Sicher, effizient, rechtskonform: Warum jede Organisation eine KI-Richtlinie braucht.
Warum braucht es eine KI-Richtlinie?
Richtlinien spielen eine zentrale Rolle in der KI-Compliance und bilden einen unverzichtbaren Bestandteil eines verantwortungsvollen Umgangs mit künstlicher Intelligenz. Im Gegensatz zum inzwischen fest verankerten Datenschutz, der vor allem durch die Datenschutz-Grundverordnung (DSGVO) geregelt wird, ist KI ein wesentlich komplexeres und breiter gefasstes Thema. Es gibt keine einzelne Verordnung, die alle Aspekte des KI-Einsatzes abdeckt. Hinzu kommt, dass KI-Systeme häufig nutzerfreundlich gestaltet und leicht in Betrieb genommen werden können. Dies birgt die Gefahr, dass Mitarbeitende eigenmächtig KI-Technologien einführen, ohne die notwendigen rechtlichen, sicherheitstechnischen oder organisatorischen Rahmenbedingungen zu prüfen. Um solche Risiken zu minimieren, muss eine klare und verbindliche KI-Richtlinie innerhalb eines Unternehmens etabliert werden.
Eine solche Richtlinie sollte allen Mitarbeitenden unmissverständlich die Voraussetzungen, Einschränkungen und Verantwortlichkeiten beim Einsatz von KI-Systemen aufzeigen. Denn ein unkontrollierter Einsatz von KI kann erhebliche rechtliche und sicherheitstechnische Konsequenzen nach sich ziehen – bis hin zu kostspieligen Compliance-Verstößen oder einem Reputationsverlust für das Unternehmen.
Schwerpunkte einer KI-Richtlinie
1. Definition von KI-Systemen
Eine klare Definition dessen, was ein KI-System ist, bildet das Fundament jeder KI-Richtlinie. Zwar liefert der AI-Act eine offizielle Definition, diese ist jedoch abstrakt, komplex und in der Regel wenig praxistauglich. Um allen Mitarbeitenden ein einheitliches Verständnis zu ermöglichen, sollte das Unternehmen eine eigene, leicht verständliche und dennoch umfassende Definition formulieren.
Diese Definition muss mindestens den Umfang des AI-Acts abdecken, da dessen Anforderungen unabhängig von der internen Auslegung rechtlich bindend sind. Sie muss klar festlegen, ab wann ein System als KI-System gilt, damit Mitarbeitende zweifelsfrei erkennen können, wann die in der Richtlinie beschriebenen Rahmenbedingungen, Prozesse und Prüfschritte anzuwenden sind.
2. Awareness der Mitarbeitenden: Rechtliche und sicherheitsspezifische Grundlagen
Der eigenmächtige Einsatz von KI-Systemen birgt erhebliche rechtliche und sicherheitstechnische Risiken. Um diese zu minimieren, ist es entscheidend, dass alle relevanten Themenbereiche im Rahmen einer Compliance-Prüfung behandelt werden. Mitarbeitende, die mit KI arbeiten oder deren Einführung eigenverantwortlich vorantreiben, müssen mindestens ein grundlegendes Bewusstsein für die rechtlichen und sicherheitstechnischen Aspekte im Umgang mit KI-Systemen entwickeln.
Unwissenheit schützt nicht vor Haftung und kann schwerwiegende Konsequenzen für das Unternehmen und die betroffenen Mitarbeitenden nach sich ziehen. Ein solches Grundverständnis ist nicht nur eine unternehmerische Empfehlung, sondern wird ab Februar 2025 auch durch Artikel 4 des AI-Acts rechtlich vorgeschrieben. Dieser fordert, dass Mitarbeitende, die mit KI-Systemen arbeiten, über eine angemessene Schulung und Sensibilisierung zu deren sicheren und rechtskonformen Einsatz verfügen. Es sollte daher ein Grundverständnis und Bewusstsein für zumindest die nachfolgenden Themen aufgebaut werden.
