Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.
KI-Risiken minimieren durch betriebsinterne Richtlinien
Künstliche Intelligenz wird mittlerweile in nahezu jedem Unternehmen, in jeder Einrichtung eingesetzt. Doch jede Verwendung von KI birgt auch rechtliche Risiken. Höchste Zeit für Risikominimierung mittels Richtlinien an die Mitarbeitenden.
KI bringt Chancen – aber auch rechtliche Herausforderungen
Allen KI-Technologien ist eines gemeinsam: Wo bisher ein Mensch verantwortlich agierte, handelt nun ein System – das aus Daten lernt, in seiner Vorgehensweise aber häufig nicht transparent ist („Black-Box-Problematik“), auch können Trainingsdaten fehlerhaft, veraltet oder unvollständig sein. Dadurch entstehen Ergebnisse, die zwar plausibel klingen, jedoch falsch sein können („Halluzinationen“).
Hinzu kommen Risiken für Datenschutz und Geheimnisschutz, weil viele KI-Systeme sämtliche eingegebenen Informationen verarbeiten, speichern oder zur weiteren Modellverbesserung verwenden. Zudem kann der KI-generierte Output Rechte Dritter verletzen, etwa urheberrechtliche oder markenrechtliche Ansprüche.
Aus derartigen Unwägbarkeiten entstehen reale Risiken – die sich allerdings häufig erheblich verringern lassen: Mit geschickt und umsichtig gestalteten betrieblichen Verhaltensregeln für die Mitarbeitenden.
Grundlagen und Zielsetzung einer KI-Richtlinie
Betriebsinterne (auch KI-) Richtlinien liefern in der Praxis häufig nur einen geringen Mehrwert oder erhöhen gar die Risiken – etwa weil sie zu knapp und unkonkret formuliert sind, an der betrieblichen Praxis vorbei gestaltet wurden, falsche Angaben enthalten, schwer verständlich oder mehrdeutig sind, oder schlicht in rechtlich unzulässiger Weise gestaltet – und damit arbeitsrechtlich nicht durchsetzbar. Besonders häufig finden sich solche Unzulänglichkeiten in Richtlinien, mit welchen die Verwendung neuer Technologien geregelt werden soll.
Eine KI-Richtlinie sollte deshalb vor allem prägnant, verständlich und praxisorientiert formuliert werden. Sie soll über Chancen und Grenzen der KI informieren, den sicheren Umgang damit klar definieren und gleichzeitig Haftungs- und Datenschutzrisiken aufzeigen – und mittels Hilfestellung sowie Handlungsanweisungen minimieren. Schließlich soll eine KI-Richtlinie in der Regel eine Kultur fördern, in der Innovation und Verantwortung gleichermaßen Platz finden.
Vorgehen
Zu Beginn der Gestaltung steht die Bestandsaufnahme: Welche KI-Anwendungen werden im Betrieb bereits eingesetzt, welche sind geplant? Welche konkreten Einsatzszenarien gibt es für die KI? Welche Risiken sind dabei aus Sicht des Unternehmens besonders relevant? Soll die Richtlinie verbindlich gelten und damit auch (arbeits-) rechtlich durchsetzbar sei, oder eher als Empfehlung verstanden werden? Derartige Fragen prägen die Gestaltung und Qualität der Richtlinie entscheidend.
Nicht unterschätzt werden sollte zudem die Bedeutung der Akzeptanz einer KI-Richtlinie durch die Mitarbeitenden. Künstliche Intelligenz sieht sich derzeit in den Unternehmen (noch) vielfach Zweifeln und Skepsis ausgesetzt. Deshalb sollte eine KI-Richtline nicht primär anweisen, fordern und verbieten, sondern die Mitarbeitenden auch „abholen und mitnehmen“. Je mehr Verständnis besteht für KI und für den Bedarf eines KI-Regelungswerks, umso eher werden diese Regeln in der täglichen Arbeit berücksichtigt werden.
Soll die KI-Richtlinie als verbindliche Dienstanweisung ausgestaltet werden, muss sie zudem die arbeitsrechtlichen Rahmenbedingungen beachten. Insbesondere darf sie keine Regelungen enthalten, die in die privaten Rechte der Mitarbeitenden eingreifen. Vorgaben, die – direkt oder indirekt – (auch) das Verhalten außerhalb der Arbeitszeit betreffen, sind regelmäßig unzulässig und rechtlich unwirksam. Nicht wenige Richtlinien nehmen hierauf nicht ausreichend Rücksicht – und sind dann ggf. nicht durchsetzbar.
