Einige Handlungsempfehlungen für die betriebliche Praxis
1. „Verhaltenskodex für verantwortungsvollen Umgang mit KI“1 für das Unternehmen erarbeiten.
- [ ] Grundsatz: Nutzung von allgemein zugänglicher KI wie ChatGPT, Copilot (Microsoft bing und Github), claude.ai im Unternehmen verbieten und technisch die Zugänge blockieren.
- [ ] Ausnahmen eng definieren durch Risikomanagement, IT-Sicherheit und Geschäftseinheiten.
- [ ] Niemals vertrauliche Daten direkt in das KI-Modell, d.h. in den Prompt eingeben.
- [ ] Mit Hilfe von KI erstellte Inhalte entsprechend kennzeichnen.2
2. Mitarbeiter, Kunden, Lieferanten über die Nutzung von KI informieren.
- [ ] KI-Nutzung in Allgemeine Geschäftsbedingungen integrieren.
- [ ] Datenschutzerklärung im Hinblick auf KI prüfen und ggf. anpassen.
- [ ] Betriebsrat bei KI-Nutzung einbinden, vor allem wenn Mitarbeiterdaten verarbeitet werden, zB in der Personalarbeit oder in der Vertriebssteuerung.
3. Das passende KI-Modell auswählen.
- [ ] Nur solche KI-Modelle nutzen, bei denen die Trainingsdaten gelöscht wurden (Stand der Technik).
- [ ] Nur solche KI-Modelle nutzen, deren Entwicklungsstand vor Inverkehrbringen „eingefroren“ wurde (Stand der Technik).
- [ ] Möglichst nur solche KI Modelle nutzen, die als Open Source Software bereitgestellt werden und die abgekapselt auf der unternehmenseigenen IT-Infrastruktur (auch Hardware) ohne Schnittstellen nach außen laufen.
- [ ] Rechtliche Fragen klären (NDA, Verträge mit KI-Anbietern, Lizenzen, geistiges Eigentum).3
- [ ] Das KI-Modell nur über ein proprietäres Interface (zB über eine eigene API) mit der Außenwelt verbinden.
- [ ] in diese Schnittstelle Schutzmechanismen einbauen, wie zB Privacy Enhancing Technologies.4
- [ ] Technische Grenzen für den Einsatz der KI programmieren (zB Höchstbestellmengen, Höchstbeträge in EUR, keine Möglichkeit für Email-Versand etc.).
4. Entscheidungen treffen mit Hilfe von KI.
- [ ] Automatisierte Entscheidungsfindung durch KI vermeiden, wenn sie natürliche Personen betrifft.5
- [ ] „Human in the Loop.“
- [ ] Immer dafür sorgen, dass die letzte Entscheidung über die Verwendung von KI-Output bei einem Menschen liegt.
- [ ] Den menschlichen Entscheider so trainieren, dass er selbständige Entscheidungen trifft und sich nicht rechtfertigen muss, wenn er gegen die KI entschieden hat.
- [ ] Immer dafür sorgen, dass die letzte Entscheidung über die Verwendung von KI-Output bei einem Menschen liegt.
- [ ] Verhalten der KI beobachten und ggf. manuell eingreifen (Produktbeobachtungspflicht).
5. KI in das Risikomanagement des Unternehmens einbinden.
- [ ] KI in das technische IT-Sicherheitskonzept des Unternehmens einbinden.
- [ ] Vertrauenswürdige KI-Lieferanten identifizieren.
- [ ] Fachleute aus IT, Legal, Compliance und Datenschutz einbinden, die sich mit KI auskennen.
- [ ] Das Thema mit der Haftpflichtversicherung besprechen.
