KI-Richtlinie mit DSGVO- und EU AI Act Bezug
1. Unsere Haltung zum Einsatz von Künstlicher Intelligenz
Künstliche Intelligenz (KI) ist ein unterstützendes Werkzeug zur Effizienzsteigerung und Strukturierung von Prozessen.
Wir setzen KI bewusst und verantwortungsvoll ein.
Dabei gilt:
- KI unterstützt – sie ersetzt keine Verantwortung
- Entscheidungen werden ausschließlich durch Menschen getroffen
- Transparenz gegenüber Kunden ist für uns selbstverständlich
- Datenschutz, Integrität und Qualität haben höchste Priorität
2. Zweck und Geltungsbereich
Diese Richtlinie regelt den Einsatz von KI-Systemen innerhalb des Unternehmens.
Sie gilt für:
- alle Mitarbeitenden
- Führungskräfte
- externe Partner
- Dienstleister
sofern sie im Namen oder Auftrag des Unternehmens tätig sind.
3. Rechtlicher Rahmen – DSGVO
Der Einsatz von KI-Systemen erfolgt unter strikter Beachtung der Datenschutz-Grundverordnung (DSGVO), insbesondere der Artikel 5, 6, 9, 24, 25 und 32.
Grundsätze gemäß Art. 5 DSGVO:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine rechtliche Grundlage besteht.
Die Eingabe personenbezogener Daten in externe KI-Systeme ist grundsätzlich untersagt, sofern keine ausdrückliche Freigabe und rechtliche Grundlage vorliegt.
4. Einordnung nach EU AI Act
Die im Unternehmen eingesetzten KI-Systeme fallen überwiegend in die Kategorie „begrenztes Risiko“ gemäß EU AI Act.
Die Nutzung erfolgt ausschließlich zu unterstützenden Zwecken.
Dabei gilt:
- Es erfolgt keine automatisierte Entscheidungsfindung mit rechtlicher oder finanzieller Wirkung
- KI-Systeme dienen ausschließlich der Vorbereitung und Strukturierung von Informationen
- Eine menschliche Prüfung und Entscheidung ist jederzeit gewährleistet
5. Verbot der Eingabe sensibler Daten
Folgende Daten dürfen nicht in öffentliche oder externe KI-Systeme eingegeben werden:
- Personenbezogene Daten von Kunden, Mandanten oder Geschäftspartnern
- Steuerliche Detailinformationen
- Konkrete Investitionssummen in Verbindung mit identifizierbaren Personen
- Vertragsinhalte oder Provisionsvereinbarungen
- CRM-Daten oder interne Systemdaten
- Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO
Es ist ausschließlich mit anonymisierten oder abstrahierten Beispielen zu arbeiten.
6. Verantwortlichkeit und Prüfungspflicht
KI-generierte Inhalte gelten grundsätzlich als Entwurf.
Vor jeder internen oder externen Verwendung sind Inhalte:
- fachlich
- rechtlich
- inhaltlich
zu prüfen.
Die Verantwortung für Inhalte und Entscheidungen liegt ausschließlich bei der handelnden Person.
7. Datensicherheit und technische Maßnahmen
Gemäß Art. 32 DSGVO werden geeignete technische und organisatorische Maßnahmen (TOMs) umgesetzt.
Dazu gehören insbesondere:
- Zugriffsbeschränkungen
- Rollenbasierte Berechtigungssysteme
- Dokumentation der Nutzung
- Schulung und Sensibilisierung der Mitarbeitenden
Die Speicherung sensibler Daten außerhalb freigegebener Systeme ist untersagt.
8. KI als Unterstützungswerkzeug
KI darf im Unternehmen insbesondere eingesetzt werden für:
- Strukturierung von Informationen
- Erstellung von Entwürfen (Texte, Konzepte, Kommunikation)
- Unterstützung von internen Prozessen
- Analyse und Aufbereitung von Daten
KI ersetzt keine rechtliche, steuerliche oder geschäftliche Entscheidung.
9. Transparenz gegenüber Kunden und Partnern
Wir setzen KI-Systeme unterstützend in internen Prozessen ein.
Dabei gilt:
- Inhalte können teilweise KI-gestützt erstellt werden
- Eine menschliche Prüfung erfolgt vor jeder finalen Verwendung
- Entscheidungen mit finanzieller, rechtlicher oder strategischer Tragweite werden ausschließlich durch Menschen getroffen
Auf Wunsch geben wir Auskunft über den grundsätzlichen Einsatz von KI im Unternehmen.
10. Umgang mit Verstößen
Verstöße gegen diese Richtlinie werden intern geprüft und entsprechend behandelt.
Bei Unsicherheiten ist unverzüglich Rücksprache mit der Geschäftsleitung zu halten.
11. Schlussbestimmung
Diese Richtlinie tritt mit Veröffentlichung in Kraft.
Sie wird regelmäßig überprüft und bei Bedarf angepasst.Künstliche Intelligenz unterstützt unsere Arbeit.
Verantwortung, Datenschutz und Integrität bleiben nicht delegierbar.