Trotz juristischer Präzision sollte die KI-Richtline aber gut verständlich bleiben. Hierbei können z.B. Definitionen oder zusätzliche Erläuterungen helfen, im Übrigen eine klare, einfache und gleichwohl (auch rechtlich) präzise Sprache.
Was soll geregelt werden?
Der Jurist würde antworten: Es kommt darauf an. Nämlich auf die konkreten KI-Einsatzszenarien im Unternehmen. Mehrere Themen sind aber nahezu immer zu regeln:
So sollte mittels einer „White List“ klar festgelegt werden, welche KI-Dienste im Betrieb überhaupt verwenden werden dürfen. Sodann regelt die Richtlinie die Grundlagen der KI-Nutzung: Ist die (dienstliche) Nutzung der KI-Dienste durchweg freiwillig? Soll ihre Nutzung auf bestimmte – welche? – Einsatzszenarien begrenzt sein? Was sind aus Sicht des Unternehmens sinnvolle „Use Cases“? Auch lassen sich die technischen Modalitäten der KI-Nutzung festlegen, z. B. mittels bestimmter dienstlicher Zugänge.
Elementarer Bestandteil der KI-Richtlinie ist weiter der Daten- und Geheimnisschutz: In manche KI-Systeme sollten – oder dürfen – keine Personendaten und keine vertraulichen Informationen eingespeist werden. Anschauliche Beispiele innerhalb der Richtlinie tragen diesbezüglich für ein gutes Verständnis dessen bei, was erlaubt ist – und was nicht. Je nach Bedarf kann die Richtlinie zudem Maßnahmen beschreiben, wie sensible Informationen vor der Eingabe in die KI (z.B.) anonymisiert oder pseudonymisiert werden können.
Regeln sollte man auch den Umgang mit den KI-Ergebnissen: Weil man sich auf Outputs der KI häufig nicht ungeprüft verlassen kann, sollte die Richtline hierzu die „Rolle“ der KI – z.B. KI als reines Hilfsmittel – und die Pflichten der Mitarbeitenden – z.B. risikoabhängige Prüfpflichten – regeln. Soweit die KI-Richtlinie die Weitergabe von KI-Output an Dritte nicht pauschal untersagt, müssen auch die Regeln und Grenzen der Verbreitung von KI-Output definiert werden. Zudem ist zu beachten, dass KI-Output häufig keinen Urheberschutz genießt, trotzdem aber Urheber- oder sonstige Rechte Dritter verletzen kann. Auch hierzu sollte die KI-Richtline informieren und Hilfestellung zur Risikominimierung geben. Schließlich gehören in die KI-Richtlinie auch Ansprechpartner und ggf. die Darstellung der Konsequenzen etwaigen Fehlverhaltens: Wer ist zuständig für Fragen der Mitarbeitenden zur KI-Nutzung? Was „droht“ bei einem Verstoß gegen die Richtlinie?
All das sind häufig wesentliche Inhalte einer KI-Richtlinie. Wie sie inhaltlich optimal zu lösen sind, hängt allerdings maßgeblich von den konkreten KI-Einsatzszenarien und weiteren Unternehmensspezifischen Umständen ab – und eben von dessen Antworten auf die o.a. grundlegenden Fragen.
Rollout
Schließlich sollte darauf geachtet werden, dass die finale KI-Richtlinie – wie jede betriebswesentliche Richtlinie oder Dienstanweisung – im Unternehmen ordnungsgemäß ausgerollt wird. Hier gibt es klassischerweise mehrere Möglichkeiten, z.B. Bekanntgabe der Richtlinie im Intranet oder Verbreitung via E-Mail mit Bitte um Bestätigung. Wichtig ist hierbei wieder für eine Verbindlichkeit der Richtlinie die Beachtung der arbeitsrechtlichen Anforderungen und Grenzen.
Fazit und Ausblick
Eine gut konzipierte und umsichtig gestaltete KI-Richtlinie ist kein Hemmnis, sondern ein strategisches Instrument moderner Unternehmensführung. Sie schützt das Unternehmen vor Datenschutz- und Haftungsrisiken, schafft Transparenz und ermöglicht gleichzeitig die produktive Nutzung der KI. Unternehmen, die frühzeitig klare Regeln für den KI-Einsatz schaffen, fördern nicht nur die Rechtssicherheit, sondern auch die Innovationskraft ihrer Mitarbeitenden. So widie KI nicht zum Risiko, sondern zum verlässlichen Werkzeug in einer zunehmend digitalen Wirtschaft.
