Eine KI Sicherheitseinweisung
Am 13.03.2024 stimmte das EU-Parlament in Straßburg mehrheitlich für das KI-Gesetz, das wir in unserem Beitrag „Mal was Intelligentes aus Brüssel – Die europäische KI-Verordnung kommt!“ bereits vorgestellt hatten. Einhelliger Tenor der Medien: Die Anwendung von KI birgt sowohl Vorteile als auch Risiken.
Was für viele Unternehmen immer noch sehr theoretisch klingt, ist für andere Firmen schon seit einigen Monaten gelebte Praxis. Spätestens, als Microsoft im Januar 2023 als Hauptaktionär von OpenAI noch einmal 10 Mrd. US-Dollar in die Macher von ChatGPT steckte, war abzusehen, dass die Integration der KI-Anwendung in die Produktpalette von Microsoft nicht lange auf sich warten lassen konnte. Das Ergebnis lässt sich sehen: Gleicht der Nutzer von Microsoft 365 einem Flugkapitän und sein Unternehmen dem Flugzeug, so stellt der Softwaregigant nun die bahnbrechende KI-Anwendung als hilfreichen Unterstützer zur Seite – eben einen Copiloten.
Diesem Bild folgend stellt sich angesichts des doch steilen Aufstiegs der KI bei manchen Firmen eine gewisse Flugangst ein. Die diffusive Befürchtung, mit der Nutzung von Copilot die Büchse der Pandora zu öffnen, führt zur Unsicherheit im Umgang mit einer Technologie, an deren Einführung am Ende aber niemand herumkommt. Wir wollen nachfolgend die wesentlichen Risiken skizzieren und Wege aufzeigen, um Bruchlandungen zu vermeiden.
1. Destination und Muster
Die Einsatzmöglichkeiten in Microsoft 365 sind schon für gewöhnliche Anwender äußerst vielfältig. In Word lassen sich ganze Dokumente zu einem Thema mithilfe von KI erstellen oder auch verbessern. Für alle, die mit Excel-Tabellen etwas fremdeln, kann Copilot mit Formeln und Analysen helfen. Die PowerPoint-Muffel freuen sich, dass die KI-Lösung Präsentationen entwerfen und optimieren kann. E-Mails schreiben sich in Outlook quasi von selbst und Teams-Meetings lassen sich mittels Copilot organisieren und mittels Transkription schnell dokumentieren.
Doch damit nicht genug: Nutzer von Dynamics (CRM, z.B. Sales, Marketing) verfügen über Möglichkeiten zur optimierten Kommunikation im Team und mit Kunden, Marketing-Kampagnen lassen sich mit neuen Ideen entwerfen oder steuern. Inhalte für Internetseiten wie z.B. FAQs, vorher mühsam zusammengetragen, lassen sich in Windeseile erstellen.
Abseits der Welt von Microsoft 365 ist eine Nutzung von Copilot als Einzellizenz natürlich auch möglich. An dieser Stelle liegt der Gedanke nicht fern, dass Mitarbeiter – mit oder ohne Wissen der Geschäftsführung – schon jetzt diese KI-Software anwenden, ohne dass eine offizielle Einführung seitens des Unternehmens vorliegt. Schon deshalb, weil die einfachen Lizenzen nicht das Datenschutzniveau der Unternehmenslizenzen erreichen, sollten Alleingänge nicht zugelassen werden. Die nachfolgende Ziffer 2 liefert weitere Gründe für ein geordnetes Vorgehen.
2. Ready for Takeoff?
Bevor dem Verlangen nach Implementierung von KI nachgegeben wird, es ist dringend anzuraten, zuerst einen gründlichen Checkup am Boden durchzuführen. Dafür ist es insbesondere erforderlich, nicht nur aus einer interessierten Abteilung wie z.B. Marketing heraus den Bedarf zu analysieren, sondern sämtliche Use Cases in allen erdenklichen Ausgestaltungen zu erfassen.
