Close
Wonach suchen Sie?
Seite durchsuchen

29. Januar 2024

Teil 3: KI: 11 Grundsätze - und eine Weisung für Mitarbeitende

KI im Unternehmen: 11 Grundsätze – und eine Weisung für Mitarbeitende

Der Einsatz von KI im Unternehmen braucht Regeln. Aber welche sind das? Wir haben das Wichtigste aus dem heutigen Recht und der künftigen KI-Regulierung zusammengetragen und so 11 Grundsätze für den rechtskonformen und ethischen Einsatz von KI im Unternehmen formuliert. Eine kostenlose Kurzweisung haben wir auch dazu. Dies ist Teil 3 unserer KI-Serie.

Der Ruf nach der Regulierung von künstlicher Intelligenz ist weit verbreitet, auch wenn die Ansichten darüber auseinandergehen, was hier wirklich sinnvoll ist. Klar ist jedoch, dass einiges an Regeln schon heute existiert und weitere Vorschriften absehbar sind. Will ein Unternehmen sich hier rechtlich und reputativ in geordneten Bahnen bewegen, muss es daher folgende drei Vorgaben beachten:

  • Geltendes Recht: Hier steht das Datenschutzrecht im Zentrum, flankiert vom Urheberrecht und Lauterkeitsrecht. Hinzu kommen je nach Branche Regeln zum Schutz des Amts- und Berufsgeheimnisses und Regelungen betreffend der Auslagerung von Geschäftsfunktionen, wo immer externe IT-Dienstleister ins Spiel kommen – im Bereich der KI ist das allerdings der Normalfall. Verträge können weitere Einschränkungen enthalten, zum Beispiel wofür ein Unternehmen die Daten aus einem Kundenprojekt verwenden darf, selbst wenn der Datenschutz mangels Bearbeitung von Personendaten nicht greift.
  • Künftige Regulierung: Hier spricht heute alles vom AI Act der Europäischen Union. Dieser definiert einige verbotene Anwendungen (z.B. Emotionserkennung am Arbeitsplatz) und legt hauptsächlich Regeln für Anbieter von besonders risikoreichen KI-Systemen (z.B. was deren Risiko-Management, Qualitätssicherung und Produkteüberwachung betrifft) sowie einige weitere Pflichten fest (z.B. Transparenz bei Deep Fakes). Für die meisten Unternehmen wird er von weniger grosser Bedeutung sein, jedenfalls wenn sie keine KI-Systeme anbieten oder entwickeln, allerdings werden auch Anwendern gewisse Pflichten auferlegt. Unternehmen in der Schweiz sollten sich jedoch auch mit der KI-Konvention des Europarats beschäftigen, denn diese dürfte dereinst auch für die Schweiz gelten und wohl massgeblich beeinflussen, was in der Schweiz an KI-Regulierung folgt. Sie bringt sehr viel einfacher auf den Punkt, was letztlich auch der AI Act verlangt und wirklich wichtig ist (derzeit liegt der zweite Entwurf vor). Zum AI Act werden wir noch einen separaten Blog-Beitrag haben.
  • Ethische Standards: Gemeint sind übergesetzliche Vorgaben, die sich Unternehmen im Umgang mit KI machen, etwa indem sie punkto Transparenz weiter gehen, als das Gesetz (speziell das Datenschutzrecht) es heute schon verlangt. Diese Vorgaben sind naturgemäss bei jedem Unternehmen anders, denn es gibt keine allgemeingültige Ethik bei KI. Es geht in der Praxis letztlich um die Erwartungshaltung der diversen Stakeholder (Mitarbeitende, Kunden, Öffentlichkeit, Aktionäre etc.) an das Unternehmen, wie es sich in bestimmten Belangen verhalten will. Jedes Unternehmen muss selbst intern diskutieren, herausfinden und entscheiden, was hier passt. Was ein Grossunternehmen im Rampenlicht beachten sollte, muss nicht notwendigerweise für ein Startup oder KMU gültig sein. Hinweise zur operativen Umsetzung von Ethik im Rahmen eines Compliance-Systems finden sich hier und ein Webinar hier; beides bezieht sich auf Datenethik, aber die Vorgehensweise ist für den Fall von KI dieselbe.

