KI-Integration in Geschäftsprozesse: Rechtlicher Leitfaden für Führungskräfte
Der Einsatz von KI-Tools wie ChatGPT oder Microsoft Copilot kann Geschäftsprozesse revolutionieren. Doch er bringt auch rechtliche und regulatorische Herausforderungen mit sich. In diesem Beitrag erfährst du, wie du die wichtigsten Risiken erkennst und minimierst.
Um die Einführung von KI-Tools wie ChatGPT oder Microsoft Copilot in deinem Unternehmen erfolgreich zu gestalten, ist es entscheidend, dass du die verfügbaren Werkzeuge verstehst. In diesem Blogpost konzentrieren wir uns auf Textgenerierungstools, die auf Large Language Models (LLMs) basieren und prädiktive Textgenerierung nutzen. Der Markt bietet eine Vielzahl solcher LLM-basierten Tools für Geschäftskundinnen und Geschäftskunden, die intern, extern oder kombiniert eingesetzt werden können.
Unser Fokus liegt auf internen Anwendungsfällen und assistierenden KI-Systemen zur Textgenerierung, die menschliche Nutzende unterstützen. Solche Assistenzsysteme können vielfältige Aufgaben übernehmen, vom Verfassen eines Newsletters bis zur Online-Recherche.
Extern genutzte Lösungen wie Customer-Support-Chatbots und autonome KI-Systeme, die unabhängig Entscheidungen treffen, bleiben unberücksichtigt.
Wir betrachten zwei Hauptkategorien von KI-Tools:
- Textgenerierungstools: Diese basieren entweder ausschliesslich auf LLMs oder nutzen Retrieval Augmented Generation (RAG) mit öffentlichen Quellen wie dem Internet. Ein Beispiel hierfür ist OpenAIs Standardprodukt ChatGPT.
- Tools mit API-Zugang zu internen Dokumenten: Diese verwenden RAG und haben Zugriff auf unternehmensinterne Dokumente, beispielsweise Microsoft Copilot mit seiner Office365-Integration.
Durch die Implementierung solcher Tools kannst du interne Prozesse effizienter gestalten und die Produktivität deiner Mitarbeitenden steigern.
Erkennen der wichtigsten rechtlichen Risiken
Der Einsatz von KI-Tools birgt mehrere Risiken, die du als Unternehmen beachten solltest:
Falsche Informationen: LLMs generieren Texte basierend auf Wahrscheinlichkeiten aus ihren Trainingsdaten. Daher können sie überzeugende, aber falsche Antworten liefern, insbesondere wenn sie Informationen aus nicht relevanten Quellen beziehen. Dies kann zu Haftungs- und rechtlichen Risiken führen.
Unerwünschte Offenlegung von Daten: KI-Systeme mit Zugriff auf interne Datenbanken könnten versehentlich sensible Informationen preisgeben, was Datenschutzverletzungen zur Folge haben kann. Beispielsweise könnten Gehaltsdaten ungewollt offengelegt werden.
Datenabfluss: Die Nutzung von KI-Tools kann zu Datenübertragungen ins Ausland führen. Schweizer Gesetze schränken solche Übertragungen, insbesondere bei sensiblen Daten, ein. Nutzende können unwissentlich gegen Geheimhaltungsvereinbarungen verstossen, wenn sie sensible Daten in KI-Tools eingeben.
Missbräuchliche Verwendung von Personendaten für das Training von KI-Modellen: Es besteht das Risiko, dass sensible Daten, die in die KI eingegeben werden, für das Training des Modells verwendet werden, was zur Reproduktion vertraulicher Informationen und Datenschutzverletzungen führen kann.
Du solltest diese Risiken sorgfältig abwägen und entsprechende Massnahmen ergreifen, um Datenschutz und Compliance sicherzustellen.
Strategien zur Risikominderung beim Einsatz von KI
Doch wie kannst du das Potenzial von KI nutzen und gleichzeitig deine rechtlichen Risiken verringern? Eine allgemeingültige Empfehlung gibt es nicht. Die genauen Massnahmen müssen von Fall zu Fall festgelegt werden, aber die Befolgung einiger Grundsätze kann dich der Einhaltung der Vorschriften erheblich näher bringen:
1. Ermögliche die sichere Verwendung
Schütze deine Teammitglieder: Natürlich könntest du jetzt einfach den Einsatz solcher KI-Tools in deinem Unternehmen verbieten. Das ist aber nicht zu empfehlen. Abgesehen davon, dass du dadurch deine Wettbewerbsfähigkeit verlieren würdest, sichert dich das auch nicht automatisch rechtlich ab. Es ist nicht ungewöhnlich, dass Mitarbeitende unter solchen Umständen ihre privaten KI-Tools nutzen, um ihre Arbeitsleistung zu steigern. Als Arbeitgeberin und Arbeitgeber ist es wichtig, solche Situationen zu vermeiden und Mitarbeitenden sicheren Zugang zu den notwendigen KI-Systemen zu gewähren. Dazu gehören Enterprise-Subscriptions.
