KI-Richtlinie (Template)

Vorschau: Dies ist eine Vorschau der Pro-Inhalte. Die vollständige, anpassbare Version erhalten Sie mit der Pro-Version.

1. Zweck & Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden, Auftragnehmer und Geschäftspartner von {{UNTERNEHMEN}}, die KI-Systeme entwickeln, beschaffen, implementieren oder nutzen. Sie umfasst sämtliche KI-Anwendungen, unabhängig davon, ob diese intern entwickelt oder von Dritten bezogen werden.

Inkrafttreten: {{DATUM}}
Nächste Überprüfung: {{REVIEW_DATUM}}

2. Definitionen

Künstliche Intelligenz (KI): Systeme, die intelligentes Verhalten aufweisen, indem sie ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen.

Hochrisiko-KI: KI-Systeme, die erhebliche Risiken für Gesundheit, Sicherheit oder Grundrechte von Personen darstellen (gemäß EU AI Act Art. 6 und Anhang III).

Generative KI: Systeme, die neue Inhalte wie Text, Bilder, Audio oder Video erzeugen können (z.B. GPT-Modelle, DALL-E, Midjourney).

3. Rollen & Verantwortlichkeiten

KI-Verantwortliche(r): {{KI_VERANTWORTLICHER}}
Koordiniert die Umsetzung dieser Richtlinie, berät bei KI-Projekten und berichtet an die Geschäftsführung.

Datenschutzbeauftragte(r): {{DSB}}
Stellt die Einhaltung datenschutzrechtlicher Anforderungen sicher.

IT-Sicherheit: {{IT_SICHERHEIT}}
Verantwortet die technische Sicherheit von KI-Systemen.

Fachbereichsleitung:
Stellt sicher, dass KI-Systeme im jeweiligen Verantwortungsbereich gemäß dieser Richtlinie eingesetzt werden.

4. Zulässige Nutzung

KI-Systeme dürfen nur für legitime Geschäftszwecke eingesetzt werden, die im Einklang mit unseren Unternehmenswerten und rechtlichen Verpflichtungen stehen.

Erlaubte Anwendungen:

• Effizienzsteigerung bei Routineaufgaben
• Datenanalyse und Entscheidungsunterstützung
• Kundensupport und -service
• Interne Wissensverwaltung
• {{WEITERE_ERLAUBTE_ANWENDUNGEN}}

Verbotene Anwendungen:

• Umgehung von Sicherheitsmaßnahmen
• Verarbeitung sensibler Daten ohne Rechtsgrundlage
• Automatisierte Entscheidungen mit erheblichen Auswirkungen ohne menschliche Aufsicht
• Erzeugung irreführender oder täuschender Inhalte
• {{WEITERE_VERBOTENE_ANWENDUNGEN}}

5. Daten & Quellen

Alle für KI-Systeme verwendeten Daten müssen:

• Rechtmäßig erhoben und verarbeitet werden
• Für den beabsichtigten Zweck geeignet und relevant sein
• Auf Genauigkeit, Vollständigkeit und Aktualität geprüft werden
• Auf mögliche Verzerrungen (Bias) untersucht werden
• Gemäß Datenschutzbestimmungen geschützt werden

Trainingsdaten-Dokumentation: Für jedes KI-System ist zu dokumentieren, welche Daten für Training, Validierung und Tests verwendet wurden, einschließlich Herkunft, Umfang und Qualitätssicherungsmaßnahmen.

6. Sicherheit & Zugriff

KI-Systeme unterliegen den allgemeinen IT-Sicherheitsrichtlinien von {{UNTERNEHMEN}}sowie folgenden spezifischen Anforderungen:

• Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung
• Regelmäßige Sicherheitsüberprüfungen und Penetrationstests
• Schutz vor Prompt-Injection und anderen KI-spezifischen Angriffen
• Verschlüsselung sensibler Daten in Ruhe und bei Übertragung
• Logging aller sicherheitsrelevanten Ereignisse

7. Lieferanten & Sub-Prozessoren

Bei der Auswahl von KI-Dienstleistern und -Lieferanten sind folgende Kriterien zu berücksichtigen:

• Compliance mit relevanten Gesetzen (DSGVO, AI Act)
• Transparenz bezüglich Datenverarbeitung und -speicherung
• Angemessene Sicherheitsmaßnahmen und Zertifizierungen
• Klare Vereinbarungen zur Datenverarbeitung (AVV)
• Standort der Datenverarbeitung und ggf. Drittlandtransfers

Alle KI-Lieferanten müssen im {{LIEFERANTENVERZEICHNIS}} erfasst und jährlich evaluiert werden.

