsfälle und Definition, wie korrektes bzw. unzulässiges Vorgehen aussehen kann und wann eine Kenntlichmachung erforderlich ist. Zum Beispiel sollte der Kontext einer Marktanalyse immer um aktuelle Fakten erweitert und der Wahrheitsgehalt des Arbeitsergebnisses überprüft werden.
  • Empfehlungen zur effektiven Nutzung von GenAI: Abbau von Berührungsängsten und Steigerung der Produktivität. Zum Beispiel durch kontinuierliche Schulungen für die Beschäftigten.

UNSER BERATUNGSANSATZ

Und wie sieht die Erstellung einer maßgeschneiderte KI-Nutzungsrichtlinie in der Praxis aus? Ein Unternehmen, das wir bereits dabei unterstützt haben, ist ein mittelständisches Online-Marketing-Unternehmen. Die Firma nutzt KI-basierte Dienste, um Werbetexte, Landing Pages, E-Mails und Social-Media Posts für seine Kunden zu erstellen.

Um Datenschutzrisiken zu minimieren und den Beschäftigten einen Leitfaden für GenAI-Dienste an die Hand zu geben, haben wir in einem gemeinsamen KI-Nutzungsrichtlinien-Workshop durchgeführt. Dabei wurden unter anderen:

  • Die Ziele und Werte des Unternehmens in Bezug auf GenAI beschrieben.
  • Die Use Cases des Unternehmens für GenAI identifiziert und festgehalten, wie zum Beispiel die Erstellung von Werbetexten für verschiedene Branchen, Zielgruppen und Kanäle.
  • Die Datenschutz-Risiken mittels einer Datenschutzfolgenabschätzung (DSFA) identifiziert und spezifische Maßnahmen festgelegt.
  • Die technischen und organisatorischen Maßnahmen der Firma für GenAI Dienste analysiert und definiert, wie zum Beispiel die Auswahl und Validierung der Dienste und der Umgang mit unterschiedlichen Datentypen & -klassen.
  • Die rechtlichen und ethischen Herausforderungen und Verpflichtungen des Unternehmens erkannt und berücksichtigt, wie zum Beispiel die Begrenzung der Haftung für die generierten Inhalte und die Vermeidung von Falschinformationen.

Der finale Entwurf der KI-Nutzungsrichtlinie wurde anschließend anwaltlich überprüft und durch einen internen Ausschuss, bestehend aus Compliance und ausgewählten Fachbereichen, validiert und freigegeben. Parallel dazu, wurden in einem weiteren Teilprojekt auch technische Maßnahmen, mittels Microsoft-Purview-Richtlinien und den Copilot-Einstellungen umgesetzt, um die Vorgaben der KI-Nutzungsrichtlinie zu unterstützen.

FAZit

Die Integration von KI in geschäftliche Abläufe birgt immense Chancen, erfordert aber gleichzeitig eine ernsthafte Auseinandersetzung mit Datenschutzfragen. Unternehmen müssen proaktiv handeln, um Risiken zu minimieren und die Privatsphäre sowie die Sicherheit und Qualität von Daten zu gewährleisten.

Eine Nutzungsrichtlinie für Generative künstliche Intelligenz ist kein statisches oder universelles Dokument. So enthielt unsere eigene erste Version einer KI-Nutzungsrichtlinie zum Beispiel noch keine konkreten Angaben zum Copilot for Microsoft 365 und auch das EU-Gesetz zur künstlichen Intelligenz war damals noch Zukunftsmusik. Daher ist es wichtig, die KI-Nutzungsrichtlinie nicht nur einmalig zu erstellen, sondern auch regelmäßig zu überprüfen und zu aktualisieren.

Wollen auch Sie eine KI-Nutzungsrichtlinie erstellen? Informieren Sie sich über unser Angebot und buchen Sie noch heute unser kostenloses Erstberatungsgespräch. Lassen Sie uns gemeinsam sicherstellen, dass Ihre KI-Integration nicht nur innovativ, sondern auch sicher ist.

Kontakt

Ihr persönlicher Ansprechpartner

Sie wollen moderne, KI-gestützte Arbeitsweisen in Ihrem Unternehmen etablieren? Wir helfen Ihnen gerne!

TIM WOLF | Principal Consultant

+49 89  71040920

tim@provectus.de

Termin vereinbaren

Zum Kontaktformular

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung

Blogbeitrag

Intune Enterprise App erlaubt Compliant Device Bypass

In diesem Blogbeitrag erläutert unser Experte das Fehlerbild, zeigt auf, wie die Schwachstelle nachgestellt werden kann und gibt Empfehlungen zur Absicherung Ihrer Systeme.
Weiterlesen
Blogbeitrag

Citrix kauft DeviceTRUST und Strong Network: Was bedeutet das für Kunden?

Citrix kauft DeviceTRUST und Strong Network, um die Sicherheit seiner digitalen Workspace-Lösungen zu stärken
Weiterlesen
Echt Ich

Echt Ich Hannes

In ECHT ICH erfahrt ihr mehr über Hannes, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus „ECHT ER“ sein kann.
Weiterlesen
Blogbeitrag

Für den Weihnachtsmann führt der Weg in die Cloud – und der geht über Azure!

Wie der Weihnachtsmann mit der Magie von Azure Weihnachten modernisierte.
Weiterlesen
Webinar

Webinar: Azure-Cost-Optimization-in-7-Schritten

Dieses kostenlose Webinar zeigt Ihnen, wie Sie in 7 praxisbewährten Schritten zur effektiven Azure-Kostenoptimierung gelangen und Ihre Azure-Resourcen optimal nutzen.
Weiterlesen
Whitepaper

Microsoft AVD und Windows 365 Cloud PC

Unser Whitepaper richtet sich an IT-Leiter, die Strategien zwischen On-Premises- und Cloud-Lösungen prüfen und zukunftsfähige Alternativen für ihr Unternehmen finden möchten.
Weiterlesen
Webinar

Webinar: Strategiewechsel im VDI-Segment? Citrix & Microsoft im Vergleich

Dieses Kostenlose Webinar richtet sich an IT-Entscheider & App-Virtualisierungs-Verantwortliche, die vor der Entscheidung stehen, ob ein Wechsel zu Microsoft AVD oder Windows 365 sinnvoll ist.
Weiterlesen
Blogbeitrag

Power Plattform ohne Center of Excellence – geht das überhaupt?

Unsere Expertin erklärt, wie Sie mit dem Center of Excellence die Nutzung und das Management der Power Platform verbessern.
Weiterlesen
Blogbeitrag

Kritische Sicherheitslücke bei NetScaler

NetScaler hat am Dienstag, den 12.11.2024 eine neue Sicherheitslücke der Kritikalität „High“ veröffentlicht. Kunden, die NetScaler im Einsatz haben, sollten jetzt tätig werden.
Weiterlesen
Whitepaper

Whitepaper – Azure Cost Management

In diesem Whitepaper zeigen wir Ihnen, wie Sie mit Azure Cost Management Ihre Cloud-Kosten effektiv steuern und gleichzeitig die Vorteile der Cloud voll ausschöpfen können.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter