Über den verantwortungsvollen Umgang mit KI
Nachstehender Artikel wurde veröffentlicht im StartingUP – Das Gründermagazin, Ausgabe 04/2024, siehe https://www.starting-up.de/abo-service/ausgabe/edition/042024.html.
„Künstliche Intelligenz (KI) ist längst Teil unseres Alltags und hält auch zunehmend Einzug in Unternehmen. Ob beim Erstellen von Texten, in der Datenanalyse oder bei der Automatisierung von Routineaufgaben – KI ist ein starkes Werkzeug, das Unternehmen viele Vorteile bieten kann. Doch mit diesen Vorteilen kommen auch Verantwortung und Risiken, die eine klare und durchdachte KI-Policy erfordern.“ Diese Einleitung zu einem Artikel über KI-Policies ist KI-generiert. Es ist so schön bequem und schnell gemacht: eines der gängigen LLM-Systeme online aufrufen, z.B. ChatGPT, und binnen Sekunden ist der Artikel fertig.
Ihr kennt das, im Privaten, aber vor allem auch im Arbeitsumfeld. KI-Tools sind nicht mehr aus der Arbeitswelt wegzudenken. Die Nutzung von KI – insbesondere für berufliche Aufgaben – birgt jedoch Risiken. Manche KI neigt, falsch trainiert, zu diskriminierenden Entscheidungen, was bspw. im HR-Bereich gefährlich ist. Unbedacht erstellte Prompts können den Schutz von Geschäftsgeheimnissen aufs Spiel setzen. Die Datenschutzgrundsätze sind wie immer einzuhalten. Generative KI schert sich, wenn wir als Nutzer*innen nicht darauf Acht geben, nicht um die Urheberrechte derer, deren Werke wir – ob bewusst oder unbewusst – verwenden oder verletzen. Zudem ist mittlerweile die KI-Verordnung in der Welt, die an Unternehmen, die KI-Systeme und -Modelle entwickeln, anbieten oder betreiben, umfangreiche Anforderungen stellt, vor allem eine Einschätzung und Mitigation der von der KI ausgehenden Risiken.
Wenn Ihr als Gründer*innen oder in sonst verantwortlicher Position in einem Unternehmen mit mehreren Mitarbeiter*innen tätig seid, müsst Ihr Euch Gedanken machen, wie solche Risiken zu fassen und zu begrenzen sind. Tut Ihr das nicht, drohen aus diversen Rechtsgrundlagen bspw. Schadensersatzforderungen, Bußgelder oder der Verlust an Assets – Dinge, die allerspätestens bei der nächsten Finanzierungsrunde negativ bewertet werden. In Bezug auf Eure Belegschaft müsst Ihr also Awareness für diese Themen schaffen und konkrete Vorgaben machen. Denn eins ist klar: KI wird in Euren Unternehmen genutzt werden, ob mit oder ohne Euer Wissen. Und bevor die Mitarbeiter*innen auf privaten Geräten sensible berufliche Aufgaben nicht reglementiert mittels ChatGPT & Co. lösen, beschreibt lieber beizeiten Dos and Don’ts, um sicherstellen, dass KI verantwortungsvoll, sicher und rechtskonform bei Euch im Unternehmen eingesetzt wird. Dazu dient eine die Belegschaft informierende und verpflichtende KI-Policy. Hier gebe ich einen Überblick, welche Aspekte in eine solche Policy gehören.
1. Richtlinien für den Einsatz generativer KI am Arbeitsplatz
Generative KI-Modelle wie ChatGPT, DALL-E und andere erstellen Inhalte nach Maßgabe der Eingaben der Nutzer. Bei diesen Prompts und bei der Verwendung der generierten Ergebnisse ist auf folgendes zu achten:
Schutz sensibler Daten
Die Eingabe vertraulicher Informationen in KI-Modelle stellt ein erhebliches Risiko dar, da generative KI-Systeme auf großen Datenmengen trainiert sind und Informationen potenziell unkontrolliert verarbeiten und speichern. Die KI-Policy sollte explizit verbieten, sensible oder vertrauliche Informationen in generative KI-Systeme einzugeben, insbesondere, wenn diese extern betrieben werden. Die Policy sollte beschreiben wie mit sensiblen Daten umzugehen ist und welche Daten für die Verarbeitung durch KI-Systeme ungeeignet sind.
Einhaltung des Datenschutzes
Die KI-Policy sollte klarstellen, dass der Einsatz generativer KI-Tools den Anforderungen der Datenschutzgesetze (DS-GVO, BDSG) entsprechen muss. Dazu gehören Vorgaben wie personenbezogene Daten rechtssicher zu handhaben sind und welche dieser Daten überhaupt für den Einsatz von KI-Modellen geeignet sind, sowie zur Anonymisierung und Pseudonymisierung der Daten, daneben Transparenzvorgaben, um betroffene Personen über die Nutzung ihrer Daten zu informieren. Personenbezogene Daten in öffentlichen KI-Systemen einzusetzen sollte möglichst untersagt werden.
