KI-Integration in Geschäftsprozesse: Rechtlicher Leitfaden für Führungskräfte

Um die Einführung von KI-Tools wie ChatGPT oder Microsoft Copilot im Unternehmen erfolgreich zu gestalten, ist es entscheidend, die verfügbaren Werkzeuge zu verstehen. In diesem Blogpost konzentrieren wir uns auf Textgenerierungstools, die auf Large Language Models (LLMs) basieren und prädiktive Textgenerierung nutzen. Der Markt bietet eine Vielzahl solcher LLM-basierten Tools für Geschäftskunden, die intern, extern oder kombiniert eingesetzt werden können.

Unser Fokus liegt auf internen Anwendungsfällen und assistierenden KI-Systemen zur Textgenerierung, die menschliche Nutzer unterstützen. Solche Assistenzsysteme können vielfältige Aufgaben übernehmen, vom Verfassen eines Newsletters bis zur Online-Recherche.

Extern genutzte Lösungen wie Customer-Support-Chatbots und autonome KI-Systeme, die unabhängig Entscheidungen treffen, bleiben unberücksichtigt. 

Wir betrachten zwei Hauptkategorien von KI-Tools:

• Textgenerierungstools: Diese basieren entweder ausschliesslich auf LLMs oder nutzen Retrieval Augmented Generation (RAG) mit öffentlichen Quellen wie dem Internet. Ein Beispiel hierfür ist OpenAIs Standardprodukt ChatGPT.
• Tools mit API-Zugang zu internen Dokumenten: Diese verwenden RAG und haben Zugriff auf unternehmensinterne Dokumente, beispielsweise Microsoft Copilot mit seiner Office365-Integration.

Durch die Implementierung solcher Tools können Unternehmen ihre internen Prozesse effizienter gestalten und die Produktivität ihrer Mitarbeitenden steigern.

Erkennen der wichtigsten rechtlichen Risiken 

Der Einsatz von KI-Tools birgt mehrere Risiken, die Unternehmen beachten sollten:

Falsche Informationen: LLMs generieren Texte basierend auf Wahrscheinlichkeiten aus ihren Trainingsdaten. Daher können sie überzeugende, aber falsche Antworten liefern, insbesondere wenn sie Informationen aus nicht relevanten Quellen beziehen. Dies kann zu Haftungs- und rechtlichen Risiken führen.

Unerwünschte Offenlegung von Daten: KI-Systeme mit Zugriff auf interne Datenbanken könnten versehentlich sensible Informationen preisgeben, was Datenschutzverletzungen zur Folge haben kann. Beispielsweise könnten Gehaltsdaten ungewollt offengelegt werden.

Datenabfluss: Die Nutzung von KI-Tools kann zu Datenübertragungen ins Ausland führen. Schweizer Gesetze schränken solche Übertragungen, insbesondere bei sensiblen Daten, ein. Nutzende können unwissentlich gegen Geheimhaltungsvereinbarungen verstossen, wenn sie sensible Daten in KI-Tools eingeben.

Missbräuchliche Verwendung von Personendaten für das Training von KI-Modellen: Es besteht das Risiko, dass sensible Daten, die in die KI eingegeben werden, für das Training des Modells verwendet werden, was zur Reproduktion vertraulicher Informationen und Datenschutzverletzungen führen kann. 

Unternehmen sollten diese Risiken sorgfältig abwägen und entsprechende Massnahmen ergreifen, um Datenschutz und Compliance sicherzustellen.

Strategien zur Risikominderung beim Einsatz von KI

Doch wie können Unternehmen das Potenzial von KI nutzen und gleichzeitig ihre rechtlichen Risiken verringern? Eine allgemeingültige Empfehlung gibt es nicht. Die genauen Massnahmen müssen von Fall zu Fall festgelegt werden, aber die Befolgung einiger Grundsätze kann Sie der Einhaltung der Vorschriften erheblich näher bringen:

1. Ermöglichen Sie die sichere Verwendung

Schützen Sie Ihre Teammitglieder: Natürlich könnten Sie jetzt einfach den Einsatz solcher KI-Tools in Ihrem Unternehmen verbieten. Das ist aber nicht zu empfehlen. Abgesehen davon, dass Sie dadurch Ihre Wettbewerbsfähigkeit verlieren, sichert Sie das auch nicht automatisch rechtlich ab. Es ist nicht ungewöhnlich, dass Mitarbeitende unter solchen Umständen ihre privaten KI-Tools nutzen, um ihre Arbeitsleistung zu steigern. Als Arbeitgeber ist es wichtig, solche Situationen zu vermeiden und Mitarbeitenden sicheren Zugang zu den notwendigen KI-Systemen zu gewähren. Dazu gehören Enterprise-Subscriptions.

