Teil 3: KI: 11 Grundsätze - und eine Weisung für Mitarbeitende

Der Ruf nach der Regulierung von künstlicher Intelligenz ist weit verbreitet, auch wenn die Ansichten darüber auseinandergehen, was hier wirklich sinnvoll ist. Klar ist jedoch, dass einiges an Regeln schon heute existiert und weitere Vorschriften absehbar sind. Will ein Unternehmen sich hier rechtlich und reputativ in geordneten Bahnen bewegen, muss es daher folgende drei Vorgaben beachten:

• Geltendes Recht: Hier steht das Datenschutzrecht im Zentrum, flankiert vom Urheberrecht und Lauterkeitsrecht. Hinzu kommen je nach Branche Regeln zum Schutz des Amts- und Berufsgeheimnisses und Regelungen betreffend der Auslagerung von Geschäftsfunktionen, wo immer externe IT-Dienstleister ins Spiel kommen – im Bereich der KI ist das allerdings der Normalfall. Verträge können weitere Einschränkungen enthalten, zum Beispiel wofür ein Unternehmen die Daten aus einem Kundenprojekt verwenden darf, selbst wenn der Datenschutz mangels Bearbeitung von Personendaten nicht greift.

• Künftige Regulierung: Hier spricht heute alles vom AI Act der Europäischen Union. Dieser definiert einige verbotene Anwendungen (z.B. Emotionserkennung am Arbeitsplatz) und legt hauptsächlich Regeln für Anbieter von besonders risikoreichen KI-Systemen (z.B. was deren Risiko-Management, Qualitätssicherung und Produkteüberwachung betrifft) sowie einige weitere Pflichten fest (z.B. Transparenz bei Deep Fakes). Für die meisten Unternehmen wird er von weniger grosser Bedeutung sein, jedenfalls wenn sie keine KI-Systeme anbieten oder entwickeln, allerdings werden auch Anwendern gewisse Pflichten auferlegt. Unternehmen in der Schweiz sollten sich jedoch auch mit der KI-Konvention des Europarats beschäftigen, denn diese dürfte dereinst auch für die Schweiz gelten und wohl massgeblich beeinflussen, was in der Schweiz an KI-Regulierung folgt. Sie bringt sehr viel einfacher auf den Punkt, was letztlich auch der AI Act verlangt und wirklich wichtig ist (derzeit liegt der zweite Entwurf vor). Zum AI Act werden wir noch einen separaten Blog-Beitrag haben.

• Ethische Standards: Gemeint sind übergesetzliche Vorgaben, die sich Unternehmen im Umgang mit KI machen, etwa indem sie punkto Transparenz weiter gehen, als das Gesetz (speziell das Datenschutzrecht) es heute schon verlangt. Diese Vorgaben sind naturgemäss bei jedem Unternehmen anders, denn es gibt keine allgemeingültige Ethik bei KI. Es geht in der Praxis letztlich um die Erwartungshaltung der diversen Stakeholder (Mitarbeitende, Kunden, Öffentlichkeit, Aktionäre etc.) an das Unternehmen, wie es sich in bestimmten Belangen verhalten will. Jedes Unternehmen muss selbst intern diskutieren, herausfinden und entscheiden, was hier passt. Was ein Grossunternehmen im Rampenlicht beachten sollte, muss nicht notwendigerweise für ein Startup oder KMU gültig sein. Hinweise zur operativen Umsetzung von Ethik im Rahmen eines Compliance-Systems finden sich hier und ein Webinar hier; beides bezieht sich auf Datenethik, aber die Vorgehensweise ist für den Fall von KI dieselbe.

Die elf Grundsätze zur Verwendung von KI

Das Wichtigste aus allen drei Bereichen haben wir in 11 Grundsätzen zusammengefasst. Dazu gehören nicht nur Vorgaben, wie KI im Unternehmen korrekt eingesetzt werden kann, sondern auch Massnahmen, um die Einhaltung der Regeln und das Management der Risiken sicherzustellen (der Beurteilung der Risiken von KI-Projekten werden wir uns in einem weiteren Beitrag dieser Serie widmen, ebenso dem Thema der KI-Governance, also welche Prozesse, Aufgaben, Kompetenzen und Verantwortlichkeiten es in einem Unternehmen geben sollte, um diese Dinge im Griff zu haben und "Ordnung" in der Sache zu halten und letztliche die Risiken im Griff zu haben).

Diese 11 Grundsätze sind:

• Verantwortlichkeit: Unsere Organisation stellt intern Rechenschaft und klare Verantwortlichkeiten für Entwicklung und Einsatz von KI sicher. Wir agieren planmässig, nicht ad-hoc, und führen Buch über unsere KI-Anwendungen. Wir verstehen und beachten die rechtlichen Vorgaben.