a) AI-Act
Alle Systeme, die unter die Definition des AI-Acts fallen, müssen gemäß den Vorgaben der Verordnung bewertet werden. Der AI-Act klassifiziert KI-Systeme in vier Risikokategorien: von minimalem bis hin zu untragbarem Risiko, die in Folge verboten sind. Dabei ist insbesondere zu prüfen, ob die geplante Nutzung des Systems unter diese verbotenen Anwendungen fällt – eine Liste dieser Anwendungen sollte allen Mitarbeitenden zugänglich und bekannt sein. Für KI-Systeme, die als Hochrisikoanwendungen eingestuft werden, gelten umfangreiche gesetzliche Anforderungen. Die Einhaltung dieser Vorgaben ist zwingend erforderlich und kann einen geplanten Business Case signifikant beeinträchtigen. Werden die Maßnahmen missachtet, drohen nicht nur hohe Bußgelder, sondern auch schwerwiegende Reputationsschäden. Zusätzlich sieht der AI-Act besondere regulatorische Anforderungen für KI-Systeme mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) vor, die ebenfalls berücksichtigt werden müssen. Zudem sollte allen Mitarbeitenden bewusst sein, dass künftig eine Kennzeichnungspflicht bei von KI generierten oder manipulierten Inhalten bestehen wird. Ein weiterer entscheidender Aspekt ist die Rolle, die das Unternehmen im Umgang mit KI-Systemen einnimmt. Als reiner Betreiber oder Nutzer eines Systems gelten wesentlich weniger Anforderungen als in der Rolle des Anbieters. Allerdings ist Vorsicht geboten: Man wird schneller zum Anbieter, als häufig angenommen. Es reicht bereits aus, ein KI-System mit dem eigenen Logo zu versehen oder es für einen anderen als den vom Hersteller definierten Verwendungszweck (Intended Purpose) einzusetzen. Das Ziel einer KI-Richtlinie ist nicht, alle Mitarbeitenden zu AI-Act-Experten auszubilden. Jedoch muss sichergestellt sein, dass alle, die mit KI-Systemen in Kontakt stehen, grundlegendes Wissen über die Verordnung haben. Sie sollten in der Lage sein, rechtzeitig Freigaben einzuholen und geplante KI-Systeme durch ein unternehmensinternes Bewertungsverfahren prüfen zu lassen. Dies gilt sowohl vor der Einführung eines neuen Systems als auch bei einer geänderten Nutzung eines bereits freigegebenen Systems. Nur so kann ein rechtskonformer und sicherer Umgang mit KI gewährleistet werden.
b) Betriebsform von KI-Systemen
KI-Systeme können entweder in einer unternehmensinternen On-Premises-Umgebung oder in einer Cloud betrieben werden. Beide Betriebsformen haben spezifische Vor- und Nachteile, die im Hinblick auf Sicherheit, Flexibilität und Ressourcennutzung sorgfältig abgewogen werden müssen. Einige KI-Modelle verfügen über die Fähigkeit, dynamisch mit den Eingabedaten der Nutzenden weiterzulernen. Dies bedeutet, dass solche Modelle die eingegebenen Daten verwenden, um ihre Ergebnisse zu optimieren. In solchen Fällen können die Daten tief in das Modell integriert werden und sind nachträglich nur durch Löschen oder Zurücksetzen des gesamten Modells, etwa mithilfe eines Versionierungs- oder Backup-Konzepts, entfernbar. Der Betrieb eines KI-Systems in einer geschlossenen, unternehmensinternen On-Premises-Umgebung minimiert diese Risiken erheblich. Der Zugriff auf das KI-Modell ist in diesem Fall ausschließlich intern möglich, was verhindert, dass sensible oder vertrauliche Informationen nach außen gelangen. Dies macht On-Premises-Systeme zu einer bevorzugten Wahl für Anwendungen, bei denen der Schutz geheimer