KI-Richtlinie rechtssicher erstellen

Der Einsatz von KI birgt für Unternehmen erhebliche Risiken, die in einer KI-Richtlinie adressiert werden sollten. Wir bieten unseren Mandanten eine praxisnahe, individuell konfigurierbare und kostenlose Vorlage für den sicheren Einsatz von KI im eigenen Unternehmen.

Was ist eine KI-Richtlinie?

Der Einsatz von Künstlicher Intelligenz (KI) bzw. die Nutzung von KI-Anwendungen im Unternehmen wird zunehmend zum Alltag. Die KI-Verordnung (auch als "KI-Gesetz" oder englisch als "AI Act" bezeichnet) gilt teilweise bereits heute und muss daher beim Einsatz von KI in Unternehmen berücksichtigt werden.

Nicht alle Mitarbeitenden kommen im Unternehmen mit KI in Berührung. Doch es werden immer mehr, die für den Umgang mit KI und deren Risiken sensibilisiert werden müssen.

An dieser Stelle setzt eine unternehmensinterne KI-Richtlinie ein. Sie regelt insbesondere:

• den Einsatz von KI und die Nutzung von KI-Anwendungen im Unternehmen,
• die Rahmenbedingungen hierfür und
• etwaige Verbote und Sanktionen.

Besteht eine Pflicht zu einer KI-Richtlinie?

Nein, eine unmittelbare gesetzliche Pflicht zu einer KI-Richtlinie im Unternehmen enthält weder die KI-Verordnung noch ein sonstiges Gesetz.

Allerdings sind Unternehmen generell zur Einhaltung sämtlicher gesetzlicher Vorgaben angehalten (sog. "Compliance"). Da die Nutzung von KI-Anwendungen für Unternehmen mit nicht nur unerheblichen rechtlichen, aber auch wirtschaftlichen Risiken verbunden ist, empfiehlt sich, die Grundsätze sowie die Rahmenbedingungen des Einsatzes von KI und der Nutzung von KI-Anwendungen im Unternehmen in einer KI-Richtlinie für die Mitarbeitenden zu regeln.

Wieso ist eine KI-Richtlinie für Unternehmen sinnvoll?

Der Einsatz von KI in Unternehmen birgt große Chancen, aber auch große Gefahren, etwa im Hinblick auf

• Geschäftsgeheimnisse und sonstige vertrauliche Informationen eines Unternehmens,
• den Datenschutz und
• die Rechte Dritter, gegen die im Rahmen der Nutzung von KI-Anwendungen verstoßen werden kann.

Hierbei drohen Unternehmen erhebliche Nachteile in Gestalt von Geldbußen, Schadensersatzzahlungen, Reputationsschäden und sonstigen Schäden.

Durch Implementierung einer KI-Richtlinie, die den mit KI in Berührung kommenden Mitarbeitenden einerseits eine Orientierung bietet, aber andererseits auch verbindliche Vorgaben für den Einsatz von KI im Unternehmen macht, können diese Risiken verringert werden. Eine KI-Richtlinie regelt die Grundsätze, Rahmenbedingungen und Grenzen sowie die Verantwortlichkeiten für den Einsatz von KI im Unternehmen.

Wer sollte eine KI-Richtlinie haben?

Jedes Unternehmen, das KI bzw. KI-Anwendungen im Unternehmen verwendet, etwa

• im Kundensupport (z.B. KI-Chatbots),
• bei der Erstellung von Content (z.B. Bilder und Produktbeschreibungen durch KI für den Webshop) oder
• bei der Analyse von Daten und sonstigen Informationen (z.B. von Shop-Besuchern)

sollte die Grundsätze und Rahmenbedingungen für den KI-Einsatz in einer KI-Richtlinie regeln.

Was sollte in einer KI-Richtlinie geregelt sein?

Eine KI-Richtlinie eines Unternehmens sollte die Rahmenbedingungen für den Einsatz von KI bzw. die Nutzung von KI-Anwendungen im Unternehmen festlegen.

