Betreiber eines KI-Systems sind Unternehmen, Selbständig oder Vereine, unabhängig von der Größe, die ein KI-System in eigener Verantwortung verwenden. Kein Betreiber ist, wer das KI-System im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.

Betreiber eine KI-Systems sind verpflichtet, Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass Personal, das in ihrem Auftrag mit dem Betrieb und der Nutzung von KI System befasst ist, über ein ausreichendes Maß an KI-Kompetenz verfügt, wobei seine technischen Kenntnisse, seine Erfahrung, seine Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI Systeme eingesetzt werden sollen, zu berücksichtigen sind.

Eine KI-Richtlinie ist ein Muss für Betreiber eines KI-Systems. 

Weisungsrecht für KI-Richtlinie

Arbeitgeber als Betreiber eines KI-Systems können den Einsatz oder die Untersagung des Einsatzes aufgrund ihres Weisungsrechts gegenüber Beschäftigten nach § 106 GewO umsetzen. Das Direktionsrecht umfasst auch die Weisung, bestimmte Arbeitsmittel zu nutzen oder nicht. Aufgrund der mit der Nutzung von KI-Systemen am Arbeitsplatz einhergehenden Risiken, insbesondere auch für den Arbeitgeber, ist es sinnvoll, dass Arbeitgeber eine entsprechende Richtlinie für den Umgang mit KI-Systemen verfassen.

Die Richtlinie richtet sich an das Personal, welches sich mit dem Betrieb und der Nutzung von KI-Systemen befasst. Unter Berücksichtigung der zunehmenden (aufgedrängten) Verbreitung von KI-Systemen, wie zum Beispiel Copilot in Microsoft 365, sollte gegebenenfalls der Kreis weitergezogen werden.

Warum eine KI-Richtlinie

Die Richtlinie ist aus verschieden Gründen sinnvoll und auch notwendig:

Risikomanagement

Eine klare KI-Richtlinie hilft, potentielle rechtliche, ethische und Reputationsrisiken zu mindern, indem sie verbindliche Standards für den Einsatz von KI-Technologien festlegt.

Datenschutz und Compliance

Durch definierte Regeln zur Datenverarbeitung stellt eine KI-Richtlinie sicher, dass KI-Anwendungen im Einklang mit geltenden Datenschutzgesetze wie der DSGVO betrieben wird.

Transparenz und Vertrauensbildung

Klare Grundsätze zur KI-Nutzung fördern Transparenz gegenüber den Mitarbeitern, was Vertrauen in die Technologien und das Unternehmen stärkt.

Wettbewerbsvorteil

Ein durchdachter regulatorischer Rahmen für KI ermöglicht es Unternehmen, Technologien effizienter zu nutzen und sich als verantwortungsvoller Akteur zu positionieren – besonders wichtig in einer Zeit zunehmender gesetzlicher Regulierung im KI Bereich.

Inhalt einer KI-Richtlinie

Eine KI-Richtlinie kann umfassend sein, sich aber auch konkret an die Beschäftigten wenden, um konkrete Vorgaben zur Nutzung eines KI-Systems zu machen. Weitere wichtige Aspekte wären dann in einem gesonderten Dokument darzulegen. Nach Auffassung des Verfassers sollte eine KI-Richtlinie im engeren Sinne zunächst vorrangig Vorgaben für die Beschäftigten enthalten, die ein KI-System nutzen.

Grundsätze zu Nutzung

Entschließt sich ein Unternehmen keine KI als Arbeitsmittel zuzulassen, sollte es dies ausdrücklich in einer KI-Richtlinie festlegen. Eine „Schatten-KI“ ist dann nicht zulässig. Verstöße gegen die Vorgaben können arbeitsrechtlich durch eine Abmahnung geahndet werden. Auf keinen Fall tolerieren oder anordnen können Arbeitgeber die Nutzung von KI auf privaten Geräten der Arbeitnehmer. Ungeachtet der Verarbeitung auf dem privaten Gerät des Arbeitnehmers ist der Arbeitgeber Verantwortlicher im Sinne der DS-GVO.

Datenschutzrechtliche Vorgaben

Die KI-Richtlinie sollte insbesondere das Problem der Verletzung von Datenschutzbestimmungen  oder Geschäftsgeheimnissen umfassen.

Dazu gehören Regelungen, um den Rechenschafts- und Schutzpflichten des Betreibers als Verantwortlicher im Sinne der DSGVO nachzukommen.  Auch wenn Beschäftigte bereits arbeitsvertraglich verpflichtet sind, datenschutzrechtliche Vorschriften einzuhalten, kann  diese Pflicht konkretisiert werden. Die KI-Richtlinie sollte daher neben der Datenschutz-Richtlinie erlassen werden, da sie sich konkret auf die Nutzung von KI-Systemen bezieht.

Mit einer KI-Richtlinie kann einerseits sichergestellt werden, wie und welche Daten, zu Trainingszwecken zur Verfügung gestellt werden. Andererseits kann sie Vorgaben enthalten, damit es keine eigenmächtige oder unkontrollierte Eingabe („Prompts“) von personenbezogenen Daten in das KI-System gibt. 

Ebenso kann eine KI-Richtlinie Vorgaben enthalten, wie Informationspflichten oder die Betroffenenrechte erfüllt werden. Nicht vergessen sollte man das Verzeichnis der Verarbeitungstätigkeiten und die möglicherweise erforderliche DSFA.

Die KI-Richtlinie kann auch eine Regelung enthalten, damit der DSB ordnungsgemäß und frühzeitig eingebunden wird.

Use-Cases

In der KI-Richtlinie für Beschäftigte können Regelungen für bestimmte Aufgabenbereiche enthalten sein, um die Nutzung besser darzustellen. So z.B. für Einbeziehung von Dokumenten, die Beantwortung von Mails oder Bewerbungen.

Verbotene Nutzung

Eine KI-Richtlinie sollte auch verdeutlichen, welche Nutzungen untersagt sind oder einer vorherigen Freigabe bedürfen. Vermieden wird dadurch das Risiko von Schäden für das Unternehmen.

Fazit

Unternehmen, die KI-Systeme einsetzen wollen, müssen vielfältige technische, kommerzielle und rechtliche Anforderungen berücksichtigen. Zur Reduzierung der rechtlichen Risiken gehört die Erstellung einer unternehmensinternen KI-Richtlinie. Datenschutzrechtliche Aspekte sind bei der Entwicklung, Implementierung und Nutzung von KI-Systemen oder Modellen wesentlich. Die DS-GVO gilt uneingeschränkt auch für die Nutzung von KI-Systemen, somit auch ihr Bußgeldkatalog. Eine KI-Richtlinie sollte daher Vorgaben für die Beschäftigten beinhalten, damit personenbezogene Daten rechtmäßig und zweckgebunden verarbeitet werden.

Gern berate ich Sie bei der datenschutzrechtlichen Umsetzung:

Christof Kolyvas

Rechtsanwalt

Datenschutzbeauftragter (TÜV)

Fachberater für Finanzdienstleistungen (IHK)

Tel: +49 234 29831858    Mail: anwalt@kolyvas.legal