Umgang mit geistigem Eigentum
Die Nutzung generativer KI-Modelle kann zu Problemen führen, wenn die KI auf geschütztem Material trainiert wurde, vom Nutzer urheberrechtlich geschützte Werke in den Prompt einbezogen werden oder die KI Werke erstellt, die bestehende Urheber- oder sonstige Schutzrechte verletzen. Die KI-Policy sollte ein Verbot der Verwendung von Werken enthalten, an denen nicht die für die Bearbeitung erforderlichen Rechte bestehen. Und sie kann Regelungen zur Überprüfung und Genehmigung von KI-erstellten Inhalten festlegen, etwa durch eine Rechtsabteilung oder eine speziell dafür zuständige Stelle.
Transparenz und Kennzeichnung
Die KI-Policy sollte festlegen, dass Inhalte, die mithilfe von generativer KI erstellt wurden, transparent gekennzeichnet werden. Dies trägt dazu bei, Missverständnisse zu vermeiden und sicherzustellen, dass die Herkunft von Texten und Bildern klar erkennbar ist. Diese Kennzeichnungspflicht sollte insbesondere dann gelten, wenn KI-generierte Inhalte veröffentlicht werden, aber auch im internen Gebrauch.
Positivliste erlaubter KI-Systeme
Um die Mitarbeiter*innen mit der Anwendung dieser Vorgaben auf einzelne, am Markt angebotene KI-Systeme nicht allein zu lassen, kann eine KI-Policy auch eine Auflistung der vom Unternehmen freigegebenen Systeme enthalten. Voraussetzung ist dafür natürlich, dass diese entsprechend vorab fachlich geprüft wurden. Das kann schwierig sein, weil die Anbieter sich meist nicht in die Karten schauen lassen.
2. Richtlinien für die Entwicklung und Implementierung von KI
Auch wenn Ihr in Eurem Unternehmen KI-Systeme entwickeln oder implementieren wollt, sind ethische, rechtliche und technische Anforderungen in einer KI-Policy zu adressieren.
Fairness, Transparenz und Nichtdiskriminierung
KI-Systeme können, wenn sie auf verzerrten Datensätzen trainiert werden, Diskriminierung oder Vorurteile reproduzieren. Eine KI-Policy sollte deshalb klare ethische Richtlinien festlegen, die sicherstellen, dass die entwickelten Modelle fair, transparent und frei von Diskriminierung sind. Ein mögliches Vorgehen ist, regelmäßige Audits und Bias-Tests durchzuführen und also in der Policy verpflichtend vorzusehen, um Verzerrungen frühzeitig zu erkennen und zu beheben.
Datenschutz und Datensicherheit
Der verantwortungsvolle Umgang mit Nutzerdaten ist eine der wichtigsten Anforderungen in der KI-Entwicklung. Die KI-Policy sollte festlegen, dass bei der Verarbeitung personenbezogener Daten durch die KI strenge Schutzanforderungen, am besten strenge Begrenzungen, gelten. Rein automatisierte Entscheidungen sind schon laut DS-GVO verboten. Es sollten nur die für die jeweilige Anwendung notwendigen Daten erhoben und verarbeitet werden und diese Daten sollten weitestgehend anonymisiert oder pseudonymisiert werden. Regelungen für den Zugang zu diesen Daten sowie Maßnahmen zur Datensicherheit (wie Verschlüsselung und Zugriffskontrollen) sollten ebenfalls Bestandteil der Policy sein.
Überprüfung auf Halluzinationen und Fehlinterpretationen
Generative KI-Modelle neigen dazu, Informationen zu „halluzinieren“, also falsche oder ungenaue Inhalte zu erstellen. In der KI-Policy sollte festgelegt sein, dass entwickelte KI-Modelle regelmäßig auf ihre Genauigkeit und Zuverlässigkeit überprüft werden. Dies kann durch vorgeschriebene Tests und Simulationen geschehen, bei denen die KI in verschiedenen Szenarien eingesetzt und auf ihre Fähigkeit, korrekte Ergebnisse zu liefern, geprüft wird. Es sollten auch definiert werden, wie Fehler erkannt und behoben werden können.