Wesentliches Ziel und Zweck einer KI-Richtlinie ist der Schutz des Unternehmens vor negativen Folgen des Einsatzes von KI im Unternehmen, etwa aufgrund von Gesetzesverstößen oder der Offenlegung von Betriebsgeheimnissen. Hierfür sollen die Mitarbeitenden durch klare Rahmenbedingungen informiert und sensibilisiert werden.

Eine KI-Richtlinie sollte dabei Antworten auf u.a. folgende Fragen geben:

• Für wen gilt die KI-Richtlinie?
• Ist der Einsatz von KI im Unternehmen zulässig?
• Falls ja, unter welchen Voraussetzungen ist der KI-Einsatz zulässig?
• Wer im Unternehmen trägt Verantwortung für den Einsatz von KI?
• Welche Grundsätze und Pflichten gelten für den KI-Einsatz?
• Für welche Zwecke darf KI eingesetzt werden?
• Für welche Zwecke ist der Einsatz von KI verboten?
• Welche konkreten KI-Anwendungen dürfen eingesetzt werden?
• Was gilt für die Verarbeitung von personenbezogenen Daten durch KI?
• Was gilt bei Rechten Dritter, wie z.B. Urheber- und Persönlichkeitsrechten?
• Was ist beim Einsatz von KI im Übrigen zu beachten?
• Was gilt für Schulungen zum Thema KI im Unternehmen?
• Welche Risiken sind mit dem Einsatz von KI verbunden?
• Wer ist Ansprechpartner im Unternehmen für Fragen zum Einsatz von KI?
• Welche Sanktionen drohen bei Verstößen gegen die KI-Richtlinie?

Was bietet die KI-Richtlinie der IT-Recht Kanzlei?

Die KI-Richtlinie, die die IT-Recht Kanzlei ihren Schutzpaket-Mandanten ohne Zusatzkosten bereitstellt, enthält Regelungen zu folgenden Themen:

• Geltungsbereich, Zweck und Begriffsbestimmungen
• Verantwortlichkeiten und Ansprechpartner
• Grundsätze und Pflichten beim Einsatz von KI
• Verbot des Einsatzes von KI
• Zulässiger Einsatz von KI
• Datenschutz und Sicherheit
• Schutz der Rechte Dritter
• Schulungen
• Compliance und Kontrolle
• Sanktionen bei Verstößen
• Geltungsbeginn, Änderungen und Fragen

Für wen ist die KI-Richtlinie der IT-Recht Kanzlei geeignet?

Die KI-Richtlinie der IT-Recht Kanzlei ist grundsätzlich für sämtliche Unternehmen geeignet, die

• in ihren Unternehmen KI einsetzen und
• die Grundsätze und Rahmenbedingungen für den Einsatz von KI im Unternehmen für ihre Mitarbeitenden regeln möchten.

Zwar passt unsere KI-Richtlinie nicht unmittelbar auch auf die Konstellation bei Einzelunternehmen, die keine Mitarbeitenden haben. Allerdings können auch solche Einzelunternehmer sich an der KI-Richtlinie orientieren, um Gesetzesverstöße und sonstige Probleme beim Einsatz von KI zu vermeiden.

Für wen ist die KI-Richtlinie der IT-Recht Kanzlei nicht geeignet?

Die KI-Richtlinie der IT-Recht Kanzlei bleibt trotz individueller Konfigurierbarkeit im Wesentlichen ein Muster, das nicht alle Fälle abdecken kann und deswegen gegebenenfalls noch der Anpassung sowie weiterer Ergänzung bedarf.

Unternehmen, die eine vollständig auf die individuellen Gegebenheiten ihres Unternehmens zugeschnittene Lösung suchen, werden die KI-Richtlinie der IT-Recht Kanzlei als Orientierung nutzen können, um eine bedarfsgerechte KI-Richtlinie für ihr Unternehmen zu erstellen.

Wo finden Sie unsere KI-Richtlinie?

Als IT-Recht Kanzlei unterstützen wir unsere Mandanten, die eines unserer Schutzpakete gebucht haben, bei der Erstellung ihrer KI-Richtlinie.

Um unsere Schutzpakete weiter aufzuwerten und Mandanten unabhängig vom gebuchten Paket Unterstützung zu bieten, stellen wir jedem Mandanten im Mandantenportal ein individuell konfigurierbares Muster einer KI-Richtlinie ohne Zusatzkosten zur Verfügung.

