Richtlinien zur Nutzung generativer KI

backgroud-texture-bg-4

Überblick

Die schnelle Einführung generativer KI birgt großes Potenzial für Innovationen, die vielen Organisationen und Einzelpersonen neue Möglichkeiten eröffnen. Damit sind allerdings auch Risiken verbunden, von denen einige heute bekannt sind, andere sich erst entwickeln oder noch entdeckt werden müssen. Daher sollte jede Organisation, die neue Funktionen und Inhalte mit generativer KI entwickelt, über eine entsprechende Nutzungsrichtlinie verfügen.

Eine bewusste und gut durchdachte Nutzungsrichtlinie kann Unternehmen dabei helfen, Innovationen mithilfe von GenAI-Technologie zu fördern und gleichzeitig Risiken zu managen. Sollten sich Änderungen in der KI-Landschaft ergeben, muss die Richtlinie leicht geändert werden können Sophos hat eine Nutzungsrichtlinie für generative KI entwickelt, damit unsere Mitarbeiter sicher neue Innovationen verfolgen können, die unseren Kunden und Partnern zugutekommen. Seitdem haben wir viele Anfragen erhalten, unsere Richtlinien weiterzugeben. Wir haben beschlossen, diesen Bitten nachzukommen, wenn es unseren Kunden, Partnern und der Branche im Allgemeinen helfen könnte.

Die Diskussionen, Beispiele und kopierbaren Inhalte in diesem Dokument können verwendet werden, um einen – formellen oder informellen – Ansatz für die Verwendung generativer KI im Geschäftsbetrieb eines Unternehmens zu entwickeln. Wir hoffen, dass dieses Rahmenkonzept dabei hilft, den Einsatz generativer KI in den frühen Phasen der Erforschung und Entdeckung zu lenken. Da jede Organisation individuelle Ansätze für Strategie und Umsetzung hat, sollte der Einsatz generativer KI auf die jeweilige Organisation zugeschnitten sein.

Dieses Dokument ist keine Vorlage und dient ausschließlich zu Informationszwecken. Dieser Inhalt stellt keine Rechtsberatung dar und wir empfehlen, vor der Annahme oder Umsetzung von Richtlinien, die auf den unten vorgeschlagenen Leitlinien und Themen basieren, einen Rechts- oder Fachberater zu konsultieren.

Definitionen und Überlegungen

Definition von „Richtlinie“

Hier verwenden wir den Begriff „Richtlinie“ in seiner allgemeinsten Bedeutung und meinen damit Regeln oder Richtlinien, die eine Organisation zur Steuerung von Verhalten festlegt. In diesem Fall geht es um den Einsatz generativer KI innerhalb der Organisation. Eine Richtlinie in diesem Zusammenhang kann im Rahmen eines unternehmensweiten Genehmigungsprozesses formell angenommen oder auf informellere Weise eingeführt werden. Der Ansatz einer Organisation zur generativen KI, wie wir ihn hier behandeln, kann als Richtlinie oder etwas anderes bezeichnet werden. Obwohl es für eine Organisation wichtig ist, darüber nachzudenken, wie sie Erwartungen kommuniziert, konzentrieren wir uns hier auf den allgemeinen Ansatz für generative KI und nicht darauf, Leitlinien dazu bereitzustellen, wie eine Richtlinie heißen könnte oder wie sie implementiert oder durchgesetzt wird.

Umfang

Eine erste Überlegung ist, an wen sich die Richtlinie zur Nutzung generativer KI richtet. Sie könnte beispielsweise für alle Mitarbeiter und/oder Drittparteien gelten, die mit der Organisation interagieren, wie etwa Auftragnehmer, Lieferanten sowie Technologie- und Vertriebspartner. Ihre Richtlinie könnte alternativ auch nur einige oder alle dieser Entitäten abdecken.

Eine weitere zu berücksichtigende Frage ist der Umfang der Technologie, die in der Richtlinie abgedeckt wird. Beispielsweise kann sich „generative KI“ auf eine Kategorie von Technologien beziehen, die anhand von Datasets trainiert wurden und als Reaktion auf Prompts (Eingabe) Text, Bilder, Videos, Ton oder andere Arbeitsinhalte (Ausgabe) generieren können. Beispiele hierfür sind ChatGPT/Bard (Text-zu-Text/Bild), GitHub CoPilot (Text-zu-Code), Midjourney/Stability AI (Text-zu-Bild), ModelScope (Text-zu-Video) und Programmiersprachencode. Generative KI kann auch als Funktion in einer anderen Anwendung verwendet werden.

Überlegungen zur generativen KI

Mit generativer KI können durch die Steigerung von Effizienz und Produktivität erhebliche Vorteile erzielt werden. Aktuelle Implementierungen bergen jedoch Risiken, darunter ungenaue oder unzuverlässige Ergebnisse („Halluzinationen“), verzerrte oder unangemessene Ergebnisse, Sicherheitslücken, Bedenken hinsichtlich des geistigen Eigentums (IP) und des Datenschutzes, rechtliche Unsicherheiten sowie Lizenzbedingungen des Anbieters, die für eine bestimmte Organisation möglicherweise nicht akzeptabel sind. Darüber hinaus bestehen rechtliche Unsicherheiten hinsichtlich der Frage, ob die Ergebnisse generativer KI für den Schutz von geistigem Eigentum in Frage kommen und welche Eigentumsrechte an den durch generative KI erstellten Inhalten bestehen. Wenn Sie eine Implementierung mit generativer KI in die Prozesse oder Anwendungen Ihres Unternehmens integrieren, ist es daher von entscheidender Bedeutung, die mit GenAI-Tools erstellten Materialien eindeutig zu identifizieren, um potenzielle Komplikationen mit dem geistigen Eigentum des Unternehmens zu vermeiden.

Aufgrund der anhaltend rasanten Entwicklung der generativen KI und der damit verbundenen Risiken können Unternehmen von einer Nutzungsrichtlinie für den verantwortungsvollen Einsatz generativer KI profitieren, wie unten beschrieben.

Aktualisierungen und Überarbeitungen

Die sich rasant entwickelnden Innovationen im Bereich der generativen KI legen nahe, dass eine Richtlinie regelmäßig überprüft und bei Bedarf angepasst werden sollte. Der Stand der Technik und die rechtlichen und regulatorischen Rahmenbedingungen ändern sich so schnell, dass man auf dem Laufenden bleiben muss, um nicht in die Bedeutungslosigkeit zu geraten.

Einführung, Implementierung und Nutzung generativer KI

Zahlreiche Anbieter haben auf generativer KI basierende Implementierungen mit unterschiedlichen Zugriffsmethoden (z. B. Chat-Schnittstelle, API) über verschiedene Kontotypen (z. B. persönliche Konten, kostenlose Konten, kostenpflichtige Konten) und mit unterschiedlichen Benutzerbedingungen entwickelt. Eine eher technische Frage für Unternehmen ist, wie sie Mitarbeitern und Geschäftspartnern den Zugriff auf Informationen und den Informationsaustausch mit generativer KI ermöglichen können.

Wie bei anderen Anwendungen für geschäftliche Zwecke beschränken manche Unternehmen den Einsatz generativer KI möglicherweise auf Firmenkonten. Wenn dies für die Organisation infrage kommt, müssen gegebenenfalls Konten mit für das Unternehmen akzeptablen Bedingungen eingerichtet werden. In dieser Hinsicht ist es hilfreich, ähnlich über GenAI-Optionen nachzudenken wie über die Zusammenarbeit mit SaaS-Anbietern und anderen Cloud-Dienstanbietern, die teilweise durch die Erfassung Ihrer Daten arbeiten.

Implementierung/Einführung einer neuen GenAI-Plattform

Ein weiterer Aspekt ist der Genehmigungsprozess, der für die Einführung einer GenAI-Plattform erforderlich ist. Beispielsweise kann die Anschaffung einer neuen GenAI-Plattform für eine Organisation (sei es als eigenständige Anwendung oder als Funktion eines anderen Systems) umfassen, dass der Standardbeschaffungsprozesses der Organisation – ergänzt um Anfragen und Bedingungen, die speziell für generative KI gelten – befolgt wird.

Zu den Schritten, die vor einer Implementierung unternommen werden könnten, gehören:

  1. Genehmigung durch die entsprechenden Abteilungen (sofern zutreffend) aus internen Organisationsbereichen wie Produktmanagement, Technik, Datenschutz, Recht, Sicherheit und Risikomanagement. Einige dieser Funktionen könnten offensichtlich auf eine geringere Anzahl von Interessengruppen verteilt werden.
  2. Eine Technologiebewertung der kommerziellen Optionen, die Bereiche wie die folgenden abdeckt:
    • Quelle und Qualität des Trainings-Datasets.
    • Ob Eingaben und Ausgaben Teil des Trainings-Datasets werden und ob die Möglichkeit besteht, die Nutzung der Eingabe-/Ausgabedaten zum Trainieren des GenAI-Modells abzulehnen.
    • Die Risiken des Einsatzes des GenAI-Modells und interne Mechanismen zu deren Minderung/dem Umgang damit.
    • Fähigkeit, die Geschäftsbedingungen des GenAI-Systems einzuhalten.
    • Kommerzielle Auswirkungen und damit verbundene Lizenzansprüche.
  3. Eine geschäftliche Bewertung der geplanten Implementierung, die Faktoren wie die folgenden berücksichtigt:
    • Implementierungskosten.
    • Erwarteter Return on Investment (ROI).
    • Die Entwicklung von Tracking-Mechanismen zur Berechnung des tatsächlichen ROI.
    • Geplante Nutzung, die im nächsten Abschnitt ausführlich erläutert wird.

Einsatz genehmigter generativer KI

  1. Jeder neue Anwendungsfall generativer KI könnte einem Genehmigungsprozess unterliegen. Eine Möglichkeit besteht beispielsweise darin, für jede Abteilung einen eigenen Genehmiger zu benennen, sodass das Lernen konzentriert und beschleunigt wird.
  2. Verwendung von Sicherheitsfunktionen. Gegebenenfalls könnte von jedem Benutzer verlangt werden, alle verfügbaren Sicherheitsfunktionen zu aktivieren, auf neue Sicherheitsfunktionen zu achten und neue Funktionen zu aktivieren, sobald sie verfügbar sind.

Standardmäßig verboten, ausnahmsweise genehmigt

In einigen Fällen kann es sinnvoll sein, die Nutzung generativer KI, die nicht zu den standardmäßig genehmigten Nutzungen gehört, vorab prüfen und genehmigen zu lassen. So könnte beispielsweise der Einsatz generativer KI generell verboten werden, sofern er nicht ausnahmsweise genehmigt wird. Wenn dieser Ansatz gewählt wird, könnte es aufgrund der immer schneller veröffentlichten Innovationen wichtig sein, die Liste der genehmigten Anwendungsfälle regelmäßig zu aktualisieren.

Beispielsweise könnten folgende Nutzungsarten ohne ausdrückliche Genehmigung verboten sein:

  1. Nutzung, die ganz oder teilweise die folgenden Eingabekategorien erfordert:
    • Alle vertraulichen Informationen oder geschäftssensiblen Informationen.
    • Alle personenbezogenen Daten oder Informationen, die die Organisation identifizieren.
    • Geistiges Eigentum der Organisation.
    • Proprietärer Computercode.
    • Alle Informationen zu Kunden, Lieferanten, Partnern oder anderen geschützten Informationen der Organisation, einschließlich personenbezogener Daten (PII).
    • Alle Informationen über Mitarbeiter.
    • Zugangsdaten für den Systemzugriff (für die Systeme der Organisation oder die Systeme Dritter).
  2. Nutzung, bei der die Ausgabe möglicherweise die Rechte oder Pflichten von Personen beeinträchtigt.
  3. Einbindung der Ausgabe in die Technologie oder anderes geistiges Eigentum der Organisation.
  4. Eine Nutzung, die gegen die Richtlinien, vertraglichen Verpflichtungen oder Nutzungsbedingungen der Technologie verstößt.
  5. Jede rechtswidrige Nutzung oder Nutzung, die unethische Absichten erkennen lässt (z. B. Desinformation, Manipulation, Diskriminierung, Verleumdung, Verletzung der Privatsphäre).