Daten oberste Priorität hat. Cloud-basierte KI-Systeme bieten hingegen mehr Flexibilität und Möglichkeiten. Sie erfordern deutlich weniger interne Rechenressourcen, die beim Einsatz von KI-Systemen erheblich sein können. Zudem ermöglichen Cloud-Systeme den Zugriff auf größere Wissensdatenbanken sowie vielfältige Anpassungsoptionen. Diese Vorteile gehen jedoch mit erhöhten Risiken einher: Sensible Daten können leichter in unbefugte Hände geraten, insbesondere wenn die Systeme ohne strikte Kontrollmechanismen genutzt werden. Häufig fehlen bei der Nutzung großer, bereits vortrainierter Modelle Informationen über deren Trainingsdaten, was die Nutzung der Ergebnisse riskant macht. Insbesondere bei generativen KI-Modellen ergeben sich hier Risiken. Diese Systeme können falsche Informationen („Halluzinationen“) oder Inhalte generieren, die Urheberrechtsverletzungen darstellen. Eine unüberlegte Weiterverwendung solcher Inhalte kann rechtliche und reputationsbezogene Konsequenzen nach sich ziehen. Da cloudbasierte KI-Systeme oft als Software-as-a-Service (SaaS) einfach zugänglich sind und eine niedrige Einstiegshürde bieten, ist es entscheidend, die Mitarbeitenden für die Risiken zu sensibilisieren. Sie müssen wissen, dass schützenswerte Daten nicht unbedacht in solche Systeme eingegeben werden dürfen. Darüber hinaus sollten alle Ausgaben von KI-Systemen – insbesondere generativer Modelle – stets einer gründlichen Prüfung unterzogen werden, bevor sie weiterverwendet oder verbreitet werden. Ein grundlegendes Verständnis der Betriebsformen und ihrer Implikationen ist essenziell, um den Einsatz von KI-Systemen sicher und rechtskonform zu gestalten.
c) Schutz von Betriebs- und Geschäftsgeheimnissen
Betriebs- und Geschäftsgeheimnisse bilden das Rückgrat jedes Unternehmens. Ihr Schutz ist daher von zentraler Bedeutung, insbesondere im Zeitalter der Künstlichen Intelligenz, in dem sensible Informationen durch den Einsatz bestimmter KI-Systeme leichter ungewollt nach außen gelangen können. Diese Gefahr entsteht häufig durch Unwissenheit oder unvorsichtiges Verhalten, weshalb Unternehmen hier präventiv handeln müssen. Der Schutz dieser vertraulichen Informationen ist in den geltenden Vorschriften, wie dem AI-Act, nicht explizit geregelt. Daher liegt es in der Verantwortung der Organisationen, klare Vorgaben zu definieren und in internen Richtlinien festzuhalten. Dies gilt nicht nur für unternehmenseigene sensible Daten, sondern in besonderem Maße auch für Daten Dritter, für die vertragliche Geheimhaltungspflichten bestehen. Ein erhebliches Risiko besteht insbesondere bei der Nutzung offener und dynamisch lernender KI-Systeme. Diese Systeme können eingegebene Daten speichern und weiterverwenden, was eine unkontrollierte Offenlegung von Betriebsgeheimnissen oder vertraulichen Informationen ermöglichen könnte. Als wirksame Schutzmaßnahmen sollten daher Verhaltensvorgaben in Bezug auf den Einsatz von KI-Systemen definiert und breit kommuniziert werden: Sowohl eigene Betriebsgeheimnisse als auch personenbezogene oder vertrauliche Daten Dritter dürfen nicht in offene oder dynamisch lernende KI-Systeme eingegeben werden. Der Schutz von Betriebs- und Geschäftsgeheimnissen ist nicht nur ein rechtliches und wirtschaftliches Erfordernis, sondern auch ein Gebot der professionellen Verantwortung gegenüber Kunden, Partnern und dem eigenen Unternehmen.