Schulung der Mitarbeitenden: Wie bei jedem Arbeitsinstrument benötigen die Mitarbeitenden eine angemessene Schulung. In Anbetracht der oben genannten Risiken und des schwerwiegenden Potenzials menschlicher Fehler solltest du als Unternehmen in KI-spezifische Datenschutz- und Informationssicherheitsschulungen investieren, die deinen Mitarbeitenden ermöglichen, KI-Tools in ihrem täglichen Arbeitsablauf effektiv und sicher zu nutzen.
Lege die Regeln fest: Das Fehlen klarer interner Vorschriften setzt dein Unternehmen erheblichen Risiken aus, die zu Datenschutzverstössen führen können. Die Erstellung klarer Richtlinien, die Nutzungsbedingungen, zulässige Szenarien und verbotene Fälle definieren, trägt dazu bei, dass Mitarbeitende genau wissen, was von ihnen verlangt wird.
2. Wähle die richtigen Werkzeuge
Achte bei der Auswahl eines KI-Tools darauf, dass es sich um ein zuverlässiges System handelt, das dich nicht in Gefahr bringt.
- Übernimm eine «Privacy by Design» (PbD) -Mentalität: Dies beinhaltet die Integration technischer und organisatorischer Massnahmen, um die Einhaltung von Datenschutzanforderungen bei der KI-Nutzung sicherzustellen. Dazu gehören Einstellungen, die die Datenspeicherung für KI-Trainingszwecke deaktivieren, die Eingabehistorie auf sitzungsspezifische Daten beschränken und die automatische Veröffentlichung von Ausgabedaten verhindern. Du kannst auch erwägen, ein Open-Source-LLM lokal zu hosten, anstatt ein SaaS-Tool zu verwenden.
- Führe eine Folgenabschätzung durch: Eine Datenschutz-Folgenabschätzung, d.h. eine Bewertung der Risiken für den Schutz von Personendaten, ist gemäss EU-DSGVO für Bearbeitungen vorgeschrieben, die wahrscheinlich zu hohen Risiken für die Rechte und Freiheiten von Personen führen. KI-Systeme erfüllen aufgrund ihrer Komplexität und Bearbeitungsmöglichkeiten dieses Kriterium häufig. Das bedeutet, dass du, wenn du dich auf externe KI-Anbieter verlässt, detaillierte Informationen über die Funktionalität des Systems einholen musst, um dessen inhärente Risiken zu bewerten.
- Schliesse geeignete Verträge ab: Du musst spezifische Klauseln mit deinen Anbieterinnen und Anbietern vereinbaren. KI-Anbieterinnen und KI-Anbieter fungieren in den meisten Fällen als Datenbearbeiter, und du musst diese Beziehung durch eine Datenbearbeitungsvereinbarung formalisieren, indem du die Zuständigkeiten und Pflichten in Bezug auf die Datenbearbeitung festlegst.
3. Künstliche Intelligenz mit Bedacht nutzen
Die Auswahl deiner Systeme ist nur die Hälfte des Prozesses. Danach musst du sicherstellen, dass die Nutzung auch sicher ist und den geltenden rechtlichen Anforderungen entspricht.
- Achte auf die Datenschutzgesetze: Wenn du Personendaten über KI-Systeme bearbeitest, unterstehst du den Datenschutzgesetzen. So können beispielsweise Ausgaben von KI-Systemen, die versehentlich Personendaten enthalten, rechtliche Konsequenzen auslösen. Aus diesem Grund ist es wichtig, die betroffenen Personen über die Erfassung, Bearbeitung und mögliche Weitergabe ihrer Daten an Dritte zu informieren. Die Sicherstellung einer gültigen Rechtsgrundlage gemäss Datenschutz-Grundverordnung (DSGVO) und Schweizer Datenschutzgesetz (DSG) für die Nutzung des KI-Systems ist ebenfalls entscheidend.
- Verarbeite besonders schützenswerte Personendaten mit grösster Vorsicht: Für Daten wie Gesundheits-, Religions- oder biometrische Informationen verlangen die DSGVO und das DSG erhöhte Sicherheitsmassnahmen. Solche Daten dürfen nur in klar rechtmässigen Fällen verarbeitet werden, etwa mit ausdrücklicher Zustimmung der betroffenen Personen.
- Prüfe die Ergebnisse: Angesichts des halluzinatorischen Charakters einiger KI-Modelle musst du die Ergebnisse vor der weiteren Verwendung überprüfen, insbesondere in Szenarien, die Personendaten betreffen.
KI bietet die Möglichkeit, dein Unternehmen auf die nächste Stufe zu heben, indem sie für mehr Effizienz, Kreativität und reibungslose Prozesse sorgt. Aber wie jede andere Technologie birgt sie auch Risiken, die berücksichtigt werden müssen. Wenn du die obigen Punkte beachtest, stellst du sicher, dass du auf dem richtigen Weg bist und dein Unternehmen und deine Kundinnen und Kunden in Zukunft vor Problemen schützt..