• Transparenz: Wir machen den Einsatz von KI hinreichend transparent, wo dies für Personen in Bezug auf ihren Umgang mit uns wichtig sein dürfte, etwa wo ihnen sonst nicht bewusst wäre, dass sie mit KI interagieren, wo KI an wichtigen, sie betreffenden Entscheiden massgeblich mitwirkt, und bei ansonsten täuschenden "deep fakes".

• Fairness und Nichtschaden: Unser Einsatz von KI soll für andere zumutbar, fair und diskriminierungsfrei sein. Wir achten auf Barrierefreiheit, gleich lange Spiesse für uns und Betroffene und darauf, Schaden möglichst zu vermeiden – auch an der Umwelt. Bei vulnerablen Personen sind wir zurückhaltender.

• Zuverlässigkeit: Wir stellen sicher, dass unsere KI-Systeme möglichst zuverlässig arbeiten und möglichst richtige, vorhersehbare Ergebnisse erzielen. Für den Fall, dass sie dies nicht tun, treffen wir Vorsichtsmassnahmen.

• Informationssicherheit: Wir sehen Massnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von KI-Anwendungen und ihren Informationen (inkl. Personendaten, eigene/fremde Geheimnisse) vor. Wir regeln die Zusammenarbeit mit Drittanbietern sorgfältig

• Verhältnismässigkeit und Selbstbestimmung: Personendaten nutzen wir nur soweit nötig und überlassen – wo passend – den Entscheid, ob und inwieweit KI zum Einsatz kommt, den betroffenen Personen. Ist an wichtigen Entscheiden eine KI beteiligt, prüfen wir, ob wir den davon Betroffenen menschliches Gehör geben müssen oder sollten.

• Geistiges Eigentum: Wir beachten Urheber- und gewerbliche Schutzrechte bei unserem KI-Einsatz und nutzen nur Inhalte und Verfahren, für die wir die erforderlichen Befugnisse haben. Wir schützen auch unsere eigenen Inhalte.

• Rechte der Betroffenen: Wir stellen sicher, dass wir Betroffenen ihr Auskunfts-, Korrektur- und Widerspruchsrecht trotz KI gewähren können.

• Erklärbarkeit und menschliche Aufsicht: Wir nutzen nur KI-Systeme, die wir verstehen und kontrollieren können und unseren Qualitätsanforderungen genügen. Wir überwachen sie, um Fehler und unerwünschte Auswirkungen zu erkennen und zu beheben.

• Risikokontrolle: Wir verstehen und steuern die Risiken, die mit unserem Einsatz von KI einhergehen, sowohl für unsere Organisation als auch für Individuen. Unsere Risikobewertungen aktualisieren wir regelmässig.

• Missbrauchsvermeidung: Wir implementieren Massnahmen, um den Missbrauch unserer KI-Anwendungen zu bekämpfen. Wir schulen unsere Mitarbeitenden im korrekten Umgang mit KI.

Jeder dieser Grundsätze ist hier natürlich verkürzt dargestellt. Für jeden davon haben wir in einem separaten Papier für unsere Klienten näher ausgeführt, was damit konkret gemeint ist bzw. wie sich das Unternehmen verhalten soll und warum. Die einzelnen Vorgaben haben wir mit Verweisen auf das geltende Schweizer Recht, die DSGVO und den Entwurf der KI-Konvention versehen, damit nachvollziehbar ist, was heute schon gilt und womit noch zu rechnen ist. Die Verweise auf den AI Act folgen noch.

Das Papier kann von uns bezogen werden. Wir benutzen es, wenn wir mit unseren Klienten in Workshops ihre eigenen KI-Rahmenbedingungen und Regelungen ausarbeiten, also als Grundlage für eine interne Diskussion über entsprechende Vorgaben, die sich das Unternehmen für seinen eigenen Einsatz von KI im Alltag und in grösseren Projekten geben will. Für eine solche Diskussion empfehlen wir die Durchführung eines Workshops mit verschiedenen Stakeholdern im Unternehmen, um ein gemeinsames Verständnis für den Einsatz von KI im Unternehmen zu definieren. Das ist wichtig, weil es nach unserer Erfahrung Leitlinien braucht, nach welchen KI-Vorhaben umgesetzt werden und auch um für diejenigen, die diese Projekte durchführen wollen, Vorhersehbarkeit zu gewährleisten. Unser Papier kann dann mit den nötigen Anpassungen direkt in eine ausführlichere Weisung oder ein Strategiepapier fliessen. Normalerweise werden hier drei Schritte gemacht:

1. Dieses Papier (oder eine andere Vorarbeit) wirft die Fragen auf, die sich beim Thema KI und Recht und Ethik stellen, also beispielsweise die Frage der Transparenz oder der Selbstbestimmung der betroffenen Personen. Hier geht es darum, dass die Stakeholder im Unternehmen verstehen, welche Anforderungen und Erwartungen an das Unternehmen gestellt werden, um eine strukturierte Diskussion zu führen.