Schulung der Mitarbeitenden: Wie bei jedem Arbeitsinstrument benötigen die Mitarbeitenden eine angemessene Schulung. In Anbetracht der oben genannten Risiken und des schwerwiegenden Potenzials menschlicher Fehler sollten Unternehmen in KI-spezifische Datenschutz- und Informationssicherheitsschulungen investieren, die ihren Mitarbeitenden ermöglichen, KI-Tools in ihrem täglichen Arbeitsablauf effektiv und sicher zu nutzen.

Legen Sie die Regeln fest: Das Fehlen klarer interner Vorschriften setzt Unternehmen erheblichen Risiken aus, die zu Datenschutzverstössen führen können. Die Erstellung klarer Richtlinien, die Nutzungsbedingungen, zulässige Szenarien und verbotene Fälle definieren, trägt dazu bei, dass Mitarbeitende genau wissen, was von ihnen verlangt wird.

2. Wählen Sie die richtigen Werkzeuge

Achten Sie bei der Auswahl eines KI-Tools darauf, dass es sich um ein zuverlässiges System handelt, das Sie nicht in Gefahr bringt.

•   Übernehmen Sie eine «Privacy by Design» (PbD) -Mentalität: Dies beinhaltet die Integration technischer und organisatorischer Massnahmen, um die Einhaltung von Datenschutzanforderungen bei der KI-Nutzung sicherzustellen. Dazu gehören Einstellungen, die die Datenspeicherung für KI-Trainingszwecke deaktivieren, die Eingabehistorie auf sitzungsspezifische Daten beschränken und die automatische Veröffentlichung von Ausgabedaten verhindern. Sie können auch erwägen, ein Open-Source-LLM lokal zu hosten, anstatt ein SaaS-Tool zu verwenden.
•   Führen Sie eine Folgenabschätzung durch: Eine Datenschutz-Folgenabschätzung, d.h. eine Bewertung der Risiken für den Schutz von Personendaten, ist gemäss EU-DSGVO für Bearbeitungen vorgeschrieben, die wahrscheinlich zu hohen Risiken für die Rechte und Freiheiten von Personen führen. KI-Systeme erfüllen aufgrund ihrer Komplexität und Bearbeitungsmöglichkeiten dieses Kriterium häufig. Das bedeutet, dass Sie, wenn Sie sich auf externe KI-Anbieter verlassen, detaillierte Informationen über die Funktionalität des Systems einholen müssen, um dessen inhärente Risiken zu bewerten.
•   Schliessen Sie geeignete Verträge ab: Sie müssen spezifische Klauseln mit Ihren Anbietern vereinbaren. KI-Anbieter fungieren in den meisten Fällen als Datenbearbeiter, und Sie müssen diese Beziehung durch eine Datenbearbeitungsvereinbarung formalisieren, indem Sie die Zuständigkeiten und Pflichten in Bezug auf die Datenbearbeitung festlegen.

3. Künstliche Intelligenz mit Bedacht nutzen

Die Auswahl Ihrer Systeme ist nur die Hälfte des Prozesses. Danach müssen Sie sicherstellen, dass die Nutzung auch sicher ist und den geltenden rechtlichen Anforderungen entspricht.

•   Achten Sie auf die Datenschutzgesetze: Wenn Sie Personendaten über KI-Systeme bearbeiten, unterstehen Sie den Datenschutzgesetzen. So können beispielsweise Ausgaben von KI-Systemen, die versehentlich Personendaten enthalten, rechtliche Konsequenzen auslösen. Aus diesem Grund ist es wichtig, die betroffenen Personen über die Erfassung, Bearbeitung und mögliche Weitergabe ihrer Daten an Dritte zu informieren. Die Sicherstellung einer gültigen Rechtsgrundlage gemäss Datenschutz-Grundverordnung (DSGVO) und Schweizer Datenschutzgesetz (DSG) für die Nutzung des KI-Systems ist ebenfalls entscheidend.
•   Verarbeiten Sie besonders schützenswerte Personendaten mit grösster Vorsicht: Für Daten wie Gesundheits-, Religions- oder biometrische Informationen verlangen die DSGVO und das DSG erhöhte Sicherheitsmassnahmen. Solche Daten dürfen nur in klar rechtmässigen Fällen verarbeitet werden, etwa mit ausdrücklicher Zustimmung der betroffenen Personen.
•   Prüfen Sie die Ergebnisse: Angesichts des halluzinatorischen Charakters einiger KI-Modelle müssen ihre Ergebnisse vor der weiteren Verwendung überprüft werden, insbesondere in Szenarien, die Personendaten betreffen.

KI bietet die Möglichkeit, Ihr Unternehmen auf die nächste Stufe zu heben, indem sie für mehr Effizienz, Kreativität und reibungslose Prozesse sorgt. Aber wie jede andere Technologie birgt sie auch Risiken, die berücksichtigt werden müssen. Wenn Sie die obigen Punkte beachten, stellen Sie sicher, dass Sie auf dem richtigen Weg sind und Ihr Unternehmen und ihre Kunden in Zukunft vor Problemen zu schützen.