Wie können Unternehmen KI integrieren und AI Act und DSGVO einhalten?
Mitarbeitende setzen mehr künstliche Intelligenz ein, als Unternehmen bewusst ist. In solchen Fällen müssen betroffene Firmen einige Vorgaben beachten – sowohl im Sinne des EU AI Act als auch in Richtung DSGVO. Dr. Thomas Fraunholz, CEO und Gründer von Open Hippo klärt in diesem Gastartikel, wie Unternehmen KI integrieren und sich gleichzeitig an AI Act und DSGVO halten.
Artikelübersicht:
Was ändert sich durch den EU AI Act?
Welche Pflichten bestehen hinsichtlich KI und DSGVO?
Wie denken Unternehmen AI Act und DSGVO zusammen?
Wie können Unternehmen KI sicher einführen?
Was sind die technischen Voraussetzungen für KI-Compliance?
Welche rechtlichen und haftungsrelevanten Risiken müssen Unternehmen beachten?
Was ändert sich durch den EU AI Act?
Der EU AI Act soll das Angebot und die Nutzung neuer KI-Technologien europaweit regeln. So ist der Arbeitgeber beispielsweise verpflichtet, Mitarbeitende, die KI einsetzen, entsprechend des Einsatzzwecks und des individuellen Vorwissens zu schulen. Zusätzlich müssen Unternehmen sicherstellen, dass künstliche Intelligenz nicht in verbotener Art und Weise eingesetzt wird. Das ist zum Beispiel durch folgende Maßnahmen möglich:
- KI-Texte müssen als solche gekennzeichnet werden, wenn kein Mensch diese vorher kontrolliert.
- KI wird nicht ohne Weiteres in einem automatisierten Mitarbeiter-Bewerbungsverfahren eingesetzt.
Welche Pflichten bestehen hinsichtlich KI und DSGVO?
Auch die Regelungen der DSGVO nehmen Einfluss auf den Umgang mit KI. Nehmen wir das Beispiel Schatten-KI: Sobald Mitarbeitende KI-Tools ohne Wissen des Arbeitgebers einsetzen, besteht die große Gefahr, dass dafür keine Unternehmenslizenzen existieren und Kundendaten im schlimmsten Fall für Trainingszwecke von US-Anbietern herangezogen werden. Wie im Fall von klassischer Software muss das Unternehmen handeln, Unternehmenslizenzen organisieren und die entsprechende Auftragsverarbeitung regeln.
Die Vorgaben der DSGVO werden von Gerichten immer wieder mit Erfahrungswerten aus der Praxis gefüllt. Damit Sie den Überblick nicht verlieren, hilft Ihnen unser DSGVO-Faktencheck.
Wie denken Unternehmen AI Act und DSGVO zusammen?
Der EU AI Act verfügt über eine sogenannte horizontale Architektur. Er regelt nur das, was bisher nicht geregelt war, ohne in andere Bereiche einzugreifen. Dazu gehört unter anderem die Safety und Security von großen Sprachmodellen wie ChatGPT. Das war bisher von keiner anderen Verordnung geregelt. Die größte Herausforderung besteht vielmehr darin, die Vielzahl an neuen Tools unternehmensweit zu regeln und den Mitarbeitenden DSGVO- und Compliance-konform zur Verfügung zu stellen.
Wie können Unternehmen KI sicher einführen?
Der erste Schritt ist für die meisten Unternehmen erstmal die Bereitstellung eines sicheren KI-Chats mit den eigenen Firmendaten, internen Handbüchern etc. Analysieren Sie anschließend, welche Tools bereits eingesetzt werden. Das geht beispielsweise mit Hilfe einer Netzwerkanalyse. Von diesem Punkt aus gehen Sie Schritt für Schritt ein Tool nach dem anderen durch. Organisieren Sie Lizenzen und richten Sie KI-Werkzeuge so ein, dass es neben den gesetzlichen Vorgaben auch den Unternehmenswerten entspricht. Ersetzen Sie US-Anbieter durch europäische oder eine In-House-Lösung on-premises, bei der keine Daten mehr aus dem Haus gesendet werden. Letzteres ist heutzutage dank einer Vielzahl von Open-Source-Lösungen problemlos möglich.
