KI-Richtlinie der E113 Gruppe

1. Ziel der Richtlinie

Diese Richtlinie dient als verbindlicher Rahmen für den Einsatz, die Entwicklung und den Betrieb von künstlicher Intelligenz (KI) in unserem Unternehmen. Sie stellt sicher, dass alle KI-Systeme den geltenden gesetzlichen, ethischen und sicherheitsrelevanten Anforderungen entsprechen und verantwortungsbewusst eingesetzt werden.

Wir verpflichten uns zur transparenzorientierten, ethischen und sicheren Nutzung von KI, um Innovationen zu fördern und gleichzeitig Risiken für Mitarbeitende, Kunden und andere Stakeholder zu minimieren.

Diese Richtlinie ist ein zentraler Bestandteil unserer Unternehmensstrategie zur Digitalisierung und Automatisierung und wird regelmäßig überprüft und weiterentwickelt.

2. Geltungs- und Anwendungsbereich

Die Richtlinie gilt für alle Abteilungen, Geschäftseinheiten und Mitarbeitenden, die direkt oder indirekt mit KI-Systemen arbeiten. Dazu gehören:

• Eigene KI-Entwicklungen sowie der Einsatz von KI-Dienstleistungen Dritter
• Interne und externe KI-Anwendungen, einschließlich jener, die mit Kunden oder Partner interagieren
• Automatisierte Entscheidungsprozesse, insbesondere solche mit Auswirkungen auf Menschen
• Externe Dienstleister und Zulieferer, die KI-Lösungen für unser Unternehmen bereitstellen

Die Vorgaben gelten sowohl für bestehende als auch für zukünftige KI-Systeme.

Die Verwendung der Unternehmenszugänge auf privaten Geräten ist ausdrücklich untersagt.

3. Definition von KI-Systemen

Gemäß Art. 3 Nr. 1 der EU-KI-Verordnung (KI-VO) definieren wir ein KI-System als:

"Ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das aus erhaltenen Eingaben ableitet, wie Ausgaben erstellt werden."

In unserem Unternehmen unterscheiden wir zwischen verschiedenen Risikostufen von KI:

• Verbotene KI: Systeme, die etwa Social Scoring oder manipulative Beeinflussung betreiben (z. B. KI zur Verhaltenssteuerung)
• Hochrisiko-KI: Systeme, die in sicherheitskritischen Bereichen oder bei sensiblen Entscheidungen eingesetzt werden (z. B. KI in der Personalbewertung oder kritischer Infrastruktur)
• Geringes Risiko: KI-Systeme, die geringe oder keine direkten Auswirkungen auf Menschen haben (z. B. automatische Texterstellung, Übersetzungen)
• Minimales Risiko: Systeme, die ausschließlich unterstützende Funktionen übernehmen (z. B. E-Mail-Sortierung, automatisierte Statistik-Auswertungen)

Für jedes KI-System ist eine Risikobewertung erforderlich, um festzustellen, welche Vorschriften gelten.

4. Prinzipien für den Einsatz von KI

4.1 Rechtmäßigkeit & Transparenz

Alle eingesetzten KI-Systeme müssen vollständig rechtskonform sein. Dazu gehören:

• Einhaltung der EU-KI-Verordnung, der DSGVO und weiterer relevanter Gesetze
• Klare Kommunikation, wenn Nutzer mit KI interagieren
• Verständliche Entscheidungsprozesse, um KI-basierte Entscheidungen nachvollziehbar zu machen

4.2 Ethik & Verantwortung

• Keine Diskriminierung oder Voreingenommenheit in KI-Algorithmen
• Menschliche Kontrolle über kritische KI-Entscheidungen (kein vollautomatisches Handeln ohne Kontrolle)
• Fairer und sicherer Einsatz von KI, insbesondere in sensiblen Bereichen

4.3 Sicherheit & Datenschutz

• Regelmäßige Sicherheitsprüfungen von KI-Systemen
• Minimierung der Datennutzung und Einhaltung aller Datenschutzstandards
• Notfallpläne für Fehlfunktionen oder Angriffe auf KI-Systeme

5. Risikoklassifizierung von KI-Systemen

Vor dem Einsatz eines KI-Systems wird eine Risikobewertung nach Art. 6 und Anhang III der EU-KI-Verordnung durchgeführt:

Diese Klassifizierung hilft dabei, sicherzustellen, dass alle Systeme sicher und regelkonform eingesetzt werden.

