Christian Ullrich
März 2025
TBD…
Prompt
- Wir möchten für unsere Organisation eine interne GenKI-Regelung schreiben.
- Die Regelung soll die Nutzung von ChatGPT und anderen GenKI-Diensten regeln.
- Erstelle eine Liste der Kapitelüberschriften.
Prompt
- Unsere Organisation ist ein deutsches Krankenhaus.
- Wir schreiben eine organisatorische Richtlinie zur GenKI-Nutzung.
- Schwerpunkt ist die Nutzung von ChatGPT.
- Unsere Organisation ist konservativ und risikoavers.
- Wir möchten ChatGPT in möglichst vielen Bereichen der Verwaltung einsetzen, dabei aber ein hohes Maß an Sicherheit wahren.
- Wir möchten ChatGPT nicht in Verbindung mit medizinischen Daten oder Patientendaten einsetzen.
- Benutzer müssen Eingaben im Hinblick auf die Organisation und deren Personen pseudonymisieren.
- Nimm die folgende Struktur zur Kenntnis, aber fertige die Richtlinie noch nicht an.
TBD…
Prompt
Schreibe den folgenden Teil der Richtlinie mit drei Absätzen á zwei Sätzen je Unterkapitel:
Diese Richtlinie regelt die sichere und effiziente Nutzung von ChatGPT und anderen generativen KI-Diensten in der Verwaltung. Sie dient der Minimierung von Risiken und stellt sicher, dass die Nutzung im Einklang mit den organisatorischen und rechtlichen Anforderungen erfolgt. Die Richtlinie trägt zur Verbesserung der Arbeitsabläufe bei, ohne die Sicherheit und Integrität der Organisation zu beeinträchtigen.
Diese Regelung gilt für alle Mitarbeitenden, die ChatGPT oder andere GenKI-Dienste im Rahmen ihrer täglichen Arbeit nutzen. Sie betrifft insbesondere administrative und nicht-medizinische Prozesse innerhalb der Organisation. Die Nutzung dieser Dienste im direkten Zusammenhang mit medizinischen oder patientenbezogenen Daten ist untersagt.
Die Richtlinie betrifft sämtliche Angestellte der Verwaltung, die KI-gestützte Werkzeuge zur Verbesserung ihrer Arbeitsprozesse einsetzen. Dazu gehören insbesondere Mitarbeitende aus den Bereichen Personal, Controlling, Einkauf, Kommunikation und IT. Auch externe Dienstleister, die für die Organisation tätig sind, müssen diese Richtlinie bei der Nutzung beachten.
Generative KI kann die Effizienz und Qualität administrativer Aufgaben verbessern, indem sie Rechercheprozesse unterstützt, Dokumente erstellt und Ideen liefert. Die Nutzung erfordert jedoch klare Sicherheitsrichtlinien, um Risiken wie Datenlecks oder Fehlinformationen zu minimieren. Daher ist der Einsatz nur in vordefinierten Bereichen zulässig und unterliegt bestimmten Kontrollmechanismen.
Diese Regelung ergänzt bestehende Datenschutz-, IT-Sicherheits- und Compliance-Vorgaben der Organisation. Sie steht im Einklang mit geltenden Gesetzen und internen Vorschriften zur Informationssicherheit. Widersprüche zu bestehenden Richtlinien werden im Bedarfsfall durch die Compliance-Abteilung geklärt.
Generative KI basiert auf neuronalen Netzwerken, die aus großen Datenmengen lernen und darauf aufbauend menschenähnliche Texte oder andere Inhalte generieren. Diese Systeme verwenden Wahrscheinlichkeitsmodelle, um Vorhersagen zu treffen und kontextbezogene Antworten zu liefern. Aufgrund der statistischen Natur der Technologie können Fehler oder Verzerrungen auftreten.
GenKI-Dienste sind Anwendungen, die generative KI nutzen, um Texte, Bilder oder andere Inhalte zu erstellen. Dazu gehören beispielsweise Chatbots, Textverarbeitungssysteme und Code-Generatoren. Sie unterscheiden sich von klassischen regelbasierten Systemen durch ihre Lernfähigkeit und Anpassungsfähigkeit.
ChatGPT ist ein KI-gestützter Textgenerator, der zur Unterstützung bei schriftlichen Aufgaben und der Ideenfindung genutzt werden kann. Er darf ausschließlich in administrativen Bereichen eingesetzt werden, wobei sensible oder personenbezogene Daten nicht verarbeitet werden dürfen. Nutzer sind verpflichtet, Inhalte kritisch zu prüfen und zu kennzeichnen, falls sie KI-generiert sind.
Microsoft Copilot ist ein KI-gestützter Assistent, der in verschiedene Microsoft-Programme integriert ist und administrative Tätigkeiten unterstützt. Er kann beispielsweise Dokumente analysieren, Zusammenfassungen erstellen und wiederkehrende Aufgaben automatisieren. Der Einsatz ist nur in genehmigten Anwendungen erlaubt.