Die elf Grundsätze zur Verwendung von KI

Das Wichtigste aus allen drei Bereichen haben wir in 11 Grundsätzen zusammengefasst. Dazu gehören nicht nur Vorgaben, wie KI im Unternehmen korrekt eingesetzt werden kann, sondern auch Massnahmen, um die Einhaltung der Regeln und das Management der Risiken sicherzustellen (der Beurteilung der Risiken von KI-Projekten werden wir uns in einem weiteren Beitrag dieser Serie widmen, ebenso dem Thema der KI-Governance, also welche Prozesse, Aufgaben, Kompetenzen und Verantwortlichkeiten es in einem Unternehmen geben sollte, um diese Dinge im Griff zu haben und "Ordnung" in der Sache zu halten und letztliche die Risiken im Griff zu haben).

Diese 11 Grundsätze sind:

  • Verantwortlichkeit: Unsere Organisation stellt intern Rechenschaft und klare Verantwortlichkeiten für Entwicklung und Einsatz von KI sicher. Wir agieren planmässig, nicht ad-hoc, und führen Buch über unsere KI-Anwendungen. Wir verstehen und beachten die rechtlichen Vorgaben.
  • Transparenz: Wir machen den Einsatz von KI hinreichend transparent, wo dies für Personen in Bezug auf ihren Umgang mit uns wichtig sein dürfte, etwa wo ihnen sonst nicht bewusst wäre, dass sie mit KI interagieren, wo KI an wichtigen, sie betreffenden Entscheiden massgeblich mitwirkt, und bei ansonsten täuschenden "deep fakes".
  • Fairness und Nichtschaden: Unser Einsatz von KI soll für andere zumutbar, fair und diskriminierungsfrei sein. Wir achten auf Barrierefreiheit, gleich lange Spiesse für uns und Betroffene und darauf, Schaden möglichst zu vermeiden – auch an der Umwelt. Bei vulnerablen Personen sind wir zurückhaltender.
  • Zuverlässigkeit: Wir stellen sicher, dass unsere KI-Systeme möglichst zuverlässig arbeiten und möglichst richtige, vorhersehbare Ergebnisse erzielen. Für den Fall, dass sie dies nicht tun, treffen wir Vorsichtsmassnahmen.
  • Informationssicherheit: Wir sehen Massnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von KI-Anwendungen und ihren Informationen (inkl. Personendaten, eigene/fremde Geheimnisse) vor. Wir regeln die Zusammenarbeit mit Drittanbietern sorgfältig
  • Verhältnismässigkeit und Selbstbestimmung: Personendaten nutzen wir nur soweit nötig und überlassen – wo passend – den Entscheid, ob und inwieweit KI zum Einsatz kommt, den betroffenen Personen. Ist an wichtigen Entscheiden eine KI beteiligt, prüfen wir, ob wir den davon Betroffenen menschliches Gehör geben müssen oder sollten.
  • Geistiges Eigentum: Wir beachten Urheber- und gewerbliche Schutzrechte bei unserem KI-Einsatz und nutzen nur Inhalte und Verfahren, für die wir die erforderlichen Befugnisse haben. Wir schützen auch unsere eigenen Inhalte.
  • Rechte der Betroffenen: Wir stellen sicher, dass wir Betroffenen ihr Auskunfts-, Korrektur- und Widerspruchsrecht trotz KI gewähren können.
  • Erklärbarkeit und menschliche Aufsicht: Wir nutzen nur KI-Systeme, die wir verstehen und kontrollieren können und unseren Qualitätsanforderungen genügen. Wir überwachen sie, um Fehler und unerwünschte Auswirkungen zu erkennen und zu beheben.
  • Risikokontrolle: Wir verstehen und steuern die Risiken, die mit unserem Einsatz von KI einhergehen, sowohl für unsere Organisation als auch für Individuen. Unsere Risikobewertungen aktualisieren wir regelmässig.
  • Missbrauchsvermeidung: Wir implementieren Massnahmen, um den Missbrauch unserer KI-Anwendungen zu bekämpfen. Wir schulen unsere Mitarbeitenden im korrekten Umgang mit KI.

Jeder dieser Grundsätze ist hier natürlich verkürzt dargestellt. Für jeden davon haben wir in einem separaten Papier für unsere Klienten näher ausgeführt, was damit konkret gemeint ist bzw. wie sich das Unternehmen verhalten soll und warum. Die einzelnen Vorgaben haben wir mit Verweisen auf das geltende Schweizer Recht, die DSGVO und den Entwurf der KI-Konvention versehen, damit nachvollziehbar ist, was heute schon gilt und womit noch zu rechnen ist. Die Verweise auf den AI Act folgen noch.