Wie kann die KI-Richtlinie in Ihrem Unternehmen implementiert werden?

Die Implementierung einer KI-Richtlinie in einem Unternehmen kann auf verschiedenen Wegen erfolgen, insbesondere auch abhängig von den Gegebenheiten und Praktiken des jeweiligen Unternehmens.

Je nach Traditionen, Gegebenheiten und Prozessen im Unternehmen sind insbesondere die folgenden Vorgehensweisen möglich:

• Bekanntgabe der KI-Richtlinie als Dienstanweisung gegenüber sämtlichen Mitarbeitenden im Rahmen des Direktions- bzw. Weisungsrechts des Arbeitgebers, etwa als Standard Operating Procedures (SOPs) (=Standardanweisungen)
• Hinzufügung als Anlage zum Arbeitsvertrag bei künftigen Arbeitsverträgen
• Unterzeichnung der KI-Richtlinie durch die Mitarbeitenden
• bei Bestehen eines Betriebsrats im Rahmen einer Betriebsvereinbarung

Besteht in einem Unternehmen ein Betriebsrat, bedarf es für die Einführung einer KI-Richtlinie dessen Mitbestimmung, weil der Einsatz von KI im Unternehmen zumindest eine Leistungs- und Verhaltenskontrolle von Mitarbeitenden ermöglicht (§ 87 Abs. 1 Nr. 6 BetrVG).

Wenn die KI-Richtlinie geändert wird, muss die Änderung dementsprechend auf demselben Weg bekannt gegeben bzw. wirksam gemacht werden.

Welche weiteren Maßnahmen müssen im Unternehmen getroffen werden?

Im Zusammenhang mit der Implementierung von KI und auch der KI-Richtlinie müssen im Unternehmen einige Vorkehrungen getroffen werden.

Hierzu zählen u.a. insbesondere die folgenden Maßnahmen:

1. Strategische und organisatorische Maßnahmen

• Zieldefinition: Wofür soll KI im Unternehmen eingesetzt werden und welche Geschäftsbereiche und -prozesse werden dadurch beeinflusst?
• Zuständigkeiten, Verantwortlichkeiten und Prozesse festlegen
• Benennung eines KI-Beauftragten, ggf. samt entsprechender Abteilung
• Einrichtung von Prozessen für die Freigabe- und Prüfung des KI-Einsatzes im Unternehmen
• Entwicklung und Pflege einer KI-Richtlinie

2. Rechtliche und ethische Maßnahmen

• datenschutzrechtliche Prüfung des Einsatzes von KI und der Nutzung von KI-Anwendungen im Unternehmen
• Prüfung der Einhaltung des Urheberrechts und des Rechts des geistigem Eigentum
• wettbewerbs-, d.h. lauterkeits- und kartellrechtliche Prüfung des KI-Einsatzes
• Ethik und Bias: Diskriminierungsfreiheit des Einsatzes von KI
• arbeitsrechtliche Aspekte

3. Schulungen (KI-Kompetenz)

• initiale und regelmäßige Schulung der Mitarbeitenden, ggf. durch externe Dienstleister
• Kommunikationsstrategie hins. KI-Einsatz im Unternehmen nach außen

4. Technische Maßnahmen

• Auswahl der KI-Anwendungen
• Risikoanalyse: Ermittlung und Bewertung des Risikos des KI-Einsatzes
• Implementierung und Pflege der technischen Zugriffskontrolle auf KI-Anwendungen

5. Evaluation und Anpassung

• regelmäßige Evaluation des Einsatzes von KI im Unternehmen und der Nutzung von KI-Anwendung
• Überprüfung und Anpassung der KI-Richtlinie und der Prozess zum Einsatz von KI im Unternehmen
• Monitoring der Veränderung der rechtlichen Rahmenbedingungen für den Einsatz von KI
• Management bei Vorfällen bzw. Verstößen gegen die KI-Richtlinie: Organisations-, Kommunikations- und Dokumentationsprozesse bei Fehlern und Missbrauch im Zusammenhang mit dem KI-Einsatz im Unternehmen

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .