Wenn Unternehmen ihre KI-Compliance im Griff haben wollen, sind sie darauf angewiesen, dass ihnen neue oder geänderte KI-Anwendungen gemeldet werden. Wie aber können Mitarbeitende ohne vertieftes Wissen erkennen, wann es heikel wird? Wir haben fünf Trigger-Fragen für Sie zusammengestellt in diesem Blog-Post Nr. 24 in unserer Serie zum verantwortungsvollen Umgang mit KI im Unternehmen.
Aus rechtlicher Sicht muss beim Einsatz von KI vor allem in den Bereichen Datenschutz, Geheimnisschutz, geistiges Eigentum und KI-Regulierung geprüft werden, ob die einschlägigen Regeln eingehalten sind (siehe dazu unser Blog-Post Nr. 18). Das gilt im Grunde für jede KI-Anwendung, selbst wenn sie mit bestehenden und im Unternehmen zugelassenen Tools erfolgt. Wer beispielsweise ChatGPT benutzt, um den Lebenslauf eines Bewerbers analysieren zu lassen, wird damit seinen Arbeitgeber automatisch zum Anbieter eines Hoch-Risiko-KI-Systems werden lassen, sobald die entsprechende Bestimmung des EU AI Act anwendbar werden wird. Damit verbunden sind zahlreiche Pflichten, die der Arbeitgeber mit Sicherheit nicht haben will.
Wo sind die roten Linien?
Darum müssen Unternehmen dafür sorgen, dass ihre Mitarbeitenden wissen, wann sie beim Einsatz von KI möglicherweise eine rote Linie überschreiten und eine vertiefte Prüfung der Anwendung nötig ist. Eine Möglichkeit ist es, ihnen entsprechende Fragebogen zu geben, welche die gesetzlich geregelten Fälle abfragen. Es gibt auch entsprechende Prüftools wie z.B. unseren kostenlosen "AI Act Check" in unserem KI-Risikotool GAIRA. Für die grosse Zahl von Mitarbeitenden ist das aber oft zu viel des Guten.
Wir haben daher fünf Trigger-Fragen entwickelt, mit denen Mitarbeitende auch ohne vertiefte KI-Kenntnis erkennen können, ob ihr KI Use Case möglicherweise einer näheren Abklärung bedarf:
- Nutzen wir einen neuen Anbieter und verwenden personenbezogene Daten, eigene oder fremde Geheimnisse?
- Werden wir geistiges Eigentum Dritter nutzen, um KI zu trainieren oder KI-Ergebnisse zu generieren, die wir extern verwenden werden?
- Werden wir KI nutzen, um Personen anhand ihrer Merkmale oder ihres Verhaltens zu identifizieren oder zu analysieren?
- Werden wir KI nutzen, um Personen bei der Arbeit oder in der Ausbildung zu bewerten oder um Personen unwissentlich zu beeinflussen?
- Werden wir KI für Entscheidungen oder Funktionen nutzen, die sich auf das Leben oder die Sicherheit von Personen auswirken können?
Muss eine dieser Fragen mit einem "Ja" beantwortet werden, dann sollte der Anwendungsfall selbst beim Einsatz bestehender, im Unternehmen zugelassener Tools näher geprüft werden. Dies hat die DSGVO, den Schweizer Datenschutz, das Urheberrecht, den Schutz von Berufs- und Geschäftsgeheimnissen und deb EU AI Act im Blick.
Die drei letzten Fragen sind so formuliert, dass sie die verbotenen sowie die hochriskanten KI-Anwendungen gemäss AI Act erfassen. Die diesbezüglichen Details sind in der neusten Ausgabe unseres Werkzeugs GAIRA enthalten. Dort gibt es für jede Frage weiterführende Erläuterungen sowie die Zuweisung zu den einzelnen, im AI Act geregelten Fälle. Es ist überdies noch eine weitere Frage, die auf jene Fälle abzielt, in welcher der AI Act gewisse Transparenzvorschriften vorschreibt. Diese haben wir hier bewusst weggelassen, weil sie in der Praxis nach unserer Erfahrung die meisten Unternehmen nicht betrifft oder bereits über die bestehenden Transparenzvorgaben abgedeckt sind.
Weitere Vorgaben sind nötig
Diese fünf Trigger-Fragen alleine genügen natürlich nicht. Das Unternehmen wird seinen Mitarbeitenden einige weitere Grundregeln auferlegen müssen:
- Nur zugelassene KI-Werkzeuge einsetzen, und dies nur mit den dafür zugelassenen Inhalten
- Ergebnisse der KI auf ihre Richtigkeit prüfen – jeder MItarbeitende bleibt selbst dafür verantwortlich, ebenso wie sonst für seine oder ihre Arbeitsergebnisse
- Für angemessene Transparenz beim Einsatz von KI sorgen, zum Beispiel, wenn Dritte mit KI interagieren oder wenn Deepfakes verwendet werden (aber nicht in jedem Fall ist Transparenz erforderlich, siehe unseren Blogbeitrag Nr. 16)
Wir werden in unserer Blog-Serie in Kürze ein kostenloses Muster für eine passende Weisung für kleine und mittlere Unternehmen publizieren, das diese Dinge abdeckt.
Wir unterstützen Sie bei allen Fragen zu Recht und Ethik beim Einsatz von künstlicher Intelligenz. Wir reden nicht nur über KI, sondern setzen sie auch selbst ein. Weitere Hilfsmittel und Publikationen von uns zum Thema finden Sie hier.