d) Urheberrecht
Ein weiteres kritisches Thema bei der Nutzung generativer KI-Modelle ist das Urheberrecht, das in diesem Kontext komplexe und vielschichtige Fragestellungen aufwirft. Zum einen kann eine KI-Software oder die zugrundeliegende Datenbank selbst urheberrechtlich geschützt sein. Ob und ab wann dieser Schutz tatsächlich greift, ist jedoch noch Gegenstand intensiver rechtlicher Diskussionen. Unternehmen, die solche Systeme nutzen möchten, müssen sicherstellen, dass sie über die notwendigen Urheber- oder Nutzungsrechte verfügen, bevor ein KI-Service von Mitarbeitenden eingesetzt wird. Gleichzeitig ist der Output eines generativen KI-Systems, also das von der KI generierte Ergebnis, nach geltendem Recht nicht urheberrechtlich geschützt. Im österreichischen Urheberrecht sind gemäß § 1 eigentümliche geistige Schöpfungen geschützt, die einen schöpferischen Akt eines natürlichen Menschen erfordern. Da der Output eines KI-Systems ohne das kreative Eingreifen eines Menschen entsteht und der zugrunde liegende Prompt rechtlich nicht als ausreichend schöpferisch gilt, fehlt es hier an einem urheberrechtlichen Schutz. Diese rechtliche Einordnung hat weitreichende Konsequenzen, insbesondere wenn Ergebnisse an Dritte weiterverkauft oder für eigene geschäftliche Zwecke verwendet werden, da in solchen Fällen keine Nutzungsrechte eingeräumt werden können. Darüber hinaus birgt der Einsatz generativer KI-Modelle das Risiko, Schutzrechte Dritter zu verletzen. Werden urheberrechtlich geschützte Daten in den Trainingsprozess der KI eingebunden oder im Zuge einer Verbesserung des KI-Systems (Finetuning) weiterverarbeitet, kann der Output dem Original bzw. den Trainingsdaten so stark ähneln, dass Rechte Dritter verletzt werden. Mitarbeitende müssen sich dieser Risiken bewusst sein, insbesondere wenn der Output öffentlich verwendet wird, da solche Verstöße rechtliche und reputative Folgen für das Unternehmen nach sich ziehen können.
e) Datenschutz
Das Thema Datenschutz ist in Verbindung mit der Nutzung von KI besonders komplex und bringt neue Herausforderungen mit sich, die bislang in dieser Form nicht existierten. Seit Inkrafttreten der DSGVO ist der Schutz personenbezogener Daten für alle Organisationen von zentraler Bedeutung, und die Einbindung eines Datenschutzbeauftragten ist längst ein Standard. Wenn personenbezogene Daten verarbeitet werden, müssen diese Verarbeitungen immer datenschutzrechtlich bewertet werden – ein Grundsatz, der auch für KI-Anwendungen gilt, sei es für das Training einer KI oder deren Nutzung. Dabei entstehen jedoch spezifische Fragestellungen, die in einer Richtlinie aufgegriffen und allen Mitarbeitenden verständlich gemacht werden sollten. Datenschutzbeauftragte spielen eine zentrale Rolle bei der Ausarbeitung solcher Richtlinien, da ihre Expertise essenziell ist, etwa bei der Klärung, ob personenbezogene Daten für das Training eines KI-Modells überhaupt verwendet werden dürfen (Zweckbindung), bei der Einhaltung des Grundsatzes der Datenminimierung oder beim Umgang mit dem Thema Profiling. Besondere Aufmerksamkeit erfordern zudem die Grundsätze der Richtigkeit – generative KI-Systeme können sogenannte Halluzinationen erzeugen, wodurch nicht immer sichergestellt wird, dass die ausgegebenen Daten korrekt sind – und der Speicherbegrenzung. Die DSGVO gewährt Betroffenen das Recht auf Berichtigung oder Löschung personenbezogener Daten, was im Zusammenhang mit trainierten KI-Modellen zusätzliche Herausforderungen birgt, da solche Systeme in der Regel keine gezielte Löschung einzelner Daten ermöglichen. Daher ist es entscheidend, dass nicht nur Datenschutzbeauftragte, sondern alle Mitarbeitenden ein Grundverständnis für diese Themen mitbringen und sich an klare Leitlinien halten, um Datenschutzverstöße und die daraus resultierenden Risiken zu minimieren.