2. Auf Basis dieser Fragen muss ein Unternehmen in einem zweiten Schritt bestimmen, welche Antwort auf diese Fragen zum Unternehmen passt und von ihm gesetzlich und übergesetzlich erwartet wird, also beispielsweise, wie weit es in Sachen Transparenz gehen will. Hier werden also die Unternehmenseigenen Standards bzw. Werte in Bezug auf die einzelnen Fragen oder Themenbereiche definiert. Es wird zudem typischerweise jene Aspekte auswählen, die für das Unternehmen besonders wichtig sind. Das ist wichtig, weil jene, die später KI-Projekte durchführen wollen, wissen müssen, an welchen Massstäben ihre Aktivitäten gemessen werden ("Vorhersehbarkeit").

3. Anhand dieser Standards bzw. Werte können dann bei Bedarf einerseits konkrete Regeln definiert werden (also was erlaubt sein soll, was nicht und was nur ausnahmsweise) und andererseits Fragekataloge definiert werden, anhand denen Projekte rasch eingeschätzt werden können, ob sie erstens besondere Risiken aufweisen (und daher vertieft geprüft werden müssen) und, wenn nicht, ob sie zweitens irgendwelche "Red Flags" aufweisen, die eine nähere Prüfung erfordern. Wir haben solche Fragen z.B. für unser Risiko-Assessment-Werkzeug "GAIRA Light" entwickelt. Sie sind hier abrufbar. Damit können die Legal, Security und Compliance-Funktionen entlastet werden, indem das Business im Sinne einer mehrstufigen Triage selbst beurteilen kann, wo es vertiefte Abklärungen braucht.

Selbstverständlich gehören zu den Standards und Regeln nicht nur materielle Themen (d.h. welche Dinge sollen im Rahmen von KI-Projekten erlaubt sein), sondern auch formale Fragen (d.h. wie können KI-Projekte möglichst rasch hinsichtlich Recht, Sicherheit und Ethik beurteilt und freigegeben werden). Diese sind in unseren 11 Grundsätzen bereits enthalten.

Auf einer Seite: Kurzweisung für den KI-Einsatz

Parallel zu diesen Regelungen für KI-Projekte sollte das Unternehmen seinen Mitarbeitenden den Einsatz von KI-Tools nicht einfach nur verbieten, sondern solche nach Möglichkeit aktiv bereitstellen. Es kann ihren Einsatz auf diese Weise sehr viel besser kontrollieren und regulieren. Wie wir in Teil 2 unserer Blog-Serie gezeigt haben, gibt es auch bei den gängigen Tools grosse Unterschiede, was beispielsweise den Datenschutz betrifft, und ein Unternehmen muss sehr genau prüfen, was es seinen Mitarbeitenden anbietet (hier geht es zu Teil 2 unserer Blog-Serie).

Die dazu passende Weisung muss aus unserer Sicht nicht kompliziert sein. Wir haben zur Inspiration eine Vorlage für eine KI-Weisung für alle Mitarbeitenden erstellt, die auf nur einer Seite Platz hat. Sie enthält einerseits die Zusammenfassung der 11 Grundsätze, weist Mitarbeitende andererseits aber auch an, welche KI-Tools sie im Betrieb für welche Zwecke und vor allem mit welchen Daten benutzen dürfen (hier sind sowohl Datenschutz, wie auch Pflichten zur Geheimhaltung, eigene Geheimhaltungsinteressen und urheberrechtliche Schranken der Verwendung von Inhalten zu berücksichtigen). Dazu geben wir den Mitarbeitenden nur drei zentrale Regeln zum Einsatz dieser KI-Tools mit auf den Weg:

• Transparenz schaffen, wo sie angezeigt ist

• Nutzung von KI-Tools nur mit den dafür freigegebenen Daten

• Den Output der KI manuell auf Richtigkeit prüfen

Damit ergänzt die Weisung das kurze Schulungsvideo, das wir in Teil 1 dieser Serie bereits vorgestellt haben, in drei Sprachen kostenlos erhältlich ist und frei verteilt werden kann (siehe dazu hier).

Kontakt

VISCHER AG
David Rosenthal (Team Head)
E-Mail: drosenthal@vischer.com
Jonas D. Gassmann (Rechtsanwalt)
E-Mail: jgassmann@vischer.com
Web: vischer.com / vischer.com/ki