Was sind die technischen Voraussetzungen für KI-Compliance?
Die meisten Unternehmen werden nicht über das Wissen verfügen, einen solchen Prozess zu begleiten. Aber dafür gibt es externe Expertise. Wir bei Open Hippo begleiten zum Beispiel IT-Systemhäuser und Maschinenbauer aus der Region bei ihrem Weg zu souveräner KI. Das bedeutet, dass wir Schritt für Schritt zum einen technische Lösungen umsetzen, aber auch die Mitarbeitenden schulen und Wissen weitergeben, so dass KI-Kompetenz kontinuierlich aufgebaut und erweitert wird. Denn ein Projekt ist wesentlich günstiger, wenn Domänenexperten vor Ort auch dank KI Ideen schnell in die Praxis umsetzen können. Abhängig von der eigenen Compliance-Richtlinie kann das am Anfang die Anschaffung eigener Hardware bedeuten. Wir bieten beispielsweise auch an, unsere Dienste als Managed Service aus dem Green Data Center der LEW hier in Augsburg zu hosten. Wir waren von Anfang an Bronze-Partner dieses großartigen grünen Rechenzentrums in unserer Region.
Welche rechtlichen und haftungsrelevanten Risiken müssen Unternehmen beachten?
Ein rechtlich relevanter Part ist, dass man mit dem Betrieb eines KI-Servers als sogenannter Provider im Sinne des EU AI Act klassifiziert wird. Dadurch obliegt man Verpflichtungen bezüglich der Gewährleistung von Safety und Security der eingesetzten KI-Lösungen. OpenHippo war einer der ersten EU AI Act Signatories und Unterzeichner des Code of Practice der EU-Kommission. Als aktiver Teilnehmer an der Signatory Taskforce, unter anderem mit OpenAI, Mistral, Microsoft und Amazon, gestalten wir somit die europäische KI-Initiative, und unsere Kunden erhalten Informationen aus erster Hand.
Zusätzliche Risiken entstehen beispielsweise durch fehlerhafte KI-generierte Inhalte, Datenschutzverstöße oder automatisierte Entscheidungen ohne ausreichende menschliche Kontrolle.
Der Code of Practice der EU-Kommission ist ein Instrument, um detaillierte technische Regeln (KI) oder ethische Standards (Desinformation) in Zusammenarbeit mit Stakeholdern festzulegen.
Die Signatory Taskforce fördert den Austausch und die Einhaltung der Vorschriften und unterstützt die Unterzeichner bei der Umsetzung der EU-Vorschriften für KI-Modelle.
Wie gelingt KI-Integration sicher und effizient?
Unternehmen sollten sich beim Thema KI nicht von Angst lähmen lassen. Es ist eine großartige Technologie, die erhebliche Effizienzgewinne ermöglicht. Empfehlenswert ist der Start mit einem kompetenten Partner und der Start mit einfachen, umsetzbaren Maßnahmen – beispielsweise mit einem Chat.
Je nach Unternehmensprofil lassen sich die Nutzung von KI und das Wissen der Mitarbeitenden Schritt für Schritt steigern. Weitere Ideen ergeben sich dann wie von selbst. Wer frühzeitig klare Prozesse und Richtlinien etabliert, schafft die Grundlage für einen sicheren und nachhaltigen KI-Einsatz.
Unser Experte: Dr. Thomas Fraunholz
Dr. Thomas Fraunholz ist Gründer und CEO der Open Hippo GmbH. Er beschäftigt sich seit vielen Jahren mit Open-Source-KI, Machine Learning und digitaler Souveränität. Mit Open Hippo unterstützt er Unternehmen dabei, KI datenschutzkonform, sicher und unabhängig von internationalen Cloud-Anbietern in ihre Geschäftsprozesse zu integrieren. Der Fokus liegt dabei auf DSGVO-konformen KI-Lösungen, europäischer Datenhoheit und souveräner KI-Infrastruktur aus Deutschland.