2.1. Data Governance
Grundlegend sollte die Funktionsweise des integrierten Chatbots verstanden werden: Bei Microsoft 365 greift dieser u.a. auf Sharepoint und Teams-Kanäle zu. Das klingt zunächst vorteilhaft, wird allerdings in den vielen Fällen zum Problem: Der den Chatbot nutzende Mitarbeiter erhält – je nach Anfrage – eine Verarbeitung von Informationen aus allen Ordnern und Kommunikationen, zu denen er irgendwann einmal Zugriffsrechte erhalten hat. Wenn die Verteilung von Rollen und Rechten im Unternehmen aus dem Ruder gelaufen ist, gelangt der einzelne Nutzer – ob er es darauf anlegt oder nicht – in den Besitz von Informationen, die nicht für seine Augen gedacht sind und die er ohne KI-Hilfe auch niemals aufgefunden hätte. Welche Auswirkungen eine solches Szenario allein im Datenschutzrecht haben kann, muss wahrscheinlich an dieser Stelle nicht ausführlich dargestellt werden. Wenn es also jemals einen Zeitpunkt gegeben hat, von Seiten der IT das Berechtigungskonzept endlich zu überarbeiten oder gar zu erstellen, dann vor Einführung von Copilot.
Auch unabhängig von der Frage der Zugriffsrechte besteht in Sachen Data Governance in den allermeisten Fällen Optimierungsbedarf, wenn Copilot optimal genutzt werden soll. Ähnlich der Suchmaschinenoptimierung, die den Seitenbetreiber zur Verschlagwortung von Inhalten nötigt, ist es als wichtige Unterstützung des KI-Helfers zu betrachten, wenn Dateien nicht nur richtig klassifiziert, sondern auch in den Dateiinformationen mit sinnvollen Tags versehen werden. Microsoft bietet für das wichtige Dateimanagement die Lösung Purview an, es gibt allerdings auch noch jede Menge Alternativen auf dem Markt, die noch zusätzliche Features bieten.
2.2. KI-Richtlinie und deren Umsetzung
Daneben sollte auf der Checkliste vor dem Start auch das Thema Information und Schulungen von Mitarbeitern auftauchen. Zum einen bieten interne Richtlinien zum Thema die Gelegenheit, Regeln für die Anwendung mitzugeben und damit klar Grenzen zu setzen. Zum anderen wäre es am Ende des Tages auch ein Haftungsproblem, wenn die Nutzer im Unternehmen völlig freie Bahn eingeräumt bekommen und keinerlei Kontrolle ausgeübt wird. Nicht zuletzt sieht der dann zur Geltung kommende KI-Act zumindest mittelbar die Pflicht vor, bei den Beschäftigten eine ausreichende KI-Kompetenz herbeizuführen – wenn man so will einen Copiloten-Schein. Naturgemäß sollte diese Kompetenz bereits vorliegen und die Regeln im Unternehmen stehen, bevor die Anwendung live geht.
2.3. Datenschutz
Wie immer vor Einführung einer neuen Anwendung freut sich der Datenschutzbeauftragte über eine Einbindung vor dem Start. Auch wenn kein Beauftragter bestellt ist, müssen vor dem Einsatz von Copilot wichtige Punkte abgearbeitet werden.
Eine im Verhältnis noch einfache Aufgabe ist die Vervollständigung der Dokumentation. Dazu gehört natürlich die Erstellung bzw. die Ergänzung eines Eintrags im Verarbeitungsverzeichnis, aber auch die Vorprüfung sowie ggf. die Durchführung einer Datenschutz-Folgenabschätzung. Schwieriger wird die Frage der Auftragsverarbeitung durch Microsoft bei der Nutzung von Copilot, da nach den im Moment zur Verfügung stehenden Informationen unklar ist, ob die dafür erforderlichen vertraglichen Grundlagen wie das Data Protection Addendum gelten. Anscheinend ist auch die Auswahl der Rechenzentren (Stichwort EU Data Boundary) nicht automatisch beschränkt, die Zulässigkeit einer vorliegenden Drittlandsübermittlung ist daher ggf. zu prüfen.
Nach den aktuellen Nutzungsbedingungen wird von Microsoft immerhin zugesichert, dass die in den Chat eingefügten Daten zum einen nur für die Zwecke der Copilot-Nutzung kurzzeitig gespeichert werden und dass zum anderen ausgeschlossen ist, dass die Daten zum weiteren Training der KI genutzt werden. Wichtig ist jedenfalls, dass vor der Implementierung allseits Klarheit darüber herrscht, dass die KI nicht zur automatisierten Entscheidungsfindung im Sinne des Art. 22 DSGVO genutzt werden darf – am Ende muss daher stets noch eine menschliche Prüfung und Bewertung der Ergebnisse stattfinden, bevor Kunden oder Mitarbeiter vom Output der Maschine tangiert werden.