3. Compliance-Prozess inkl. Rollen und Verantwortlichkeiten
Eine KI-Richtlinie dient dazu, klare und unmissverständliche Rahmenbedingungen und Grundsätze für den verantwortungsvollen Einsatz von KI im Unternehmen zu schaffen. Neben der Schaffung eines grundlegenden Bewusstseins für wesentliche Themen und der Identifikation von KI-Systemen muss sie auch aufzeigen, wie Mitarbeitende KI-Anwendungen verantwortungsvoll nutzen und neue Use-Cases einbringen können. Hierfür ist ein klar definierter Compliance-Prozess unerlässlich, der zudem Rollen und Verantwortlichkeiten für die Evaluierung von KI-Use-Cases festlegt. Es muss eindeutig geregelt sein, an wen sich Mitarbeitende mit neuen Anwendungsfällen wenden können und wie der Prüfprozess gestaltet ist. Durch eine nachvollziehbare Beschreibung des Bewertungsvorgehens, die Einrichtung eines dedizierten Kompetenzteams (z. B. eines AI-Centers-of-Excellence, AI CoE) und die leichte Zugänglichkeit der Richtlinie werden die Hürden zur Einmeldung und Evaluierung von Use-Cases niedrig gehalten. Dies fördert eine transparente Nutzung von KI und verhindert, dass Mitarbeitende Anwendungen ohne Überprüfung einsetzen. Der Prüfprozess für KI-Use-Cases sollte mindestens die Überprüfung der Umsetzbarkeit, insbesondere in Bezug auf regulatorische Anforderungen wie den AI-Act (z. B. hinsichtlich verbotener Anwendungen), die Wirtschaftlichkeit sowie eine erste Risikoabschätzung umfassen. In einem zweiten Schritt ist häufig eine Evaluierung des jeweiligen KI-Services oder dessen Anbieters erforderlich, wofür Hilfsmittel wie die StarAudit-KI-Erweiterung herangezogen werden können.
Besonders hervorzuheben ist bei einer solchen KI-Richtlinie, dass neben dem Prüfprozess auch das Thema der menschlichen Aufsicht und der Autonomie von KI-Systemen berücksichtigt werden muss. Der Prüfprozess selbst dürfte in vielen Unternehmen ähnlich gestaltet sein wie bei anderen Technologien, etwa der Einführung von Cloud-Anwendungen. Abhängig von der Wahrscheinlichkeit und der potenziellen Schwere möglicher Schäden ist es allerdings hier entscheidend, das erforderliche Maß an menschlicher Kontrolle über den KI-Einsatz festzulegen, um Risiken zu minimieren und die verantwortungsvolle Nutzung der Technologie sicherzustellen.
Wie die aufgeführten Themen verdeutlichen, ist KI ein äußerst vielseitiges Feld, das auch in einer entsprechenden Richtlinie vielseitig behandelt werden muss. Im Gegensatz zu anderen neuen Technologien wird KI häufig nicht nur primär von der IT-Abteilung, sondern direkt aus den Fachabteilungen vorangetrieben – begünstigt durch die geringen Hürden bei der Nutzung und Beschaffung. Um als Unternehmen einen verlässlichen Compliance-Standard zu etablieren und sich vor Reputationsschäden oder hohen Strafzahlungen zu schützen, bedarf es einer klar verständlichen KI-Richtlinie, die alle Mitarbeitenden, die mit KI in Berührung kommen, nachvollziehen können. Ab Februar 2025 wird zumindest der Awareness-Teil einer solchen Richtlinie gesetzlich vorgeschrieben sein. Dies bietet jedoch nicht nur eine rechtliche Notwendigkeit, sondern auch eine wertvolle Chance, KI verantwortungsvoll und nachhaltig in die Unternehmensprozesse zu integrieren. Eine gut durchdachte Richtlinie fördert nicht nur das Vertrauen der Mitarbeitenden und Kunden, sondern sichert auch langfristig den erfolgreichen und ethisch korrekten Einsatz von KI-Technologien. Indem Unternehmen jetzt die notwendigen Schritte unternehmen, legen sie den Grundstein für eine zukunftsfähige und rechtssichere Nutzung von KI, die den Anforderungen der Regulierung gerecht wird und gleichzeitig ihre Innovationskraft stärkt.
About us
SOURCING INTERNATIONAL is not an exclusively Austrian undertaking. It is a joint venture formed by the fusion of Höllwarth Consulting and 42virtual. The two companies have existed for many years and have frequently cooperated successfully on large projects.
"The consolidation of experience in a close and professional cooperation allows SOURCING INTERNATIONAL to provide high efficiency and offer a broad spectrum of services."
Mag. Oliver Lindlbauer