Warum Ihre Mitarbeiter jetzt eine KI-Richtlinie brauchen.
Derzeit gibt es ein Rennen der großen globalen Konzerne um die größten Marktanteile am KI-Geschäft. Die Sicherheit ist ihnen dabei zweitrangig. Deshalb locken viele erst Mal mit kostenlosen Angeboten und verführen so Mitarbeiter zu gefährlichem Verhalten. Sie müssen damit rechnen, dass Ihre Bürosoftware über Nacht plötzlich KI-Funktionen erhält und ihre Mitarbeiter dazu anstiftet Ihre Daten ohne Kontrolle in die Cloud zu laden. Die Datenpannen sind vorprogrammiert. Dann haften Sie nach § 831 BGB für Ihre Mitarbeiter, wenn Sie diese nicht ordentlich angewiesen, angeleitet und kontrolliert haben.
Deshalb sollten Sie die Initiative ergreifen und alle Mitarbeiter durch eine Richtlinie in ihrem Verhalten beschränken und über die Gefahren aufklären. Die wichtigsten Punkte dafür sind:
1. Verbot mit Erlaubnisvorbehalt
Sie sollten Ihren Mitarbeitern die Nutzung aller KI streng verbieten, die Sie nicht positiv geprüft und für gut befunden haben. Insbesondere Personalangelegenheiten und automatische Entscheidungen über Personenrechte sollten keinesfalls von einer KI entschieden werden, sonst kommen Sie in Konflikte mit DSGVO und AGG oder gar dem KI-Gesetz.
2. Menschliche Aufsicht und Entscheidung
Wer ein Navi verwendet, traut ihm normalerweise, weil es in der Fremde die besseren Informationen über Staus und Umfahrungen hat. Aber zuhause kennt man die besseren Schleichwege und ignoriert es häufig mit Erfolg. Genauso ist es mit einer KI: In ihrem Wohlfühlbereich bringt sie gute Ergebnisse, aber wer Fachkenntnis hat (und die nötige Zeit) bringt bessere. Aber wegen der großen Datenmengen ist eine KI eher wie ein Polizeihund. Der hat begrenzte Intelligenz, muss grundsätzlich an der Leine geführt werden und ist eher nichts für Kindergeburtstage.
Ihre Mitarbeiter sollten KI-Ergebnisse nur als Vorschläge verstehen und sie regelmäßig auf Richtigkeit, Logik und Vollständigkeit prüfen. Insbesondere sollte fortlaufend kontrolliert werden, ob sensible Daten im Ergebnis sind, die nicht nötig sind.
Falls die Ergebnisse, etwa wie Stellenausschreibungen, für Veröffentlichungen gedacht sind, sollte sorgfältig auf Diskriminierung geprüft werden. Diskriminieren im Sinne von Art. 3 GG kann eigentlich nur der Staat. Private dürfen nach Art. 2 I GG willkürlich entscheiden, aber es gibt Ausnahmen vor allem in den Bereichen Arbeit, Wohnen und für große Unternehmen.
Wenn Sie nicht mit Art. 22 DSGVO in Konflikt geraten wollen, fällt die letzte Entscheidung über einen Vertrag immer ein Mensch („automatisierte Entscheidung“, „Profiling“).
3. Softwareprojekte
Sollten Sie KI selbst in Software einbauen wollen, sollten Sie Ihre Mitarbeiter anweisen, im Rahmen von Datenschutz durch Technikgestaltung und Voreinstellungen eine sorgfältige Verhältnismäßigkeitsprüfung durchzuführen und dabei Zwecke, Mittel sowie verworfene Mittel sorgfältig zu dokumentieren.
4. Rechtsgrundlagen und Kundendaten
Vergessen Sie nicht, dass Sie zur Verarbeitung mit einer KI immer eine Rechtsgrundlage aus Art. 6 DSGVO brauchen. Kunden müssen in der Regel in die Verarbeitung ihrer Daten vorher einwilligen oder Sie müssen eine sorgfältige Interessenabwägung vornehmen. Das zu regeln, überfordert einfache Mitarbeiter häufig. Fragen Sie also Ihren Datenschutzbeauftragten.
5. Liste der erlaubten Dienste
Zuletzt sollte Ihre KI-Richtlinie die KIs und ihre richtige Bedienung nennen, die in Ihrem Unternehmen erlaubt sind.
6. Schulungen
Wenn Sie die KI-Richtlinie fertig haben, sollten Sie Ihre Mitarbeiter regelmäßig schulen, wie Sie die KI kontrollieren und Bedienungsfehler vermeiden. So gibt es etwa eine verbreitete KI, die ein Tastaturkürzel benutzt, das dem für Kopieren am PC („Strg + C“) ähnlich ist. Wenn man sich vertippt und seine kostenlose Version installiert hat, sind „schwupps“ personenbezogene Daten auf Nimmerwiedersehen in der Cloud. Ein anderer Anbieter bietet ohne Vorwarnung in seiner Software an, dass sie jetzt Texte mit KI zusammenfasst. Wer das tut, schaufelt „schupps“ Ihre Daten in die Cloud.
Weiterführend
-
Wie können Unternehmen datenschutzkonform mit KI arbeiten? Teil 1
-
Wie können Unternehmen datenschutzkonform mit KI arbeiten? Teil 2
-
Wie können Unternehmen datenschutzkonform mit KI arbeiten? Teil 3
Autor: Thomas Hofmann, Data Privacy Consultant, 03.12.2024