Erklärbarkeit und Nutzerfreundlichkeit
Komplexe KI-Modelle sind oft schwer verständlich und wirken wie eine „Black Box“, deren Entscheidungen für Außenstehende kaum nachvollziehbar sind. Die KI-Policy sollte daher sicherstellen, dass Eure KI so gestaltet sind, dass ihre Funktionsweise für Nutzer*innen transparent und nachvollziehbar ist. Dies ist insbesondere dort wichtig, in denen KI-Entscheidungen schwerwiegende Auswirkungen haben können. Ihr solltet sicherstellen, dass für Nutzer*innen eine verständliche Erläuterung darüber bereitgestellt wird, wie und warum die KI zu einem bestimmten Ergebnis gelangt ist. Das ist Voraussetzung für Kontrolle und rechtskonformen Betrieb der KI.
Gesetzeskonformität gemäß der KI-Verordnung
Nicht zuletzt hat die Europäische Union im August 2024 die KI-Verordnung in Kraft gesetzt, die strenge Anforderungen an die Entwicklung und Nutzung von KI stellt. Die KI-Verordnung dient der Produktsicherheit und verlangt zunächst eine Risikoeinschätzung für die KI-Systeme. Die Maßgaben für eine solche Einschätzung sollten in der Policy angerissen werden und No-Gos ausgesprochen werden für die Entwicklung von Funktionalitäten, die zu den laut KI-Verordnung verbotenen KI-Anwendungen gehören. Für sog. Hochrisiko-KI-Systeme gelten besondere Anforderungen, die bei einer Entwicklung mitgedacht werden müssen, wofür eine KI-Policy zumindest sensibilisieren sollte. Die im Einzelfall geforderte Überprüfung und Einstufung des jeweiligen Systems oder Modells kann eine Policy nicht leisten, aber die initialen und regelmäßigen Überprüfungen und Risikobewertungen sollte sie fordern.
Regelmäßige Überwachung und Wartung der KI-Modelle
KI-Modelle entwickeln sich weiter und benötigen regelmäßige Überwachung und Wartung, um ihre Leistung zu optimieren und mögliche Fehler zu minimieren. Die KI-Policy sollte eine solche sich wiederholende Maintenance festlegen, etwa die schon erwähnten regelmäßigen Aktualisierungen, Fehlerbehebungen und Performance-Überprüfungen, damit die KI-Systeme immer den aktuellen Standards und Anforderungen entsprechen.
3. Übergreifende Ziele und Vorgaben einer KI-Policy
Eine KI-Policy sollte nicht nur detaillierte Vorgaben zur Nutzung und Entwicklung von KI enthalten, sondern auch allgemeine Leitlinien und Prinzipien für den Einsatz von KI im Unternehmen, um ein Bewusstsein für die Potenziale und Risiken der Technologie zu schaffen.
Regelmäßige Überprüfung und Anpassung
Da sich KI-Technologien und gesetzliche Anforderungen stetig weiterentwickeln, sollte auch die KI-Policy regelmäßig überprüft und aktualisiert werden. Dies hilft sicherzustellen, dass das Unternehmen stets auf dem neuesten Stand ist und seine KI-Systeme konform mit den aktuellen gesetzlichen, ethischen und technischen Standards sind. Es ist empfehlenswert, regelmäßige Audits durchzuführen und die Policy an neue Entwicklungen in der KI-Forschung, der Gesetzgebung und den Marktanforderungen anzupassen.
Unternehmenskultur in Bezug auf KI
Eine KI-Policy sollte dazu dienen, den transparenten und offenen Umgang mit KI in allen Unternehmensbereichen und damit die Akzeptanz für KI-Systeme sowohl innerhalb des Unternehmens als auch bei Kund*innen und Partner*innen zu fördern. Dazu gehört auch, dass das Unternehmen offenlegt, in welchen Bereichen KI eingesetzt wird und welche Entscheidungen die Technologie beeinflusst. Letztendlich ist die KI-Policy ein Instrument zur Förderung einer verantwortungsvollen und ethischen Unternehmenskultur in Bezug auf KI. Das schützt letztlich auch die Integrität und die Werte des Unternehmens.
Schulungen und Sensibilisierungsmaßnahmen für Mitarbeitende
Um einen solchen kompetenten und verantwortungsvollen Umgang mit KI zu erreichen, sind nicht zuletzt regelmäßige Schulungen und Sensibilisierungsmaßnahmen für die Mitarbeiter*innen zu den hier genannten Aspekten vorzusehen.
Fazit:
Dieser Artikel kann nur einen groben Überblick und Rahmen vorgeben. Die konkreten Inhalte einer auf Eure Belange und Nutzungsformen passenden Policy müsst Ihr in Anschauung der Spezifika der eingesetzten oder zu entwickelnden KI-Systeme erarbeiten. Das kann man auch schlecht an KI delegieren: Der Rest des eingangs erwähnten KI-generierten Artikels war nicht wirklich brauchbar, ebenso die testweise mit KI erstellten Policies. Dafür braucht es professionelle Unterstützung.