Neben Microsoft Copilot und ChatGPT gibt es weitere KI-Dienste, die in Zukunft für administrative Zwecke relevant sein könnten. Die Nutzung neuer Dienste bedarf einer vorherigen Prüfung durch die IT- und Compliance-Abteilung. Nur freigegebene Anwendungen dürfen eingesetzt werden.
Die IT-Abteilung ist für die technische Bereitstellung und Sicherheit der GenKI-Dienste verantwortlich. Die Compliance-Abteilung überwacht die Einhaltung der Vorschriften und klärt offene Fragen zur Nutzung. Nutzer müssen sicherstellen, dass sie die Richtlinie einhalten und GenKI-generierte Inhalte korrekt kennzeichnen.
GenKI-Dienste dürfen zur Recherche und Sammlung von Informationen genutzt werden, sofern die Quellen verifiziert werden. Die Ergebnisse sind stets kritisch zu hinterfragen und mit weiteren Quellen abzugleichen. Unbestätigte oder fehlerhafte Informationen dürfen nicht weiterverwendet werden.
ChatGPT kann genutzt werden, um kreative Ideen oder alternative Ansätze für administrative Prozesse zu generieren. Ergebnisse sind als Inspirationsquelle zu verstehen und dürfen nicht ungeprüft übernommen werden. Die Verantwortung für die inhaltliche Qualität bleibt bei den Nutzenden.
Die Erstellung von Entwürfen für Berichte, E-Mails oder andere Dokumente kann durch ChatGPT unterstützt werden. Dabei müssen sensible Daten pseudonymisiert oder entfernt werden. Jedes durch GenKI erzeugte Dokument muss vor der Weiterverwendung auf Korrektheit und Relevanz geprüft werden.
GenKI-Dienste dürfen ausschließlich für administrative, nicht-medizinische Zwecke genutzt werden. Die Verarbeitung von Patienten- oder anderen sensiblen personenbezogenen Daten ist strikt untersagt. Zudem ist die Nutzung für geschäftskritische Entscheidungen oder rechtlich verbindliche Dokumente nicht zulässig.
Die Nutzung von GenKI-Diensten muss im Einklang mit den Sicherheitsrichtlinien der Organisation erfolgen. Jegliche Eingaben in KI-Modelle dürfen keine vertraulichen, internen oder sicherheitskritischen Informationen enthalten. Die IT-Abteilung überwacht den Einsatz der Technologie und stellt sicher, dass keine Sicherheitsrisiken entstehen.
Alle KI-generierten Inhalte müssen auf ihre Richtigkeit und Integrität überprüft werden. Mitarbeitende sind angehalten, GenKI-generierte Daten nicht ohne Prüfung zu übernehmen oder in kritische Systeme zu integrieren. Unkontrollierte Speicherung oder Weitergabe von durch KI erzeugten Inhalten ist untersagt.
Personenbezogene Daten dürfen nicht in GenKI-Dienste eingegeben oder verarbeitet werden. Nutzer sind verpflichtet, Inhalte zu anonymisieren oder zu pseudonymisieren, bevor sie verarbeitet werden. Verstöße gegen den Datenschutz können zu arbeitsrechtlichen und rechtlichen Konsequenzen führen.
Die Nutzung von KI-generierten Inhalten darf keine Urheberrechte Dritter verletzen. Mitarbeitende müssen sicherstellen, dass keine geschützten Texte, Bilder oder Codes ohne Genehmigung verwendet werden. Im Zweifelsfall ist eine rechtliche Prüfung erforderlich, bevor solche Inhalte genutzt oder veröffentlicht werden.
Jede durch GenKI erzeugte Information muss auf Genauigkeit, Plausibilität und Relevanz überprüft werden. Fehlerhafte oder unzureichende Inhalte dürfen nicht weiterverwendet werden. Eine vollständige Automatisierung ohne menschliche Kontrolle ist untersagt.
Alle Inhalte, die mit Unterstützung von GenKI-Diensten erstellt wurden, müssen entsprechend gekennzeichnet werden. Diese Maßnahme dient der Transparenz und hilft dabei, die Unterscheidung zwischen menschlicher und KI-generierter Arbeit zu gewährleisten. Die genauen Anforderungen zur Kennzeichnung werden durch die Compliance-Abteilung festgelegt.
Mitarbeitende sind für die durch KI erzeugten Inhalte verantwortlich und müssen diese vor Nutzung sorgfältig prüfen. Fehlinformationen oder ungenaue Inhalte dürfen nicht ungeprüft weitergegeben werden. Die Nutzung von GenKI sollte stets reflektiert und kritisch erfolgen.