5.1 Erlaubte KI-Tools

Nur zugelassene KI-Programme dürfen genutzt werden (siehe Anlage A). Die Nutzung neuer KI-Lösungen ist nur nach Genehmigung durch den zuständigen KI-Beauftragten gestattet.

5.2 Beispiele für zulässigen/unzulässigen Gebrauch

6. Compliance & Überwachung

6.1 Verantwortlichkeiten

• Die Geschäftsführung trägt die Endverantwortung für den ethischen und rechtskonformen KI-Einsatz
• Die KI-Verantwortlichen sorgen für die Einhaltung der Richtlinie
• Die IT-Abteilung überprüft regelmäßig Sicherheits- und Funktionsaspekte
• Der Datenschutzbeauftragte stellt sicher, dass personenbezogene Daten geschützt sind

6.2 Dokumentation & Berichtspflichten

• Alle KI-Systeme mit Hochrisikopotenzial werden in einer internen Datenbank dokumentiert
• Regelmäßige Audits und Compliance-Checks durch interne und externe Prüfer:innen

6.3 Notfallmanagement

• Sofortige Deaktivierung von Systemen, die Risiken für Nutzer:innen darstellen
• Regelmäßige Tests und Notfallpläne für kritische KI-Anwendungen

7. Datenschutz & KI

• Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO, wenn personenbezogene Daten verarbeitet werden
• Speicherung und Verarbeitung auf sicheren Servern, vorzugsweise innerhalb der EU/EWR-Raum
• Automatische Anonymisierung personenbezogener Daten, sofern möglich
• Recht auf menschliche Entscheidung gemäß Art. 22 DSGVO

8. Zusammenarbeit mit Behörden & Drittanbietern

• Alle KI-Dienstleister und Zulieferer müssen nachweislich die EU-KI-Verordnung einhalten
• Behördliche Prüfungen werden aktiv unterstützt
• Verpflichtung zu ethischen KI-Praktiken in Verträgen mit Drittanbietern

9. Schulung & Sensibilisierung

Unser Unternehmen führt regelmäßige KI-Trainings durch:

• KI-Risiken & Compliance (rechtliche Grundlagen und ethische Standards)
• Verständnis von Bias und Fairness in KI-Systemen
• Sicherer Umgang mit KI-gestützten Anwendungen

Diese Schulungen sind für alle Mitarbeitenden verbindlich, die mit KI-Technologien arbeiten.

Die Teilnahme an den Schulungen wird nachweislich durch den Datenschutzbeauftragten dokumentiert.

10. Aktualisierung & Weiterentwicklung

Diese Richtlinie wird mindestens einmal jährlich überprüft und angepasst, wenn:

• Neue gesetzliche Vorgaben erlassen werden
• Technologische Entwicklungen eine Anpassung erfordern
• Interne oder externe Prüfungen Änderungsbedarf aufzeigen

11. Inkraftsetzung

Diese Richtlinie stellt sicher, dass KI verantwortungsbewusst, sicher und gesetzeskonform eingesetzt wird.

‍

Anlagen:

Anlage A: Liste erlaubter KI-Tools

• Sprach-Generatoren wie ChatGPT
• Bild-Generatoren wie Dall-E
• Programmcode-Generatoren wie GitHub und Cursor
• Plug-Ins & Add-ons, die generative KI nutzen
• KI-Detektoren
• kommerzielle, professionelle KI-Software
• selbstentwickelte Lösungen

Anlage B: Zulässige/unzulässige Anwendungen, Dokumentation und Kennzeichnung

Stand: Juni 2025