8. Evaluierung & Qualität

Vor dem produktiven Einsatz müssen KI-Systeme evaluiert werden hinsichtlich:

• Genauigkeit und Zuverlässigkeit der Ergebnisse
• Robustheit gegenüber unerwarteten Eingaben
• Fairness und Abwesenheit diskriminierender Verzerrungen
• Erklärbarkeit der Entscheidungen (soweit technisch möglich)
• Leistung unter verschiedenen Betriebsbedingungen

Die Evaluierungsergebnisse sind zu dokumentieren und bei wesentlichen Änderungen zu aktualisieren.

9. Datenschutz & Transparenz

Bei der Verarbeitung personenbezogener Daten durch KI-Systeme gilt:

• Klare Rechtsgrundlage für die Verarbeitung
• Transparente Information der betroffenen Personen
• Einhaltung der Betroffenenrechte (Auskunft, Löschung, etc.)
• Datenschutz-Folgenabschätzung (DPIA) bei hohem Risiko
• Keine rein automatisierten Entscheidungen mit erheblichen Auswirkungen ohne menschliche Aufsicht

Bei Hochrisiko-KI-Systemen gemäß EU AI Act sind zusätzliche Anforderungen zu erfüllen, insbesondere hinsichtlich Risikomanagement, Dokumentation und menschlicher Aufsicht.

10. Dokumentation & Aufbewahrung

Für jedes KI-System ist folgende Dokumentation zu führen und aktuell zu halten:

• Zweck und Funktionsweise des Systems
• Datenquellen und Verarbeitungsprozesse
• Modellparameter und -versionen
• Evaluierungsergebnisse und Leistungskennzahlen
• Risikobewertung und Maßnahmen zur Risikominderung
• Änderungshistorie und Verantwortlichkeiten

Die Dokumentation ist mindestens {{AUFBEWAHRUNGSFRIST}} Jahre nach Außerbetriebnahme des Systems aufzubewahren.

11. Schulung

Alle Mitarbeitenden, die KI-Systeme entwickeln, implementieren oder nutzen, müssen regelmäßig geschult werden zu:

• Grundlagen der KI-Technologie und ihrer Anwendung
• Rechtliche und ethische Rahmenbedingungen
• Erkennung und Vermeidung von Verzerrungen (Bias)
• Sicherheitsrisiken und deren Minimierung
• Spezifische Anforderungen dieser Richtlinie

Schulungen sind bei Einstellung und danach mindestens jährlich durchzuführen.

12. Vorfälle & Meldewege

Sicherheitsvorfälle, Datenschutzverletzungen oder andere Probleme im Zusammenhang mit KI-Systemen sind unverzüglich zu melden an:

• KI-Verantwortliche(r): {{KI_VERANTWORTLICHER_KONTAKT}}
• IT-Sicherheit: {{IT_SICHERHEIT_KONTAKT}}
• Datenschutzbeauftragte(r): {{DSB_KONTAKT}}

Bei Datenschutzverletzungen gelten die gesetzlichen Meldefristen (72 Stunden an Aufsichtsbehörde).

13. Freigabe & Review

Diese Richtlinie wurde freigegeben durch:

{{GESCHÄFTSFÜHRUNG}}, Geschäftsführung
{{DATUM}}

Die Richtlinie wird mindestens jährlich überprüft und bei Bedarf aktualisiert, insbesondere bei wesentlichen Änderungen der rechtlichen Rahmenbedingungen oder der eingesetzten KI-Technologien.