Die Nutzung von GenKI-Diensten muss den geltenden rechtlichen Vorschriften und ethischen Grundsätzen der Organisation entsprechen. Diskriminierende, irreführende oder anderweitig unzulässige Inhalte dürfen nicht erzeugt oder verbreitet werden. Mitarbeitende sind verpflichtet, Verstöße gegen diese Standards zu melden.
Die Organisation strebt an, den Einsatz von GenKI-Diensten als unterstützendes Werkzeug zu nutzen, ohne eine vollständige Abhängigkeit zu entwickeln. Mitarbeitende sollten weiterhin ihre fachlichen Kompetenzen und Urteilsfähigkeit nutzen und sich nicht ausschließlich auf KI-generierte Inhalte verlassen. Der bewusste Einsatz von GenKI-Technologien soll eine Ergänzung, aber kein Ersatz für menschliche Entscheidungsfindung sein.
Alle Mitarbeitenden, die GenKI-Dienste nutzen, müssen regelmäßig geschult werden. Schulungen umfassen Themen wie sichere Nutzung, Datenschutz, Urheberrecht und verantwortungsbewusster Umgang mit KI-generierten Inhalten. Die Organisation stellt sicher, dass Mitarbeitende über aktuelle Entwicklungen und Risiken im Umgang mit GenKI informiert bleiben.
Die Nutzung von GenKI-Diensten wird regelmäßig überprüft und bewertet, um Sicherheitsrisiken frühzeitig zu erkennen. Feedback und Erfahrungsberichte aus der Organisation fließen in die Weiterentwicklung der Richtlinie ein. Die IT- und Compliance-Abteilung überwacht die Einhaltung dieser Vorgaben und nimmt Anpassungen bei Bedarf vor.
Mitarbeitende, die gegen diese Richtlinie verstoßen, müssen mit Konsequenzen rechnen. Verstöße können durch technische Überwachungen oder Meldungen von Kolleginnen und Kollegen aufgedeckt werden. Jeder Verstoß wird dokumentiert und entsprechend den internen Vorgaben geahndet.
Missbrauch der GenKI-Dienste kann disziplinarische Maßnahmen bis hin zur Kündigung nach sich ziehen. In schweren Fällen, insbesondere bei Datenschutzverletzungen oder Sicherheitsrisiken, können rechtliche Schritte eingeleitet werden. Die Organisation behält sich vor, Verstöße an externe Stellen oder Behörden zu melden.
Diese Regelung basiert auf den geltenden Datenschutz-, IT-Sicherheits- und Urheberrechtsgesetzen. Zudem sind interne Vorschriften und ethische Standards der Organisation maßgeblich. Die Organisation verpflichtet sich, die Rechtslage regelmäßig zu überprüfen und die Richtlinie bei Bedarf anzupassen.
Die Nutzung von GenKI-Diensten wird regelmäßig überprüft, um mögliche Risiken zu identifizieren und Verbesserungspotenziale auszuschöpfen. Die Organisation analysiert die Auswirkungen der Technologie auf Arbeitsprozesse sowie deren Sicherheit und Effizienz. Basierend auf den Ergebnissen der Evaluierung werden Anpassungen an der Richtlinie vorgenommen.
Diese Richtlinie wird kontinuierlich an neue technologische Entwicklungen und regulatorische Anforderungen angepasst. Änderungen erfolgen in enger Abstimmung mit der IT-, Datenschutz- und Compliance-Abteilung. Mitarbeitende werden über wesentliche Änderungen rechtzeitig informiert und in deren Umsetzung geschult.
Die Richtlinie tritt mit ihrer Veröffentlichung in Kraft und gilt bis auf Weiteres. Sie wird mindestens einmal jährlich überprüft und bei Bedarf aktualisiert. Falls gravierende Änderungen in der Technologie oder den gesetzlichen Rahmenbedingungen eintreten, erfolgt eine außerplanmäßige Anpassung.
Diese Regelung tritt mit sofortiger Wirkung in Kraft und bleibt solange gültig, bis eine aktualisierte Version verabschiedet wird. Alle betroffenen Mitarbeitenden sind verpflichtet, sich mit den Inhalten vertraut zu machen und die Vorgaben einzuhalten. Änderungen werden durch die Geschäftsleitung bekannt gegeben.
Für Fragen zur Nutzung von GenKI-Diensten stehen die IT-Abteilung und die Compliance-Abteilung als zentrale Ansprechstellen zur Verfügung. Diese Abteilungen bieten Beratung zur sicheren und regelkonformen Nutzung der Technologie. Schulungen und Informationsmaterialien werden regelmäßig zur Verfügung gestellt, um Mitarbeitende zu unterstützen.
Die Richtlinie wird in geeigneter Weise allen betroffenen Mitarbeitenden zugänglich gemacht. Änderungen oder Anpassungen werden rechtzeitig kommuniziert, um eine reibungslose Umsetzung sicherzustellen. Die Organisation stellt sicher, dass alle relevanten Informationen zu dieser Richtlinie jederzeit abrufbar sind.