Von generativer KI geschriebener Code

Die Implementierung generativer KI, um vorhandenen Code in moderne, speichersichere Sprachen umzuschreiben, ist ein komplexes und ehrgeiziges Unterfangen. Dabei sind mehrere technische, ethische und praktische Überlegungen zu berücksichtigen. Hier ist beispielsweise eine Auswahl der zu berücksichtigenden Probleme:

  1. Qualität und Zuverlässigkeit: Beibehaltung der Funktionalität des Originalcodes unter Einhaltung moderner speichersicherer Verfahren.
  2. Sicherheits- und Schwachstellenanalyse: eine gründliche Überprüfung des generierten Codes zur Validierung sicherer Praktiken.
  3. Leistung: Bewertung und Optimierung des generierten Codes, sodass er die Leistung des Originalcodes erreicht oder übertrifft.
  4. Schutzrechte: Die Festlegung der Schutzrechte für KI-generierten Code ist eine komplizierte Angelegenheit, die durch die aktuellen Rechtsrahmen möglicherweise nicht vollständig abgedeckt wird.
  5. Datenschutz und Compliance: Ergreifen geeigneter Datenschutzmaßnahmen gemäß den einschlägigen Vorschriften, um zu vermeiden, dass sensible oder personenbezogene Daten, die beim Training der GenAI-Modelle verwendet werden, versehentlich offengelegt werden.

Nutzung von ChatGPT und ähnlichen Tools für die persönliche Produktivität

In einigen Organisationen kann es erlaubt sein, GenAI-Plattformen zur Steigerung der persönlichen Produktivität zu nutzen (siehe unten). Für eine derartige Nutzung gelten die folgenden Bedingungen:

  1. Vermeidung jeglicher durch die Organisation definierter verbotener Nutzungen.
  2. Einhaltung der geltenden Bedingungen und Richtlinien.
  3. Sofern verfügbar, Ablehnen der Bereitstellung von Trainings-Datasets vor der Nutzung.
  4. Überprüfung der Genauigkeit/Zuverlässigkeit/Angemessenheit der Ausgabe vor der Implementierung.

Beispiele für die zulässige geschäftliche Nutzung von ChatGPT (und ähnlichen kostenlosen GenAI-Tools) über persönliche Konten:

  1. Faktenprüfung oder Recherche ähnlich wie bei der Verwendung der Google-Suche, Wikipedia und anderer Internetressourcen.
  2. Erstellen erster Entwürfe von Routine-E-Mails und internen Dokumenten.
  3. Dokumentbearbeitung.
  4. Generieren grundlegender Ideen (z. B. Erstellen einer Liste von Aktivitäten für eine Offsite-Veranstaltung, Beschreiben der Funktionsweise eines bestimmten Codeblocks, detailliertes Schreiben einer bestimmten Funktion)

Eine Organisation kann sich dazu entschließen, Schulungen und/oder Zertifizierungen für Personen zu entwickeln, die generative KI verwenden. Aktuelle Sicherheitsschulungen könnten aktualisiert werden, um die mit der Nutzung generativer KI verbundenen Risiken einzubeziehen.

Es lohnt sich auch, die Konsequenzen zu bedenken, wenn sich der Benutzer nicht an den Rahmen hält. Diese Richtlinien werden wahrscheinlich ähnlich wie andere formelle oder informelle Unternehmensrichtlinien festgelegt.

Abschließendes

Generative KI wird sich auf viele Aspekte einer Organisation auswirken und birgt bekannte und unbekannte Risiken, die es zu mindern gilt. Wenn es darum geht, die Auswirkungen dieser Technologie zu verstehen, stehen wir noch am Anfang. Zukunftsorientierte Organisationen werden sich die Innovationsmöglichkeiten mit generativer KI nicht entgehen lassen. Die Gewinner dieses neuen Zeitalters werden sich dadurch auszeichnen, dass sie Risiken zwar reduzieren, aber dennoch die Erforschung und das Ausprobieren dieser neuen Technologien fördern.

Ein geschickter Ansatz muss her, um Nutzungsrichtlinien festzulegen, die auf die wahrscheinlichen Anwendungsfälle einer Organisation zugeschnitten sind. Darüber hinaus könnten Richtlinien und Leitlinien in eine umfassendere Governance- und Risikomanagementstrategie integriert werden. Dazu könnten die Einrichtung eines Lenkungsausschusses, die Durchführung regelmäßiger Audits und Risikobewertungen sowie die Einrichtung kontinuierlicher Prozesse zur Richtlinienoptimierung gehören, um den verantwortungsvollen Einsatz generativer KI mit geeigneten Maßnahmen zur Risikominderung in Einklang zu bringen.