3. Mögliche Turbolenzen
Die mit Copilot einhergehenden Probleme unterscheiden sich grundsätzlich nicht von denen, wie sie allgemein zum Thema KI diskutiert werden. Es ist nachvollziehbar, dass erhebliche Risiken in Kauf genommen werden, wenn der unter Ziffer 2 empfohlene Checkup nicht beherzigt wird. Gerade die in vielen Unternehmen zu leichtfertig gehandhabte Berechtigungsstruktur kann in Einzelfällen Ärger im Betrieb und mit Behörden auslösen. Die wichtige Schulung der Mitarbeiter auf den richtigen Umgang mit KI sowie die sorgfältige Auswahl von Einstellungen der Software können wertvolle Hilfen zur Risikominimierung sein.
Weitere Gefahren lauern derweil bei der Nutzung der Ergebnisse, die mit KI erzielt werden. Microsoft weist in den Nutzungsbedingungen und weiteren Informationen nicht nur darauf hin, dass KI dem Grunde nach fehlerhaft arbeitet und sich bisweilen unwahre Behauptungen zusammenreimt („Halluzinieren“), sondern gibt auch den Hinweis, dass die mit Copilot geschaffenen Texte nicht den Anspruch erheben, dem Nutzer das alleinige Nutzungsrecht zu verschaffen. Microsoft erhebt anscheinend keinen Anspruch auf das „Eigentum“ an den geschaffenen Daten, es kann daher bei der Nutzung auch keinerlei Recht vom Anbieter abgeleitet werden. Ohne das Thema Urheberecht bei KI, zu dem die KI-Verordnung keinen Lösungsansatz liefert, zu sehr zu vertiefen, soll hier jedoch das Problembewusstsein im Umgang mit den Kreationen ausgelöst werden. Es ist z.B. denkbar, dass der durch Copilot erschaffene Werbespruch für das Marketing untauglich ist, weil er bereits zuvor von anderen erschaffen und auch geschützt wurde.
Inwiefern die offenkundig mit der Nutzung einhergehende Beschleunigung von Prozessen gegenüber Personen, die von den Ergebnissen der KI betroffen sind oder für die die Ergebnisse aufgrund vertraglicher Verpflichtungen geschaffen werden, dazu zwingt, die Nutzung der KI transparent zu machen, wird eine Frage sein, mit der sich die Unternehmen beschäftigen müssen – die KI-Verordnung ordnet eine solche Transparenz jedenfalls grundsätzlich an. Angesichts der bekannten Fehleranfälligkeit der Anwendung erscheint es aus Haftungsgründen sogar ratsam, die Einbindung von KI offenzulegen, auch wenn dies nicht von der Verpflichtung der menschlichen Aufsicht über die Maschine ablenken kann.
4. Wir wünschen einen guten Flug!
Der Copilot ist kein echter Autopilot. Trotz aller anzuerkennenden Erleichterungen, die die KI im Arbeitsalltag mit Microsoft-Produkten bringen kann, sollte der Mensch weiter das Steuer in der Hand halten. Eine Einführung ohne grundlegende Vorbereitungen käme einem Blindflug gleich, sie sollten daher durchaus ernstgenommen werden. Das Thema KI gehört auch dann auf die Tagesordnung, wenn eine offizielle Einführung im Unternehmen gar nicht geplant ist – dafür ist es für die Mitarbeiter viel zu verlockend, sich mit Anwendungen wie Copilot heimlich die Arbeit zu erleichtern.
Und nein, dieser Text ist nicht durch künstliche, sondern durch menschliche Intelligenz kreiert worden, was man vielleicht an der bildhaften Sprache erkennen kann. Wenn wir Sie und Ihr Unternehmen bei der Implementierung von KI-Anwendungen rechtlich unterstützen können, werden wir das ebenfalls auf ganz persönliche Weise gerne tun.
Autor: Andree Hönninger