Das Papier kann von uns bezogen werden. Wir benutzen es, wenn wir mit unseren Klienten in Workshops ihre eigenen KI-Rahmenbedingungen und Regelungen ausarbeiten, also als Grundlage für eine interne Diskussion über entsprechende Vorgaben, die sich das Unternehmen für seinen eigenen Einsatz von KI im Alltag und in grösseren Projekten geben will. Für eine solche Diskussion empfehlen wir die Durchführung eines Workshops mit verschiedenen Stakeholdern im Unternehmen, um ein gemeinsames Verständnis für den Einsatz von KI im Unternehmen zu definieren. Das ist wichtig, weil es nach unserer Erfahrung Leitlinien braucht, nach welchen KI-Vorhaben umgesetzt werden und auch um für diejenigen, die diese Projekte durchführen wollen, Vorhersehbarkeit zu gewährleisten. Unser Papier kann dann mit den nötigen Anpassungen direkt in eine ausführlichere Weisung oder ein Strategiepapier fliessen. Normalerweise werden hier drei Schritte gemacht:

  1. Dieses Papier (oder eine andere Vorarbeit) wirft die Fragen auf, die sich beim Thema KI und Recht und Ethik stellen, also beispielsweise die Frage der Transparenz oder der Selbstbestimmung der betroffenen Personen. Hier geht es darum, dass die Stakeholder im Unternehmen verstehen, welche Anforderungen und Erwartungen an das Unternehmen gestellt werden, um eine strukturierte Diskussion zu führen.
  2. Auf Basis dieser Fragen muss ein Unternehmen in einem zweiten Schritt bestimmen, welche Antwort auf diese Fragen zum Unternehmen passt und von ihm gesetzlich und übergesetzlich erwartet wird, also beispielsweise, wie weit es in Sachen Transparenz gehen will. Hier werden also die Unternehmenseigenen Standards bzw. Werte in Bezug auf die einzelnen Fragen oder Themenbereiche definiert. Es wird zudem typischerweise jene Aspekte auswählen, die für das Unternehmen besonders wichtig sind. Das ist wichtig, weil jene, die später KI-Projekte durchführen wollen, wissen müssen, an welchen Massstäben ihre Aktivitäten gemessen werden ("Vorhersehbarkeit").
  3. Anhand dieser Standards bzw. Werte können dann bei Bedarf einerseits konkrete Regeln definiert werden (also was erlaubt sein soll, was nicht und was nur ausnahmsweise) und andererseits Fragekataloge definiert werden, anhand denen Projekte rasch eingeschätzt werden können, ob sie erstens besondere Risiken aufweisen (und daher vertieft geprüft werden müssen) und, wenn nicht, ob sie zweitens irgendwelche "Red Flags" aufweisen, die eine nähere Prüfung erfordern. Wir haben solche Fragen z.B. für unser Risiko-Assessment-Werkzeug "GAIRA Light" entwickelt. Sie sind hier abrufbar. Damit können die Legal, Security und Compliance-Funktionen entlastet werden, indem das Business im Sinne einer mehrstufigen Triage selbst beurteilen kann, wo es vertiefte Abklärungen braucht.

Selbstverständlich gehören zu den Standards und Regeln nicht nur materielle Themen (d.h. welche Dinge sollen im Rahmen von KI-Projekten erlaubt sein), sondern auch formale Fragen (d.h. wie können KI-Projekte möglichst rasch hinsichtlich Recht, Sicherheit und Ethik beurteilt und freigegeben werden). Diese sind in unseren 11 Grundsätzen bereits enthalten.

Auf einer Seite: Kurzweisung für den KI-Einsatz

Parallel zu diesen Regelungen für KI-Projekte sollte das Unternehmen seinen Mitarbeitenden den Einsatz von KI-Tools nicht einfach nur verbieten, sondern solche nach Möglichkeit aktiv bereitstellen. Es kann ihren Einsatz auf diese Weise sehr viel besser kontrollieren und regulieren. Wie wir in Teil 2 unserer Blog-Serie gezeigt haben, gibt es auch bei den gängigen Tools grosse Unterschiede, was beispielsweise den Datenschutz betrifft, und ein Unternehmen muss sehr genau prüfen, was es seinen Mitarbeitenden anbietet (hier geht es zu Teil 2 unserer Blog-Serie).

Die dazu passende Weisung muss aus unserer Sicht nicht kompliziert sein. Wir haben zur Inspiration eine Vorlage für eine KI-Weisung für alle Mitarbeitenden erstellt, die auf nur einer Seite Platz hat. Sie enthält einerseits die Zusammenfassung der 11 Grundsätze, weist Mitarbeitende andererseits aber auch an, welche KI-Tools sie im Betrieb für welche Zwecke und vor allem mit welchen Daten benutzen dürfen (hier sind sowohl Datenschutz, wie auch Pflichten zur Geheimhaltung, eigene Geheimhaltungsinteressen und urheberrechtliche Schranken der Verwendung von Inhalten zu berücksichtigen). Dazu geben wir den Mitarbeitenden nur drei zentrale Regeln zum Einsatz dieser KI-Tools mit auf den Weg:

  • Transparenz schaffen, wo sie angezeigt ist
  • Nutzung von KI-Tools nur mit den dafür freigegebenen Daten
  • Den Output der KI manuell auf Richtigkeit prüfen

Damit ergänzt die Weisung das kurze Schulungsvideo, das wir in Teil 1 dieser Serie bereits vorgestellt haben, in drei Sprachen kostenlos erhältlich ist und frei verteilt werden kann (siehe dazu hier).

Hier anklicken für die Powerpoint-Folie

Unten rechts in der Kurzweisung sehen wir zur Sicherstellung der Governance noch vor, dass neue KI-Anwendungen nur erlaubt sind, wenn sie jeweils einen Eigner haben und diese die Compliance sichergestellt haben – also letztlich die 11 Grundsätze (bzw. was das Unternehmen an Grundsätzen festgelegt hat).

Die Kurzweisung stellen wir als Powerpoint-Folie zur Verfügung (auf Deutsch sowie hier auch auf Englisch), damit alle sie für den eigenen Betrieb und entsprechend der jeweiligen Bedürfnisse anpassen können, so insbesondere um anzugeben, welche KI-Tools intern wofür erlaubt sind. Wir haben einige Beispiele bereits angegeben. Wer hier Beratung braucht, dem helfen wir dabei natürlich gerne.

Interne Fachstelle für KI bezeichnen

Die Weisung nennt auch die interne Stelle, die für Rückfragen im Bereich der weisungskonformen Nutzung von KI zuständig ist. Ist noch keine solche Person benannt, empfehlen wir, dass diese Aufgabe die Datenschutzstelle oder die Rechts- bzw. Compliance-Abteilung übernimmt. Auch wenn das Gesetz formal keine solche Stelle vorschreibt, ist es sinnvoll, dass ein Unternehmen eine Person oder eine Personengruppe bestimmt, die sich um den Regel-konformen Einsatz von KI kümmert (siehe dazu Blog-Beitrag 4 in dieser Serie).

Dabei sollten Mitarbeitende nicht nur angewiesen werden, neue KI-Projekte und Tools, die sie einsetzen wollen, vorab mit dieser Stelle auf Konformität zu klären. Auch relevante Pannen und Fehler sollten gemeldet werden, vor allem in heiklen Anwendungen. So kann ein Unternehmen sich beim Einsatz von KI verbessern und seine Risiken im Griff behalten.

Wir empfehlen hier unseren Klienten, ein Verzeichnis der KI-Anwendungen zu führen, so ähnlich, wie das viele Unternehmen für das revidierte Datenschutzgesetz und im Rahmen der DSGVO bereits für ihre Datenbearbeitungen tun; es kann auch kombiniert werden. Dieser Punkt ist auch im Grundsatz Nr. 1 enthalten, wo es um die (interne) Verantwortlichkeit für den KI-Einsatz geht.

Im nächsten Beitrag behandeln wir, wie Risiken beim Einsatz von KI beurteilt und dokumentiert werden – in kleineren und in grösseren Projekten. Danach führen wir weiter aus, welche Governance ein Unternehmen für KI vorsehen sollte.

David Rosenthal, Elias Mühlemann, Jonas Baeriswyl

Dieser Beitrag ist Teil einer Serie über den verantwortungsvollen Einsatz von KI im Unternehmen:

Wir unterstützen Sie bei allen Fragen zu Recht und Ethik beim Einsatz von künstlicher Intelligenz. Wir reden nicht nur über KI, sondern setzen sie auch selbst ein. Weitere Hilfsmittel und Publikationen von uns zum Thema finden Sie hier.

Abonnieren

Kategorie: Data & Privacy

Autoren

You are currently offline. Some pages or content may fail to load.